Охота началась: Роскомнадзор рассылает «письма счастья» по новым законам о данных. Разбор реального кейса

Новые положения закона о персональных данных, вступившие в силу 1 сентября, перестали быть теорией. Роскомнадзор (РКН) начал активные проверки бизнеса, и первые предприниматели уже получают требования об устранении нарушений. Штрафы, напомню, теперь могут достигать 15 000 000 рублей.

Мы получили доступ к одному из первых таких предписаний и готовы разобрать его по косточкам. Это уникальная возможность увидеть, на что именно смотрит регулятор, и проверить свой бизнес, пока «письмо счастья» не пришло вам.

Сначала короткий чек-лист. Новые правила касаются вас, если вы:

Если хотя бы один ответ «да», эта статья для вас. Отдельно стоит отметить, что использование Google Analytics теперь может быть квалифицировано как трансграничная передача персональных данных в недружественную страну, что несет отдельные риски.

Предприниматель из Тюмени, владелец студии растяжки с обычным сайтом-лендингом, получил требование от РКН. Важный момент: проверка была проведена по инициативе самого Роскомнадзора, без каких-либо жалоб со стороны клиентов. Это означает, что ведомство перешло от реактивной модели к проактивной.

Давайте посмотрим, какие именно нарушения нашел РКН.

На сайте под формой заявки отсутствовала галочка, которую пользователь должен проставить вручную. Просто разместить ссылки на документы или использовать предустановленный чекбокс — недостаточно.

Вывод РКН: Посетитель сайта должен сам, активным действием, подтвердить свое согласие.

Регулятор внимательно вычитывает вашу Политику обработки персональных данных. В данном случае в ней не было упоминания об использовании Яндекс.Метрики.

Вывод РКН: Если вы используете любые сервисы аналитики, которые собирают данные пользователей (даже обезличенные), это должно быть явно прописано в ваших документах.

Содержание ваших документов должно строго соответствовать актуальной редакции закона. В данном кейсе РКН обратил внимание на неправильно установленный срок обработки персональных данных.

Вывод РКН: Документы — не формальность. Их будут проверять на соответствие букве закона.

На сайте были размещены фотографии тренеров. РКН посчитал это обработкой их персональных данных и потребовал подтвердить наличие письменного согласия от каждого сотрудника на публикацию их изображений.

Вывод РКН: Любое использование фотографий сотрудников требует документального оформления согласия.

РКН проверил и не нашел предпринимателя в своем Реестре операторов, осуществляющих обработку персональных данных. Подача уведомления о начале обработки — теперь обязательное требование для большинства компаний.

Вывод РКН: Если вы собираете персданные, вы должны уведомить об этом государство. Штраф за отсутствие в реестре — от 100 000 до 300 000 рублей.

На устранение всех нарушений предпринимателю дали всего 10 рабочих дней. Но самое важное: выполнение предписания не гарантирует освобождения от штрафов. Факт нарушения уже зафиксирован, и регулятор может инициировать административное производство.

Чтобы не оказаться в такой ситуации, проверьте наличие на вашем сайте четырех обязательных элементов:

Эпоха, когда документы по персданным были формальностью, закончилась. Роскомнадзор начал системную работу по проверке бизнеса, и кейс тюменского предпринимателя — лишь первая ласточка. Стоимость игнорирования этих правил стала слишком высока.

P.S. Подобные регуляторные изменения и их влияние на бизнес я регулярно анализирую в своем Telegram-канале.