Обработка персональных данных (ПДн) на сайте – это сложная задача, требующая внимания к деталям.
Часто встречаются ошибки, приводящие к штрафам и потере репутации. Избежать этих ошибок поможет внимательное изучение нормативных требований и постоянное совершенствование процессов обработки ПДн.
Также хочется отметить, что избежать ошибок помогает периодический аудит сайта.
Сегодня мы поделимся своим опытом аудита сайтов клиентов и расскажем, с какими наиболее часто встречаемыми ошибками мы столкнулись.
По каким параметрам мы проверяли сайты:
- Наличие Cookie-файлов и метрических программ, наличие предупреждающего баннера;
- Правильное размещение документа Политика на сайте;
- Содержание документа Политика;
- Наличие документа Согласие под формами сбора перс. данных;
- Содержание документа Согласие;
- Наличие на сайте фото и иных ПДн физических лиц и их правильное оформление;
- Размещение сайта на территории РФ;
- Наличие уведомления о намерении осуществлять обработку ПДн и его актуальность.
1. Наличие Cookie-баннеров.
На части проверяемых сайтов отсутствуют предупреждающие баннеры и ссылки на Согласие о сборе данной информации. Как могут выглядеть такие баннеры:
Хорошим cookie баннером является баннер, в котором выполняются следующие три условия:
- подробно указано, какие пользовательские данные собираются и зачем;
- происходит уведомление пользователя о возможности отключения cookiе;
- размещается отдельная Политика cookie.
Пример текста cookie баннера:
«Продолжая использовать сайт https://……/, вы даете согласие на обработку файлов cookie и пользовательских данных (сведения о местоположении; тип и версия ОС; тип и версия Браузера; тип устройства и разрешение его экрана; источник откуда пришел на сайт пользователь; с какого сайта или по какой рекламе; язык ОС и Браузера; какие страницы открывает пользователь; ip-адрес) в целях функционирования сайта, проведения статистических исследований и обзоров с использованием «Яндекс Метрики».
Оставаясь на сайте, вы соглашаетесь на сбор таких данных. Вы всегда можете отключить файлы cookie в настройках Вашего браузера или покинуть сайт. Для получения дополнительной информации см. Политика Cookie».
Зачем нужен такой баннер?
Предупреждающий баннер является своего рода согласием на сбор пользовательских данных. Его отсутствие расценивается как нарушение ч. 1 ст. 6 152-ФЗ (обработка ПДн в отсутствие правовых оснований) и может повлечь административную ответственность по ч. 1 ст. 13.11 КоАП РФ (в настоящее время штраф на ЮЛ от 60 000 до 100 000 руб., с конца мая 2025 будет от 150 000 до 300 000 руб.).
На нескольких сайтах выявлена работа Google Analytics, а это свидетельствует:
- о признаках трансграничной передачи ПДн в отсутствие правовых оснований, что может повлечь административную ответственность по ч. 1 ст. 13.11 КоАП РФ (в настоящее время штраф на ЮЛ от 60 000 до 100 000 руб., с конца мая 2025 будет от 150 000 до 300 000 руб.);
- о нарушении положений ч. 5 ст. 18 152-ФЗ (не локализация баз данных на территории РФ), что может повлечь административную ответственность ч. 8 ст. 13.11 КоАП РФ (штраф на ЮЛ от 1 млн. до 6 млн. руб.).
Проверить свой сайт на сбор Cookie-файлов и получить необходимые рекомендации – удобно в сервисе «152DOC».
2. Наличие на сайте документа «Политика в области обработки персональных данных.
Примеры выявленных нарушений:
- Политика отсутствует на сайте или в формах сбора ПДн.
Обратите внимание: если на сайте нет форм сбора, но работают cookie и используются метрические программы – это тоже обязывает оператора разместить Политику.
- Вместо Политики открывается документ Согласие. Это два разных документа, и наличие каждого на сайте обязательно!
- При переходе по ссылке на Политику документ не доступен (ошибка доступа, пустая страница).
- Политика представляет собой незаполненный шаблон для ее формирования, что равносильно ее отсутствию. Например, на сайте размещена Политика конфиденциальности, содержащая такие положения:
«…Компания <КОМПАНИЯ> гарантирует конфиденциальность получаемой информации. Обработка персональных данных осуществляется в целях эффективного исполнения заказов, договоров и иных обязательств, принятых компанией <КОМПАНИЯ> в качестве обязательных к исполнению…
…Срок действия согласия является неограниченным. Вы можете в любой момент отозвать настоящее согласие, направив письменное уведомления на адрес: 000000, г. <ГОРОД>, ул. <УЛИЦА>, д. <ДОМ>, офис <ОФИС> с пометкой «Отзыв согласия на обработку персональных данных».
Обращаем ваше внимание, что отзыв согласия на обработку персональных данных влечёт за собой удаление Вашей учётной записи с Интернет-сайта (http://вашсайт.ru), а также уничтожение записей, содержащих ваши персональные данные, в системах обработки персональных данных компании <КОМПАНИЯ>, что может сделать невозможным пользование интернет-сервисами компании <КОМПАНИЯ>».
