2025 год принёс немало изменений в законодательстве о персональных данных. Некоторые из них вступили в силу весной, другие — летом, а оставшиеся начали действовать только с 1 сентября.
Как выявляются нарушения
Многие владельцы сайтов машут на это рукой, так как уверены, что перед проверкой Роскомнадзора они успеют подготовиться заранее. И по-быстрому всё устранить. На самом деле, такие моменты важно продумывать даже на этапе создания сайта визитки.
Но не всегда всё так просто. 🥶 Роскомнадзор активно использует контрольные мероприятия без предварительного уведомления. В рамках таких проверок инспекторы анализируют сайты на соответствие требованиям закона. Если выявляются нарушения, владельцу ресурса отправляют письмо с перечнем обнаруженных несоответствий и предписанием их устранить в кратчайшие сроки. О проведении таких проверок компании зачастую узнают уже после их завершения.
Локализация баз данных
С 1 июля 2025 года требования к локализации баз данных российских граждан на территории РФ были уточнены. Теперь закон четко устанавливает, какие действия с персональными данными должны выполняться в России.
Перечень включает в себя:
- сбор;
- запись;
- систематизацию;
- накопление;
- хранение;
- уточнение (обновление, изменение) и извлечение данных.
Владельцам сайтов очень важно проверить код сайта на наличие сторонних скриптов, собирающих персональные данные. Использование инструментов, таких как Google Fonts, Google Analytics или виджеты иностранных CRM-систем, является прямым нарушением. При создание сайта визитки на многих популярных CMS, такие моменты можно регулировать вне кода, в административной панели сайта.
За несоблюдение требований о локализации предусмотрены штрафы для юридических лиц в размере от 1 до 6 миллионов рублей.
В Роскомнадзоре утверждают, что если cookie-файлы позволяют идентифицировать конкретного пользователя и отслеживать его поведение, они должны рассматриваться как персональные данные. Даже потенциальная возможность идентификации посетителя является достаточным основанием для этого.
Передача персональных данных третьим лицам
Закон предусматривает два способа передачи персональных данных третьим лицам:
- Поручение обработки данных. В этом случае третье лицо обрабатывает данные в соответствии с указаниями оператора. Между сторонами заключается договор-поручение.
- Передача данных. Третье лицо действует самостоятельно и в своих целях. После получения данных оператор перестает нести ответственность перед субъектом данных, которую берет на себя третье лицо.
Пользователь сайта должен быть уведомлен о том, кому, в каком объеме и для каких целей его данные передаются или поручается их обработка. На сайтах в качестве третьих лиц, действующих по поручению, обычно указываются метрические системы и хостинг-провайдеры.
Правильный cookie-баннер может содержать следующую формулировку:
«Продолжая использовать сайт, вы соглашаетесь на обработку персональных данных посредством метрической программы ‘Яндекс.Метрика’ для анализа посещаемости сайта.»
При этом обязательно должна быть предоставлена ссылка на политику конфиденциальности.
При привлечении третьих лиц важно помнить, что ответственность за безопасность данных перед субъектом данных лежит на операторе. Рекомендуется запрашивать у партнеров информацию о принятых ими мерах защиты.
Согласие на обработку персональных данных
Требования к получению согласия на обработку персональных данных определены в ч. 1 ст. 9 ФЗ-152. Согласие должно быть конкретным, информированным, сознательным и однозначным.
На сайте согласие может быть представлено в виде оферты или отдельного документа. Для его получения можно использовать чек-бокс под формой сбора данных. Формулировка должна быть предметной. Варианты типа «Я согласен на обработку персональных данных» или «Я даю согласие на Политику конфиденциальности» Роскомнадзор считает некорректными.
Политика обработки персональных данных
Издание политики обработки персональных данных является ключевой обязанностью каждого оператора. Структура документа определена в 152-ФЗ. Политика должна быть утверждена и опубликована, чтобы обеспечить к ней неограниченный доступ, например, размещена на сайте.
Важно помнить, что ссылка на политику должна присутствовать на каждой странице сайта, где осуществляется сбор персональных данных.
Несоблюдение требований о размещении политики наказывается штрафом для юридических лиц в размере от 30 до 60 тысяч рублей.
Уведомление об обработке персональных данных
Согласно ч. 1 ст. 22 ФЗ-152, оператор обязан уведомить Роскомнадзор о начале обработки персональных данных 🚨. Уведомление подается в территориальный орган Роскомнадзора до начала процесса обработки.
Чтобы сайт соответствовал требованиям 152-ФЗ и избегал вопросов со стороны Роскомнадзора, веб студия «Символ стиля» рекомендует учесть несколько ключевых моментов:
- Базы данных должны быть размещены на территории РФ.
- Составьте открытый перечень третьих лиц, которым передаются данные.
- Ограничьте срок хранения персональных данных заранее определенными рамками.
- Создайте и опубликуйте на каждой странице со сбором данных политику конфиденциальности и форму согласия.
- При работе с cookie-файлами разместите специальный баннер, информирующий пользователя об этом.
- Подайте уведомление в Роскомнадзор и поддерживайте его актуальность.
Соблюдение этих требований не представляет сложности. Главное — внимательно проанализировать сайт, процессы обработки данных и учесть все рекомендации, представленные в этой статье. Надеемся, эта статья поможет вам избежать многих пробелов в безопасности ваших интернет-ресурсов. При создании сайта визитки в веб-студии «Символ стиля», мы сразу учитываем необходимые документы на сайте.