Т—Ж
Написать
Приложение Т—Ж
В нем читать удобнее
Перейти
Т—Ж
Написать
Роскомнадзор начал проверять сайты и искать нарушения при обработке пер­сональных данных
Бизнес
23K
Фотография — paul harizan / Getty Images

Роскомнадзор начал проверять сайты и искать нарушения при обработке пер­сональных данных

Что проверяют и чем это грозит
41
Аватар автора

Алексей Башук

юрист

Страница автора

После вступления в силу изменений в законе о персональных данных у бизнеса появилось больше обязанностей, но было неясно, как именно Роскомнадзор будет применять новые правила.

В октябре ведомство начало проверять сайты и рассылать требования об устранении нарушений. Одно из таких писем получил мой клиент — владелец студии растяжки из Тюмени. РКН проверил лендинг, через который клиенты оставляют заявки.

Расскажу, какие ошибки нашел Роскомнадзор и как действовать, если аналогичное письмо пришло вам.

Рассылка о том, как жить и богатеть
Лучшая статья недели — в вашей почте раз в месяц по средам. Бесплатно
Подписываясь, вы принимаете условия передачи данных и политику конфиденциальности

Как правильно подтверждать согласие на обработку персональных данных

Владелец сайта обязан ознакомить пользователя с политикой обработки персональных данных  и получить от него согласие на их использование.

Обычно под формами обратной связи, заявок или подписки пишут фразу: «Нажимая на кнопку, вы соглашаетесь с условиями политики обработки персональных данных», добавляют ссылку на документ и уже отмеченную галочку согласия. То есть кликать на нее пользователю не нужно. Оказалось, галочка не должна стоять по умолчанию.

Официальное описание нарушения звучит расплывчато, но в нашем случае это касалось предустановленной галочки
Официальное описание нарушения звучит расплывчато, но в нашем случае это касалось предустановленной галочки
Речь идет о такой галочке. Пользователь должен сам кликнуть на нее
Речь идет о такой галочке. Пользователь должен сам кликнуть на нее

Что делать, если на сайте установлена «Яндекс Метрика»

Роскомнадзор не просто проверяет наличие необходимых документов на сайте, но и читает их. В нашем случае ведомство заметило, что в политике обработки персональных данных нет пунктов об использовании «Яндекс Метрики».

Чтобы избежать нарушений, добавьте в документ формулировку о применении этого сервиса, например:

«На сайте подключен сервис аналитики „Яндекс Метрика“, который помогает оценивать эффективность работы и поведение пользователей. Сервис может собирать обезличенные данные — cookies, IP-адрес и информацию о действиях посетителя. Продолжая использовать сайт, вы подтверждаете согласие на обработку своих персональных данных с применением данного сервиса».

Вот что об этом нарушении написал Роскомнадзор
Вот что об этом нарушении написал Роскомнадзор

Как правильно установить срок обработки персональных данных

Роскомнадзор обратил внимание на неправильно установленный срок обработки персональных данных. ​​По закону он не может быть бессрочным или необоснованно длинным — например, просто «10 лет» без объяснения.

Срок хранения должен быть связан с целью обработки: например, пока действует договор, пока пользователь не отзовет согласие или в течение трех лет после завершения отношений. Потом данные нужно удалить или обезличить  .

Можно написать так:

«Срок обработки и хранения персональных данных: до момента, когда пользователь направит требование об их удалении или отзыве согласия, либо в течение трех лет после завершения договорных отношений, либо до прекращения деятельности ИП».

Так РКН отметил, что срок обработки персональных данных указан некорректно
Так РКН отметил, что срок обработки персональных данных указан некорректно

Что делать, если на сайте есть фотографии сотрудников

Студия растяжки разместила на лендинге фотографии тренеров. Изображения людей — тоже персональные данные. ИП или компания должны подтвердить, что у них есть согласие тренеров на использование фото. А в политике обработки персональных данных нужно прописать запрет на использование этих изображений третьими лицами.

Получите письменное согласие сотрудников. Укажите, где и как будете использовать фотографии — на сайте, в соцсетях, а также срок действия согласия и право сотрудника отозвать его.

