На исправление и информирование о результатах по ч. 4 ст. 20 Закона о персональных данных отводится десять рабочих дней. При наличии обоснования, этот срок может быть продлен на 5 дней.
За невыполнение требований РКН на ИП налагается штраф 20–40 тысяч рублей; на юрлиц — 50–90 тысяч рублей.
Устранение нарушений Чтобы привести сайт в соответствие с требованиями законодательства, потребовалось:
1. Предоставить в РКН информацию о наличии согласия сотрудников на распространение их данных, размещенных на сайте. Альтернативным решением может стать удаление такой информации с сайта.
2. Подготовить и опубликовать на сайте «Политику конфиденциальности»
— документ, «определяющий политику в отношении обработки персональных данных и сведения о реализуемых требованиях к защите персональных данных».
Шаблонное «Соглашение», присутствующее, например, из «коробки» на решениях от «Аспро», таким документом не является. Полноценная «Политика» нашего клиента занимает более 16 листов A4, набранных шрифтом Times New Roman с 12-м кеглем. В «Политике» подробно разъясняются цели, принципы, способы и условия обработки персональных данных, а также сведения о требованиях к порядку обработки и защите данных. Она должна охватывать все случаи взаимодействия компании с любыми персональными данными: от возникающих вследствие трудовых отношений с работниками до относящихся к работе с контрагентами.
3. Разместить на сайте соглашение на обработку персональных данных, соответствующее законодательным нормам.
На сайте обычно размещается «Согласие на обработку персональных данных», касающееся только информации, которую пользователи указывают на сайте, например, при заполнении формы заказа или онлайн-записи. Согласие может быть дано «в любой позволяющей подтвердить факт его получения форме» по ч. 1 ст. 9 № 152-ФЗ. На сайте для подтверждения согласия, как правило, используется чекбокс в форме отправки данных, рядом с которым ставится ссылка на полный текст «Согласия».
Примером такого «Согласия» является в том числе шаблонный текст, присутствующий по умолчанию на готовых решениях от «Аспро». Поэтому мы оставили этот текст, отредактировав под себя, в частности, исправив неправильный момент про неограниченность срока.
4. Добавить на сайт решение, уведомляющее посетителей об использовании cookies
и других технических персональных данных и позволяющее выразить согласие с этим. Для решения этой задачи проще всего использовать специальный готовый виджет: существует множество бесплатных и платных вариантов, в том числе встроенные в CMS. Такие решения доступны в Маркетплейсе «1С-Битрикс» по запросу «cookies»
Так как согласие на обработку персональных данных «должно быть конкретным, предметным, информированным, сознательным и однозначным», в виджете нужно указать ссылки на документы, в которых разъясняются правила обработки технических персональных данных. В готовом виде на сайте это может выглядеть, например, так:
В настоящее время законодательство не устанавливает требований к форме согласия с обработкой cookies. Поэтому оно может быть
представлено или в виде отдельного документа, или включаться в «Политику конфиденциальности».
Таким образом, для соответствия № 152-ФЗ на сайте обязательно должны присутствовать:
политика конфиденциальности;согласие на обработку персональных данных;уведомление о cookies , позволяющее согласиться с их использованием.Как мы уже упоминали, операторами персональных данных, обязанными уведомлять РКН и состоять в реестре, являются практически все
компании и ИП, и проверка может коснуться сайта каждого из них. На наш взгляд, стоит проверить и привести в порядок функционал и документы, относящиеся к № 152-ФЗ, заранее, не дожидаясь требований по устранению нарушений от РКН.