Ошибки на сайте, из-за которых возможна внеплановая проверка в отношении вашей организации

Многие слышали о неком моратории на проведение внеплановых проверок бизнеса. О том, что он продлен до конца 2024 г. Следовательно, никто из надзорных органов не сможет внезапно постучаться к вам в дверь и проверить, насколько у вас все в порядке с документами и в целом с бизнесом. Но в данной статье я хочу развеять этот миф и предупредить весь бизнес о том, что не следует расслабляться.

Снежана Чепа
Юрист для бизнеса, специалист по защите персональных данных, консультант по маркировке рекламы

Начнем с того, что уже более года у нас действует Приказ Министерства цифрового развития, связи и массовых коммуникаций от 17.08.2023 г. № 720. И именно этот документ отменяет в части мораторий и позволяет провести внеплановую проверку в отношении организации, если на сайте будут найдены 3 и более несоответствий той информации, которая указана в уведомлении о начале обработке персональных данных.

установление контролирующим органом трех и более фактов несоответствия информации, указанной контролируемым лицом в уведомлениях, подлежащих направлению в контролирующий орган в соответствии с частью 3 статьи 12 и частью 1 статьи 22 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных», сведениям, размещенным на принадлежащем такому контролируемому лицу сайте в информационно-телекоммуникационной сети «Интернет» в соответствии с частью 2 статьи 18.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».

Приказ Минцифры от 17.08.2023 г. № 720

Давайте теперь по порядку.

Первое. В Законе «О персональных данных» (ч. 1 ст. 22) указано, что оператор до начала обработки персональных данных обязан уведомить Роскомнадзор о своем намерении осуществлять обработку персональных данных. То есть до того, как вы официально подключите и запустите свой сайт, где есть формы сбора персональных данных (например, обратный звонок, заказ услуги), вы должны направить специальное уведомление по установленной форме в Роскомнадзор. В этом уведомлении указываются следующие сведения:

  • информация о вас (как о владельце сайта)
  • цели обработки персональных данных
  • какие персональные данные обрабатываются для каждой цели
  • категории субъектов, чьи данные обрабатываются для каждой цели
  • правовые основания обработки персональных данных
  • перечень действий с персональными данными
  • способы обработки
  • и иные сведения. С такой формой можно ознакомиться по ссылке.

За неподачу такого уведомления предусмотрены штрафы, правда они не большие. Для физических лиц - от 100 до 300 рублей; для ИП - от 300 до 500 рублей; для юридических лиц - от 3 000 до 5 000 рублей.

Но есть и обратная сторона этой медали. Если Роскомнадзор при мониторинге вашего сайта увидит, что уведомление вовсе не подано, то это звоночек проверить организацию.

Второе. У Роскомнадзора с недавних пор есть полномочия осуществлять мониторинг сайта в любой момент, при этом не извещая об этом вас. То есть вот в эту самую минуту возможно Роскомнадзор просматривает ваш сайт, насколько он и размещенные на нем документы соответствует Закону «О персональных данных». Если что-то ему не понравится, то присылает предписание, где указаны все нарушения и просит их устранить в течение 10 рабочих дней.

Вот как раз в рамках этих полномочий есть еще один риск попасть на внеплановую проверку. Представьте, что Роскомнадзор заходит на ваш сайт, параллельно открывает ваше уведомление о начале обработке персональных данных и прям по пунткам проходит, что написано в уведомлении, а что есть по факту на сайте.

И если будут обнаружены 3 и более несоответствий, то привет проверка, потому что это новый идентификатор риска вашего «нечистого» бизнеса.

Какие часто нарушения допускаются на сайте в части обработки персональных данных?

  • Вы можете ознакомиться с моей другой статьей, где они указаны.
  • Помимо этого, отдельно обращу внимание на содержательную часть вашего документа - политики конфиденциальности. Этот документ ни в коем случае нельзя брать с конструкторов Тильды, с других сайтов по таким же нишам или брать шаблоны с Интернета. Почему? Потому что многие забывают или не знают о том, что есть определенные требования и правила, что и как должно быть отражено в этом документе.

издание оператором документов, определяющих политику оператора в отношении обработки персональных данных, где для каждой цели обработки персональных данных категории и перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований. Такие документы не могут содержать положения, ограничивающие права субъектов персональных данных, а также возлагающие на операторов не предусмотренные законодательством Российской Федерации полномочия и обязанности.

п. 2 ч. 1 ст. 18.1 Закона «О персональных данных».

Таким образом, сейчас в политиках первична цель. Они должны быть отображены согласно всем фактическим целям на вашем сайте. А потом уже для каждой цели расписывать все подробно. В реалиях я же вижу политики, в которых все намешано в одну кучу.

Как юрист, я всегда рекомендую проводить аудит сайта раз в полгода, раз в год. Он поможет вам сохранить деньги от штрафов и нервы от внеплановых проверок.

Контакты для юридической помощи в проведении аудита сайта:

Эл.почта: kurowa.snezhana@yandex.ru

С заботой и любовью о вашем бизнесе!

11
Начать дискуссию