Как подготовить сайт к проверке Роскомнадзора

14 декабря 2023

Редактор: Дмитрий Комаров

Штрафы для бизнеса за нарушения могут достигать 500 000 ₽. Объясняем, как их избежать

Артем Дмитриев

Управляющий партнер Comply

Штрафы для бизнеса за нарушения могут достигать 500 000 ₽. Объясняем, как их избежать

Артем Дмитриев

Управляющий партнер Comply

В 2023 году Роскомнадзор начал активно проверять, насколько компании и предприниматели соблюдают законы о персональных данных на своих сайтах. За неполный год ведомство проверило уже больше 5800 сайтов.

В зоне риска владельцы сайтов, которые собирают персональные данные клиентов, — например, их имена и даты рождения вместе с адресами и телефонами. Так, если сайт собирает cookie, но не предупреждает об этом, РКН обратит внимание на это и направит владельцу предписание. В худшем случае бизнесу грозит штраф — до 500 000 ₽, а в скором времени и до 1,5 млн рублей.

Рассказываем, что именно ищут инспекторы Роскомнадзора и как подготовить онлайн-площадку к их осмотру.

Почему Роскомнадзор вообще проверяет сайты?

Основанием для начала наблюдения Роскомнадзора может быть множество триггеров, например:

жалоба субъекта персональных данных в Роскомнадзор;
сообщения в СМИ или интернете о потенциальных нарушениях в сфере персональных данных соответствующей компанией;
жалоба конкурента в Роскомнадзор на сайт компании и другие.

Инспектор Роскомнадзора может начать проверку, не уведомляя ни прокуратуру, ни администратора сайта, — в рамках так называемого контроля без взаимодействия. Бизнес узнает о происходящем только тогда, когда получит запрос от РКН с просьбой предоставить дополнительные документы и информацию.

Чей сайт может проверить Роскомнадзор?

Любой бизнес, у которого есть сайт или мобильное приложение. Выделить какой-то определенный сегмент, за которым РКН следит особенно тщательно, нельзя. Среди бизнесов, чьи сайты Роскомнадзор уже проверял в этом году, — салоны красоты, фитнес-центры, медицинские организации, рестораны и многие другие.

Как часто проходят осмотры?

В этом году Роскомнадзор изучил уже около 5800 сайтов, то есть больше 500 сайтов ежемесячно. В масштабах страны это немного, и прямо сейчас вероятность того, что проверка РКН затронет конкретный сайт, невелика. Однако ранее ведомство оставляло заказ на разработку системы автоматического скрининга сайтов с производительностью до 500 000 осмотров в год. Это позволит кратно увеличить объемы мониторинга РКН в ближайшие годы.

Какие нарушения ищет Роскомнадзор?

Есть четыре группы нарушений, которые интересуют РКН. Это касается:

правил локализации и трансграничной передачи данных;
порядка использования cookie-файлов;
политики обработки персональных данных;
получения согласия на обработку данных.

Правила локализации и передачи данных. Персональные данные российских пользователей нужно хранить на серверах в России и не передавать за рубеж. Компании и ИП, которые разобрались с хранением, могут забыть о дополнительных сервисах и допустить передачу данных за границу: например, использовать Google-формы.

Если РКН найдет такую форму, он задаст бизнесу вопросы о том, где в итоге хранятся данные — в России или за рубежом, и проверит, подавала ли компания уведомление о намерениях совершить трансграничную передачу персональных данных.

Порядок использования cookie. По закону владельцы сайтов обязаны показывать баннер, который информирует пользователя об использовании cookie-файлов при первом попадании на любую страницу сайта.

Политика обработки персональных данных. Роскомнадзор проверяет политики на соответствие последним изменениям Федерального закона № 152-ФЗ «О персональных данных».

На сайте нужно предметно описывать обработку персональных данных, а пользователь должен дать на нее согласие, а не просто узнать о том, что его данные обрабатывают.

