Чек-лист по соответствию сайта закону о персональных данных (ФЗ-152)

Чек-лист по соответствию сайта закону о персональных данных (ФЗ-152)

Сегодня для развития бизнеса компании необходим собственный сайт. При его запуске, будь это даже просто одностраничный сайт-визитка, компания сталкивается с обработкой персональных данных. При появлении дополнительных функций, например, формы обратной связи, рекламы товаров или услуг, требования к сайту возрастают многократно.

Юристы компании Ай-Лигал Алексей Филатов и Алексей Кононов подготовили для вас специальный чек-лист. Он поможет понять, какие изменения необходимо внести в работу сайта, чтобы не попасть под проверку Роскомнадзора и не получить штрафы.

ПОДАЧА УВЕДОМЛЕНИЯ В РЕЕСТР ОПЕРАТОРОВ, ОСУЩЕСТВЛЯЮЩИХ ОБРАБОТКУ ПЕРСОНАЛЬНЫХ ДАННЫХ

Каждый владелец сайта является оператором персональных данных и должен направить уведомление в реестр операторов, осуществляющих обработку ПДн (ч.1 ст.22 ФЗ-152).

Подать уведомление в Роскомнадзор можно несколькими способами:

  • в бумажном виде;
  • в электронном виде с использованием ЭЦП на сайте Роскомнадзора;
  • в электронном виде с использованием ЭЦП и аккаунта компании на «Госуслугах».

Ответственность: административный штраф на должностных лиц - от 300 до 500 рублей, а на юридических лиц - от 3 000 до 5 000 рублей (ст.19.7 КоАП РФ) за неподачу уведомления.

СЕРВЕРЫ, КОТОРЫЕ ОБРАБАТЫВАЮТ ДАННЫЕ ПОЛЬЗОВАТЕЛЕЙ САЙТА, ДОЛЖНЫ БЫТЬ В РФ

При сборе персональных данных компания обязана обеспечить запись, систематизацию, накопление, хранение, уточнение, извлечение персональных данных пользователей из России, используя при этом серверы, находящиеся на территории РФ.

Проще говоря, хостинг-провайдер, а также серверы, куда «падают» данные пользователей с сайта компании, должны быть на территории России.

Ответственность: административный штраф на граждан в размере от 30 000 до 50 000 рублей, на должностных лиц - от 100 000 до 200 000 рублей, на юридических лиц - от 1 000 000 до 6 000 000 рублей (ч. 8 ст. 13.11 КоАП РФ).

СОБЛЮДЕНИЕ ПРАВИЛ СБОРА COOKIE-ФАЙЛОВ

Cookie-файл представляет собой фрагмент данных, отправленный веб-сервером и хранимый на компьютере пользователя. Каждый раз при запросе на открытие страницы сайта веб-браузер пересылает этот фрагмент данных веб-серверу в составе HTTP-запроса.

В основном cookie-файлы собираются для:

  • поддержания корректной работы сайта;
  • отслеживания статистики посещения сайта;
  • отслеживания успешности рекламных интеграций на сайте и т.п.

Согласно позиции Роскомнадзора и других регуляторов в области приватности, cookie-файлы являются персональными данными, поэтому для их обработки необходимо согласие пользователя сайта.

Правила получения согласия на обработку cookie-файлов:

  • необходимо разместить на сайте плашку, предупреждающую пользователя об обработке cookie-файлов;
  • необходимо указать порядок обработки cookie-файлов в политике конфиденциальности.

Ответственность: административный штраф на граждан в размере от 2 000 до 6 000 рублей, на должностных лиц - от 10 000 до 20 000 рублей, на юридических лиц - от 60 000 до 100 000 рублей (ч. 1 ст. 13.11 КоАП РФ).

РАЗМЕЩЕНИЕ ПОЛИТИКИ КОНФИДЕНЦИАЛЬНОСТИ

Компания обязана опубликовать документ, определяющий политику обработки персональных данных на КАЖДОЙ странице принадлежащего ей сайта, а также обеспечить возможность неограниченного доступа к указанному документу.

Ответственность: административный штраф на граждан от 1 500 до 3 000 рублей, на должностных лиц – от 6 000 до 12 000 рублей, на ИП – от 10 000 до 20 000 рублей, на юридических лиц – от 30 000 до 60 000 рублей (ч. 3 ст. 13.11 КоАП РФ).

НАЛИЧИЕ ЗАКОННОГО ОСНОВАНИЯ ДЛЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

В положениях ФЗ-152 предусмотрено 12 оснований для обработки персональных данных, однако, основными для сайта является именно согласие. Обычно оно необходимо при заполнении пользователем сайта формы обратной связи, подписке на рассылку и другим подобным действиям.

Согласие должно быть:

  • конкретным;
  • предметным;
  • информированным;
  • сознательным;
  • однозначным.

Чаще всего для получения согласия используют чек-бокс с указанием ссылки на отдельный документ с согласием или на политику конфиденциальности, куда оно «вшито». Во избежание спорных ситуаций компании необходимо обеспечить техническую возможность хранения логов проставления пользователем галочки в чек-боксе.

Ответственность: административный штраф на граждан в размере от 2 000 до 6 000 рублей, на должностных лиц - от 10 000 до 20 000 рублей, на юридических лиц - от 60 000 до 100 000 рублей (ч. 1 ст. 13.11 КоАП РФ).

ТРАНСГРАНИЧНАЯ ПЕРЕДАЧА ПЕРСОНАЛЬНЫХ ДАННЫХ

Если данные, полученные на сайте, передаются на территорию иностранного государства или иностранному юридическому лицу (трансграничная передача персональных данных), то компания должна уведомить о такой передаче Роскомнадзор.

Типичным примером трансграничной передачи является использование на сайте Google Analytics или иных иностранных сервисов веб-аналитики.

Уведомление подается в электронном виде с использованием ЭЦП и аккаунта компании на «Госуслугах».

Ответственность: административный штраф на граждан в размере от 2 000 до 6 000 рублей, на должностных лиц - от 10 000 до 20 000 рублей, на юридических лиц - от 60 000 до 100 000 рублей (ч. 1 ст. 13.11 КоАП РФ).

ВЫВОД

Несмотря на то, что в настоящее время наложен мораторий на проведение внеплановых проверок, Роскомнадзор вправе совершать «проверочные мероприятия без взаимодействия с оператором персональных данных» (предусмотрены Постановлением Правительства РФ от 10 марта 2022 г. № 336) и на их основании проводить внеплановые проверки.

Итогом таких проверок может стать не только наложение штрафов, указанных в данной статье, но также возможны репутационные издержки – Роскомнадзор публикует выявленные нарушения на своем сайте.

Использование сайта для продвижения своего бренда накладывает на компанию большие обязательства, в том числе с точки зрения законодательства о персональных данных, на соблюдение которых необходимо выделение дополнительных ресурсов.

Начать дискуссию