Роскомнадзор начал рассылать требования по новому закону о персональных данных: что проверяют и как избежать штрафов

С 1 сентября в России заработали обновленные правила обработки персональных данных, и Роскомнадзор уже приступил к активным проверкам сайтов и онлайн-сервисов предпринимателей по всей стране. Первые предписания с требованием устранить нарушения начали приходить владельцам сайтов — штрафы за несоблюдение требований достигают 15 000 000 рублей. Разбираем, что именно сейчас смотрит регулятор, какие типовые ошибки встречаются и что срочно исправить на своем сайте и в документах, чтобы не попасть под санкции.

Что изменилось с 1 сентября и кого это касается

Изменения охватывают практически всех, кто в той или иной форме обрабатывает персональные данные клиентов, пользователей, сотрудников и контрагентов. Проверить себя просто:

  • Есть форма обратной связи или заявка на сайте?
  • Собираете заявки или сообщения через соцсети/мессенджеры?
  • Ведете клиентскую базу в CRM?
  • Работаете с юрлицами и храните ФИО контактных лиц?
  • Используете системы веб-аналитики (например, Яндекс.Метрика)?

Если на любой вопрос ответ «да», новые правила — про вас. Ключевые акценты:

  • Уведомление о начале обработки персональных данных. В большинстве случаев оператор обязан уведомить регулятора о том, что собирает и обрабатывает персональные данные, — в противном случае грозит штраф.
  • Согласие и минимизация. Нужны корректные механизмы получения согласия (в том числе на сайте), недопустим избыточный сбор данных.
  • Прозрачность. На сайте должна быть политика обработки персональных данных с актуальными условиями и сроками хранения.
  • Cookies и аналитика. Использование инструментов аналитики и файлов cookies требует информирования пользователей и получения согласия.
  • Трансграничная передача. Использование зарубежных сервисов может означать передачу данных за границу; это требует отдельной правовой оценки и соблюдения дополнительных условий. В частности, использование иностранных счетчиков веб-аналитики приходится выключать или заменять на альтернативы с корректным правовым основанием.

Первая практика: что нашёл Роскомнадзор у малого бизнеса

Одним из первых предписаний стало «письмо счастья» владельцу студии растяжки с простым лендингом для приема заявок. Проверка была инициирована самой службой: жалоб не поступало — сайт изучили в рамках мониторинга. На что обратил внимание регулятор:

1) Нет правильной «галочки» согласия под формами

Просто ссылки под кнопкой «Отправить» на политику и согласие — недостаточно. Предустановленная по умолчанию галочка — тоже неправильно. Пользователь должен вручную поставить чекбокс, подтверждающий согласие на обработку персональных данных, иначе отправка формы недоступна.

2) Не отражено использование аналитики и cookies

В политике и сопутствующих документах не было положений об использовании Яндекс.Метрики и файлов cookies. Регулятор проверяет не только код сайта, но и формулировки в документах: факт внедрения счетчика должен быть прозрачно описан, а обработка данных для аналитики — согласована с пользователем.

3) Неверные сроки обработки в политике

Сроки хранения и обработки персональных данных должны соответствовать действующему законодательству и заявленным целям. Практика показывает: расплывчатые или «бессрочные» сроки — один из частых поводов для замечаний.

4) Фотографии сотрудников без подтвержденного согласия

Изображения тренеров на сайте — это тоже персональные данные. Регулятор запросил подтверждение согласий на публикацию и обратил внимание на отсутствие формулировок о недопустимости использования этих фото третьими лицами без согласия.

5) Нет уведомления регулятора об обработке

Роскомнадзор сверяет сайты с реестром операторов персональных данных. Если уведомление о начале обработки не подано — это самостоятельное нарушение, за которое предусмотрен штраф.

Сроки и ответственность: сколько времени на исправление и какие штрафы

  • На исполнение предписания обычно дается 10 рабочих дней. За это время нужно поправить сайт, документы и направить подтверждение исполнения.
  • Штраф за несвоевременное устранение — до 90 000 рублей (в зависимости от состава).
  • За неуведомление о начале обработки — от 100 000 до 300 000 рублей по ст. 13.11 КоАП РФ.
  • За отсутствие корректного согласия или избыточный сбор — от 100 000 до 300 000 рублей.
  • За утечку персональных данных — от 1 000 000 до 15 000 000 рублей; сумма зависит от масштаба и последствий инцидента.

Даже если требование исполнено, регулятор вправе привлечь к ответственности за уже совершенное нарушение и направить дополнительные запросы. Поэтому лучше действовать на опережение и провести аудит заранее.

Что должно быть на сайте: 4 обязательных элемента

1. Политика обработки персональных данных

Документ в открытом доступе с понятным языком. Включите: цели и правовые основания обработки; категории данных и субъектов; перечень операций; условия передачи и хранения; сроки; порядок актуализации и удаления данных; взаимодействие с запросами субъектов; основные меры защиты.

2. Согласие на обработку персональных данных

Отдельный документ и механика его получения. Для веб-форм — чекбокс с привязкой к тексту согласия. Для сотрудников и контрагентов — бумажные или электронные согласия с идентификацией подписанта.

3. Правильные чекбоксы под всеми формами

  • Отдельный чекбокс под каждую форму.
  • По умолчанию галочка не проставлена.
  • Без галочки форму отправить невозможно.
  • В подписи — ссылки на политику и текст согласия, краткая цель обработки.

4. Уведомление об использовании cookies и аналитики

Всплывающее окно с понятным выбором: согласиться, настроить или отказаться (где это возможно). Опишите, какие категории cookies вы используете и для чего, и обеспечьте хранение факта согласия.

Дополнительно: что проверить помимо сайта

  • Уведомление регулятора. Подайте уведомление об обработке персональных данных и проверьте корректность сведений в реестре оператора.
  • Аналитика и внешние сервисы. Пересмотрите состав счётчиков и виджетов. Если используете решения, предполагающие трансграничную передачу, — проверьте правовые основания или отключите.
  • Взаимоотношения с подрядчиками. В договорах с хостингом, колл-центрами, интеграторами и другими исполнителями должны быть прописаны условия обработки и защиты персональных данных.
  • Сроки хранения и минимизация. Установите и документально закрепите сроки по категориям данных. Лишнее — удаляйте.
  • Согласия сотрудников и фото. Получите письменные согласия на публикацию изображений и иные формы обработки.
  • Внутренние процедуры. Назначьте ответственного, утвердите политику в отношении обработки, порядок реагирования на инциденты, журналы учета обращений субъектов и запросов регулятора.

Итог

Проверки Роскомнадзора уже идут, и предписания приходят даже без жалоб — по результатам мониторинга сайтов. Чтобы не попасть под штрафы, владельцам проектов стоит оперативно провести аудит: настроить чекбоксы согласия, обновить политику и документы, внедрить cookie-баннер, проверить аналитику и своевременно уведомить регулятора о начале обработки. Чем раньше вы приведете контур персональных данных в порядок, тем меньше рисков получить «письмо счастья».

Фото аватара

Александр Баранов

Разбираюсь в юридических сервисах для бизнеса, включая онлайн-бухгалтерии, сервисы для регистрации ИП и документооборота.

Ответить

Ваш адрес email не будет опубликован. Обязательные поля помечены *