В 2023 году Роскомнадзор изучил около 6000 сайтов - больше 500 сайтов в месяц. В настоящее время РКН планирует увеличить объем проверок до 500 000 осмотров в год за счет внедрения автоматизированной системы скрининга сайтов.

Кого проверяет РКН?

Любой бизнес, у которого есть сайт или мобильное приложение. При этом мы можем выделить сегмент B2C, как высокорисковый из-за объема обрабатываемых персональных данных. Согласно данным, которые выкладывает РКН в своих отчетах, объектами проверок становились онлайн-магазины, салоны красоты, фитнес-центры, медицинские организации, рестораны и многие другие.

Основание для проверки сайта.

Для начала наблюдения Роскомнадзора может быть множество триггеров, например:

• жалоба субъекта персональных данных в Роскомнадзор;

• сообщения в СМИ или интернете о потенциальных нарушениях в сфере персональных данных соответствующей компанией;

• жалоба конкурента в Роскомнадзор на сайт компании и другие.

Инспектор Роскомнадзора может начать проверку, не уведомляя ни прокуратуру, ни администратора сайта, — в рамках так называемого контроля без взаимодействия. Бизнес узнает о происходящем только тогда, когда получит запрос от РКН с просьбой предоставить дополнительные документы и информацию.

Какие нарушения ищет Роскомнадзор?

1) Политика обработки персональных данных.

РКН проверяет политики на соответствие закону от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – 152-ФЗ). Мало добавить на сайт политику (хотя многие не делают даже этого, ограничиваясь пользовательским соглашением), нужно детально описать обработку данных для каждой цели. Оптимальное решение — включить в политику выдержку из реестра обработок персональных данных — RoPA, если бизнес ведет такой перечень. В политику нужно включить информацию о субъектах персональных данных, категориях и перечне обрабатываемых данных, способах и сроке их обработки и хранения, порядке уничтожения. Все это нужно сделать в разрезе каждой цели обработки персональных данных.

2) Согласие на обработку данных.

Галочки в форме согласия на обработку персональных данных не могут быть проставлены по умолчанию – можно считать такой промах красным флагом для РКН. В свою очередь текст согласия должен содержать условия обработки персональных данных. Простой ссылки на политику обработки данных сейчас уже недостаточно. Также, как и недостаточно «вшить» текст согласия в Политику или Оферту/Пользовательское соглашение.

3) Порядок обработки cookies посетителей сайта

По закону владельцы сайтов обязаны показывать баннер, который информирует пользователя об использовании cookie-файлов при первом попадании на любую страницу сайта. Но многие ограничиваются только этим, забывая, что cookies являются полноценными персданными и порядок их обработки также должен быть описан в Политике, а пользователь сайта должен дать согласие на такую обработку.

4) Правила локализации и передачи данных.

Базы данных, содержащие персональные данные российских пользователей должны храниться на серверах в России. Любая передача данных за пределы РФ квалифицируется, как трансграничная передача. Компании, которые разобрались с хранением, могут забыть о дополнительных сервисах и фактически передавать данные за границу: например, использовать Google-формы. Если РКН найдет такую форму, он задаст бизнесу вопросы о том, где в итоге хранятся данные — в России или за рубежом, и проверит, подавала ли компания уведомление о намерениях совершить трансграничную передачу персональных данных.

Последствия для бизнеса

С 2023 года Роскомнадзор вправе возбуждать административные дела по итогам контроля без взаимодействия с проверяемый субъектом. Поэтому у некорректной работы с персональными данными могут быть и более серьезные последствия:

Потеря данных. Если Роскомнадзор обнаружит, что текст согласия на обработку персональных данных некорректен, данные, собранные в рамках этого согласия, придется удалить в течение 10 рабочих дней. Для формирования новой базы клиентов придется собирать обновленные согласия с нуля.

Штрафы. Нарушение законодательства в области персональных данных — административный проступок, предусматривающий санкции в виде штрафов. В настоящее время за нарушение требований к письменному согласию на обработку ПД предусмотрен максимальный размер штрафа – до 1,5 млн. руб., за нелокализацию данных – до 18 млн. руб., обработка избыточных данных – до 300 тыс. руб.

Блокировка сайта. РКН вправе инициировать процедуру блокировки сайта или приложения за нарушение законодательства о персональных данных.

Регулярные проверки РКН. Если компания допустила несколько нарушений в работе с персональными данными, уровень риска в глазах Роскомнадзора растет. Несмотря на то, что формально еще действует мораторий на плановые проверки бизнеса со стороны РКН, внеплановые проверки носят регулярный характер. Одним из оснований внеплановой проверки может стать мониторинг сайта.

Что сделать, чтобы избежать штрафов и претензий?

Порядок действий зависит от внутреннего устройства вашего сайта. Нужно проверить его по всем возможным сценариям использования и разным ролям, если таковые предусмотрены пользовательским путем. В итоге вы поймете уровень уязвимости вашего сайта, какие риски у него есть, и, конечно же, главное: что надо сделать, чтобы их исключить. Сайт компании: что проверить, чтобы не получить претензию или штраф.

Если компания уже получила запрос от РКН по итогам проверки, лучше всего подготовить ответ на него совместно с юристами.  По итогам мониторинга зачастую Роскомнадзор формирует запрос таким образом, чтобы получить дополнительные доказательства нарушения именно от самого бизнеса.