Роскомнадзор начал проверять сайты и искать нарушения при обработке пер­сональных данных

После вступления в силу изменений в законе о персональных данных у бизнеса появилось больше обязанностей, но было неясно, как именно Роскомнадзор будет применять новые правила.

В октябре ведомство начало проверять сайты и рассылать требования об устранении нарушений. Одно из таких писем получил мой клиент — владелец студии растяжки из Тюмени. РКН проверил лендинг, через который клиенты оставляют заявки.

Расскажу, какие ошибки нашел Роскомнадзор и как действовать, если аналогичное письмо пришло вам.

Владелец сайта обязан ознакомить пользователя с политикой обработки персональных данных  ​и получить от него согласие на их использование.

Обычно под формами обратной связи, заявок или подписки пишут фразу: «Нажимая на кнопку, вы соглашаетесь с условиями политики обработки персональных данных», добавляют ссылку на документ и уже отмеченную галочку согласия. То есть кликать на нее пользователю не нужно. Оказалось, галочка не должна стоять по умолчанию.

Роскомнадзор не просто проверяет наличие необходимых документов на сайте, но и читает их. В нашем случае ведомство заметило, что в политике обработки персональных данных нет пунктов об использовании «Яндекс Метрики».

Чтобы избежать нарушений, добавьте в документ формулировку о применении этого сервиса, например:

Роскомнадзор обратил внимание на неправильно установленный срок обработки персональных данных. ​​По закону он не может быть бессрочным или необоснованно длинным — например, просто «10 лет» без объяснения.

Срок хранения должен быть связан с целью обработки: например, пока действует договор, пока пользователь не отзовет согласие или в течение трех лет после завершения отношений. Потом данные нужно удалить или обезличить  .

Можно написать так:

Студия растяжки разместила на лендинге фотографии тренеров. Изображения людей — тоже персональные данные. ИП или компания должны подтвердить, что у них есть согласие тренеров на использование фото. А в политике обработки персональных данных нужно прописать запрет на использование этих изображений третьими лицами.

Получите письменное согласие сотрудников. Укажите, где и как будете использовать фотографии — на сайте, в соцсетях, а также срок действия согласия и право сотрудника отозвать его.

Пример формулировки:

Храните согласия вместе с другими документами по персональным данным. Например, в отдельной папке. Документы могут понадобиться при проверке.

Добавьте в документы на сайте фразу вроде: «Все изображения сотрудников опубликованы с их письменного согласия. Копирование и использование фотографий третьими лицами запрещено».

Роскомнадзор ведет реестр операторов, которые собирают и обрабатывают персональные данные, например, через формы заявок на сайте. Почти все предприниматели и компании, работающие с такими данными, обязаны уведомить об этом ведомство  . Иначе можно получить штраф от 100 000 до 300 000 ₽.

При проверке сайтов Роскомнадзор смотрит, подавал ли бизнес уведомление.

Чтобы избежать нарушений, направьте документ одним из способов:

1. По почте. Заполните электронную форму на сайте РКН, распечатайте и отправьте в региональное управление Роскомнадзора.
2. На сайте Роскомнадзора. Понадобится усиленная квалифицированная электронная подпись, УКЭП.
3. Через портал госуслуг.

На исполнение требования Роскомнадзора есть 10 рабочих дней  . За это время нужно внести правки на сайт, обновить документы и сообщить ведомству, что все исправлено.

В своем требовании Роскомнадзор указал — если все не исправить вовремя, штраф могут назначить согласно ч. 5 ст. 13.11 КоАП РФ: для ИП и малых предприятий — от 20 000 до 40 000 ₽, для средних и крупных компаний — от 50 000 до 90 000 ₽. Но на практике есть и другие статьи, которые могут применять в этом случае.

Кроме того, есть наказания и за сам факт нарушений при обработке персональных данных. То, что их устранили, не гарантирует, что штрафы не назначат: все ошибки уже зафиксировали. Лучше не ждать проверки и заранее все исправить.

Закон о персональных данных обязаны соблюдать все, кто работает с чужими данными: компании, ИП и даже люди без статуса предпринимателя. Если вы собираете на сайте заявки, анкеты, отзывы — вы уже оператор персональных данных  .

Когда Роскомнадзор проверяет сайт, он определяет, к кому предъявлять требования. Для этого специалисты смотрят, на кого зарегистрирован домен — по данным базы данных WHOIS, где указан владелец сайта и его контакты. Также учитывают информацию, размещенную на самом сайте, — реквизиты, электронную почту или номер телефона.

Требования и штрафы получает тот, кого Роскомнадзор считает оператором персональных данных. Например, если домен оформлен на человека без статуса ИП, но на сайте указаны контакты компании или предпринимателя, требование, скорее всего, направят им.

В законе много деталей, но вот основные случаи, при которых вы подпадаете под его действие:

• на сайте размещены формы для сбора обратной связи или заявок;
• храните данные клиентов в CRM-системе;
• используете у себя на сайте инструменты аналитики вроде Google Analytics или «Яндекс Метрики».

1. Нельзя использовать предустановленные галочки в формах со сбором данных. Посетитель сайта должен сам поставить отметку, подтверждая согласие на обработку персональных данных.
2. Если используете «Яндекс Метрику», напишите об этом в политике персональных данных.
3. Срок хранения данных нельзя писать наугад. Он должен быть связан с целью обработки персональных данных — например, пока действует договор.
4. Фото сотрудников — тоже персональные данные. Для их публикации нужно взять письменное согласие, а в политике прописать запрет на использование изображений третьими лицами.
5. На исправление нарушений дают 10 рабочих дней. За это время нужно внести правки на сайте, обновить документы и сообщить Роскомнадзору, что все исправлено.