редакции Выбор
Почему ваш сайт не понравится РКН: опыт устранения нарушений по № 152-ФЗ
Что и зачем проверяют?
С 1 сентября 2022 года в связи с внесением изменений в Федеральный закон № 152-ФЗ практически все организации и ИП стали обязанными уведомлять Роскомнадзор об обработке персональных данных. Отправка уведомления автоматически подразумевает внесение субъекта в реестр операторов, осуществляющих обработку персональных данных.
В соответствии с «Положением о федеральном государственном контроле (надзоре) за обработкой персональных данных», утвержденном Постановлением Правительства РФ № 1046, Роскомнадзор различными способами проверяет, как операторы обращаются с персональными данными.
В том числе проверки могут проводиться в одностороннем порядке, «без взаимодействия с контролируемым лицом», и состоять в «наблюдении за соблюдением требований при размещении информации в сети „Интернет“», то есть в анализе сайта.
С этим столкнулся и один из наших клиентов. Недавно он получил письмо от Роскомнадзора, в котором примерно на пяти листах расписаны результаты исследования и перечень выявленных нарушений. Уверены, многие найдут такие же несоответствия требованиям законов и на своем сайте.
Неоспоримые наблюдения
В письме Роскомнадзор обратил внимание, что на сайте присутствуют:
- формы «сбора персональных данных»: стандартные виджеты типа «Записаться онлайн», «Задать вопрос», «Заказать обратный звонок»;
- неправильное «Соглашение на обработку персональных данных» (что именно с ним не так — напишем чуть позже);
- информация о сотрудниках, в том числе ФИО, должность и стаж;
- сервисы Яндекс.Метрика и Google Analytics, использование которых «указывает на обработку его [посетителя сайта] персональных данных».
Все это в полной мере соответствует действительности. И, пожалуй, то же самое можно сказать про подавляющее большинство коммерческих сайтов.
Что не понравилось РКН
Итак, сайт работал, как и многие другие: демонстрировал преимущества сотрудничества с компанией, приводил клиентов, служил инструментом интернет-маркетинга. Но под бдительным оком Роскомнадзора обнаружились следующие нарушения законодательства:
- отсутствует согласие сотрудников на распространение их персональных данных;
- вместо «Политики конфиденциальности» размещено «Соглашение на обработку персональных данных», которое «не является документом, определяющим политику оператора в отношении обработки персональных данных»;
- установлен бессрочный срок обработки данных в опубликованном на сайте «Соглашении»;
- не предусмотрено предоставление посетителями сайта согласия на обработку данных, собираемых Яндекс.Метрикой, Google Analytics и другими метрическими сервисами.
Кроме того, РКН высказал претензии к неполноте сведений, переданных в реестр операторов, в частности — «отсутствие информация о месте размещения домена сайта».
На исправление и информирование о результатах по ч. 4 ст. 20 Закона о персональных данных отводится десять рабочих дней. При наличии обоснования, этот срок может быть продлен на 5 дней.
За невыполнение требований РКН на ИП налагается штраф 20–40 тысяч рублей; на юрлиц — 50–90 тысяч рублей.
Устранение нарушений
Чтобы привести сайт в соответствие с требованиями законодательства, потребовалось:
1. Предоставить в РКН информацию о наличии согласия сотрудников на распространение их данных, размещенных на сайте. Альтернативным решением может стать удаление такой информации с сайта.
2. Подготовить и опубликовать на сайте «Политику конфиденциальности» — документ, «определяющий политику в отношении обработки персональных данных и сведения о реализуемых требованиях к защите персональных данных».
Шаблонное «Соглашение», присутствующее, например, из «коробки» на решениях от «Аспро», таким документом не является. Полноценная «Политика» нашего клиента занимает более 16 листов A4, набранных шрифтом Times New Roman с 12-м кеглем.
В «Политике» подробно разъясняются цели, принципы, способы и условия обработки персональных данных, а также сведения о требованиях к порядку обработки и защите данных. Она должна охватывать все случаи взаимодействия компании с любыми персональными данными: от возникающих вследствие трудовых отношений с работниками до относящихся к работе с контрагентами.
3. Разместить на сайте соглашение на обработку персональных данных, соответствующее законодательным нормам.
На сайте обычно размещается «Согласие на обработку персональных данных», касающееся только информации, которую пользователи указывают на сайте, например, при заполнении формы заказа или онлайн-записи.
Согласие может быть дано «в любой позволяющей подтвердить факт его получения форме» по ч. 1 ст. 9 № 152-ФЗ. На сайте для подтверждения согласия, как правило, используется чекбокс в форме отправки данных, рядом с которым ставится ссылка на полный текст «Согласия».
Примером такого «Согласия» является в том числе шаблонный текст, присутствующий по умолчанию на готовых решениях от «Аспро». Поэтому мы оставили этот текст, отредактировав под себя, в частности, исправив неправильный момент про неограниченность срока.
4. Добавить на сайт решение, уведомляющее посетителей об использовании cookies
и других технических персональных данных и позволяющее выразить согласие с этим. Для решения этой задачи проще всего использовать специальный готовый виджет: существует множество бесплатных и платных вариантов, в том числе встроенные в CMS.
Так как согласие на обработку персональных данных «должно быть конкретным, предметным, информированным, сознательным и однозначным», в виджете нужно указать ссылки на документы, в которых разъясняются правила обработки технических персональных данных. В готовом виде на сайте это может выглядеть, например, так:
В настоящее время законодательство не устанавливает требований к форме согласия с обработкой cookies. Поэтому оно может быть представлено или в виде отдельного документа, или включаться в «Политику конфиденциальности».
Таким образом, для соответствия № 152-ФЗ на сайте обязательно должны присутствовать:
- политика конфиденциальности;
- согласие на обработку персональных данных;
- уведомление о cookies, позволяющее согласиться с их использованием.
Как мы уже упоминали, операторами персональных данных, обязанными уведомлять РКН и состоять в реестре, являются практически все компании и ИП, и проверка может коснуться сайта каждого из них. На наш взгляд, стоит проверить и привести в порядок функционал и документы, относящиеся к № 152-ФЗ, заранее, не дожидаясь требований по устранению нарушений от РКН.