Top.Mail.Ru
Колонки

Как избежать претензий от Роскомнадзора к сайту компании

Колонки
Андрей Голощапов
Андрей Голощапов

Генеральный директор ЕЮС

Ольга Тройникова

Роскомнадзор может проверить сайт любой компании, и бизнесу лучше подготовиться к этому заранее. Необходимо выстроить правильную работу с персональными данными и cookie-файлами, иначе избежать штрафов не получится. На что обратить внимание? Рассказал генеральный директор «ЕЮС» Андрей Голощапов. 

Как избежать претензий от Роскомнадзора к сайту компании
  1. Колонки
Автор: Ольга Тройникова

 

Персональные данные 

Персональными данными считается вся информация, с помощью которой можно идентифицировать клиента. Как правило, это его имя, телефон, электронная почта и так далее. В работе с такой информацией бизнесу нужно опираться на Федеральный закон № 152-ФЗ «О персональных данных». 

На сайте должна быть четко прописана политика обработки персональных данных: какие виды информации обрабатываются, как это делается, как данные уничтожаются и так далее. Чем подробнее, тем лучше.

Но даже отображая свою политику, бизнес не может собирать информацию о клиентах по умолчанию. Сегодня необходимо, чтобы пользователь дал согласие на работу со своими данными. Для этого человек должен поставить галочку в специальной форме на сайте.

Роскомнадзор может проверить не только наличие формы согласия и прописанной политики, но и реальность поставленных галочек. Получается, что согласия не могут быть автоматическими или заранее заполненными. Их действительно должны давать живые пользователи, посещающие сайт.

Следующий нюанс, на который стоит обратить внимание, — это текст согласия. При его составлении нужно опираться на закон о персональных данных. Так, важно закрепить: цель обработки персональных данных, как и кто будет их использовать, как можно отозвать свое согласие (например, направив письмо или заполнив форму на сайте). По закону, клиент может «передумать», а бизнес обязан ответить на обращение.

Начни бизнес с RB.RU: 7 писем для старта

Недавно один интернет-магазин женской одежды обратился к нам за юридической консультацией, чтобы узнать, как правильно работать с данными пользователей. Владелец побоялся действовать без предварительной рекомендации. 

Юрист разъяснил весь процесс с нуля: помог составить тексты политики обработки данных и согласия, пояснил основные положения закона и рассказал про штрафы.

Через какое-то время магазин повторно обратился за правовой консультацией, чтобы юрист посмотрел сайт и сказал, есть ли нарушения в разрезе сбора данных. 

Юрист нашёл нарушения в тексте согласия на обработку. Это было странно, ведь правильный текст помогал составить этот же юрист. Но оказалось, что владелец интернет-магазина решил вырезать «ненужные куски». 

Помните, что при составлении политики обработки персональных данных «ненужных» формулировок не бывает. Если юристы их прописывают, значит, они необходимы с точки зрения закона.


По теме: Повышенные взносы и новые отчёты: с чем столкнутся предприниматели в 2024 году


 

Сookie-файлы 

Роскомнадзор тщательно следит за правильной работой с cookie-файлами. Они нужны для того, чтобы запоминать действия пользователей, а затем анализировать их и подстраивать сайт под более точечные предпочтения. Но работать с куки нужно также по правилам.

Во-первых, на сайте должен быть баннер или всплывающее окно с информацией об использовании куки-файлов. 

Во-вторых, пользователям нужно пояснить, какие именно данные собираются с помощью файлов. Это должно быть прописано.

Если собирать данные по принципу «все подряд» без чёткого пояснения, зачем они нужны, у Роскомнадзора появятся вопросы и требования к компании объяснить ситуацию.

 

Передача данных 

Третий важный нюанс — это правильные процессы передачи и хранения данных. Сегодня передавать личные данные россиян иностранным организациям можно, если уведомить Роскомнадзор.

