Новости Comply.

Кто сайт и в мораторий у всякого проверить может? Роскомнадзор!

2023-06-16 13:26 Pulse

Кто сайт и в мораторий у всякого проверить может? Роскомнадзор!

ЧИТАЕТСЯ ЗА 6 МИНУТ
С февраля действует мораторий на проведение плановых проверок бизнеса. Внеплановые проверки могут проводиться только по согласованию с органами прокуратуры, по поручению Президента, Председателя Правительства или по требованию прокурора, например, в случае утечек данных. Между тем, для компаний риски проверок сохраняются и без утечек данных.
Теперь Роскомнадзор активнее использует более доступный по закону вид контроля – «проверку» сайтов на предмет соответствия законодательству о персональных данных. Пока мы не заметили такие «проверки» в отношении крупных компаний. В среднем по каждому федеральному округу Роскомнадзор проверяет ежемесячно до 10 сайтов.
Разберем, как Роскомнадзор проверяет сайты и какие неприятности сулит такая проверка.

Почему Роскомнадзор смотрит мой сайт?

«Мероприятия по контролю без взаимодействия в отношении контролируемых лиц» проводят территориальные подразделения Роскомнадзора. Для их проведения не нужно ни согласование прокуратуры, ни предварительное уведомление оператора.
«Проверка» сайтов может проходить как планово, так и внепланово по заданию руководителя регионального подразделения Роскомнадзора, например, при наличии обращений субъектов персональных данных или конкурентов, публикаций в СМИ и размещения в Интернете информации о нарушениях.

Что ищете, товарищ контролер?

Роскомнадзор проверяет privacy-комплаенс «фронтовой» части сайта. Однажды Роскомнадзор даже пытался внедрить систему для автоматического мониторинга сайтов. Среди ключевых моментов, на которые обратит внимание инспектор:
  • куки-баннеры,
  • наличие возможности дать согласие и ознакомиться с текстом согласия под формами сбора данных,
  • наличие и содержание политики конфиденциальности, определяющей порядок обработки данных пользователей и реализуемые требования к их защите, с учетом новой «структуры целеполагания»,
  • сведения о наличии согласий на распространение, условий и запретов на распространение персональных данных,
  • использование веб-аналитики, особенно Google Analytics,
  • локация хостинга сайта,
  • наличие уведомления об обработке персональных данных в реестре Роскомнадзора и соответствие уведомления выявленным процессам на сайте, а также наличие уведомления о трансграничной передаче при использовании зарубежных систем веб-аналитики или зарубежного хостинга.
Наиболее частым нарушением, выявляемым Роскомнадзором за последние месяцы, стало отсутствие возможности ознакомиться с текстом согласия на сайте. Теперь Роскомнадзор требует, чтобы под каждым чек-боксом был либо текст согласия/соглашения, либо ссылка на такой документ, а не просто общая политика конфиденциальности.

Что после проверки?

По итогам проверки Роскомнадзор направляет оператору запрос о предоставлении информации. После этого в течение 10 рабочих дней компания должна направить ответ. Допускается продление этого срока на 5 рабочих дней при должной мотивировке.
Не факт, что уложиться в срок будет просто. Может потребоваться предоставить описание процессов обработки данных пользователей сайта (срок, порядок хранения, цели обработки и др.) или сведения об обеспечении локализации персональных данных. На практике такие документы делаются не так быстро, особенно если в компании нет понимания процессов обработки данных.

И что он мне сделает?

Есть несколько вариантов. Если бы не мораторий на проверки, то к указанному далее мы добавили риск внеплановых проверок Роскомнадзора. Но на время моратория такой риск кажется невероятным. Однако и без этого есть чему испугаться.
Меню основных «неприятностей»:
  • Оператор может быть привлечен к ответственности по ст. 13.11 КоАП РФ (штраф до 500 тыс. рублей). С недавнего (!) времени по следующим нарушениям у оператора даже не будет традиционных 10 дней на исправление – Роскомнадзор вправе сразу составить протокол за выявленные на сайте пороки правового основания обработки данных или политики конфиденциальности.
  • Наименование вашей компании с описанием выявленных нарушений может появиться в отчете Роскомнадзора на его сайте. Это делается в рамках отчетности по закону о доступе к информации о деятельности государственных органов.
  • При непредставлении сведений в ответ на запрос Роскомнадзора – штраф до 5 тыс. рублей.
  • В качестве более «строгой» меры Роскомнадзор может потребовать в судебном порядке заблокировать доступ к сайту.
  • Наконец, наиболее критичное, на наш взгляд, если Роскомнадзор выявит порок в правовых основаниях обработки данных, то компания будет обязана прекратить их обработку. Кроме этого, об этом придется уведомить Роскомнадзор и соответствующих субъектов. А если обработку данных не прекратить, то вы рискуете получить штраф до 500 тыс. рублей.

Что же делать?

Мы рекомендуем:
  • Разместить куки-баннер при использовании cookies и иных технологий веб-аналитики и определиться с тем, будете ли вы давать возможность пользователю отказаться от установки отдельных cookie-файлов.
  • Разместить текст согласия (гиперссылку) под формами сбора персональных данных либо текст пользовательского соглашения, если принято решение использовать такое правовое основание как заключение/исполнение договора.
  • Opt-in согласия на обработку персональных данных – галочка не должна стоять заранее в чек-боксе и может быть проигнорирована без ущерба функциональности сайта для пользователя (в случае если правовым основанием является согласие), а для «рекламных» согласий иногда возможен и opt-out формат.
  • Закрепить политику конфиденциальности (с учетом обновленных требований к политике) в футере сайта. Футер должен быть доступен на любой странице сайта, где есть форма сбора персональных данных.
  • Отказаться от использования Google Analytics и прочих иностранных систем (Facebook Tag Manager и др.) и перейти на отечественные сервисы веб-аналитики.
  • Обеспечить контроль любых изменений во внешнем контуре компании, включая ее сайт.
  • Убедиться, что данные с сайта локализуются, включая данные в бэк-энде и внешних элементах, которые он использует.
  • Убедиться, что уведомление в Роскомнадзор подано по новой форме и соответствует актуальным процессам работы с данными на сайте (категории данных и субъектов, цели, основания и т.д.).
  • Убедиться, что соблюдаются требования к распространению персональных данных, а также к обработке персональных данных несовершеннолетних.
Более подробно разберем это на нашем вебинаре «Privacy-комплаенс в Web & App – обязательный элемент защиты компании» 20 июня в 11:00. Регистрация по ссылке.