Как подготовить сайт к проверке Роскомнадзора
В 2023 году Роскомнадзор начал активно проверять, насколько компании и предприниматели соблюдают законы о персональных данных на своих сайтах. За неполный год ведомство проверило уже больше 5800 сайтов.
В зоне риска владельцы сайтов, которые собирают персональные данные клиентов, — например, их имена и даты рождения вместе с адресами и телефонами. Так, если сайт собирает cookie, но не предупреждает об этом, РКН обратит внимание на это и направит владельцу предписание. В худшем случае бизнесу грозит штраф — до 500 000 ₽, а в скором времени и до 1,5 млн рублей.
Рассказываем, что именно ищут инспекторы Роскомнадзора и как подготовить онлайн‑площадку к их осмотру.
Почему Роскомнадзор вообще проверяет сайты?
Основанием для начала наблюдения Роскомнадзора может быть множество триггеров, например:
- жалоба субъекта персональных данных в Роскомнадзор;
- сообщения в СМИ или интернете о потенциальных нарушениях в сфере персональных данных соответствующей компанией;
- жалоба конкурента в Роскомнадзор на сайт компании и другие.
Инспектор Роскомнадзора может начать проверку, не уведомляя ни прокуратуру, ни администратора сайта, — в рамках так называемого контроля без взаимодействия. Бизнес узнает о происходящем только тогда, когда получит запрос от РКН с просьбой предоставить дополнительные документы и информацию.
Чей сайт может проверить Роскомнадзор?
Любой бизнес, у которого есть сайт или мобильное приложение. Выделить какой‑то определенный сегмент, за которым РКН следит особенно тщательно, нельзя. Среди бизнесов, чьи сайты Роскомнадзор уже проверял в этом году, — салоны красоты, фитнес‑центры, медицинские организации, рестораны и многие другие.
Как часто проходят осмотры?
В этом году Роскомнадзор изучил уже около 5800 сайтов, то есть больше 500 сайтов ежемесячно. В масштабах страны это немного, и прямо сейчас вероятность того, что проверка РКН затронет конкретный сайт, невелика. Однако ранее ведомство оставляло заказ на разработку системы автоматического скрининга сайтов с производительностью до 500 000 осмотров в год. Это позволит кратно увеличить объемы мониторинга РКН в ближайшие годы.
Какие нарушения ищет Роскомнадзор?
Есть четыре группы нарушений, которые интересуют РКН. Это касается:
- правил локализации и трансграничной передачи данных;
- порядка использования cookie‑файлов;
- политики обработки персональных данных;
- получения согласия на обработку данных.
Правила локализации и передачи данных. Персональные данные российских пользователей нужно хранить на серверах в России и не передавать за рубеж. Компании и ИП, которые разобрались с хранением, могут забыть о дополнительных сервисах и допустить передачу данных за границу: например, использовать Google‑формы.
Если РКН найдет такую форму, он задаст бизнесу вопросы о том, где в итоге хранятся данные — в России или за рубежом, и проверит, подавала ли компания уведомление о намерениях совершить трансграничную передачу персональных данных.
Порядок использования cookie. По закону владельцы сайтов обязаны показывать баннер, который информирует пользователя об использовании cookie‑файлов при первом попадании на любую страницу сайта.
Политика обработки персональных данных. Роскомнадзор проверяет политики на соответствие последним изменениям Федерального закона № 152‑ФЗ «О персональных данных».
На сайте нужно предметно описывать обработку персональных данных, а пользователь должен дать на нее согласие, а не просто узнать о том, что его данные обрабатывают.
Мало добавить на сайт политику, нужно детально описать обработку данных для каждой цели. Оптимальное решение — включить в политику выдержку из реестра обработок персональных данных — RoPA, если бизнес ведет такой перечень. В политику нужно включить информацию о субъектах персональных данных, категориях и перечне обрабатываемых данных, способах и сроке их обработки и хранения, порядке уничтожения. Все это нужно сделать в разрезе каждой цели обработки персональных данных.
Согласие на обработку данных. Галочки в форме согласия на обработку персональных данных не могут быть проставлены по умолчанию. Если РКН выявит это, он может наказать владельца такой формы.
Отдельно стоит проверить текст согласия: он должен содержать условия обработки персональных данных. Простой ссылки на политику обработки данных может быть недостаточно.
Что грозит бизнесу за нарушения?
В первую очередь Роскомнадзор направляет владельцам сайтов требования об устранении нарушений в области обработки персональных данных и указывает срок на ответ.
Если ответ не направить своевременно, владельцу сайта грозит штраф:
- индивидуальным предпринимателям — 300—500 ₽;
- малым предприятиям — 1500—2500 ₽;
- средним и крупным компаниям — 3000—5000 ₽.
С 2023 года Роскомнадзор вправе возбуждать административные дела по итогам контроля без взаимодействия. Поэтому у некорректной работы с персональными данными могут быть и более серьезные последствия:
- потеря данных,
- штрафы,
- регулярные проверки РКН.
Потеря данных. Если Роскомнадзор обнаружит, что текст согласия на обработку персональных данных некорректен, данные, собранные в рамках этого согласия, придется удалить в течение 10 рабочих дней. Для формирования новой базы клиентов придется собирать обновленные согласия с нуля.
Штрафы. Нарушение законодательства в области персональных данных — административный проступок. За нарушения, не связанные с получением письменного согласия на обработку, на декабрь 2023 года штрафы для индивидуальных предпринимателей и малого бизнеса по закону могут достигать 100 000 ₽, для средних и крупных компаний — 300 000 ₽.
Более серьезные штрафы предусмотрены за обработку персональных данных без согласия их обладателя в письменной форме, если такое согласие требуется. ИП и малый бизнес могут оштрафовать на сумму до 300 000 ₽, а средние и крупные компании — до 500 000 ₽.
До конца 2023 года может вступить в силу закон, увеличивающий штрафы. За сбор персональных данных без согласия ИП будет грозить штраф от 100 000 до 300 000 ₽, малым предприятиям — от 150 000 до 350 000 ₽, остальным компаниям — от 300 000 до 700 000 ₽. При повторном нарушении ИП и малый бизнес могут оштрафовать на сумму от 500 000 до 1 000 000 ₽, а средние и крупные предприятия — на 1 000 000—1 500 000 ₽.
Регулярные проверки РКН. Если компания или ИП допустили несколько нарушений в работе с персональными данными, их уровень риска в глазах Роскомнадзора растет. Бизнес с высоким уровнем риска может проходить через регулярные плановые проверки РКН раз в два года, а с разрешения прокуратуры ведомство вправе прийти и с внеплановой проверкой.
Что делать, чтобы у Роскомнадзора не было претензий?
Порядок действий зависит от внутреннего устройства вашего сайта. Нужно проверить его по всем возможным сценариям использования и разным ролям, если таковые предусмотрены пользовательским путем. В итоге вы поймете уровень уязвимости вашего сайта, какие риски у него есть, и, конечно же, главное: что надо сделать, чтобы их исключить.
Если компания или ИП уже получили запрос от Роскомнадзора по итогам проверки, лучше подготовить ответ на него с юристами. Дело в том, что для штрафов по некоторым административным составам Роскомнадзору важно получить доказательства нарушения именно от самого бизнеса, а не только по итогам внешнего наблюдения. Если инспектор не получит от бизнеса внятное подтверждение нарушения, он не сможет возбудить дело.
А вы сталкивались с проверками РКН? Расскажите в комментариях, как все прошло.