В «Учётку» обратился клиент, который оказывает услуги другим компаниям. Руководитель получил письмо из Роскомнадзора (РКН), в котором на нескольких листах описывались проблемы сайта компании. По мнению контролирующего органа, сайт работает с нарушениями, которые нужно устранить в кратчайшие строки, чтобы избежать штрафов.
🕵♂ Какие проблемы выявил РКН?
Письмо содержало следующие нарушения 152-ФЗ:
- Сайт собирает данные пользователей, но без правовых оснований (Формы сбора данных «Написать вопрос», «Оставить заявку» и т.п. не содержали ссылок на правовые основания: политику в области обработки персональных данных и другие документы).
- В Политике не указаны сроки хранения и обработки персональных данных.
- Пользователи сайта не уведомлялись надлежащим образом о сборе этих данных,
- На сайте были обнаружены сторонние счётчики трафика, которые отслеживали поведение пользователей без уведомления и согласия,
- Использовался счётчик Google Analytics. Это – зарубежный сервис. По закону, чтобы его использовать на сайте, необходимо отдельно заранее уведомлять об этом Роскомнадзор.
- На сайте были опубликованы имена, контакты и фотографии сотрудников (то есть, их персональные данные). Эти сотрудники должны дать на это своё письменное согласие.
- Наконец, уведомление в РКН об обработке персональных данных устарело и не содержало актуальной информации.
Все эти нарушения грозили штрафами до нескольких сотен тысяч рублей, возможной блокировкой сайта и серьёзными репутационными потерями.
📋 Что сделали
1. Правовая упаковка. Переработали документы в области обработки персональных данных: структурировали по целям обработки, добавили сроки хранения для каждого сценария. Обновили форму согласия: убрали формулировку «без предельных сроков», прописали конкретные периоды. Разместили ссылки на документы рядом с каждой формой.
2. Техническая реализация. Настроили баннер-уведомление, которое предупреждает всех новых посетителей сайта о применяемых на сайте cookies и метрических счётчиках. Google Analytics отключили, перешли на Яндекс.Метрику с корректной настройкой — это устранило риски трансграничной передачи.
3. Работа с данными сотрудников. Собрали письменные согласия на публикацию ФИО, должностей и фотографий. До получения всех согласий временно обезличили карточки (убрали фото и полные имена).
4. Взаимодействие с регулятором. Подали в Роскомнадзор уточняющее уведомление: добавили цели обработки, категории, перечень обрабатываемых данных. Подготовили пакет документов для подтверждения исполнения предписания.
5. Внутренние процессы. Разработали внутренние нормативные документы по работе с персональными данными.
✅ Результат
За отведённые требованием 10 дней сайт полностью приведён в соответствие с 152-ФЗ. Все формы сбора данных получили правовые основания и ссылки на документы. Пользователи видят баннер cookies и информацию о метриках. Риски трансграничной передачи устранены. Сроки хранения данных конкретизированы, согласия сотрудников оформлены. Уведомление в Роскомнадзор актуализировано. Клиент избежал штрафов, сохранил репутацию и получил работающий сайт.
👀 Что можете сделать вы?
Не дожидайтесь письма из Роскомнадзора! Приведите свой сайт, своё интернет-представительство в порядок заранее! Поставьте лайк, чтобы сохранить пост и поделитесь им с теми, кому эта информация может быть полезна.