С 1 марта 2023 г. российские веб-сайты, которые собирают персональные данные посетителей, обязаны размещать политики конфиденциальности обработки персональных данных. Однако, как показала статистика Роскомнадзора за 2023 г., треть проверенных ведомством российских организаций игнорировали данную норму.
Руководитель направления персональных данных Главного радиочастотного центраЕкатерина Ефимова в официальном телеграм-канале учреждения напомнила, что каждая организация, собирающая на сайте персональные данные пользователей, должна разместить на нем политику конфиденциальности. Наличие данного документа является обязательным требованием Закона "О персональных данных" с поправками, которые вступили в силу 1 сентября 2022 г. и 1 марта 2023 г.
Однако, как сообщила пресс-служба Роскомнадзора в ответ на запрос ComNews, данное требование по итогам 2023 г. игнорировала треть российских организаций из числа проверенных ведомством: "Роскомнадзор проводит мониторинг интернет-ресурсов операторов персональных данных (ПДн) всех категорий. При выявлении отклонений от требований законодательства, в том числе в отношении политики по обработке ПДн, ведомство направляет оператору требование о необходимости привести деятельность в соответствие с положениями закона. За 2023 г. Роскомнадзор направил более 4,6 тыс. таких требований. За неисполнение или несвоевременное исполнение составлено около 100 протоколов об административных правонарушениях. Из количества проанализированных в 2023 г. ресурсов почти треть владельцев не разместили политику в отношении обработки ПДн либо сделали это с нарушениями. Часто операторы составляют подобные документы без должного внимания к требованиям закона, в том числе копируя друг у друга некорректные положения. Разъяснения направлены на формирование у операторов понимания назначения этого документа. Кроме того, даны рекомендации, как корректно подготовить и разместить документ, отражающий политику по обработке ПДн".
По оценке ведущего консультанта по информационной безопасности Innostage Татьяны Никоноровой, это одно из типовых нарушений, но она прогнозирует существенное улучшение ситуации в 2024 г.: "Нарушение данного требования входит в перечень типовых ошибок, выявляемых Роскомнадзором при проверке сайтов и организаций. В последнее время многие компании начинают более ответственно подходить к размещению необходимых документов на сайтах, где собираются персональные данные. Такая тенденция вызвана последней реформой закона о персональных данных и политикой усиления ответственности за нарушения в области обработки персональных данных. В 2024 г. на восьми из 10 сайтов, где собирают персональные данные, будет политика конфиденциальности или обработки персональных данных. Но этого не всегда достаточно для выполнения требований".
"Существуют два типа нарушений, связанных с политикой по обработке персональных данных. Первый - это неразмещение политики на сайте в целом или на страницах сайта, где происходит сбор персональных данных. Второй - размещение политики, содержание которой не соответствует требованиям ч.1 ст.18.1 152-ФЗ: в политике подробно и в соответствии с требованиями не раскрываются цели и процедура обработки персональных данных. Уже продолжительное время Роскомнадзор проводит проверки сайтов на предмет выполнения требований по обработке персональных данных. Итоги таких проверок, в том числе выявленные нарушения, фиксируются в отчетах, которые публикуются в открытом доступе на сайтах региональных управлений Роскомнадзора. Компания Б-152 провела исследование этих отчетов (более 200) и выявила, что наиболее частым нарушением обработки персональных данных на сайте (30% от общего числа) является отсутствие размещенной на сайте политики. Нарушения же, связанные с некорректным содержанием размещенной на сайте политики (ч.1 ст.18.1 152-ФЗ), составляют только 6% от общего количества нарушений. Итак, из всех выявленных нарушений на сайтах треть связана с отсутствием политики по обработке персональных данных на сайте, в то время как только 6% связаны с ее некорректным содержанием", - такой статистикой поделился старший консультант по защите персональных данных ООО "Б-152″ Никита Володин.
Руководитель отдела аналитики ООО "СерчИнформ"Алексей Парфентьев связывает такую практику с низкой осведомленностью компаний о том, что такое персональные данные: "Часто люди не понимают, что такое персональные данные и что к ним относится. К примеру, согласно данным нашего исследования, которое мы провели среди сотрудников госсектора, более 30% опрошенных не относят к ПДн сведения о состоянии здоровья, 31% - данные из электронных аккаунтов, 9,3% - ФИО, номера телефонов, адреса, 2,9% - данные из паспорта, СНИЛС. В итоге многие операторы, которые так или иначе персональные данные обрабатывают, себя операторами не считают и никакие требования на себя не распространяют. Но по факту большинство компаний и ИП в России являются операторами персональных данных, даже если нигде в такой роли не регистрировались - что тоже является нарушением. Грубые ошибки при выделении ПДн из общей информации, а также заблуждения относительно самого определения оператора персональных данных и приводят к значительному количеству случаев игнорирования требований".
Руководитель направления Центра компетенций по информационной безопасности ООО "Т1 Интеграция" Валерий Степанов обратил внимание, что многие компании игнорируют требования законодательства по защите персональных данных, причем не только по незнанию, но и из-за нежелания: "Многие владельцы сайтов, действительно, игнорируют требование иметь корректную политику конфиденциальности и размещать ее. Чаще всего владельцы используют шаблоны данной политики из интернета, неадаптированные под конкретную организацию. Делается это для формального наличия политики, но не для практической пользы с точки зрения информационной безопасности. Почему это происходит? Это может быть связано с недостаточным пониманием законодательства по защите персональных данных или чаще с нежеланием заниматься этим вопросом".
