В ежедневной работе мы регулярно сталкиваемся с тем, что бизнес не учел изменения в законе “О персональных данных”, вступившие в силу в 2023 году. О них мы писали в этой статье. Самые частые нарушения: не подано уведомления об обработке персональных данных или не соответствующая виду бизнеса политика конфиденциальности.
Что еще игнорирует бизнес и к каким рискам это ведет.
Не подано уведомление об обработке персональных данных
В 2023 году вступили в силу изменения, о которых мы ранее писали.
Однако в ежедневной работе мы все чаще встречаем, что не каждый бизнес подал уведомление об обработке персональных данных.
Это можно не делать только если:
Персональные данные, что вы обрабатываете, включены в государственные информационные системы в целях защиты безопасности государства и общественного порядка;
Ваш бизнес не использует при обработке персональных данных средства автоматизации;
Ваш бизнес обрабатывает персональные данные в целях исполнения законодательства о транспортной безопасности.
Не размещена актуальная версия политики конфиденциальности
Ежедневно мы с коллегами проверяем десятки сайтов. В 90% случаев в их политике конфиденциальности:
Название не соответствует содержанию
В таких документах обычно содержится все, но нет главного – как обрабатываются персональные данные. Документ может называться “политика конфиденциальности” или “политика обработки персональных данных”. Но с юридической точки зрения его содержательная часть является пользовательским соглашением или оферта.
Посмотрите этот видеоролик, чтобы понимать сущностное отличие всех документов на сайте.
Форма обратной связи есть, а политики нет
Если пользователь на сайте передает вашему бизнесу имя, фамилию, e-mail – этого достаточно, чтобы считаться оператором персональных данных.
В таком случае необходимо разместить на сайте и политику конфиденциальности, и подать уведомление в Роскомнадзор об обработке персональные данные (см. п. 1 этой статьи).
В ином случае есть риски блокировки сайта и получения штрафа от 5 до 75 тыс. руб. по разным видам правонарушений.
Политика старая
Законодательство о персональных данных обновляется регулярно, поэтому важно держать руку на пульсе и обновлять свои документы – такое правило касается и политики конфиденциальности в том числе.
Не обновили документы – повысили риск получения штрафа.
Политика скопирована с сайта бизнеса, который отличается
Бывает, что на сайте все хорошо: не стоят автоматические “галочки” в чек-боксах для обратной связи, оферта правильная и понятная, а вот политика конфиденциальности взята с другого сайта.
Такое встречается, когда сайт создали дизайнеры и программисты, в чей пакет разработки входит однотипная политика для всех клиентов. Это не повод предъявлять им претензии, ведь это не их зона ответственности. Главное в этой ситуации понимать, что если сайт создан с нуля и на нем есть политика конфиденциальности – важно обратиться к юристам. Их задача – проверить ее на соответствие действующему законодательству.
Нет поручения на обработку ПД и не указаны необходимые данные
Иногда бизнес передает персональные данные третьим лицам, но ни в его политике конфиденциальности, ни в иных документах не прописано, что субъект персональных данных дает на это согласие.
Это проблема, потому что поручение на обработку персональных данных – это:
Обязательный документ;
По новым правилам бизнес обязан указывать информацию о передаче персональных данных третьим лицам.
Что именно нужно отражать в поручении ранее писали здесь.
Если в вашем бизнесе еще не разработано такое поручение – это проблема. Его отсутствие приведет к ответственности не только оператора (бизнес), но и обработчика (контрагента).