В эпоху «больших данных» даже небольшая форма обратной связи на сайте — риск для владельца бизнеса. Любая digital‑компания, собирающая пользовательские данные, автоматически попадает в зону интереса Роскомнадзора (РКН). О том, как проходят проверки, что вызывает вопросы у инспекторов и что делать, чтобы минимизировать риски — этот разбор.
РКН проверяет сайты — Вас могут даже не уведомить
Проверки РКН часто проходят незаметно для самих владельцев сайтов. Вы можете даже не догадываться, что сайт уже посетил сотрудник РКН — до момента, когда на корпоративную почту «прилетает» официальный запрос.
Типичный запрос от РКН может содержать:
вопрос, почему Ваша компания не включена в реестр операторов персональных данных (ПДн);
просьбу предоставить перечень реализованных мер по защите ПДн;
требования привести внутренние локальные акты по обработке персональных данных;
запрос на контактные данные ответственного за обработку ПДн.
После получения этих документов РКН оценивает, соответствует ли деятельность закону, и при необходимости инициирует административную процедуру.
Кого проверяют чаще всего
В приоритете для инспекторов — сайты, на которых собираются личные данные: имя, адрес, e‑mail, телефоны и, конечно, cookie‑файлы. Причём даже если Вы используете только стандартные средства аналитики (Google Analytics, Яндекс.Метрика), Вы уже в группе риска.
Например: если проект использует cookie, но не уведомляет об этом пользователя — шанс получить внимание РКН повышается. Нарушение может стоить Вашему бизнесу от 500 000 до 1,5 млн рублей в зависимости от тяжести проступка.
На что смотрит РКН: типовые нарушения
Соблюдение требований по локализации данных (размещение серверов на территории РФ)
Порядок использования и раскрытие информации о cookie‑файлах
Корректная политика обработки персональных данных (ПДн)
Получение согласий на обработку данных (принцип «1 цель — 1 согласие»)
Внесение организации в реестр операторов ПДн
Исключительно важна синхронизация всех юридических и публичных документов: если в реестре указывается ограниченный список собираемых данных — а на сайте запрашивается больше информации, это автоматически трактуется как нарушение.
Пример: в реестре указали — телефон и почта, а форма регистрации на сайте дополнительно требует дату рождения. Получается несоответствие — есть повод для штрафа.
Как избежать претензий РКН
Проведите аудит сайта. Проверьте, какие персональные данные собираются через формы, куки и плагины.
Синхронизируйте документы. Политика обработки ПДн, пользовательское соглашение и записи в реестре операторов должны быть идентичны и актуальны.
Проверьте наличие согласий. Убедитесь, что согласия на обработку персональных данных получаются корректно: отдельная галочка под каждую цель.
Назначьте ответственного. Это обязательное требование — без лица, отвечающего за ПДн, велика вероятность штрафа.
Если уже получили запрос от РКН — не тяните. Готовьте ответы совместно с юристами и ИТ‑специалистами, собирайте все доказательства соблюдения требований.
