Сегодня для развития бизнеса компании необходим собственный сайт. При его запуске, будь это даже просто одностраничный сайт-визитка, компания сталкивается с обработкой персональных данных. При появлении дополнительных функций, например, формы обратной связи, рекламы товаров или услуг, требования к сайту возрастают многократно.
Данный чек-лист поможет понять, какие изменения необходимо внести в работу сайта, чтобы не попасть под проверку Роскомнадзора и не получить штрафы.
Данный чек-лист поможет понять, какие изменения необходимо внести в работу сайта, чтобы не попасть под проверку Роскомнадзора и не получить штрафы.
Подача уведомления в реестр операторов, осуществляющих обработку персональных данных
Каждый владелец сайта является оператором персональных данных и должен направить уведомление в реестр операторов, осуществляющих обработку ПДн (ч.1 ст.22 ФЗ-152).
Подать уведомление в Роскомнадзор можно несколькими способами:
ОТВЕТСТВЕННОСТЬ: административный штраф на должностных лиц - от 300 до 500 рублей, а на юридических лиц - от 3 000 до 5 000 рублей (ст.19.7 КоАП РФ) за неподачу уведомления.
Подать уведомление в Роскомнадзор можно несколькими способами:
- в бумажном виде;
- в электронном виде с использованием ЭЦП на сайте Роскомнадзора;
- в электронном виде с использованием ЭЦП и аккаунта компании на «Госуслугах».
ОТВЕТСТВЕННОСТЬ: административный штраф на должностных лиц - от 300 до 500 рублей, а на юридических лиц - от 3 000 до 5 000 рублей (ст.19.7 КоАП РФ) за неподачу уведомления.
Серверы, которые обрабатывают данные пользователей сайта, должны быть в РФ
При сборе персональных данных компания обязана обеспечить запись, систематизацию, накопление, хранение, уточнение, извлечение персональных данных пользователей из России, используя при этом серверы, находящиеся на территории РФ.
Проще говоря, хостинг-провайдер, а также серверы, куда «падают» данные пользователей с сайта компании, должны быть на территории России.
ОТВЕТСТВЕННОСТЬ: административный штраф на граждан в размере от 30 000 до 50 000 рублей, на должностных лиц - от 100 000 до 200 000 рублей, на юридических лиц - от 1 000 000 до 6 000 000 рублей (ч. 8 ст. 13.11 КоАП РФ).
Соблюдение правил сбора cookie-файлов
Cookie-файл представляет собой фрагмент данных, отправленный веб-сервером и хранимый на компьютере пользователя. Каждый раз при запросе на открытие страницы сайта веб-браузер пересылает этот фрагмент данных веб-серверу в составе HTTP-запроса.
В основном cookie-файлы собираются для:
Согласно позиции Роскомнадзора и других регуляторов в области приватности, cookie-файлы являются персональными данными, поэтому для их обработки необходимо согласие пользователя сайта.
Правила получения согласия на обработку cookie-файлов:
ОТВЕТСТВЕННОСТЬ: административный штраф на граждан в размере от 2 000 до 6 000 рублей, на должностных лиц - от 10 000 до 20 000 рублей, на юридических лиц - от 60 000 до 100 000 рублей (ч. 1 ст. 13.11 КоАП РФ).
В основном cookie-файлы собираются для:
- поддержания корректной работы сайта;
- отслеживания статистики посещения сайта;
- отслеживания успешности рекламных интеграций на сайте и т.п.
Согласно позиции Роскомнадзора и других регуляторов в области приватности, cookie-файлы являются персональными данными, поэтому для их обработки необходимо согласие пользователя сайта.
Правила получения согласия на обработку cookie-файлов:
- необходимо разместить на сайте плашку, предупреждающую пользователя об обработке cookie-файлов;
- необходимо указать порядок обработки cookie-файлов в политике конфиденциальности.
ОТВЕТСТВЕННОСТЬ: административный штраф на граждан в размере от 2 000 до 6 000 рублей, на должностных лиц - от 10 000 до 20 000 рублей, на юридических лиц - от 60 000 до 100 000 рублей (ч. 1 ст. 13.11 КоАП РФ).
Размещение политики конфиденциальности
Компания обязана опубликовать документ, определяющий политику обработки персональных данных на КАЖДОЙ странице принадлежащего ей сайта, а также обеспечить возможность неограниченного доступа к указанному документу.
ОТВЕТСТВЕННОСТЬ: административный штраф на граждан от 1 500 до 3 000 рублей, на должностных лиц – от 6 000 до 12 000 рублей, на ИП – от 10 000 до 20 000 рублей, на юридических лиц – от 30 000 до 60 000 рублей (ч. 3 ст. 13.11 КоАП РФ).
ОТВЕТСТВЕННОСТЬ: административный штраф на граждан от 1 500 до 3 000 рублей, на должностных лиц – от 6 000 до 12 000 рублей, на ИП – от 10 000 до 20 000 рублей, на юридических лиц – от 30 000 до 60 000 рублей (ч. 3 ст. 13.11 КоАП РФ).
Наличие законного основания для обработки персональных данных
В положениях ФЗ-152 предусмотрено 12 оснований для обработки персональных данных, однако, основными для сайта является именно согласие. Обычно оно необходимо при заполнении пользователем сайта формы обратной связи, подписке на рассылку и другим подобным действиям.
Согласие должно быть:
Чаще всего для получения согласия используют чек-бокс с указанием ссылки на отдельный документ с согласием или на политику конфиденциальности, куда оно «вшито». Во избежание спорных ситуаций компании необходимо обеспечить техническую возможность хранения логов проставления пользователем галочки в чек-боксе.
ОТВЕТСТВЕННОСТЬ: административный штраф на граждан в размере от 2 000 до 6 000 рублей, на должностных лиц - от 10 000 до 20 000 рублей, на юридических лиц - от 60 000 до 100 000 рублей (ч. 1 ст. 13.11 КоАП РФ).
Согласие должно быть:
- конкретным;
- предметным;
- информированным;
- сознательным;
- однозначным.
Чаще всего для получения согласия используют чек-бокс с указанием ссылки на отдельный документ с согласием или на политику конфиденциальности, куда оно «вшито». Во избежание спорных ситуаций компании необходимо обеспечить техническую возможность хранения логов проставления пользователем галочки в чек-боксе.
ОТВЕТСТВЕННОСТЬ: административный штраф на граждан в размере от 2 000 до 6 000 рублей, на должностных лиц - от 10 000 до 20 000 рублей, на юридических лиц - от 60 000 до 100 000 рублей (ч. 1 ст. 13.11 КоАП РФ).
Трансграничная передача персональных данных
Если данные, полученные на сайте, передаются на территорию иностранного государства или иностранному юридическому лицу (трансграничная передача персональных данных), то компания должна уведомить о такой передаче Роскомнадзор.
Типичным примером трансграничной передачи является использование на сайте Google Analytics или иных иностранных сервисов веб-аналитики.
Уведомление подается в электронном виде с использованием ЭЦП и аккаунта компании на «Госуслугах».
ОТВЕТСТВЕННОСТЬ: административный штраф на граждан в размере от 2 000 до 6 000 рублей, на должностных лиц - от 10 000 до 20 000 рублей, на юридических лиц - от 60 000 до 100 000 рублей (ч. 1 ст. 13.11 КоАП РФ).
Типичным примером трансграничной передачи является использование на сайте Google Analytics или иных иностранных сервисов веб-аналитики.
Уведомление подается в электронном виде с использованием ЭЦП и аккаунта компании на «Госуслугах».
ОТВЕТСТВЕННОСТЬ: административный штраф на граждан в размере от 2 000 до 6 000 рублей, на должностных лиц - от 10 000 до 20 000 рублей, на юридических лиц - от 60 000 до 100 000 рублей (ч. 1 ст. 13.11 КоАП РФ).
Вывод
Несмотря на то, что в настоящее время наложен мораторий на проведение внеплановых проверок, Роскомнадзор вправе совершать «проверочные мероприятия без взаимодействия с оператором персональных данных» (предусмотрены Постановлением Правительства РФ от 10 марта 2022 г. № 336) и на их основании проводить внеплановые проверки.
Итогом таких проверок может стать не только наложение штрафов, указанных в данной статье, но также возможны репутационные издержки – Роскомнадзор публикует выявленные нарушения на своем сайте.
Использование сайта для продвижения своего бренда накладывает на компанию большие обязательства, в том числе с точки зрения законодательства о персональных данных, на соблюдение которых необходимо выделение дополнительных ресурсов.
Если у вас остались вопросы по соблюдению законодательства в области персональных данных или вы хотите проверить свой сайт на соответствие обозначенным выше требованиям, обращайтесь к экспертам i-legal.
Итогом таких проверок может стать не только наложение штрафов, указанных в данной статье, но также возможны репутационные издержки – Роскомнадзор публикует выявленные нарушения на своем сайте.
Использование сайта для продвижения своего бренда накладывает на компанию большие обязательства, в том числе с точки зрения законодательства о персональных данных, на соблюдение которых необходимо выделение дополнительных ресурсов.
Если у вас остались вопросы по соблюдению законодательства в области персональных данных или вы хотите проверить свой сайт на соответствие обозначенным выше требованиям, обращайтесь к экспертам i-legal.