Пример формулировки:

«Я, Легостаев Иван Петрович, даю согласие ИП Вахтерову Леониду Витальевичу на использование моего изображения в составе фотографий, размещаемых на сайте „растяжка.ру“ и в официальных аккаунтах бизнеса в соцсетях, сроком на три года».

Обложка статьи
Как оформлять согласие на обра­ботку персональных данных с 1 сентября 2025 года?
2

Храните согласия вместе с другими документами по персональным данным. Например, в отдельной папке. Документы могут понадобиться при проверке.

Добавьте в документы на сайте фразу вроде: «Все изображения сотрудников опубликованы с их письменного согласия. Копирование и использование фотографий третьими лицами запрещено».

Так нарушение, связанное с фотографиями тренеров, отметил РКН
Так нарушение, связанное с фотографиями тренеров, отметил РКН

Проверяет ли Роскомнадзор, подано ли уведомление об обработке персональных данных

Роскомнадзор ведет реестр операторов, которые собирают и обрабатывают персональные данные, например, через формы заявок на сайте. Почти все предприниматели и компании, работающие с такими данными, обязаны уведомить об этом ведомство  . Иначе можно получить штраф от 100 000 до 300 000 ₽.

При проверке сайтов Роскомнадзор смотрит, подавал ли бизнес уведомление.

Чтобы избежать нарушений, направьте документ одним из способов:

  1. По почте. Заполните электронную форму на сайте РКН, распечатайте и отправьте в региональное управление Роскомнадзора.
  2. На сайте Роскомнадзора. Понадобится усиленная квалифицированная электронная подпись, УКЭП.
  3. Через портал госуслуг.
Как видно из требования, Роскомнадзор проверяет, есть ли ИП либо компания в реестре операторов персональных данных
Как видно из требования, Роскомнадзор проверяет, есть ли ИП либо компания в реестре операторов персональных данных

Чем может обернуться требование РКН об устранении нарушений

На исполнение требования Роскомнадзора есть 10 рабочих дней  . За это время нужно внести правки на сайт, обновить документы и сообщить ведомству, что все исправлено.

В своем требовании Роскомнадзор указал — если все не исправить вовремя, штраф могут назначить согласно ч. 5 ст. 13.11 КоАП РФ: для ИП и малых предприятий — от 20 000 до 40 000 ₽, для средних и крупных компаний — от 50 000 до 90 000 ₽. Но на практике есть и другие статьи, которые могут применять в этом случае.

Кроме того, есть наказания и за сам факт нарушений при обработке персональных данных. То, что их устранили, не гарантирует, что штрафы не назначат: все ошибки уже зафиксировали. Лучше не ждать проверки и заранее все исправить.

Некоторые штрафы за неправильную обработку персональных данных

За что штрафуютСумма штрафа
Неуведомление или несвоевременное уведомление Роскомнадзора о намерении обрабатывать персональные данные (ч. 10 ст. 13.11 КоАП РФ)Для всех компаний и ИП — 100 000—300 000 ₽
Сбор данных без согласия пользователя или избыточный сбор. Например, на сайте нет правильной галочки для выражения согласия на обработку персональных данных или документы по персданным составлены неверно (ч. 2 ст. 13.11 КоАП РФ)• Для ИП — 100 000—300 000 ₽
• Для малых предприятий — 150 000—350 000 ₽
• Для средних и крупных компаний — 300 000—700 000 ₽
Утечка персональных данных (ч. 12—14 ст. 13.11 КоАП РФ)Для всех компаний и ИП — 1 000 000—15 000 0000 ₽

Некоторые штрафы за неправильную обработку персональных данных

За что штрафуютСумма штрафа
Неуведомление или несвоевременное уведомление Роскомнадзора о намерении обрабатывать персональные данные (ч. 10 ст. 13.11 КоАП РФ)Для всех компаний и ИП — 100 000—300 000 ₽
Сбор данных без согласия пользователя или избыточный сбор. Например, на сайте нет правильной галочки для выражения согласия на обработку персональных данных или документы по персданным составлены неверно (ч. 2 ст. 13.11 КоАП РФ)• Для ИП — 100 000—300 000 ₽
• Для малых предприятий — 150 000—350 000 ₽
• Для средних и крупных компаний — 300 000—700 000 ₽
Утечка персональных данных (ч. 12—14 ст. 13.11 КоАП РФ)Для всех компаний и ИП — 1 000 000—15 000 0000 ₽

Вкратце: кого это касается

Закон о персональных данных обязаны соблюдать все, кто работает с чужими данными: компании, ИП и даже люди без статуса предпринимателя. Если вы собираете на сайте заявки, анкеты, отзывы — вы уже оператор персональных данных  .

