Безопасность / Закон и телеком / Лента новостей / ТОП

РКН начал активный мониторинг: первые предписания по новым правилам обработки персданных

РКН начал активный мониторинг: первые предписания по новым правилам обработки персданных

Сентябрьские поправки в законодательство о персональных данных перешли из стадии теоретического обсуждения в практическую плоскость. Роскомнадзор приступил к плановым проверкам соблюдения обновленных норм и уже рассылает первые предписания предпринимателям. Это сигнал для всего рынка: переходный период завершился, и контролирующий орган начал активную правоприменительную практику.

Новая нормативная база существенно ужесточила требования для всех, кто работает с персональными данными, — от крупных корпораций до малого бизнеса и индивидуальных предпринимателей.

Речь идет не только о клиентских базах, но и о любых формах сбора информации: заявки с сайтов, подписки в соцсетях, контакты представителей юридических лиц, а также данные, собираемые с помощью аналитических сервисов.

На что обращает внимание регулятор: разбор первого предписания

Анализ одного из первых официальных требований РКН, направленного владельцу сайта-лендинга, позволяет выделить ключевые точки контроля.

  1. Интерактивное согласие на обработку. Регулятор четко указывает на недопустимость «предустановленных» галочек в формах сбора данных. Согласие считается полученным правомерно только в том случае, если субъект данных совершил явное действие — самостоятельно поставил отметку в соответствующем поле. Простая ссылка на политику конфиденциальности или уже активированный по умолчанию чекбокс более не соответствуют требованиям закона.
  2. Прозрачность использования аналитических инструментов. Факт применения таких сервисов, как Яндекс.Метрика, должен быть прямо отражен в документации оператора — политике обработки персональных данных. Кроме того, от пользователей необходимо получать согласие на сбор cookie-файлов и аналитику, для чего на сайте должно быть реализовано соответствующее уведомляющее окно.
  3. Корректность содержания внутренних документов. РКН проводит экспертизу не только наличия, но и содержания политики обработки. В рассмотренном случае регулятор указал на некорректно прописанный срок хранения персональных данных, что является прямым нарушением принципа соразмерности и законности обработки.
  4. Легитимность обработки биометрических данных. Размещение фотографий сотрудников на сайте было квалифицировано как обработка биометрических данных. РКН потребовал документального подтверждения того, что сотрудники предоставили согласие на использование их изображений, а также наличия запрета на дальнейшее распространение этих фотографий третьими лицами.
  5. Обязательность уведомления Роскомнадзора. Проверка выявила отсутствие предпринимателя в Реестре операторов, осуществляющих обработку персональных данных. Подача соответствующего уведомления в РКН является обязательным требованием для большинства компаний, работающих с персданными.

Риски и последствия

На устранение выявленных несоответствий Роскомнадзор отводит всего 10 рабочих дней. Невыполнение предписания в установленный срок влечет за собой административную ответственность. Однако важно понимать, что даже оперативное исправление нарушений не гарантирует освобождения от штрафов за сам факт их выявления.

Штрафные санкции по ст. 13.11 КоАП РФ варьируются от сотен тысяч рублей за формальные нарушения (отсутствие уведомления, некорректное согласие) до многомиллионных штрафов, достигающих 15 млн рублей, в случае подтвержденной утечки персональных данных.

Практические рекомендации для бизнеса

В свете начавшихся проверок компаниям необходимо в срочном порядке провести аудит своих цифровых активов и документооборота. Ключевые элементы:

  • Актуализированная Политика обработки персональных данных, детально описывающая все цели, сроки и процедуры.
  • Явное и информированное согласие пользователя, получаемое через интерактивный чекбокс под каждой формой сбора данных.
  • Внедрение механизма информирования и получения согласия на использование cookie-файлов и аналитических систем.
  • Подача уведомления об обработке персональных данных в территориальный орган Роскомнадзора.
  • Наличие письменных согласий от физических лиц (сотрудников, клиентов) на обработку их персональных, а в отдельных случаях — биометрических данных.

Начало рассылки предписаний свидетельствует о том, что РКН перешел к активному надзору. Проактивный аудит и приведение процессов в соответствие с новыми требованиями — единственная стратегия, позволяющая минимизировать репутационные и финансовые риски в текущих условиях.

Фото: FIestock.