Как на сайте выполнить требования РКН по персональным данным. Мой опыт

Миллионы владельцев сайтов в РУнете перешли в статус нарушителей требований федерального закона № 152 «О персональных данных». Я вам даже больше скажу: почти все сайты РУнета в настоящий момент являются Операторами персональных данных, просто мало кто пока знает об этом. Потому что мало кто получил гневные письма от РКН, предупреждающие о нарушении законодательства, и требующие приведение в соответствие персональных и иных сайтов, ресурсов новым требованиям Закона №152-ФЗ.

Что теперь Роскомнадзор относит к персональным данным, и почему почти все 100% владельцев доменных имён так или иначе обрабатывают персональные данные пользователей, я описал в предыдущей публикации на эту тему.

Мероприятия, позволяющие в 2023 году владельцу сайта соблюсти нормы Закона №152-ФЗ «О персональных данных». Мой опыт

Итак, как я уже писал, приводить в соответствие свой сайт требованиям этого Закона меня побудил РКН. Именно эти ребята мне показывали что требуется сделать на сайте,  и за его пределами, чтобы выйти из статуса нарушителя 152-ФЗ. Инспекторы раз за разом проверяли все мои организационные и технические мероприятия, и в конце концов, РКН всё устроило.  И плясать пришлось от печки.

Владельцам сайтов: перечень мероприятий для сайта, обрабатывающего персональные данные

1. Разработать и разместить  в отдельной публикации сайта Политику обработки персональных данных. Я не юрист, но с помощью РУнета, инспектора РКН и Божьей помощью сумел создать и разместить такой документ на сайте. Рекомендую сделать так, чтобы ссылка на такой документ была доступна с главной страницы сайта, а также по возможности с любой страницы. Например, на сайтах на базе CMS WordPress, удачное место для размещения такой ссылки — «подвал» сайта.

2. В соответствии с законодательством, сбор, обработка и прочие действия с персональными данными могут осуществляться только с согласия субъекта персональных данных. Для выполнения этого требования во всех местах сайта, где есть формы сбора персональных данных, необходимо установить флажок или чек-бокс, позволяющий дать согласие на обработку персональных данных пользователям сайта.

Так, например, у меня на сайте такой формой сбора персональных данных по мнению РКН является форма отправки комментариев, которую вы видите на скрине ниже:

Нужное обведено красным. Пользователь не сможет отправить комментарий с помощью этой формы, если не отметит галочкой пункт «Необходимо принять привила конфиденциальности».

Поскольку мой сайт работает под управлением WordPress, для обеспечения указанного требования я воспользовался распространённым плагином, который называется ATs Privacy Policy. Объяснять его настройку не буду, он простой как 5 копеек.

3. Если ваш сайт собирает «Куки» с помощью любых технических средств, или на нём установлены коды счётчиков или других скриптов/сервисов веб-аналитики, то чтобы не стать нарушителем требований Закона №152-ФЗ, вам необходимо поверх контента сайта разместить предупреждение посетителям о том, что продоложая использование сайта, посетитель автоматически акцептует (соглашается) с размещённой Политикой обработки персональных данных. И ссылку на Политику размещаем тут же, вместе с кнопкой согласен. Смотрим:

Нужное обведено красным. Как видите, это тоже не сложная задача, которую я решил с помощью плагина для Вордпресс, который называется «Cookie Notice & Compliance for GDPR/CCPA». Он тоже очень простой в настройке. И да, есть и другие аналогичные плагины для Вордпресс, если этот не понравится.

4. Для выполнения требований Закона «о персональных данных», потребуется составить и разместить на вашем сайте и так называемое Пользовательское соглашение. Которое по сути будет являться договором-офертой.

В таком договоре предусматриваются все нюансы использования сайта или мобильного приложения: права и обязанности пользователя и владельца сайта, порядок использования функционала и контента ресурса, ограничение ответственности владельца сайта и многое другое. Я тоже составил для своего скромного контентного сайта пользовательское соглашение.

