Где Privacy ломается чаще всего❓
(Спасибо, что делаете наш адвент живым. Без вас он был бы просто серией постов ❤️)
Сайты и мобильные приложения давно стали витриной обработки персональных данных. И именно здесь чаще всего возникают нарушения:
⚫️ избыточный сбор ПДн,
⚫️ некорректно составленные согласия,
⚫️ отсутствие политики на сайте,
⚫️ неправильно оформленный процесс сбора данных при помощи cookie-файлов.
Роскомнадзор располагает автоматизированной системой, которая анализирует сайты и фиксирует подобные нарушения без участия человека, что может стать неприятным сюрпризом для оператора в преддверии новогодних праздников.
Не ждите, когда придет штраф! Включайте уведомления и зовите коллег. В эту пятницу, 19 декабря, мы вновь соберем на вебинаре "Защита персональных данных на внешнем контуре компании: сайты и мобильные приложения" все материалы адвента и разберем практическое применение чек-листа по внешнему контуру.
Чтобы внешний контур соответствовал 152-ФЗ, важно привести базовые вещи в порядок❗️
Что следует проверить в первую очередь:
1️⃣ Хостинг сайта
Хостинг сайта должен быть расположен на территории Российской Федерации, в ином случае это может указывать на осуществление оператором трансграничной передачи и несоблюдение требований о локализации ПДн.
2️⃣ Формы сбора ПДн
🔵 Собирайте только то, что нужно для цели;
🔵 Размещайте правовое основание: согласие или договор (Оферта/Пользовательское соглашение).
3️⃣ Политика обработки ПДн на сайте/в приложении
🔵 Должна быть актуальной и понятной (об этом мы говорили в посте от 03.12).
🔵 Должна описывать реальные процессы: цели, перечень обрабатываемых персональных данных, категории субъектов, персональные данные которых обрабатываются, способы, сроки их обработки и хранения, порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований;
🔵 Должна быть размещена на каждой странице, где происходит сбор ПДн, и так, чтобы пользователь действительно мог ее увидеть;
🔵 Отсутствие “насильственного” ознакомления пользователя с политикой - ознакомление с этим документом является правомочием, но не обязанностью субъекта ПДн.
4️⃣ Cookie-файлы и аналитика
🔵 Порядок обработки данных, собираемых при помощи cookie-файлов, должен быть описан либо в политике, либо выделен в отдельный документ;
🔵 Иностранные сервисы аналитики могут рассматриваться Роскомнадзором как осуществление оператором трансграничной передачи или нарушение требований о локализации, следовательно оператору необходимо иметь возможность обосновать отсутствие таких нарушений.
5️⃣ Мобильное приложение
По сути к мобильным приложениям применимо все то же, что и для сайтов:
🔵 В политике (или отдельном документе) должны быть четко описаны данные, которые собираются технически: токены устройств, данные телеметрии, логи;
🔵 Политика должна быть доступна пользователю внутри приложения.
🔵 Если в приложении есть SDK сторонних сервисов, то необходимо проверить соблюдение требований к трансграничной передаче ПДн и локализации.
Внешний контур — зона повышенного внимания. Так пусть она будет под контролем 👍