Мало добавить на сайт политику, нужно детально описать обработку данных для каждой цели. Оптимальное решение — включить в политику выдержку из реестра обработок персональных данных — RoPA, если бизнес ведет такой перечень. В политику нужно включить информацию о субъектах персональных данных, категориях и перечне обрабатываемых данных, способах и сроке их обработки и хранения, порядке уничтожения. Все это нужно сделать в разрезе каждой цели обработки персональных данных.

Согласие на обработку данных. Галочки в форме согласия на обработку персональных данных не могут быть проставлены по умолчанию. Если РКН выявит это, он может наказать владельца такой формы.

Отдельно стоит проверить текст согласия: он должен содержать условия обработки персональных данных. Простой ссылки на политику обработки данных может быть недостаточно.

Что грозит бизнесу за нарушения?

В первую очередь Роскомнадзор направляет владельцам сайтов требования об устранении нарушений в области обработки персональных данных и указывает срок на ответ.

Если ответ не направить своевременно, владельцу сайта грозит штраф:

индивидуальным предпринимателям — 300—500 ₽;
малым предприятиям — 1500—2500 ₽;
средним и крупным компаниям — 3000—5000 ₽.

С 2023 года Роскомнадзор вправе возбуждать административные дела по итогам контроля без взаимодействия. Поэтому у некорректной работы с персональными данными могут быть и более серьезные последствия:

потеря данных,
штрафы,
регулярные проверки РКН.

Потеря данных. Если Роскомнадзор обнаружит, что текст согласия на обработку персональных данных некорректен, данные, собранные в рамках этого согласия, придется удалить в течение 10 рабочих дней. Для формирования новой базы клиентов придется собирать обновленные согласия с нуля.

Штрафы. Нарушение законодательства в области персональных данных — административный проступок. За нарушения, не связанные с получением письменного согласия на обработку, на декабрь 2023 года штрафы для индивидуальных предпринимателей и малого бизнеса по закону могут достигать 100 000 ₽, для средних и крупных компаний — 300 000 ₽.

Более серьезные штрафы предусмотрены за обработку персональных данных без согласия их обладателя в письменной форме, если такое согласие требуется. ИП и малый бизнес могут оштрафовать на сумму до 300 000 ₽, а средние и крупные компании — до 500 000 ₽.

До конца 2023 года может вступить в силу закон, увеличивающий штрафы. За сбор персональных данных без согласия ИП будет грозить штраф от 100 000 до 300 000 ₽, малым предприятиям — от 150 000 до 350 000 ₽, остальным компаниям — от 300 000 до 700 000 ₽. При повторном нарушении ИП и малый бизнес могут оштрафовать на сумму от 500 000 до 1 000 000 ₽, а средние и крупные предприятия — на 1 000 000—1 500 000 ₽.

Регулярные проверки РКН. Если компания или ИП допустили несколько нарушений в работе с персональными данными, их уровень риска в глазах Роскомнадзора растет. Бизнес с высоким уровнем риска может проходить через регулярные плановые проверки РКН раз в два года, а с разрешения прокуратуры ведомство вправе прийти и с внеплановой проверкой.

Что делать, чтобы у Роскомнадзора не было претензий?

Порядок действий зависит от внутреннего устройства вашего сайта. Нужно проверить его по всем возможным сценариям использования и разным ролям, если таковые предусмотрены пользовательским путем. В итоге вы поймете уровень уязвимости вашего сайта, какие риски у него есть, и, конечно же, главное: что надо сделать, чтобы их исключить.

Если компания или ИП уже получили запрос от Роскомнадзора по итогам проверки, лучше подготовить ответ на него с юристами. Дело в том, что для штрафов по некоторым административным составам Роскомнадзору важно получить доказательства нарушения именно от самого бизнеса, а не только по итогам внешнего наблюдения. Если инспектор не получит от бизнеса внятное подтверждение нарушения, он не сможет возбудить дело.