Началось: Роскомнадзор приступил к проверкам и начал рассылать предпринимателям первые требования по новому закону

1 сентября заработали новые положения закона о персданных. Для нас всех это новые правила и ответственность — штрафы до 15 000 000 рублей. Подготовиться успели далеко не все.

Сейчас РКН приступил к проверкам и мы уже получили одно из первых «писем счастья». Давайте посмотрим, на что теперь обращает внимание РКН и как не попасть на новые штрафы.

Сначала кратко напомню детали изменений в законах, а потом разберем конкретное предписание.

Изменения в законах по части персданных коснулись практически всех

Проверьте себя:

— Есть форма обратной связи на сайте?
— Собираете заявки через соцсети?
— Ведете базу клиентов в CRM?
— Работаете с юрлицами (записываете ФИО контактных лиц)?
— Используете Google Analytics или Яндекс.Метрику?

Если ответ хотя бы на один вопрос «да» — значит эта история касается и вас.

А использование гугл-аналитики, к слову, по нынешним меркам — трансграничная передача персданных в недружественную страну. Если еще не отключали — отключите.

За что теперь штрафуют: конкретные суммы

Персональные данные — это любая информация, по которой можно определить человека. ФИО, телефон, email. Если их обработка идет неправильно, этого уже достаточно для штрафа (ст. 13.11 КоАП РФ ^[1]).

100-300 тысяч рублей — за неуведомление Роскомнадзора о начале обработки. Да, теперь нужно официально уведомлять власти, что наш сайт собирает контакты.

100-300 тысяч рублей — за сбор данных без согласия пользователя или за избыточный сбор. Например, на сайте нет правильной галочки для выражения согласия на обработку персданных, или документы по персданным составлены неверно.

1 000 000 - 15 000 000 рублей — за утечку персональных данных. Сумма зависит от масштаба утечки

Первая «ласточка» — Роскомнадзор проверил сайт предпринимателя и выдал предписание

Раньше мы читали новые изменения в законах и только предполагали, как Роскомнадзор будет их применять.

Сейчас Роскомнадзор запустил проверки предпринимателей и начал выдавать требования по устранению нарушений.

Одно из первых требований получил предприниматель из Тюмени. У него студия растяжки. У студии есть обычный сайт-лендинг, через который собирают заявки от клиентов.

Никто никуда не жаловался: Роскомнадзор провел проверку сайта по своей инициативе и прислал «письмо счастья».

Давайте посмотрим, на что указал Роскомнадзор, чем могут обернуться найденные нарушения и как их устранить, чтобы не попасть в такую ситуацию.

Расскажу обо всех пунктах, которые отметил РКН и покажу скриншоты из этого документа.

На сайте нет «галочки» для того, чтобы пользователь подтвердил согласие на обработку персданных

По закону предприниматель должен ознакомить посетителя сайта с политикой по персданным и получить согласие. На практике чаще всего на сайтах делают так:

• под кнопкой «оставить заявку» просто ставят ссылки на эти документы

• ставят ссылки и галочку «ознакомлен», которая по умолчанию уже стоит

• ставят ссылки и галочку «ознакомлен», но чтобы заявка отправилась, на галочку нужно кликнуть

Как я рассказывал в прошлых обзорах, варианты «просто ссылки» и даже «предустановленная галочка» — это не является правильным подтверждением согласия.

Роскомнадзор считает, что посетитель сайта, который оставляет заявку, должен иметь возможность вручную ставить галочку, подтверждающую согласие.

Вот как это выглядит не просто в теории и законах, а в требовании Роскомнадзора:

Если на сайте стоит Яндекс.Метрика, то нужно уведомлять посетителей о ее использовании и получать на это согласие

Как показала практика, Роскомнадзор действительно вычитывает документы по обработки персданных на сайте.

В этом случае Роскомнадзор не увидел в документах положений об использовании Яндекс-Метрики. А они там должны были быть.

Роскомнадзор проверяет содержание политики обработки персданных

Условия в политике по персданным не должны идти вразрез с тем, что написано в текущей редакции наших законов.

В этом случае Роскомнадзор обратил внимание на неправильно установленный срок обработки персданных:

Роскомнадзор проверяет фотографии сотрудников

На сайте студии растяжки есть фотографии тренеров. И Роскомнадзор посчитал, что раз фотографии это тоже персданные, то предприниматель должен подтвердить, что его тренеры давали согласие на их использование.

При этом Роскомнадзор указал, что на сайте нет ни подтверждения наличия согласия от тренеров, ни запрета третьим лицам использовать эти фотографии.

Роскомнадзор проверяет, уведомлял ли предприниматель об обработке персданных

У Роскомнадзора есть специальный Реестр операторов, осуществляющих обработку персданных.

По сути, сейчас каждый предприниматель должен уведомить Роскомнадзор об обработке этих самых данных. В противном случае — штраф от 100 до 300 тысяч рублей.

Как показывает практика, Роскомнадзор действительно проверяет, подавал ли предприниматель такое уведомление или нет:

Чем может обернуться такое требование

На исполнение требований Роскомнадзор дает всего 10 рабочих дней. За это время нужно успеть внести все правки в сайт и документы, и уведомить об этом РКН.

Несвоевременное исправление — штраф до 90 тысяч рублей по п.5. ст 13.11 КоАП РФ ^[2].

При этом далеко не факт, что даже выполнив требования Роскомнадзора предприниматель не получит штрафов за выявленные нарушения.

Ведь факт нарушения выявлен и он уже состоялся. Нельзя исключать вероятность того, что за первым требованием придет второе.

Поэтому имеет смысл проверить себя заранее, чтобы не получать такие требования вовсе.

Что должно быть на сайте: 4 обязательных элемента

1. Политика обработки персональных данных

Документ должен содержать:

• общие цели;

• цели сбора персональных данных;

• правовые основания обработки персональных данных

• объем и категории обрабатываемых данных, категории субъектов персональных данных;

• порядок и условия обработки персональных данных;

• актуализация, исправление, удаление и уничтожение данных, ответы на запросы субъектов на доступ к персональным данным.

2. Согласие на обработку персональных данных

Отдельный документ. Это письменное подтверждение, что человек готов передать свои данные.

3. Правильные чекбоксы под всеми формами

Раньше все ставили «Отправляя заявку, вы соглашаетесь...». Теперь так нельзя.

Как должно быть:

• Отдельная галочка под каждой формой

• Галочка НЕ проставлена по умолчанию

• Без галочки форму отправить невозможно

• В тексте ссылки на политику и согласие

4. Уведомление об использовании cookies

Всплывающее окно о том, что сайт использует куки для аналитики и улучшения работы.

На все общие вопросы отвечаю в комментариях.

Если надо спросить что-то частное для себя или своей компании, например, ваше название или лого посмотреть-проверить по настоящим базам, разобраться с регистрацией товарного знака, патентом или судом — пишите мне в личку в телеграме @bchlf ^[3]

Если вам в целом интересна тема защиты своих интеллектуальных прав — у меня есть небольшой телеграм-канал «Клуб правообладателей». ^[4]

Недавно написал и опубликовал в канале небольшую методичку «Как теряют миллионы на компенсациях и штрафах» — без смс и регистраций собрал в табличку типичные ошибки, на которых теряют деньги, и расписал, что по моей практике стоит делать заранее, чтобы не влететь.