Проверьте и подготовьте ваш сайт к проверкам Роскомнадзора в сфере обработки персональных данных, использования файлов cookies и систем веб-аналитики (метрических программ), согласно №152-ФЗ и сопутствующим нормативным актам.
Рекомендации на этом сайте носят информационный характер и не являются юридической панацеей. Обязательно вникайте в суть рекомендаций и документов, учитывайте особенности вашего сайта, бизнеса и реалии вокруг.
При любых сомнениях, проконсультируйтесь с вашим юристом или приходите за консультацией в IT-Agency
Помечайте выполненные пункты галочками, они сохранятся после обновления страницы.
Комментарий юриста: строжайшее нарушение с огромными штрафами, которые почти невозможно оспорить.
Штрафы: 1–6 млн и до 6–18 млн при повторном нарушении.
Главный документ об обработке персональных данных — политика конфиденциальности (название «Политика обработки персональных данных»).
Документ должен описывать все реальные процессы обработки персональных данных: что собираете, зачем, кому передаёте, сколько храните, как защищаете, а также определять оператора и контакты.
На этот документ будут опираться многие последующие пункты чеклиста.
Комментарий юриста: без политики вы формально уже нарушаете №152-ФЗ
Штрафы: за отсутствие или политику «под копирку, как у всех» — до 60 тыс., при проверке в связи с утечкой или нарушениями обработки ПД — 3–15 млн.
Шаблон документа
В каждой форме (заказ, заявка, подписка, личный кабинет) необходимо добавить функцию активного согласия на обработку ПД и добавить ссылки на соответствующие документы: политику конфиденциальности и конкретное согласие для каждой формы. Самый простой вариант: галочка «Согласен на обработку персональных данных согласно политике конфиденциальности». Без установки галочки, форма не должна отправляться.
Для каждой формы разместите документ согласия на отдельной странице. Опишите цели и состав собираемых данных в каждом конкретном случае, а также способы отзыва согласия, обработки, защиты и порядок удаления данных, если они отличаются от общей политики конфиденциальности.
Комментарий юриста: для каждой формы нужно именно отдельное согласие и отдельная галочка согласия, просто добавить универсальное согласие в чекбокс, например, согласия с офертой нельзя.
Штрафы: от 150 тыс. до 1 млн
Третьи лица обычно — это сервисы приёма платежей, службы доставки, системы аналитики и метрические системы. Перечислите всех третьих лиц в общей политике конфиденциальности и конкретных третьих лиц во всех документах согласия на обработку ПД.
Например, если после оформления заказа вы передаёте эл. почту заказчика в Юкассу, а затем в СДЭК, этих третьих лиц необходимо указать в согласии на обработку ПД для оформления заказа.
Комментарий юриста: если где-то находится третье лицо, получающее от вас ПД и не указанное в ваших документах — вы нарушаете закон.
Штрафы: от 300-700 тыс. до 1,5 млн при повторном нарушении.
При использовании кук и систем веб-аналитики (метрических систем), необходимо регламентировать их использование и получить отдельное согласие от пользователя.
Документ согласия повторяет согласие на обработку персональных данных при заполнении форм, но рекомендуется особо выделить список третьих лиц, которым передаются данные метрических систем.
Комментарий юриста: для веб-аналитики требуется отдельное согласие, просто добавить информацию в общую политику конфиденциальности может быть недостаточно.
Штрафы: от 150 тыс. до 1 млн
При первом заходе на сайт показывайте заметное уведомление об использовании на сайте метрических систем и файлов cookies. В уведомлении обязательны ссылки на политику конфиденциальности и отдельное согласие на использование метрических систем. Например:
На сайте используются файлы cookies и метрические системы для улучшения работы сайта, в соответствии с политикой конфиденциальности.
Оставаясь на сайте, вы даёте согласие на использование cookies и метрических систем. Если вы не согласны, отключите cookies в настройках вашего браузера или покиньте сайт.
[ Соглашаюсь ]
Комментарий юриста: регулятор смотрит на веб-аналитику как на дополнительный канал сбора и передачи ПД: айпи, идентификаторов сессий и поведения пользователя. Чем прозрачнее вы опишете используемые системы и дадите человеку простой способ отказаться, тем меньше вопросов будет при проверке.
Штрафы: 300-700 тыс., до 1,5 млн при повторном нарушении.
Комментарий юриста: отсутствия уведомления — это прямой повод для инициализации проверки сайта Роскомнадзором
Штрафы: до 300 тыс.
Юристы, редакторы, дизайнеры и разработчики IT-Agency готовы подробно проконсультировать по всем пунктам рекомендаций, а так же предложить помощь с внедрением доработок на сайт любой сложности.
Оставьте заявку на сайте: