С 1 сентября 2022 года в связи с внесением изменений в Федеральный закон № 152-ФЗ практически все организации и ИП стали обязанными уведомлять Роскомнадзор об обработке персональных данных. Отправка уведомления автоматически подразумевает внесение субъекта в реестр операторов, осуществляющих обработку персональных данных.
В соответствии с «Положением о федеральном государственном контроле (надзоре) за обработкой персональных данных», утвержденном Постановлением Правительства РФ № 1046, Роскомнадзор различными способами проверяет, как операторы обращаются с персональными данными.
В том числе проверки могут проводиться в одностороннем порядке, «без взаимодействия с контролируемым лицом», и состоять в «наблюдении за соблюдением требований при размещении информации в сети "Интернет"», то есть в анализе сайта.
С этим столкнулся и один из наших клиентов. Недавно он получил письмо от Роскомнадзора, в котором примерно на пяти листах расписаны результаты исследования и перечень выявленных нарушений. Уверены, многие найдут такие же несоответствия требованиям законов и на своем сайте.
В письме Роскомнадзор обратил внимание, что на сайте присутствуют:
Все это в полной мере соответствует действительности. И, пожалуй, то же самое можно сказать про подавляющее большинство коммерческих сайтов.
Итак, сайт работал, как и многие другие: демонстрировал преимущества сотрудничества с компанией, приводил клиентов, служил инструментом интернет-маркетинга. Но под бдительным оком Роскомнадзора обнаружились следующие нарушения законодательства:
Кроме того, РКН высказал претензии к неполноте сведений, переданных в реестр операторов, в частности — «отсутствие информация о месте размещения домена сайта».
На исправление и информирование о результатах по ч. 4 ст. 20 Закона о персональных данных отводится десять рабочих дней. При наличии обоснования, этот срок может быть продлен на 5 дней.
За невыполнение требований РКН на ИП налагается штраф 20–40 тысяч рублей; на юрлиц — 50–90 тысяч рублей.
Чтобы привести сайт в соответствие с требованиями законодательства, потребовалось:
1. Предоставить в РКН информацию о наличии согласия сотрудников на распространение их данных, размещенных на сайте. Альтернативным решением может стать удаление такой информации с сайта.
2. Подготовить и опубликовать на сайте «Политику конфиденциальности» — документ, «определяющий политику в отношении обработки персональных данных и сведения о реализуемых требованиях к защите персональных данных».
Шаблонное «Соглашение», присутствующее, например, из «коробки» на решениях от «Аспро», таким документом не является. Полноценная «Политика» нашего клиента занимает более 16 листов A4, набранных шрифтом Times New Roman с 12-м кеглем.
В «Политике» подробно разъясняются цели, принципы, способы и условия обработки персональных данных, а также сведения о требованиях к порядку обработки и защите данных. Она должна охватывать все случаи взаимодействия компании с любыми персональными данными: от возникающих вследствие трудовых отношений с работниками до относящихся к работе с контрагентами.
3. Разместить на сайте соглашение на обработку персональных данных, соответствующее законодательным нормам.
На сайте обычно размещается «Согласие на обработку персональных данных», касающееся только информации, которую пользователи указывают на сайте, например, при заполнении формы заказа или онлайн-записи.
Согласие может быть дано «в любой позволяющей подтвердить факт его получения форме» по ч. 1 ст. 9 № 152-ФЗ. На сайте для подтверждения согласия, как правило, используется чекбокс в форме отправки данных, рядом с которым ставится ссылка на полный текст «Согласия».
Примером такого «Согласия» является в том числе шаблонный текст, присутствующий по умолчанию на готовых решениях от «Аспро». Поэтому мы оставили этот текст, отредактировав под себя, в частности, исправив неправильный момент про неограниченность срока.
4. Добавить на сайт решение, уведомляющее посетителей об использовании cookies и других технических персональных данных и позволяющее выразить согласие с этим. Для решения этой задачи проще всего использовать специальный готовый виджет: существует множество бесплатных и платных вариантов, в том числе встроенные в CMS.
Так как согласие на обработку персональных данных «должно быть конкретным, предметным, информированным, сознательным и однозначным», в виджете нужно указать ссылки на документы, в которых разъясняются правила обработки технических персональных данных. В готовом виде на сайте это может выглядеть, например, так:
В настоящее время законодательство не устанавливает требований к форме согласия с обработкой cookies. Поэтому оно может быть представлено или в виде отдельного документа, или включаться в «Политику конфиденциальности».
Таким образом, для соответствия №152-ФЗ на сайте обязательно должны присутствовать:
Как мы уже упоминали, операторами персональных данных, обязанными уведомлять РКН и состоять в реестре, являются практически все компании и ИП, и проверка может коснуться сайта каждого из них. На наш взгляд, стоит проверить и привести в порядок функционал и документы, относящиеся к № 152-ФЗ, заранее, не дожидаясь требований по устранению нарушений от РКН.