Вы удивитесь, если я скажу, что на вашем сайте есть ошибки, которые приведут к штрафам на сумму более 700 000 руб.
Проверим?
Для проверки возьмем сайт компании разработчика ПО.
Политика обработка персональных данных
Первое что проверим - есть ли политика на сайте и как она размещена. Мы идем в подвал сайта (кстати так сделают и специалисты РКН) и ничего не видим.
Как должно быть:
- Политика документ, который находится в подвале сайта (п. 2 ст. 18.1 152-ФЗ)
- Политика должна быть доступна с любой страницы сайта
- По закону соглашаться (знакомиться) с Политикой каким -либо действием не нужно.
Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети, в том числе на страницах принадлежащего оператору сайта в информационно-телекоммуникационной сети "Интернет", с использованием которых осуществляется сбор персональных данных, документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.
Найденное нарушение: п 3 ст. 13.11 КОАП
Стоимость ошибки: штраф от 30 000 до 60 000 руб. для юридического лица
Формы сбора данных
На сайтах всегда много форм:
- форма обратного звонка;
- регистрация;
- запроса и тд
Вот один из примеров:
В этой форме есть согласие на обработку, но оно размещено с ошибками.
1. Автоматически проставленная галочка (которую ставят, чтобы не снижать конверсию). Но автоматически проставленная галочка означает, что пользователь активное действие не совершал и значит согласия своего на обработку не давал.
2. Текст согласия содержит сразу все цели сбора (на все случаи жизни). Но есть правило "1 цель - 1 согласие".
Размещенное в таком виде согласие ситуацию не спасает (скорее наоборот).
Как должно быть:
- проверьте относятся ли данные к персональным данным. Например, если в форме только номер телефона - согласие не нужно;
- если через форму собираются персональные данные , то должно быть размещено согласие на обработку ПДн. Согласие на обработку должно содержать 1 цель и пользователь должен его акцептовать конкретными действиями. Более того, эти действия нужно фиксировать и формировать log -файлы;
- согласие и Политика: разные документы. Их не нужно объединять;
- нельзя использовать автоматически проставленные галочки (действие пользователя должно быть активным)
Найденное нарушение: п. 2 ст. 13.11 КОАП
Стоимость ошибки: от 30 000 -150 000 руб. на юридическое лицо
Форма сбора данных для рассылок
Мало кто корректно собирает данные для такой рассылки. А ведь в случае жалобы пользователя в ФАС нужно будет доказать, что согласие на получение рассылки было получено.
В примере выше в согласии на обработку ПДн было «зашито» согласие на получение рассылки. Но и форма и способ подписания однозначно не будет ФАС принят. Поэтому, если рассылать информацию – это будет штраф.
Бывает, что в форму сбора данных помещают Политику обработки данных (как на примере). Но это тоже нарушение -ведь согласие на рассылку это не подтверждает.
Найденное нарушение: п. 1 ст. 14.3 КОАП
Стоимость ошибки: от 100 000 -500 000 руб. на юридическое лицо
Итого, даже экспресс аудит много дорогих ошибок. А если посмотреть глубже стоит проверить:
- фото и контент, который используется на сайте принадлежит ли вам? Уверенны?
- пользовательское соглашение соответствует реальным процессам?
- документы на сайте соответствуют процессам и защищают ваши интересы? Корректно акцептованы? Можно их использовать как доказательство в суде?
Но про это мы напишем отдельную статью.
Наш ТГ канал в котором вы найдете кейсы о новости про IT компании
Как всегда отличный и полезный материал, спасибо!
Cпасибо!)