Роскомнадзор может проверить сайт любой компании, и бизнесу лучше подготовиться к этому заранее. Необходимо выстроить правильную работу с персональными данными и cookie-файлами, иначе избежать штрафов не получится. На что обратить внимание? Рассказал генеральный директор «ЕЮС» Андрей Голощапов.
Персональные данные
Персональными данными считается вся информация, с помощью которой можно идентифицировать клиента. Как правило, это его имя, телефон, электронная почта и так далее. В работе с такой информацией бизнесу нужно опираться на Федеральный закон № 152-ФЗ «О персональных данных».
На сайте должна быть четко прописана политика обработки персональных данных: какие виды информации обрабатываются, как это делается, как данные уничтожаются и так далее. Чем подробнее, тем лучше.
Но даже отображая свою политику, бизнес не может собирать информацию о клиентах по умолчанию. Сегодня необходимо, чтобы пользователь дал согласие на работу со своими данными. Для этого человек должен поставить галочку в специальной форме на сайте.
Роскомнадзор может проверить не только наличие формы согласия и прописанной политики, но и реальность поставленных галочек. Получается, что согласия не могут быть автоматическими или заранее заполненными. Их действительно должны давать живые пользователи, посещающие сайт.
Следующий нюанс, на который стоит обратить внимание, — это текст согласия. При его составлении нужно опираться на закон о персональных данных. Так, важно закрепить: цель обработки персональных данных, как и кто будет их использовать, как можно отозвать свое согласие (например, направив письмо или заполнив форму на сайте). По закону, клиент может «передумать», а бизнес обязан ответить на обращение.
Недавно один интернет-магазин женской одежды обратился к нам за юридической консультацией, чтобы узнать, как правильно работать с данными пользователей. Владелец побоялся действовать без предварительной рекомендации.
Юрист разъяснил весь процесс с нуля: помог составить тексты политики обработки данных и согласия, пояснил основные положения закона и рассказал про штрафы.
Через какое-то время магазин повторно обратился за правовой консультацией, чтобы юрист посмотрел сайт и сказал, есть ли нарушения в разрезе сбора данных.
Юрист нашёл нарушения в тексте согласия на обработку. Это было странно, ведь правильный текст помогал составить этот же юрист. Но оказалось, что владелец интернет-магазина решил вырезать «ненужные куски».
Помните, что при составлении политики обработки персональных данных «ненужных» формулировок не бывает. Если юристы их прописывают, значит, они необходимы с точки зрения закона.
По теме: Повышенные взносы и новые отчёты: с чем столкнутся предприниматели в 2024 году
Сookie-файлы
Роскомнадзор тщательно следит за правильной работой с cookie-файлами. Они нужны для того, чтобы запоминать действия пользователей, а затем анализировать их и подстраивать сайт под более точечные предпочтения. Но работать с куки нужно также по правилам.
Во-первых, на сайте должен быть баннер или всплывающее окно с информацией об использовании куки-файлов.
Во-вторых, пользователям нужно пояснить, какие именно данные собираются с помощью файлов. Это должно быть прописано.
Если собирать данные по принципу «все подряд» без чёткого пояснения, зачем они нужны, у Роскомнадзора появятся вопросы и требования к компании объяснить ситуацию.
Передача данных
Третий важный нюанс — это правильные процессы передачи и хранения данных. Сегодня передавать личные данные россиян иностранным организациям можно, если уведомить Роскомнадзор.
Например, если компания анализирует данные с помощью Google Analytics, то это уже считается трансграничной передачей данных, ведь используется сервис с аккумулированием баз данных не в России.
Что необходимо для уведомления Роскомнадзора:
- Запросить от зарубежной организации, в которую направляются персональные данные, пояснение о степени защиты личной информации граждан. Эти данные могут запросить в Роскомнадзоре.
- Заполнить форму на сайте Роскомнадзора.
- Если страна, куда отправляются персональные данные, входит в список, утвержденный приказом Роскомнадзора от 05.08.2022 № 128, то ответа от ведомства можно не дожидаться.
Если информация отправляется в страну вне этого списка, то необходимо ожидать ответа в течение 10 рабочих дней. Если Роскомнадзор ответит положительно, то данные можно отправлять. Если отрицательно — нельзя.
Пример: компания стала использовать трансграничную передачу данных. Владелец бизнеса привык следовать правилам, поэтому поручил одному из руководителей изучить, как нужно действовать, чтобы избежать претензий к компании.
Руководитель изучил список стран, утвержденный приказом Роскомнадзора. В их числе был Китай. Компания направила уведомление в Роскомнадзор и избежала негативных последствий.
Что ждет при нарушениях
При нарушении Роскомнадзор направляет бизнесу требование устранить его. Также регулятор указывает срок для ответа. Если ответа не последует, компанию оштрафуют.
Нарушения в работе с персональными данными считаются административным проступком. С 23 декабря 2023 года увеличились штрафы за обработку личной информации без согласия субъекта или с нарушениями (ст. 13.11 КоАП).
Теперь штраф для должностных лиц составит от 100 до 300 тыс. рублей, штраф для организации — от 300 до 700 тыс. рублей.
Кроме штрафов есть и другая форма воздействия на нарушителей — удаление собранных данных. Это возможно, если Роскомнадзор обнаружит неправильно прописанный текст согласия на обработку персональных данных. Тогда информацию, собранную с этой формой, придётся удалить. Собрать новые данные будет непросто.
Советы бизнесу, чтобы избежать претензий Роскомнадзора
- На сайте должна быть прописана политика обработки персональных данных: какие виды данных обрабатываются, с какой целью и так далее.
- Согласие на обработку данных должно быть реальным. Галочку в форме должен поставить посетитель сайта.
- Текст согласия должен содержать данные о цели обработки персональных данных, виды этих данных, как и кто будет использовать данные и прочее.
- Пользователь имеет право отозвать свое согласие. Поэтому бизнес должен предоставлять форму или иной вид обратной связи для этого.
- На сайте должен быть баннер или всплывающее окно с информацией об использовании cookie-файлов.
- Пользователям нужно пояснять, какие именно данные собираются с помощью cookie-файлов.
- Передавать личные данные россиян иностранным организациям можно, если уведомить Роскомнадзор.
- Если у компании возникают вопросы или сомнения, лучше взять консультацию юриста.
Фото на обложке:
Подписывайтесь на наш Telegram-канал, чтобы быть в курсе последних новостей и событий!
Нашли опечатку? Выделите текст и нажмите Ctrl + Enter
Материалы по теме
- 1 Как работают VPN-сервисы в разных странах и почему анонимайзеры сложно запретить
- 2 Роскомнадзор планирует создать «национального оператора» big data. Это плохо?
- 3 Как происходит блокировка сайтов: взгляд провайдера
- 4 Цифры дня. 180 тысяч несчастных яблочников
- 5 Цифры дня. Землян связывают 3,5 рукопожатия, а не 6
ВОЗМОЖНОСТИ
29 апреля 2024
30 апреля 2024