Отсутствие Политики на сайте или в формах сбора является нарушением ч. 2 ст. 18.1 152-ФЗ и может повлечь административную ответственность по ч. 3 ст. 13.11 КоАП РФ (штраф на ЮЛ от 30 000 до 60 000 руб.).
Чтобы избежать нарушения рекомендуется публиковать Политику в футере сайта и(или) под формами сбора перс. данных. Главное, чтобы Политика была очевидна и доступна для пользователя, и он мог с ней ознакомиться на любом этапе работы с сайтом.
3. Содержание документа «Политика в области обработки персональных данных.
На сайтах выявлены ошибки разного характера:
1. Опубликованная Политика содержит информацию о другом операторе и ссылки на другой сайт (например, проверили сайт ООО “Ромашки”, а Политика принадлежит ООО “Лютик”).
2. Используется шаблонная политика, не адаптированная под конкретного оператора.
3. Содержание политики не соответствует п.2 ч.1 ст.18.1 152-ФЗ. Должно быть описание относительно Целей обработки персональных данных. Документ полностью состоит из выдержек 152-ФЗ и не описывает внутренние процессы компании.
4. В половине Политик отсутствует информация о сборе Cookie – файлов и использовании конкретных метрических программ (например, Яндекс.Метрики).
5. В политике неверно указаны правовые основания обработки персональных данных: Например, указывается:
«Правовым основанием обработки персональных данных являются:
– Приказ ФСТЭК от 11 февраля 2013 г. № 17 «Об утверждении Требований о защите информации, не составляющей государственную тайну, содержащейся в государственных информационных системах»;
– Приказ ФСТЭК от 18 февраля 2013 г. № 21 «Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных»…»
Приказы ФСТЭК не могут являться основанием для обработки персональных данных. Они утверждают определенные требования к защите персональных данных, но не обязывают операторов собирать, хранить или иным образом обрабатывать персональные данные, не указывают оператором какие ПДн нужно обрабатывать и в каких целях.
6. В половине случаев в Политике не было указано название Оператора и адрес ресурса, на котором эта Политика должна размещаться.
7. В Политике указано, что персональные данные могут обрабатываться бессрочно!
Избежать большинства из указанных ошибок поможет сервис «152DOC», ведь в нем Политика формируется в соответствии с положениями п. 2 ч. 1 ст. 18.1 152-ФЗ.
4. Наличие ссылки на документ «Согласие на обработку персональных данных».
Пример 1.
Нет ссылок на документ Согласие под формами сбора перс. данных.
Пример 2.
Под этой формой есть надпись про Политику конфиденциальности, но этого недостаточно, должна быть ссылка не на Политику, а на Согласие, которое по общим требованиям ч.1 ст. 9 152-ФЗ должно быть конкретным, предметным, информированным и т.д.
Пример 3.
Под одной из форм сбора данных размещена формулировка, но нет ссылки на документ Согласие и предустановлена галка о согласии. Согласно ч. 1 ст. 9 152-ФЗ согласие должно быть добровольным, а значит воля субъекта ПДн должна быть однозначно выражена активным действием. Предустановленные галочки являются недобросовестной практикой.
Пример 4.
В данном примере ошибкой является объединение в одно подтверждение разных документов: Соглашения, Политики и Согласия. Физическое лицо лишается свободы выбора одного из действия и автоматически должен согласится со всем, что ему навязывают.
Обратите внимание: 152-ФЗ не требует подтверждать согласие субъекта с Политикой, ее достаточно просто разместить в форме сбора ПДн.
Пример 5.
В данном примере ошибка в наименовании документа. Документ называется “Пользовательское соглашение”, но при переходе открывается “Согласие”. Это два разных документа, имеющие разное юридическое назначение, и подменяя наименование вводим в заблуждение и пользователей сайта, и контролирующий орган.
И ошибкой является предустановленная галка. Согласно ч. 1 ст. 9 152-ФЗ согласие должно быть добровольным, а значит воля субъекта ПДн должна быть однозначно выражена активным действием. Предустановленные галочки являются недобросовестной практикой.
5. Содержание документа Согласие
Ошибка 1.
Ещё раз обращаем внимание, что данная форма Согласия публикуется на сайте для сбора контактов (имя, адрес электронной почты, телефон и cookie) через форму обратной связи! Набор перечисленных в согласии категорий перс. данных ИЗБЫТОЧЕН для сбора данных через сайт. Данный перечень необходимо сократить до разумного минимума, указать только те данные, которые вы реально собираете через сайт: имя, адрес электронной почты, телефон и cookie.
Если вы считаете, что, опубликовав такой перечень категорий, вы получаете право собирать все эти данные, то это заблуждение, это скорее приведет к предписанию со стороны контролирующего органа, а избыточная обработка может быть основанием для привлечения к административной ответственности по ч. 1 ст. 13.11 КоАП РФ (штрафы указывали выше).
Ошибка 2.
«Основанием для обработки персональных данных является: статья 24 Конституции Российской Федерации»; Устав Оператора…»
Ошибка в основании для сбора данных через сайт, данные основания не действуют.
Ни Конституция РФ, ни Устав организации не могут обязать физ. лицо передать оператору свои перс. данные.