Когда Роскомнадзор проверяет сайт, он определяет, к кому предъявлять требования. Для этого специалисты смотрят, на кого зарегистрирован домен — по данным базы данных WHOIS, где указан владелец сайта и его контакты. Также учитывают информацию, размещенную на самом сайте, — реквизиты, электронную почту или номер телефона.

Обложка статьи
Бесплатный курс Учебника Т⁠—⁠Ж ​«Безопасность в интернете»

Требования и штрафы получает тот, кого Роскомнадзор считает оператором персональных данных. Например, если домен оформлен на человека без статуса ИП, но на сайте указаны контакты компании или предпринимателя, требование, скорее всего, направят им.

В законе много деталей, но вот основные случаи, при которых вы подпадаете под его действие:

  • на сайте размещены формы для сбора обратной связи или заявок;
  • храните данные клиентов в CRM-системе;
  • используете у себя на сайте инструменты аналитики вроде Google Analytics или «Яндекс Метрики».
Обложка статьи
Пользовательское соглашение и еще 9 документов, которые должны быть на сайте бизнеса
11

Запомнить

  1. Нельзя использовать предустановленные галочки в формах со сбором данных. Посетитель сайта должен сам поставить отметку, подтверждая согласие на обработку персональных данных.
  2. Если используете «Яндекс Метрику», напишите об этом в политике персональных данных.
  3. Срок хранения данных нельзя писать наугад. Он должен быть связан с целью обработки персональных данных — например, пока действует договор.
  4. Фото сотрудников — тоже персональные данные. Для их публикации нужно взять письменное согласие, а в политике прописать запрет на использование изображений третьими лицами.
  5. На исправление нарушений дают 10 рабочих дней. За это время нужно внести правки на сайте, обновить документы и сообщить Роскомнадзору, что все исправлено.

Самое интересное про бизнес — в нашем телеграм-канале. Подписывайтесь, чтобы быть в курсе происходящего: @t_biznes