По мнению Алексея Парфентьева, неисполнение требований размещать политики конфиденциальности характерно для небольших компаний, которые являются активными операторами персональных данных: "Большинство малых компаний так же активно обрабатывают персональные данные, как и крупный бизнес. К примеру, магазины, которые внедряют программы лояльности для своих клиентов и просят оставить ПДн: ФИО, номер телефона, день рождения, - никакие действия по защите персданных не предпринимают. Хотя им эти данные, по сути, и не нужны: для карты лояльности достаточно любого уникального идентификатора".
"Согласно ч.2 ст.18.1 152-ФЗ операторы должны размещать политику на всех страницах сайта, где происходит сбор персональных данных. Согласно уже устоявшейся судебной практике и многочисленным разъяснениям надзорного органа, сбор данных с использованием cookie-файлов и сервисов веб-аналитики считается обработкой персональных данных, следовательно, размещение политики в указанных случаях становится обязательным, - обращает внимание Никита Володин. - Несмотря на то что распространяется эта норма на всех операторов, имеющих сайты, более пристальное внимание к этому требованию необходимо проявить операторам, которые с помощью сайта предоставляют широкий спектр услуг и собирают много персональных данных - например, интернет-магазины".
Екатерина Ефимова также напомнила, что сбором персональных данных считается не только использование разного рода форм регистрации или обратной связи, но и применение автоматизированных инструментов - например, файлов cookie или счетчиков аналитического сервиса (Google Analytics, "Яндекс.Директ").
При этом, как особо отметила Екатерина Ефимова, политика должна быть размещена на каждой странице, где собираются данные пользователей. Она порекомендовала добавить ссылку на данный документ в подвал сайта, поскольку он одинаковый для всех страниц. Также Екатерина Ефимова обратила внимание, что политики конфиденциальности часто путают с другими документами, в частности, с согласием на обработку персональных данных или пользовательским соглашением, что дезориентирует пользователей.
Екатерина Ефимова рекомендует при составлении документа сделать его, с одной стороны, максимально компактным и, с другой, как можно более понятным обычным посетителям сайтов. Она посоветовала избегать сложной терминологии и канцелярита.
"Кроме указанного в видео запрета на совмещение политики с согласием или пользовательским соглашением, необходимо на каждой форме сбора персональных данных добавить ссылку на согласие на обработку персональных данных. Запрещается совмещать согласие на обработку персональных данных с пользовательским соглашением, предустанавливать отметки о согласии на обработку и согласии с политикой, собирать персональные данные при отказе принять положения согласия на обработку персональных данных. Также необходимо поддерживать актуальность политики и согласия на обработку текущим требованиям законодательства (п.2. ч.1 ст.18.1 и рекомендации Роскомнадзора по содержанию политики) и процессу сбора (исключать сбор избыточных данных). Необходимо разместить на сайте уведомление об использовании cookie-фалов. Необходимо подать уведомление об обработке персональных данных в реестр операторов, если это не сделали ранее. Если вы планируете осуществлять трансграничную передачу персональных данных, необходимо подать уведомление в Роскомнадзор - если это не сделано ранее, - иначе необходимо размещать собранные данные исключительно на территории Российской Федерации", - дополняет Татьяна Никонорова.
Отсутствие политики влечет административную ответственность. Руководитель практики юридической фирмы Orlova\Ermolenko Ангелина Балакина обратила внимание, что ответственность в текущем году может быть ужесточена: "С 2017 г. законодатель постоянно ужесточает ответственность за нарушения в области защиты персональных данных, данная тема стала чувствительной для граждан и государства за последние несколько лет. Одной из последних новелл были изменения в ст.13.11 КоАП РФ в части увеличения штрафов за отсутствие согласий на обработку персональных данных или несоответствие данных согласий требованиям закона. Также в января 2024 г. Госдума приняла в первом чтении законопроект (№502104-8), значительно увеличивающий ответственность за нарушения при утечке персональных данных. В остальной части ответственность осталась прежней. Так, невыполнение обязанности по размещению на сайте политики конфиденциальности влечет наложение административного штрафа на должностных лиц в размере 6-12 тыс. руб., на индивидуальных предпринимателей - от 10 тыс. до 20 тыс. руб., на юридических лиц - 30-60 тыс. руб.".
"Практика игнорирования требований по обработке персональных данных прежде всего чревата штрафами. Самый максимальный штраф - за хранение ПДн вне территории РФ. Он уже измеряется в миллионах рублей. И для МСП это довольно частое нарушение, так как по незнанию ПДн хранят в иностранных облачных сервисах. А это существенное нарушение. Но в скором времени за утечку персданных бизнес будет нести еще больше ответственности: ожидается введение оборотных штрафов, которые оперируют принципиально другими цифрами. Также сама ответственность увеличится вплоть до уголовной. В особо тяжких случаях штраф может быть до полумиллиарда рублей, и даже до 10 лет лишения свободы", - напоминает Алексей Парфентьев.
"Штраф может показаться невысоким, однако отсутствие политики на сайте может привести к дополнительным вопросам при проверке сайта со стороны представителей Роскомнадзора, так как отсутствие политики в таком случае, чаще всего, будет не единственным нарушением. Таким образом, для операторов важно следить за соблюдением требований не только к политике, но и ко всем аспектам обработки персональных данных с помощью своего сайта, к таким как, например, размещение cookie-баннера, правильное оформление форм сбора и др.", - предупреждает Никита Володин.