Изменение законодательства о персональных данных — проверяем реальные сайты
1 сентября вступили в силу изменения закона о персональных данных. Проверим, насколько эти изменения были учтены предпринимателями.
Что нужно было поменять
Что прежде всего нужно сделать компаниям, которые обрабатывают персональные данные:
1. Уведомление об обработке персональных данных
Так как из закона убрали большинство случаев, когда компаниям не нужно было уведомлять Роскомнадзор о намерении начать обрабатывать персональные данные, то практически все компании на сегодня должны уведомить РКН об обработке.Это касается и случаев, когда вы обрабатываете данные своих клиентов.
Важно! Теперь при уведомлении РКН следует указывать какие данные с какой целью обрабатываются. Это потребует от предпринимателей предварительного анализа:- какие данные собираются;- как собираются данные;- какие цели у сбора каждой группы данных- обязанность уведомить о случаях компрометации обрабатываемых данных.
2. Согласие на обработку персональных данных В законе указали, что согласие должно быть предметным и однозначным. Если без согласия на обработку персональных данных невозможно оказание услуг или дальнейшее взаимодействие, то в согласии нужно указать последствия отказа.Например, если согласие вы берете в момент оформления заказа товара, то следует указать что при отказе заказ будет аннулирован.
3. Предоставление информации физлицам об обработке их данных По запросу пользователя или его представителя компания должна в течение 10 дней предоставить ответ о факте обработке данных, правовых основаниях, целях обработки и иных данных, указанных в законе.Это значит, что данные сроки нужно указать как в Политике обработке ПДН, так и поменять внутренние процессы.
4. Прекращение обработки данных по требованию физлица
Прекратить обработку ПДн нужно в течение 10 дней (при условии получения от субъекта ПДн отзыва согласия). Изменения коснулись и иных положений: в части обязательств компании при выдаче поручения на обработку ПДн, обязательств в случае компрометации ПДН и применительно к перечню внутренних локальных актов по обработке данных.
Смотрим на реальные сайты
Возьмем сайт интернет-магазина https://www.constagarden.ru/
1. Проверяем есть ли политика обработки ПДН
Напомним, что политика должна лежать в подвале сайта и быть доступной с любой страницы.
В подвале сайта есть вкладка «Обработка персональных данных» - кажется это именно то, что мы ищем. Но при нажатии всплывает согласие на обработку.
Это не то, что нам нужно. Больше политику мы нигде не видим. Фиксируем первое нарушение.
Это нарушение может ИП стоить от 10 000 до 20 000 руб, а для компаний от 30 000 до 60 000 руб.
2. Проверяем где собираются данные и есть ли согласия.Точек собора данных три:
- заполнение формы обратного звонка;
- регистрация на сайте;
- оформление заказа
Но согласие на обработку данных размещено только в последнем случае - при оформлении заказа.
В двух первых случаях мы можем говорить про обработку данных без согласия.
Это будет стоить компании от 30 000 до 150 000 руб.
3. Анализируем текст согласия.
Текст согласия размещен по ссылке https://www.constagarden.ru/consta_doc.pdf
В нем нет указания:
- кому дается согласие на обработку;
- не точно указан перечень данных;
- сразу указаны все цели (помним, что согласие оставлено только в одной форме);
- кроме всего прочего в согласии указано, что данные будут использованы с целью рекламной рассылки. ФАС точно не оценит этот креатив и такое действие может стоит от 100 0000 до 500 000 руб.
- в качестве прекращения обработки указана отписка от рекламной рассылки (что совершенно не верно и не бьется с целями обработки).
В согласии указано, что оно дается путем оставления заявки на сайте. Какой и в каком из описанных случаев - пояснений нет.
Помните, что обязанность доказать факт дачи согласия лежит на вас, а не на пользователе.
Четко описывайте и фиксируйте момент акцепта согласия, формируя на своей стороне log-файлы.