5. В соответствии с Приказом Роскомнадзора от 28.10.2022 № 180, Оператор персональных данных (в данном случае владелец сайта) обязан подать «УВЕДОМЛЕНИЕ о намерении /обработке персональных данных» на Портале Роскомнадзора, специально разработанном для этой цели. После этой, надо сказать, не самой простой процедуры, вас как владельца сайта (я вот физ. лицо) или вашу компанию Роскомнадзор внесёт в так называемый реестр операторов персональных данных.

Форму уведомления  в РКН можно направить тремя способами:

▪️ В бумажном виде, предварительно распечатав и заполнив её, и направив в ваш в территориальный орган;

▪️ На Портале персональных данных с помощью электронной подписи;

▪️ Опять же, в электронном виде, на «Портале персональных данных», с помощью авторизации через Гос.услуги. В этом случае у вас должна быть подтвержденная учетная запись на Гос.услугах.

У меня форма УВЕДОМЛЕНИЯ, разумеется, самая упрощённая и короткая, поскольку у меня информационный сайт, сервисов, подразумевающих регистрацию пользователей на нём не содержится, товары я не продаю, материалы я размещаю сам, и я физ. лицо. Для юридических лиц и индивидуальных предпринимателей  размер этой формы, очевидно, будет побольше:

Это самый сложный этап из всех мероприятий по выполнению требований Закона 152-ФЗ к операторам персональных данных. Так, я столкнулся с техническими проблемами на указанном Портале, и с первой попытки не смог разобраться как заполнить  необходимые поля технически.

Затем возникла другая проблема: у данного портала есть так называемый тайм-аут, и если вы заполняете данные слишком долго, то с большой вероятностью вас выкинет из формы УВЕДОМЛЕНИЯ, и вы будете заполнять всё заново. Поскольку я не нашёл там опции сохранения черновиков, то это может превратиться в проблему.

6. Подача уведомления в РКН о начале трансграничной передачи персональных данных. Трансграничная передача персональных данных — это передача персональных данных на территорию иностранного государства: иностранному физическому или юридическому лицу, иностранным гос. учреждениям.

Применительно к сайту, это могут быть какие-либо сервисы, принадлежацие иностранным гражданам и компаниям, например, сервисы Гугл-аналитики, работа с партнёрскими маркетами, магазинами, платёжными системами, и даже рекламными блоками (баннерами) иностранных партнёрских программ, таких как adsense и другие.

Я решил в этом пункте поступить просто: удалил счётчик Гугл аналитики с сайта, и коды одной партнёрской программы. И уведомил об этом РКН.

Резюмируя вышесказанное

▪️Почти все владельцы сайтов  в РУнете являются операторами персональных данных. Знают ли они об этом, или нет, согласны ли они с этим или нет.

▪️Судебная практика в этом вопросе такова, что прав обычно РКН, а не ваш крутой нрав и знания законодательства. Можете сами поискать судебные решения по этому вопросу. Или попробовать на прочность свою судьбу и удачу.

▪️Самой глупой линией поведения после прочтения этой публикации (или, скажем, после получения уведомления от РКН) будет предубеждение, что «меня это не касается, и не коснётся, не посмеют, не имеют права, и вообще это всё бред, да идите вы».

Соответственно, самой мудрой линией поведения будет анализ своего сайта на предмет наличия элементов, собирающих и обрабатывающих персональные данные, и планомерная работа над устранением возможных нарушений в части, касающейся персональных данных.

▪️Мой опыт показывает, что не стОит считать РКН  карающим и злобным органом. Это не так. С инспектором можно спокойно работать, получать консультации, разъяснения. Если они увидят, что вы адекватно реагируете, идёте на контакт, работаете над устранением, то никаких штрафных санкций не последует.

▪️Несмотря на внешне пугающий объём и сложность всех мероприятий, указанных выше, достаточно выделить 1 день (а кто-то и быстрее справится), и всё сделать как надо.

P.S. В продолжение этой темы последует ещё одна (или более) публикация, так что не переключайтесь на другой канал..))