Помогли космодрому разрешить претензии Роскомнадзора
В конце февраля этого года компания Космодром Экспосервис, известный оператор космического туризма, обратилась к нам за помощью в решении проблемы, связанной с претензиями Роскомнадзора относительно нарушений при работе с персональными данными пользователей веб-сайтов, которые администрирует компания. Претензии, предъявляемые органом существенные, требующие детальной и вдумчивой проработки. Сроки, как это обычно бывает – максимально сжатые. Но обо всем по порядку.
Для предотвращения, выявления и пресечения нарушений законодательства о персональных данных сотрудники Управления Роскомнадзора по Воронежской области провели проверку без взаимодействия с компанией в отношении нашего клиента. В рамках контрольных мероприятий была проведена оценка соответствия информации, аккумулируемой через сайт, требованиям законодательства Российской Федерации о персональных данных, а также сведениям, представленным в
По результатам проведенной оценки проверяющими подготовлено заключение, в котором был отмечен ряд нарушений требований Федерального закона от 27 июля 2006 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных). Основные претензии заключались в том, что на сайтах оператора не были должным образом опубликованы документы, касающиеся обработки персональных данных, включая пользовательские данные cookies, не было подано своевременно уведомления о намерении осуществлять обработку персональных данных по установленной форме, а также у оператора отсутствовало разрешений осуществлять трансграничную передачу данных при задокументированном факте использования ассоциированных с Google Analytics метрик. Кроме того, на сайтах отсутствовала возможность получения согласия пользователей на обработку данных при заполнении ими форм обратной связи. Клиенту предъявлено требование привести свою деятельность в соответствие с действующим законодательством. Срок реагирования на запрос с учетом задержки обращения к юристам – 2 календарных дня.
Наша команда приняла вызов и начала работу над решением проблемы немедленно. Сначала мы провели аудит
На этапе подготовки к формированию уведомлений мы запросили у клиента полную информацию относительно содержания и объема персональных данных, обрабатываемых в компании и планируемых к трансграничной передаче, а также попросили оценить потребность компании в дальнейшем использовании сервисов Google Analytics в качестве маркетингового инструмента, оценить издержки.
Дело все в том, что использование метрической программы Google Analytics подразумевает передачу пользовательских данных на территорию иностранного государства иностранному юридическому лицу. Для оператора это означает две вещи: а) необходимость соблюдения требования закона о локализации персональных данных, (т.е. первичной записи информации о российских гражданах, в том числе информации о cookies, в базы данных, расположенные на территории РФ) б) обязанность получения разрешения о трансграничной передаче персональных данных от Роскомнадзора путем подачи соответствующего уведомления в порядке, предусмотренном ст. 12 Закона о персональных данных. При этом возможность подачи уведомления о трансграничной передаче напрямую зависит от наличия в реестре операторов записи о компании как об операторе персональных данных.
Невыполнение соответствующих требований может грозить компании начислением штрафов на суммы до 18 млн. рублей за повторное нарушение (см. п. 1, п. 8 и п. 9 Ст. 13.11 Кодекса об административных правонарушениях).
В итоге клиентом было принято решение об изменении маркетинговой стратегии компании в части осуществления сбора и обработки данных с использованием программных средств Google Analytic и произведено плановое отключение указанного ресурса на сайтах оператора. Сбор пользовательских данных с помощью программ Google Analytic и отправка их на зарубежные серверы оператором на текущий момент не осуществляется. Соответственно, необходимость подачи уведомления о намерении осуществлять трансграничную передачу пользовательских данных отсутствует.
Во исполнение требований ст. 9 Закона о персональных данных компания разместила на сайтах всплывающие окна с уведомлением об использовании файлов сookie с интегрированной ссылкой, ведущей на страницы, где отображается актуальный текст Политики использования данных сookies. Любой пользователь, обратившийся к сайтам, имеет возможность ознакомиться с условиями использования его пользовательских данных, а также управлять ими, как это указано в Политике использования данных Cookies.
Кроме того, компания предоставила неограниченный доступ к документу, определяющему политику оператора в отношении обработки персональных данных, который соответствует требованиям части 2 статьи 18.1. Закона о персональных данных. В этом документе указаны требования по защите персональных данных пользователей, категории и перечень обрабатываемых персональных данных для каждой цели обработки, методы и сроки обработки и хранения данных, а также процедура их уничтожения. Текст с соответствующим содержанием именуется «Политика конфиденциальности персональных данных» и публикуется на
Таким образом, все вопросы, заданные проверяющими органами, были решены. Компания своевременно уведомила контролирующие органы о намерении обрабатывать персональные данные через ЕСИА, и запись об этом уже внесена в реестр операторов персональных данных.
Подписаться на рассылку по e-mail
Юридическая компания «Центральный округ» поможет решить вашу проблему.