Например, если компания анализирует данные с помощью Google Analytics, то это уже считается трансграничной передачей данных, ведь используется сервис с аккумулированием баз данных не в России. 

Что необходимо для уведомления Роскомнадзора:

  1. Запросить от зарубежной организации, в которую направляются персональные данные, пояснение о степени защиты личной информации граждан. Эти данные могут запросить в Роскомнадзоре.
  2. Заполнить форму на сайте Роскомнадзора. 
  3. Если страна, куда отправляются персональные данные, входит в список, утвержденный приказом Роскомнадзора от 05.08.2022 № 128, то ответа от ведомства можно не дожидаться.

Если информация отправляется в страну вне этого списка, то необходимо ожидать ответа в течение 10 рабочих дней. Если Роскомнадзор ответит положительно, то данные можно отправлять. Если отрицательно — нельзя.

Пример: компания стала использовать трансграничную передачу данных. Владелец бизнеса привык следовать правилам, поэтому поручил одному из руководителей изучить, как нужно действовать, чтобы избежать претензий к компании.

Руководитель изучил список стран, утвержденный приказом Роскомнадзора. В их числе был Китай. Компания направила уведомление в Роскомнадзор и избежала негативных последствий.


По теме: Почему владельцы западных брендов, которые ушли с российского рынка, продолжают подавать иски об авторских правах


 

Что ждет при нарушениях

При нарушении Роскомнадзор направляет бизнесу требование устранить его. Также регулятор указывает срок для ответа. Если ответа не последует, компанию оштрафуют.

Нарушения в работе с персональными данными считаются административным проступком. С 23 декабря 2023 года увеличились штрафы за обработку личной информации без согласия субъекта или с нарушениями (ст. 13.11 КоАП). 

Теперь штраф для должностных лиц составит от 100 до 300 тыс. рублей, штраф для организации — от 300 до 700 тыс. рублей.

Кроме штрафов есть и другая форма воздействия на нарушителей — удаление собранных данных. Это возможно, если Роскомнадзор обнаружит неправильно прописанный текст согласия на обработку персональных данных. Тогда информацию, собранную с этой формой, придётся удалить. Собрать новые данные будет непросто. 

 

Советы бизнесу, чтобы избежать претензий Роскомнадзора

  1. На сайте должна быть прописана политика обработки персональных данных: какие виды данных обрабатываются, с какой целью и так далее.
  2. Согласие на обработку данных должно быть реальным. Галочку в форме должен поставить посетитель сайта.
  3. Текст согласия должен содержать данные о цели обработки персональных данных, виды этих данных, как и кто будет использовать данные и прочее.
  4. Пользователь имеет право отозвать свое согласие. Поэтому бизнес должен предоставлять форму или иной вид обратной связи для этого.
  5. На сайте должен быть баннер или всплывающее окно с информацией об использовании cookie-файлов. 
  6. Пользователям нужно пояснять, какие именно данные собираются с помощью cookie-файлов. 
  7. Передавать личные данные россиян иностранным организациям можно, если уведомить Роскомнадзор.
  8. Если у компании возникают вопросы или сомнения, лучше взять консультацию юриста.

Фото на обложке: Freepik

Подписывайтесь на наш Telegram-канал, чтобы быть в курсе последних новостей и событий!

Нашли опечатку? Выделите текст и нажмите Ctrl + Enter

Материалы по теме

  1. 1 Роскомнадзор планирует создать «национального оператора» big data. Это плохо?
  2. 2 Как происходит блокировка сайтов: взгляд провайдера
  3. 3 Цифры дня. 180 тысяч несчастных яблочников
  4. 4 Цифры дня. Землян связывают 3,5 рукопожатия, а не 6
  5. 5 OpenAI запрещает сотрудникам рассказывать о связанных с ИИ рисках — The Washington Post
RB в Telegram
Больше полезного контента в Telegram
Подписывайтесь!

ВОЗМОЖНОСТИ

15 июля 2024

15 июля 2024