Чек-лист по соответствию сайта закону о персональных данных (ФЗ-152)
Сегодня для развития бизнеса компании необходим собственный сайт. При его запуске, будь это даже просто одностраничный сайт-визитка, компания сталкивается с обработкой персональных данных. При появлении дополнительных функций, например, формы обратной связи, рекламы товаров или услуг, требования к сайту возрастают многократно.
Юристы компании Ай-Лигал Алексей Филатов и Алексей Кононов подготовили для вас специальный чек-лист. Он поможет понять, какие изменения необходимо внести в работу сайта, чтобы не попасть под проверку Роскомнадзора и не получить штрафы.
ПОДАЧА УВЕДОМЛЕНИЯ В РЕЕСТР ОПЕРАТОРОВ, ОСУЩЕСТВЛЯЮЩИХ ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ
Каждый владелец сайта является оператором персональных данных и должен направить уведомление в реестр операторов, осуществляющих обработку ПДн (ч.1 ст.22 ФЗ-152).
Подать уведомление в Роскомнадзор можно несколькими способами:
- в бумажном виде;
- в электронном виде с использованием ЭЦП на сайте Роскомнадзора;
- в электронном виде с использованием ЭЦП и аккаунта компании на «Госуслугах».
Ответственность: административный штраф на должностных лиц - от 300 до 500 рублей, а на юридических лиц - от 3 000 до 5 000 рублей (ст.19.7 КоАП РФ) за неподачу уведомления.
СЕРВЕРЫ, КОТОРЫЕ ОБРАБАТЫВАЮТ ДАННЫЕ ПОЛЬЗОВАТЕЛЕЙ САЙТА, ДОЛЖНЫ БЫТЬ В РФ
При сборе персональных данных компания обязана обеспечить запись, систематизацию, накопление, хранение, уточнение, извлечение персональных данных пользователей из России, используя при этом серверы, находящиеся на территории РФ.
Проще говоря, хостинг-провайдер, а также серверы, куда «падают» данные пользователей с сайта компании, должны быть на территории России.
Ответственность: административный штраф на граждан в размере от 30 000 до 50 000 рублей, на должностных лиц - от 100 000 до 200 000 рублей, на юридических лиц - от 1 000 000 до 6 000 000 рублей (ч. 8 ст. 13.11 КоАП РФ).
СОБЛЮДЕНИЕ ПРАВИЛ СБОРА COOKIE-ФАЙЛОВ
Cookie-файл представляет собой фрагмент данных, отправленный веб-сервером и хранимый на компьютере пользователя. Каждый раз при запросе на открытие страницы сайта веб-браузер пересылает этот фрагмент данных веб-серверу в составе HTTP-запроса.
В основном cookie-файлы собираются для:
- поддержания корректной работы сайта;
- отслеживания статистики посещения сайта;
- отслеживания успешности рекламных интеграций на сайте и т.п.
Согласно позиции Роскомнадзора и других регуляторов в области приватности, cookie-файлы являются персональными данными, поэтому для их обработки необходимо согласие пользователя сайта.
Правила получения согласия на обработку cookie-файлов:
- необходимо разместить на сайте плашку, предупреждающую пользователя об обработке cookie-файлов;
- необходимо указать порядок обработки cookie-файлов в политике конфиденциальности.
Ответственность: административный штраф на граждан в размере от 2 000 до 6 000 рублей, на должностных лиц - от 10 000 до 20 000 рублей, на юридических лиц - от 60 000 до 100 000 рублей (ч. 1 ст. 13.11 КоАП РФ).
РАЗМЕЩЕНИЕ ПОЛИТИКИ КОНФИДЕНЦИАЛЬНОСТИ
Компания обязана опубликовать документ, определяющий политику обработки персональных данных на КАЖДОЙ странице принадлежащего ей сайта, а также обеспечить возможность неограниченного доступа к указанному документу.
Ответственность: административный штраф на граждан от 1 500 до 3 000 рублей, на должностных лиц – от 6 000 до 12 000 рублей, на ИП – от 10 000 до 20 000 рублей, на юридических лиц – от 30 000 до 60 000 рублей (ч. 3 ст. 13.11 КоАП РФ).
НАЛИЧИЕ ЗАКОННОГО ОСНОВАНИЯ ДЛЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ
В положениях ФЗ-152 предусмотрено 12 оснований для обработки персональных данных, однако, основными для сайта является именно согласие. Обычно оно необходимо при заполнении пользователем сайта формы обратной связи, подписке на рассылку и другим подобным действиям.
Согласие должно быть:
- конкретным;
- предметным;
- информированным;
- сознательным;
- однозначным.
Чаще всего для получения согласия используют чек-бокс с указанием ссылки на отдельный документ с согласием или на политику конфиденциальности, куда оно «вшито». Во избежание спорных ситуаций компании необходимо обеспечить техническую возможность хранения логов проставления пользователем галочки в чек-боксе.
Ответственность: административный штраф на граждан в размере от 2 000 до 6 000 рублей, на должностных лиц - от 10 000 до 20 000 рублей, на юридических лиц - от 60 000 до 100 000 рублей (ч. 1 ст. 13.11 КоАП РФ).
ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ
Если данные, полученные на сайте, передаются на территорию иностранного государства или иностранному юридическому лицу (трансграничная передача персональных данных), то компания должна уведомить о такой передаче Роскомнадзор.
Типичным примером трансграничной передачи является использование на сайте Google Analytics или иных иностранных сервисов веб-аналитики.
Уведомление подается в электронном виде с использованием ЭЦП и аккаунта компании на «Госуслугах».
Ответственность: административный штраф на граждан в размере от 2 000 до 6 000 рублей, на должностных лиц - от 10 000 до 20 000 рублей, на юридических лиц - от 60 000 до 100 000 рублей (ч. 1 ст. 13.11 КоАП РФ).
ВЫВОД
Несмотря на то, что в настоящее время наложен мораторий на проведение внеплановых проверок, Роскомнадзор вправе совершать «проверочные мероприятия без взаимодействия с оператором персональных данных» (предусмотрены Постановлением Правительства РФ от 10 марта 2022 г. № 336) и на их основании проводить внеплановые проверки.
Итогом таких проверок может стать не только наложение штрафов, указанных в данной статье, но также возможны репутационные издержки – Роскомнадзор публикует выявленные нарушения на своем сайте.
Использование сайта для продвижения своего бренда накладывает на компанию большие обязательства, в том числе с точки зрения законодательства о персональных данных, на соблюдение которых необходимо выделение дополнительных ресурсов.