Что же будет являться основанием для сбора данных через сайт? – Например, это может быть Согласие или Оферта.
Ошибка 3.
«Персональные данные обрабатываются до получения заявления от субъекта персональных данных об отзыве согласия на обработку персональных данных.»
Данной формулировки недостаточно, необходимо прописать еще условия прекращения обработки ПДн, связанные с достижением целей обработки персональных данных.
Ошибка 4.
Согласие содержит в себе позиции, которые могут ввести в заблуждение пользователя. Например, в начале Согласия встречаем такую формулировку:
«Персональные данные обрабатываются до получения заявления от субъекта персональных данных об отзыве согласия на обработку персональных данных, которое направляется на электронную почту».
Далее, по тексту того же Согласия, в разделе про способы отзыва указано:
«Согласие может быть отозвано субъектом персональных данных или его представителем путем направления письменного заявления Оператору или его представителю по адресу местонахождения».
Такое построение документа некорректно, нужно, чтобы была ясность в способах отзыва и отправки запросов.
Ошибка 5.
«Я уведомлен(а) о том, что настоящее Согласие может быть отозвано мной в соответствии со ст. 9 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» путем предоставления письменного обращения по адресу Оператора. Указанное письменное обращение должно содержать следующие сведения обо мне: (1) фамилия, имя, отчество»; (2) адрес места жительства»; (3) наименование и номер основного документа, удостоверяющего личность; (4) сведения о дате выдачи указанного документа и выдавшем его органе; (5) подпись.»
В данном примере в Согласии оператором установлены требования к отзыву согласия на обработку ПДн (в частности, указать в нем паспортные данные).
Во-первых, для отзыва согласия 152-ФЗ не устанавливает требований к его оформлению и содержанию. Во-вторых, в форме сбора, где такое Согласие размещено, запрашиваются только ФИО и контактные данные.
В связи с изложенным, требования оператора к отзыву согласия избыточны по отношению к той форме, которую заполняет посетитель на сайте.
Ошибка 6.
В одном Согласии объединены общие цели обработки и подписка на рассылку.
«Оператор вправе использовать персональные данные в целях:
заключения договоров с субъектом персональных данных;
консультирования по вопросам предоставляемых Оператором услуг;
информирования пользователях о новых акциях и предложениях;
направления рекламной и информационной рассылки…»
Согласие на информационную рассылку публикуется отдельным документом и подтверждается отдельно.
Ошибка 7.
«Настоящее согласие на обработку персональных данных действует бессрочно.»
Бессрочность действия Согласия недопустима. Обработка ПДн ограничивается целями обработки ПДн и нужно указать либо срок, либо условие прекращения обработки ПДн и действия согласия.
Пользователем сервиса «152DOC» удобно формировать необходимые для сайта согласия в Конструкторе согласий.
6. Размещение сайта на территории РФ.
Все проверенные сайты размещены на территории России.
7. Размещение фото и ПДн на сайте
В ряде случаев на сайтах установлено размещение сведений о сотрудниках, включая их фотографии, ФИО, должности. При этом не опубликована информация об условиях и запретах, предусмотренная ч. 10 ст. 10.1 152-ФЗ.
Пример такого дисклеймера:
«ПДн опубликованы на сайте с согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, полученного в соответствии со ст. 10.1 152-ФЗ. Субъектами установлены запреты на обработку неограниченным кругом лиц, опубликованных персональных данных».
К чему приводят выявленные ошибки?
Все ошибки приводят к получению запроса-требования Роскомнадзора, в котором указано на предоставление соответствующих пояснений и на необходимость приведения деятельности в соответствие с требованиями законодательства в сфере ПДн. Ответить Роскомнадзору необходимо в течение 10 рабочих дней (+5 при мотивированном уведомлении). В противном случае далее могут быть применены соответствующие нормы ответственности по ст. 13.11 КоАП РФ. Один из способов этого не допустить – учиться на чужих ошибках. И мы надеемся, что наша статья поможет вам в этом.
Рекомендуем всем владельцам сайтов регулярно проверять свои процессы обработки ПДн, обновлять документы и обучать сотрудников. Это позволит минимизировать риски, связанные с несоответствием, и создать безопасную среду для пользователей, что является важным шагом на пути к долгосрочным отношениям с клиентами.
Здравствуйте! Это скорее не комментарий, а вопрос, касается Согласия субъекта на сбор ПДн на сайте. Получается так, что субъект подтверждает свое согласие путем установки “галочки”. Подскажите, пожалуйста, каким образом оператор сможет в дальнейшем подтвердить (в случае необходимости, по запросу самого субъекта или контрольных органов), что субъект действительно установил эту “галочку” именно в этой форме сбора ПДн на сайте? Как оператор должен фиксировать установку этой “галочки” субъектом, какого содержания информацию об этом событии необходимо хранить, как долго хранить? Спасибо!
Добрый день!
Подтверждением полученного Согласия на сайте могут являться логи с сайта.
Поэтому Вам необходимо обеспечить запись действий в логах и хранить данную информацию (в течение 3 лет с момента завершения отношений с субъектом ПДн).