Обработка персональных данных: как защититься от штрафа

Прошлогодние поправки к 152-ФЗ – не последние, ужесточение политики в отношении ПДн продолжится. Подробный чек-лист поможет сайту компании пройти проверку без штрафа.

В прошлой статье мы рассмотрели актуальные изменения в порядке правового регулирования обработки персональных данных. Сейчас, когда волнение, вызванное прошлогодними поправками к 152-ФЗ улеглось, владельцам сайтов особенно важно не терять бдительности – санкции явно ужесточили не в последний раз.

Пока штрафы выдают только за факт нарушения пунктов статьи 13.11 КоАП, но ситуация может вскоре измениться.

В День открытых дверей, который прошел 30 января 2018 года в центральном аппарате Роскомнадзора, представители регулятора рассказали, что трактовка пресловутой статьи 13.11 уже позволяет штрафовать организации за каждое из выявленных нарушений в отдельности. Например, за каждое неверно подписанное согласие – и без того возросшие суммы штрафов увеличатся в разы.

Предлагаем еще раз пройтись по пунктам чек-листа и убедиться, что сайт компании в безопасности. Итак, что делать, чтобы пройти проверку Роскомнадзора без потерь?

Перенести сайт в Россию и узнать адрес сервера

Базы персональных данных должны не только собираться, но и обрабатываться на территории России. Роскомнадзор может легко проверить информацию о местонахождении сервера, сделав запрос операторам связи.

Убедитесь, что сервер находится внутри страны и выясните его точный физический адрес, вплоть до здания.

Информацию можно запросить у техподдержки хостинг-провайдера или ЦОДа (центра обработки данных).

Подать уведомление об обработке ПДн в Роскомнадзор

Согласно закону “О персональных данных”, занятые в обработке компании обязаны уведомить о своей деятельности Роскомнадзор.

Отсутствие записи в Реестре – гарантированный штраф при проверке.

Уведомление в региональное отделение можно направить в электронном или печатном виде. После рассмотрения заявки РКН зарегистрирует компанию в Реестре операторов, осуществляющих обработку персональных данных.

Разработать Политику в отношении обработки ПДн и разместить ее в свободном доступе на сайте

В 2017 году 82% нарушений, выявленных Роскомнадзором, были связаны с отсутствием или ограничением доступа к этому документу.

Многие владельцы сайтов ошибочно посчитали, что достаточно “Политики конфиденциальности” и воспользовались шаблонами, свободно распространяемыми в интернете.

Чтобы избежать санкций:

  • документ должен иметь название “Политика в отношении обработки персональных данных” и отражать виды обрабатываемых ПДн и цели обработки;
  • “Политику” должен утвердить приказом владелец сайта;
  • документ должен располагаться в свободном доступе в офисе, на сайте и в мобильном приложении компании (например, можно оставить ссылку в футере).

В 2018 году появились и новые аспекты.

  • Во-первых, РКН разработал рекомендации по составлению “Политики”. Если раньше контролер проверял только наличие документа и доступ к нему, то теперь внимание будут обращать и на содержание.

Правовой статус рекомендаций пока неясен, но если нормы законодательно закрепят, то документ станет объемнее и будет требовать постоянного обновления.

В “Политике” лучше заранее указать состав ПДн, все цели, действия и условия прекращения обработки, а также сведения о привлекаемых к обработке третьих лицах.

Во-вторых, с перечнем персональных данных легко ошибиться уже сейчас. После того, как Роскомнадзор фактически приравнял пользовательские данные к персональным, в документе нужно отразить и их.

Уведомлять пользователей об обработке ПДн

Проще и доступнее всего реализовать уведомление в виде дисклеймера на сайте. Текст предупреждения должен сообщать посетителю о том, что его данные обрабатываются и передаются аналитическим системам.

Дисклеймер поможет избежать штрафа и в том случае, если на сайте установлены системы аналитики: Google Analytics, Яндекс Метрика или любые другие.

Закон признает дисклеймер формой согласия.

Получить согласие на обработку от пользователей

Под каждой формой сбора данных нужно разместить текст соглашения или интерактивное поле, содержащее ссылку на “Политику”. IP-адреса выразивших согласие посетителей необходимо сохранять.

Распространенная практика, когда под всеми формами сбора прописан текст одного согласия на обработку, больше недопустима.

Разные формы собирают информацию в разных целях: для email-рассылок, звонков, пуш-уведомлений, отправки прайс-листов или буклетов и так далее. Каждому виду цели должно соответствовать отдельное согласие. За идентичный текст на оператора налагаются штрафы.

Оставить email для связи с пользователями

Федеральный закон дает пользователям право запрашивать сведения об обработке их персональных данных, а также требовать их удаления или блокировки.

Чтобы оперативно реагировать на запросы, лучше создать отдельный email-ящик для работы с обращениями физлиц.

В общей почте письмо рискует затеряться.

Заключить договор безопасности с подрядчиками

Закон предписывает заключать соглашения об обеспечении безопасности ПДн со всеми третьими лицами, которых оператор привлекает в процессе обработки.

Например, такое соглашение придется подписать с агентством разработки или технической поддержки сайта, имеющим доступ к ПДн из базы данных или заявок.

Текст соглашения должен указывать перечень данных, доступных третьим лицам, цели их обработки и требования по защите ПДн.

Выполнив рекомендации каждого из представленных пунктов, владелец сайта сможет уберечь организацию от штрафов и блокировки. Но, разумеется, кому-то повезло чуть меньше – в наиболее неоднозначной ситуации оказались те, кто использует в работе облачные CRM. О способах защиты их ресурсов поговорим отдельно в следующем материале.