Обработка персональных данных в 2024 году. Топ-4 задач, которые не выполнил бизнес.

В ежедневной работе мы регулярно сталкиваемся с тем, что бизнес не учел изменения в законе “О персональных данных”, вступившие в силу в 2023 году. О них мы писали в этой статье. Самые частые нарушения: не подано уведомления об обработке персональных данных или не соответствующая виду бизнеса политика конфиденциальности. 


Что еще игнорирует бизнес и к каким рискам это ведет.




Не подано уведомление об обработке персональных данных 

В 2023 году вступили в силу изменения, о которых мы ранее писали

Однако в ежедневной работе мы все чаще встречаем, что не каждый бизнес подал уведомление об обработке персональных данных.  

Это можно не делать только если: 

  • Персональные данные, что вы обрабатываете, включены в государственные информационные системы в целях защиты безопасности государства и общественного порядка; 

  • Ваш бизнес не использует при обработке персональных данных средства автоматизации;

  • Ваш бизнес обрабатывает персональные данные в целях исполнения законодательства о транспортной безопасности.



Не размещена актуальная версия политики конфиденциальности 

Ежедневно мы с коллегами проверяем десятки сайтов. В 90% случаев в их политике конфиденциальности:

  • Название не соответствует содержанию

В таких документах обычно содержится все, но нет главного – как обрабатываются персональные данные. Документ может называться “политика конфиденциальности” или “политика обработки персональных данных”. Но с юридической точки зрения его содержательная часть является пользовательским соглашением или оферта. 

Посмотрите этот видеоролик, чтобы понимать сущностное отличие всех документов на сайте.

  • Форма обратной связи есть, а политики нет 

Если пользователь на сайте передает вашему бизнесу имя, фамилию, e-mail – этого достаточно, чтобы считаться оператором персональных данных.
В таком случае необходимо разместить на сайте и политику конфиденциальности, и подать уведомление в Роскомнадзор об обработке персональные данные (см. п. 1 этой статьи). 

В ином случае есть риски блокировки сайта и получения штрафа от 5 до 75 тыс. руб. по разным видам правонарушений.

  • Политика старая 

Законодательство о персональных данных обновляется регулярно, поэтому важно держать руку на пульсе и обновлять свои документы – такое правило касается и политики конфиденциальности в том числе. 

Не обновили документы – повысили риск получения штрафа.


Политика скопирована с сайта бизнеса, который отличается

Бывает, что на сайте все хорошо: не стоят автоматические “галочки” в чек-боксах для обратной связи, оферта правильная и понятная, а вот политика конфиденциальности взята с другого сайта.

Такое встречается, когда сайт создали дизайнеры и программисты, в чей пакет разработки входит однотипная политика для всех клиентов. Это не повод предъявлять им претензии, ведь это не их зона ответственности. Главное в этой ситуации понимать, что если сайт создан с нуля и на нем есть политика конфиденциальности – важно обратиться к юристам. Их задача – проверить ее на соответствие действующему законодательству.


 

Нет поручения на обработку ПД и не указаны необходимые данные 

Иногда бизнес передает персональные данные третьим лицам, но ни в его политике конфиденциальности, ни в иных документах не прописано, что субъект персональных данных дает на это согласие.

Это проблема, потому что поручение на обработку персональных данных – это: 

  • Обязательный документ; 

  • По новым правилам бизнес обязан указывать информацию о передаче персональных данных третьим лицам.

Что именно нужно отражать в поручении ранее писали здесь.

Если в вашем бизнесе еще не разработано такое поручение – это проблема. Его отсутствие приведет к ответственности не только оператора (бизнес), но и обработчика (контрагента).


Автор:

Юрист
Александра Турпанова

В Рунетлексе с 2023 года