Роскомнадзор носа не подточит: что иметь в виду, чтобы регулятор не придрался к вашему сайту

Роскомнадзор носа не подточит: что иметь в виду, чтобы регулятор не придрался к вашему сайту

1 июля 2017 года в КоАП были внесены поправки, которые расширяют перечень нарушений в области обработки персональных данных и значительно увеличивают размеры штрафов за эти нарушения. А 30 января 2018 года Роскомнадзор провел День открытых дверей, на котором рассказал, как именно собирается эти нарушения искать. Специалист по защите персональных данных Алексей Кондратов изучил информацию от Роскомнадзора, проанализировал свою юридическую практику и рассказывает, к чему теперь может придраться РКН. Если у вас есть сайт, а на сайте есть Яндекс.Метрика или Google Analytics, вас это уже касается.


С момента принятия поправок мы в 152ФЗ.рф неоднократно сталкивались с претензиями РКН к владельцам сайтов, но глобального хаоса, которого многие опасались, не случилось. Предполагается, что число проверок регулятора будет уменьшаться, но требования каждой отдельной проверки станут жестче. На основе нашей практики можно перечислить три важных принципа проверок, которые подверглись пересмотру в 2018 году.


Политика конфиденциальности


До 2018 года

Непосредственно ее содержимому особого внимания не уделяли, если не поступало конкретной жалобы от конкретного человека.

В 2018 году

РКН заявил, что с 2018 года представители регулятора будут проверять не только сам факт наличия политики, но и ее соответствие рекомендациям. Теперь владельцам сайтов стоит всерьез позаботиться о корректности составленной политики конфиденциальности.

Что делать

При составлении политики, регламентирующей обработку персональных данных, руководствуйтесь рекомендациями РКН. Из самых важных моментов следует обратить внимание на:

1)

цели обработки персональных данных (укажите все цели, для которых будут использованы данные, и не используйте данные для других целей без дополнительного согласия пользователя — субъекта персональных данных);

2)

перечень обрабатываемых данных (должен четко удовлетворять целям обработки и не быть избыточным).

Лучше всего доверить это дело специалистам.


Автоматический сбор данных


До 2018 года

Если на сайте установлена Яндекс.Метрика или Google Analytics, это часто служило поводом для претензии к владельцу сайта. Чтобы решить проблему, обычно достаточно было упомянуть о них в политике конфиденциальности.

В 2018 году

Данные пользователей сайта, которые собираются в автоматическом режиме (cookie; информация о поведении посетителя, его браузере, операционной системе, устройстве; сведения о местонахождении и др.) будут считаться персональными данными. По мнению РКН, пользовательские данные нужно регулировать, а пока это не регламентировано отдельным законом, такие данные будут регулироваться законодательством в области персональных данных.

Уже несколько клиентов приходили к нам с письмами от РКН с требованием разместить дисклеймер о том, что на сайте используется Яндекс.Метрика, — несмотря на то что в политике конфиденциальности, размещенной на их сайтах, регламентирован сбор пользовательских данных в автоматическом режиме. Примерный текст претензии выглядит следующим образом: «На основании вышеизложенного просим Вас… опубликовать локальные акты, регламентирующие использование интернет-сервиса Яндекс.Метрика и установить форму согласия посетителя на обработку его персональных данных, обрабатываемых с использованием интернет-сервиса Яндекс.Метрика».

Что делать

Чтобы избежать штрафа до 50 тыс. рублей по ч.1 ст.13.11 КоАП за обработку персональных данных пользователей, необходимо установить на сайте дисклеймер (предупреждение об обработке и передаче данных в системы аналитики).


Штрафы


До 2018 года

Штрафы — не за каждое нарушение, а за сам факт. Например, если в трех формах сбора персональных данных на сайте не было согласия на обработку данных, то штраф можно было получить именно за сам факт нарушения, а не за каждую форму в отдельности.

В 2018 году

РКН уточнил трактовку ст. 13.11 КоАП, связанную с нарушениями в области персональных данных. Было решено, что штраф может быть возложен за каждое выявленное нарушение, например за каждую форму без согласия на обработку данных.

Что делать

Убедиться, что чекбокс с согласием на обработку персональных данных есть во всех формах сайта.