бизнесгосударствоправо
Алексей БашукЧто для вас оказалось самым сложным в соблюдении закона о персональных данных?
  • Код "Леопольд"Пу-пу-пу... Уже как-то и не хочется ИП оформлять.13
  • Жора ШкиперМногие мелкие бизнесы имеют группы в ВК, в Телеграме, либо ссылки на такие группы на своем сайте. И когда клиент пишет им в личку через соцсеть, строго говоря, он передает свои персональные данные: имя, фамилию, ссылку на свой профиль. Не нужно ли с каждого брать согласие на обработку персональных данных? Вопрос всерьез, если что. Как убедиться, что в таких случаях не нарушается закон?10
  • Вадим ДорофеевЖора, и, кстати, даже если на сайте просто адрес электронной почты для связи, чтобы посетитель мог сам написать - при этом ведь тоже отправляются ФИО и адрес почты, а само письмо будет где-то храниться (пусть даже на сервере условного Яндекса) - это, получается, тоже надо согласие на обработку ПД получать?..4
  • Stranger DangerВадим, нет, во всех этих случаях действуют согласия данные пользователями в соответствующих сервисах и за их видимость ответственен сервис, их использующий, а не то кто их видит1
  • Жора ШкиперНиколай, имея ссылку на профиль, в нем можно увидеть не только фамилию, имя, но и место жительства человека, его фотографии, и таким образом однозначно идентифицировать. Да, он дал согласие на обработку ПДн самой соцсети, но вот он пишет в сообщество, связанное с конкретной организацией и в этот момент передает им все эти данные. Я, собственно, задал вопрос именно потому, что хочется увидеть мнение юриста.5
  • СашаНиколай, оно трактуется в любую сторону по желанию РКН. Вот например: Адрес электронной почты гражданина, по мнению специалистов Роскомнадзора, относится к категории персональных данных, поскольку данный идентификатор уникален: он присваивается конкретному человеку и не может быть отнесен к другому. Даже без дополнительной информации такой идентификатор является персональными данными (из публичного семинара для операторов персональных данных (https://mediapravo.com/privacy/rkn-personal-data.html; письмо Минцифры от 17 марта 2022 г. N П25-5623-ОГ "О возможности отнесения адреса электронной почты к персональным данным")6
  • user6300120А вот интересно: как быть с сайтами СМИ (пусть даже и не зарегистрированных). Мы вот пишем про людей. Например, интервью с дояркой или там руководителем компании. Или просто берём комментарий, указывая имя, фамилию, должность. Как быть в этом случае?2
  • Alex AlexИ что, реально это хоть чему-то поможет? Ну вот честно... очень много правил, очень сложно... толк будет?16
  • Rikuser6300120, а "мы" имеют образование журналиста? И берет интервью без согласия на него?1
  • Simeon LeeКакое большое количество бесполезных действий с обоих сторон..11
  • Можно просто Дмитрийuser6300120, вообще, по идее, нужно им направить на согласование материал пеле публикацией, чтобы человек мог ознакомиться, в каком виде будет подан материал и уже дать свое согласие на его публикацию и трактовку в таком виде2
  • Можно просто ДмитрийКлассно! Полезная статься. Многие вещи и без того соблюдаем, например, убрали предустановленную галочку с согласием, чтобы пользователь совершил активное действие. Но вот про Яндекс метрику не знал - учтем в работе. Спасибо!1
  • Обычный человекЯ увидел слово "Роскомнадзор", это априори связано с глупостью. Но чего именно- вопрос оппозиционный11
  • wСмешно, что этими законами они кошмарят добропорядочных предпринимателей. А те, кто сливает данные , навязывают кредиты или просто крадут данные с вашей кредитки - плевать хотели на все эти галочки, кнопочки и текст ни о чем.28
  • ЙцукенбергИстинно говорю вам: Роскомнадзор спасет Россию! Ни о каком дефиците бюджета за счет только одних штрафов через полгода никто и не вспомнит! Кроме того, касательно тех кто недоволен бездействием органов в отношении ситуации с мошенниками, вот вам пожалуйста: больше порядка с работой с перс данными -- это и есть борьба с мошенничеством!!1
  • AlexanderА если я физлицо и у меня не бизнес, а блог с формой обратной связи и я собираю только те данные которые пользователь сам укажет в форме?(без метрики и сторонних сервисов третьих лиц) Всё тоже самое?0
  • Капитан Фьючерс1. Читаем что такое Персональные данные и меняем в полях форм "ФИО" на никнейм итп. В поле "емейл" пишем "для связи". ip-адрес - не у всех показывает. Сейчас эту функцию и в аналитике выключили. 2. Почему такие маленькие штрафы? Почему не 100 000 000?1
  • Капитан ФьючерсЖора, место жительства он указал САМ и ПУБЛИЧНО.1
  • Капитан ФьючерсЙцукенберг, а мысль не возникала, что персданные утекают в том числе через официальные базы? А то сарказм не до конца понял.0
  • Капитан ФьючерсAlex, мотивация здесь одна - ободрать и все. Зачем развивать все вокруг, строить. не мешать крипте и всему новому?4
