база знаний
Смотреть все
вернуться назад

РКН массово проверяет сайты: 8 самых частых нарушений и как их исправить

Автор:

Юрист по работе с персональными данными
Юлия Аммосова

В последние месяцы мы фиксируем волну проверок сайтов со стороны Роскомнадзора. Регулятор автоматически сканирует сайты компаний на соблюдение законодательства о персональных данных и направляет требования об устранении выявленных нарушений.

Под раздачу попадают все: от микробизнеса до крупных компаний. Никто не застрахован, поскольку алгоритмы РКН не выбирают «жертв» по обороту или известности бренда.

Мы проанализировали требования, которые получили компании, обратившиеся к нам за помощью, и собрали 8 самых частых нарушений. Разбираем каждое и рассказываем, как их закрыть.


1. Google Analytics без уведомления о трансграничной передаче


Самое массовое нарушение. РКН автоматически определяет наличие на сайте Google Analytics (Facebook Pixel и других иностранных аналитических сервисов) и направляет требование.

Логика регулятора простая: данные посетителей сайта уходят на серверы Google за пределы РФ, значит, имеет место трансграничная передача персональных данных. А о ней нужно уведомлять РКН.


Как решить:

Есть два варианта.

  1. Отключить Google Analytics и заменить его на российский аналог.
  2. Продолжить применять Google Analytics и подать уведомление о трансграничной передаче персональных данных в РКН. В уведомлении указать перечень иностранных государств, цели передачи, категории данных и субъектов, правовое основание.

На текущий момент подача уведомления снимает претензии РКН, но практика может измениться.


2. Отсутствие куки-баннера или уведомительный баннер вместо согласительного


Многие компании размещают на сайте баннер с текстом вроде «Мы используем cookie-файлы». Это уведомительный баннер — он информирует пользователя, но не собирает согласие.

С точки зрения РКН такой баннер не является правовым основанием для обработки cookie-файлов, которые относятся к персональным данным. То есть нарушение есть и в том случае, если баннера нет совсем, и в том случае, если он только уведомляет.


Как решить:

Заменить уведомительный баннер на согласительный. Он должен не информировать, а собирать активное согласие пользователя на обработку cookie-файлов.

Пример корректной формулировки (пример от самого РКН):

«Продолжая использовать сайт, Вы соглашаетесь с обработкой персональных данных, собираемых посредством метрической программы «Яндекс Метрика», в целях аналитики посещаемости сайта. Политика конфиденциальности (гиперссылка)»

Текст должен содержать ссылку на политику обработки персональных данных.

Важно: в этом случае РКН дополнительно требует уничтожить неправомерно собранные cookie-файлы и направить подтверждение об уничтожении.


3. Сроки обработки в политике неопределённые или бессрочные


Регулятор требует, чтобы по каждой цели обработки был установлен конкретный срок, который можно обосновать.


Как решить:

Установить точные сроки по каждой цели обработки. Сроки должны быть такими, чтобы можно было явно аргументировать, почему срок именно такой.

Например, «3 года с момента прекращения договора» — соответствует общему сроку исковой давности.


4. Политика опубликована не на всех страницах, где собираются персональные данные


Часто политика конфиденциальности размещается только на главной странице или на странице «О компании». Но если на сайте есть другие страницы с формами обратной связи, регистрации, оформления заказа — на каждой из них тоже должна быть ссылка на политику.

РКН проверяет наличие политики именно на тех страницах, где происходит сбор данных.


Как решить:

Разместить ссылку на политику обработки персональных данных на всех страницах сайта, где есть формы сбора данных. Самый надёжный способ — добавить ссылку в футер, который отображается на каждой странице.


5. Используются рекомендательные технологии, но нет документа о правилах их применения


Если сайт использует алгоритмы, которые подбирают пользователю контент, товары или услуги на основе его действий и интересов, это считается применением рекомендательных технологий. В таком случае владелец сайта обязан не только разработать и опубликовать правила их применения, но и явно уведомить пользователей о том, что такие технологии используются.


Как решить:

1. Разработать правила применения рекомендательных технологий. В документе необходимо указать:

какие рекомендательные технологии используются;

какие данные применяются для формирования рекомендаций;

цели использования таких технологий;

порядок отказа пользователя от рекомендаций.


2. Добавить в футер сайта формулировку:

«На информационном ресурсе применяются рекомендательные технологии»  с гиперссылкой на сами правила.


6. Уведомление в реестр операторов РКН не подано или подано неправильно


РКН проверяет не только документы на сайте, но и наличие компании в реестре операторов персональных данных. Если компания собирает данные пользователей через формы на сайте, но при этом не подала уведомление в РКН — это считается нарушением. Важно, чтобы уведомление было составлено правильно и соответствовало всем процессам обработки ПД в компании.


Как решить:

  1. Подать уведомление, если не подали до этого момента.
  2. Проверить, соответствует ли ваше уведомление требованиям РКН. Подробнее об уведомлении Роскомнадзора мы рассказываем здесь.


7. В политике отсутствуют цели, перечень ПД и сроки обработки по всем процессам обработки ПД сайта


Шаблонная политика, скачанная из интернета, почти всегда содержит общие формулировки. Но РКН требует, чтобы политика отражала реальные процессы обработки на конкретном сайте.

Если на сайте есть форма заявки, форма подписки на рассылку, личный кабинет, форма обратной связи — каждый из этих процессов должен быть описан в политике с указанием:

  • цели обработки;
  • перечня обрабатываемых данных;
  • сроков обработки;
  • правового основания.


Как решить:

Провести аудит сайта: какие формы есть, какие данные собираются, для каких целей. На основе аудита переписать политику так, чтобы она отражала реальную картину обработки данных на сайте.


8. Отсутствует согласие или иное правовое основание под формой сбора ПД


Под каждой формой сбора данных на сайте должно быть указано правовое основание обработки. Если его нет — РКН считает, что данные собираются без законных оснований.


Как решить:

Под каждой формой сбора данных разместить:

  • согласие на обработку персональных данных со ссылкой на текст согласия, либо
  • ссылку на иное правовое основание — оферту, пользовательское соглашение и так далее.


Что делать прямо сейчас


  1. Проведите экспресс-аудит сайта по всем перечисленным пунктам. Многие нарушения видны невооружённым глазом — например, отсутствие согласительного куки-баннера.
  2. Проверьте наличие иностранных сервисов аналитики на сайте. Если они есть — решите, отключать или подавать уведомление о трансграничной передаче.
  3. Сверьте политику с реальными процессами на сайте.
  4. Проверьте, что под каждой формой есть правовое основание обработки данных.

Лучше выявить и закрыть нарушения самостоятельно, чем получить требование от РКН с жёстким сроком на исправление и риском штрафа.



Если вам нужна помощь в проверке сайта и устранении нарушений — приходите на бесплатную консультацию.

Свяжитесь с нами


info@runetlex.ru

Москва,
Летниковская, 16

Социальные сети

Youtube
Telegram

Договоры
Оферты
Кадровые документы
Конфликты
Абонентская поддержка
Дизайн
Регистрация
Маркировка рекламы
Персональные данные
Оставить заявку