В 2023 году Роскомнадзор начал активно проверять, насколько компании и предприниматели соблюдают законы о персональных данных на своих сайтах. За неполный год ведомство проверило уже больше 5800 сайтов.
В зоне риска владельцы сайтов, которые собирают персональные данные клиентов, — например, их имена и даты рождения вместе с адресами и телефонами. Так, если сайт собирает cookie, но не предупреждает об этом, РКН обратит внимание на это и направит владельцу предписание. В худшем случае бизнесу грозит штраф — до 500 000 ₽, а в скором времени и до 1,5 млн рублей.
Рассказываем, что именно ищут инспекторы Роскомнадзора и как подготовить онлайн-площадку к их осмотру.
Почему Роскомнадзор вообще проверяет сайты?
Основанием для начала наблюдения Роскомнадзора может быть множество триггеров, например:
- жалоба субъекта персональных данных в Роскомнадзор;
- сообщения в СМИ или интернете о потенциальных нарушениях в сфере персональных данных соответствующей компанией;
- жалоба конкурента в Роскомнадзор на сайт компании и другие.
Инспектор Роскомнадзора может начать проверку, не уведомляя ни прокуратуру, ни администратора сайта, — в рамках так называемого контроля без взаимодействия. Бизнес узнает о происходящем только тогда, когда получит запрос от РКН с просьбой предоставить дополнительные документы и информацию.
Чей сайт может проверить Роскомнадзор?
Любой бизнес, у которого есть сайт или мобильное приложение. Выделить какой-то определенный сегмент, за которым РКН следит особенно тщательно, нельзя. Среди бизнесов, чьи сайты Роскомнадзор уже проверял в этом году, — салоны красоты, фитнес-центры, медицинские организации, рестораны и многие другие.
Как часто проходят осмотры?
В этом году Роскомнадзор изучил уже около 5800 сайтов, то есть больше 500 сайтов ежемесячно. В масштабах страны это немного, и прямо сейчас вероятность того, что проверка РКН затронет конкретный сайт, невелика. Однако ранее ведомство оставляло заказ на разработку системы автоматического скрининга сайтов с производительностью до 500 000 осмотров в год. Это позволит кратно увеличить объемы мониторинга РКН в ближайшие годы.
Какие нарушения ищет Роскомнадзор?
Есть четыре группы нарушений, которые интересуют РКН. Это касается:
- правил локализации и трансграничной передачи данных;
- порядка использования cookie-файлов;
- политики обработки персональных данных;
- получения согласия на обработку данных.
Правила локализации и передачи данных. Персональные данные российских пользователей нужно хранить на серверах в России и не передавать за рубеж. Компании и ИП, которые разобрались с хранением, могут забыть о дополнительных сервисах и допустить передачу данных за границу: например, использовать Google-формы.
Если РКН найдет такую форму, он задаст бизнесу вопросы о том, где в итоге хранятся данные — в России или за рубежом, и проверит, подавала ли компания уведомление о намерениях совершить трансграничную передачу персональных данных.
Порядок использования cookie. По закону владельцы сайтов обязаны показывать баннер, который информирует пользователя об использовании cookie-файлов при первом попадании на любую страницу сайта.
Политика обработки персональных данных. Роскомнадзор проверяет политики на соответствие последним изменениям Федерального закона № 152-ФЗ «О персональных данных».
На сайте нужно предметно описывать обработку персональных данных, а пользователь должен дать на нее согласие, а не просто узнать о том, что его данные обрабатывают.
Мало добавить на сайт политику, нужно детально описать обработку данных для каждой цели. Оптимальное решение — включить в политику выдержку из реестра обработок персональных данных — RoPA, если бизнес ведет такой перечень. В политику нужно включить информацию о субъектах персональных данных, категориях и перечне обрабатываемых данных, способах и сроке их обработки и хранения, порядке уничтожения. Все это нужно сделать в разрезе каждой цели обработки персональных данных.
Согласие на обработку данных. Галочки в форме согласия на обработку персональных данных не могут быть проставлены по умолчанию. Если РКН выявит это, он может наказать владельца такой формы.
Отдельно стоит проверить текст согласия: он должен содержать условия обработки персональных данных. Простой ссылки на политику обработки данных может быть недостаточно.
Что грозит бизнесу за нарушения?
В первую очередь Роскомнадзор направляет владельцам сайтов требования об устранении нарушений в области обработки персональных данных и указывает срок на ответ.
Если ответ не направить своевременно, владельцу сайта грозит штраф:
- индивидуальным предпринимателям — 300—500 ₽;
- малым предприятиям — 1500—2500 ₽;
- средним и крупным компаниям — 3000—5000 ₽.
С 2023 года Роскомнадзор вправе возбуждать административные дела по итогам контроля без взаимодействия. Поэтому у некорректной работы с персональными данными могут быть и более серьезные последствия:
- потеря данных,
- штрафы,
- регулярные проверки РКН.
Потеря данных. Если Роскомнадзор обнаружит, что текст согласия на обработку персональных данных некорректен, данные, собранные в рамках этого согласия, придется удалить в течение 10 рабочих дней. Для формирования новой базы клиентов придется собирать обновленные согласия с нуля.
Штрафы. Нарушение законодательства в области персональных данных — административный проступок. За нарушения, не связанные с получением письменного согласия на обработку, на декабрь 2023 года штрафы для индивидуальных предпринимателей и малого бизнеса по закону могут достигать 100 000 ₽, для средних и крупных компаний — 300 000 ₽.
Более серьезные штрафы предусмотрены за обработку персональных данных без согласия их обладателя в письменной форме, если такое согласие требуется. ИП и малый бизнес могут оштрафовать на сумму до 300 000 ₽, а средние и крупные компании — до 500 000 ₽.
До конца 2023 года может вступить в силу закон, увеличивающий штрафы. За сбор персональных данных без согласия ИП будет грозить штраф от 100 000 до 300 000 ₽, малым предприятиям — от 150 000 до 350 000 ₽, остальным компаниям — от 300 000 до 700 000 ₽. При повторном нарушении ИП и малый бизнес могут оштрафовать на сумму от 500 000 до 1 000 000 ₽, а средние и крупные предприятия — на 1 000 000—1 500 000 ₽.
Регулярные проверки РКН. Если компания или ИП допустили несколько нарушений в работе с персональными данными, их уровень риска в глазах Роскомнадзора растет. Бизнес с высоким уровнем риска может проходить через регулярные плановые проверки РКН раз в два года, а с разрешения прокуратуры ведомство вправе прийти и с внеплановой проверкой.
Что делать, чтобы у Роскомнадзора не было претензий?
Порядок действий зависит от внутреннего устройства вашего сайта. Нужно проверить его по всем возможным сценариям использования и разным ролям, если таковые предусмотрены пользовательским путем. В итоге вы поймете уровень уязвимости вашего сайта, какие риски у него есть, и, конечно же, главное: что надо сделать, чтобы их исключить.
Если компания или ИП уже получили запрос от Роскомнадзора по итогам проверки, лучше подготовить ответ на него с юристами. Дело в том, что для штрафов по некоторым административным составам Роскомнадзору важно получить доказательства нарушения именно от самого бизнеса, а не только по итогам внешнего наблюдения. Если инспектор не получит от бизнеса внятное подтверждение нарушения, он не сможет возбудить дело.
А вы сталкивались с проверками РКН? Расскажите в комментариях, как все прошло.