  • Капитан ФьючерсКод, а это и не важно.0
  • Жора ШкиперКапитан, это хорошо. Давайте представим следующую ситуацию: у предпринимателя группа в ВК, в которой он продает товары. Пусть это будут товары для интима. В личку этой группы пишут пользователи, что-то уточняют, делают заказы. Однажды предприниматель по неосторожности дал доступ к аккаунту мошенникам, они получили всю переписку и весь набор пользователей со ссылками на их профили. 1. Произошла ли утечка персональных данных? 2. Если да, то кого за это нужно наказывать?2
  • ЙцукенбергКапитан, такие мысли не допускаются0
  • Жора, если с доступом утекли реальные имена и фамилии с адресами, то это утечка. Наказывать будут предпринимателя. Если пострадавший докажет, что в разглашении его персональных данных виноват именно предприниматель. Сейчас по сети гуляет столько всякого, что небольшое ИП даже с интимными товарами, не является сколь-нибудь значимым объектом для атак и утечек. И да, при этом надо учитывать, что общедоступная страница, даже с адресом и ФИО в сети может говорить ни о чем. А может говорить о том, что ее владелец сам себе Буратино.1
  • LMОчень давно возникло впечатление, что вся деятельность РКН направлена на устранение конкурентов у агрегаторов рекламных объявлений. Благодаря РКН в поисковой выдаче уже почти не осталось интересных индивидуальных сайтов, все стараются предоставлять свои услуги через маркетплейсы и различные сервисы услуг, чтобы не попасть на штраф. Тоже самое касается новостных сайтов, которые убрали у себя возможность комментирования. Хочешь что-то прокомментировать сразу переадресация в какую-нибудь соцсеть, которая принадлежит олигарху со связями.4
  • user6300120Rik, мы - профессиональные журналисты, да. Интересно, каким образом интервьюер должен давать согласие на публикации? Мы-то всегда перед печатью согласовываем все материалы. Но это устно согласовывается.0
  • Руслан Салимова если я на своём сайте не держу форм, комментариев и прочего, и на метрику мне всё равно, но есть ссылка на мой телеграм, которая открывается по клику. Я же собираю персональные данные?0
  • Бельчиха Пушистаяw, *А те, кто сливает данные , навязывают кредиты или просто крадут данные с вашей кредитки - плевать хотели на все эти галочки, кнопочки и текст ни о чем.* Эти как правило находятся вне юрисдикции РКН, так то.3
  • Rikuser6300120, фактически теперь интервью должно сопровождаться чем-то типа модель релиза. Подписанного. Иначе всегда есть шанс узнать, что "вырвано из контекста", " не понимал, что несу", " интервьюер меня спровоцировал", " встретимся в суде". Идём тропой законности.0
  • Юрий Михайличенкоw, Согласен, только это совсем не смешно, а наоборот грустно...2
  • Максим ПудовStranger, подождите, это про пересылку. А вот получив ПД, по идее, вы даже просто отвечая на письмо, уже становитесь обработчиком ПД, а если еще контакт занесли в Excel или записали на листочек, то точно всё, там и хранение притянуть можно. Закон идиотский, он делает всех маломальских предпринимателей виновными.1
  • АльбертДа уж, какой простор для работы, учитывая количество частных мелких сайтов в РУнете. И какой кошмар для частных вебмастеров.2
  • Бельчиха ПушистаяИрина, наоборот бандосов нужно набутыливать по максимуму. Или вы одна из тех которая торгует персональными данными граждан?0
  • Бельчиха ПушистаяКапитан, значит надо посадить крышевателя.0
  • Бельчиха ПушистаяКапитан, ясно.0
  • J.D.Alexander, требования ФЗ «О персональных данных» не распространяются на сбор и прочую обработку персональных данных для личного/семейного = некоммерческого использования. Поэтому вопрос в каких целях Вы эти данные собираете.0
Вот что еще мы писали по этой теме
Сообщество
Кошка с мышкой :)
Кошка с мышкой :)
Фото питомца: лабрадор Яшка поздравляет всех с весной и солнышком
Мирослава Сергеенко
Мирослава Сергеенко
Как заниматься сексом при раке?
Ольга
Ольга
Ручная работа: брошь «Георгиевская ленточка» из бисера
Дмитрий Бурнаев
Дмитрий Бурнаев
Накопительная пенсия: как избежать пожизненных выплат и получить наследование
Ok_Sanya
Ok_Sanya
Как в нашей семье появился еще один чудик: мы выбрали в качестве первой собаки аусси
Елизавета Косилова
Елизавета Косилова
Как бизнесу не переплачивать за подтверждение входа клиентов
Влад
Влад
Как я открыл интернет-магазин предметов для дома и что из этого вышло
Екатерина
Екатерина
Как синдром самозванца говорит по-английски
Юрий Азаргаев
Юрий Азаргаев
«Хватит кормить банк под залог всего»: почему среднему бизнесу пора на биржу
Miceo (doubtfulart)
Miceo (doubtfulart)
Мой рисунок: осенний пейзаж с мамой и собакой
Татьяна
Татьяна
Как я совмещаю любовь к шоппингу, заработок и декрет
Potapof
Potapof
Почему нейросети цитируют одних и игнорируют других
Популярное за неделю