Роскомнадзор имеет право отслеживать нарушения требований к обработке персональных данных с помощью автоматизированных систем. Сервисы регулятора будут сканировать сайты, проверяя наличие cookie, правильность согласий и политик об обработке, а также локализацию данных.
Для обеспечения выполнения требований на сайте необходимо:
Уведомление РКН
Наличие сайта у организации практически всегда означает, что она начинает обрабатывать персональные данные и, следовательно, обязана подать уведомление в Роскомнадзор. Это требование федерального закона, и исключения из него крайне редки.
Что на сайте считается обработкой:
-
Формы обратной связи и заказа звонка (имя, телефон).
-
Онлайн-регистрация и личные кабинеты.
-
Оформление заказов в интернет-магазине (адрес доставки, платежные данные).
-
Подписка на новости и рассылки (email).
-
Даже сбор статистики через файлы cookie (IP-адрес, сведения о местоположении, типе браузера) тоже считается обработкой, если эти данные можно связать с конкретным пользователем
Роскомнадзор активно проверяет соблюдение законодательства о персональных данных посредством аудита сайтов организаций. Штрафы с каждым годом растут. Так, с 2025 года неподача уведомления может грозить штрафом до 300 000 рублей.
Политика в отношении обработки персональных данных
Согласно законодательству, Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, в том числе в информационно-телекоммуникационной сети «Интернет».
Исходя из указанного, важно разработать Политику в отношении обработки персональных данных, отразив в ней цели, перечни персональных данных, категории субъектов, способы защиты ПДн и т.д.
Подробнее о том, как правильно разработать Политику читайте в нашей статье.
Согласия на обработку персональных данных
Согласно законодательству, на Оператора возлагается обязанность предоставить доказательство получения согласия субъекта персональных данных на обработку его персональных данных.
При сборе ПДн посредством сайта можно получить согласие, разместив под формой сбора данных или формой регистрации в личном кабинете чек-бокс, где пользователь, ознакомившись с Политикой в отношении обработки ПДн, может выразить своё согласие посредством проставления галочки в чек-боксе.
Важно соблюдать права пользователя и разделять согласия на обработку ПДн и рассылку рекламной информации! Для этого даются два разных отдельных согласия.
Также, не забудьте разместить текст самого согласия, которое выражает Вам пользователь. Согласие должно быть конкретным, предметным, информированным, сознательным и однозначным.
Использовать БД на территории РФ
Согласно ч. 5 ст. 18 ФЗ-152 Оператор при сборе ПДн, в том числе, через Интернет, обязан обеспечить запись, систематизацию, накопление, хранение, уточнение, извлечение ПДн с использованием баз данных, находящихся на территории РФ. Эта норма обязывает обеспечить размещение серверов и хранение обрабатываемых им данных на территории РФ.
Для юридический лиц невыполнение требования приведёт к штрафу от 1 млн до 6 млн.
Cookie-файлы
Важно не забывать о том, что cookie-файлы тоже относятся к персональным данным. Соответственно, необходимо также получить согласие пользователя на сбор этих данных.
Для этого необходимо разместить баннер с уведомлением о сборе cookie, запрос на согласие пользователя, а также ссылку на Политику в отношении обработки ПДн, в которой необходимо описать посредством каких метрических программ собираются данные, какие конкретно данные и в каких целях.
Трансграничная передача
Если на Вашем сайте при сборе cookie используется иностранное ПО (например, Google Analytics), в таком случае считается, что Ваша организация осуществляет трансграничную передачу данных (передача данных за пределы РФ).
Согласно законодательству, при осуществлении трансграничной передачи данных необходимо направить уведомление в Роскомнадзор. Сделать это можно посредством специальных форм, расположенных на официальной странице Роскомнадзор.
Важно! До отправки уведомления о ТГП в Роскомнадзор необходимо получить следующие сведения у иностранного лица:
-
сведения о принимаемых мерах по защите передаваемых персональных данных и об условиях прекращения их обработки;
-
информация о правовом регулировании в области персональных данных;
-
сведения об организации, кому передаются ПДн (наименование либо фамилия, имя и отчество, а также номера контактных телефонов, почтовые адреса и адреса электронной почты).