Наша практика

Помогли космодрому разрешить претензии Роскомнадзора

11 июн 2024

В конце февраля этого года компания Космодром Экспосервис, известный оператор космического туризма, обратилась к нам за помощью в решении проблемы, связанной с претензиями Роскомнадзора относительно нарушений при работе с персональными данными пользователей веб-сайтов, которые администрирует компания. Претензии, предъявляемые органом существенные, требующие детальной и вдумчивой проработки. Сроки, как это обычно бывает – максимально сжатые. Но обо всем по порядку.

Для предотвращения, выявления и пресечения нарушений законодательства о персональных данных сотрудники Управления Роскомнадзора по Воронежской области провели проверку без взаимодействия с компанией в отношении нашего клиента. В рамках контрольных мероприятий была проведена оценка соответствия информации, аккумулируемой через сайт, требованиям законодательства Российской Федерации о персональных данных, а также сведениям, представленным в реестре операторов РКН.

По результатам проведенной оценки проверяющими подготовлено заключение, в котором был отмечен ряд нарушений требований Федерального закона от 27 июля 2006 № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных). Основные претензии заключались в том, что на сайтах оператора не были должным образом опубликованы документы, касающиеся обработки персональных данных, включая пользовательские данные cookies, не было подано своевременно уведомления о намерении осуществлять обработку персональных данных по установленной форме, а также у оператора отсутствовало разрешений осуществлять трансграничную передачу данных при задокументированном факте использования ассоциированных с Google Analytics метрик. Кроме того, на сайтах отсутствовала возможность получения согласия пользователей на обработку данных при заполнении ими форм обратной связи. Клиенту предъявлено требование привести свою деятельность в соответствие с действующим законодательством. Срок реагирования на запрос с учетом задержки обращения к юристам – 2 календарных дня.

Наша команда приняла вызов и начала работу над решением проблемы немедленно. Сначала мы провели аудит обоих веб-сайтов, чтобы точно определить все нарушения и проблемные моменты. Далее мы разработали детальный план действий, который включал в себя создание необходимых документов, внесение изменений на сайтах для обеспечения соблюдения требований законодательства и рекомендации по дальнейшему ведению документооборота, связанного с обработкой персональных данных внутри компании. Из-за сжатых сроков информационное письмо с запросом о включении компании в реестр операторов РКН пришлось готовить параллельно с юридической обвязкой сайтов.

На этапе подготовки к формированию уведомлений мы запросили у клиента полную информацию относительно содержания и объема персональных данных, обрабатываемых в компании и планируемых к трансграничной передаче, а также попросили оценить потребность компании в дальнейшем использовании сервисов Google Analytics в качестве маркетингового инструмента, оценить издержки.

Дело все в том, что использование метрической программы Google Analytics подразумевает передачу пользовательских данных на территорию иностранного государства иностранному юридическому лицу. Для оператора это означает две вещи: а) необходимость соблюдения требования закона о локализации персональных данных, (т.е. первичной записи информации о российских гражданах, в том числе информации о cookies, в базы данных, расположенные на территории РФ) б) обязанность получения разрешения о трансграничной передаче персональных данных от Роскомнадзора путем подачи соответствующего уведомления в порядке, предусмотренном ст. 12 Закона о персональных данных. При этом возможность подачи уведомления о трансграничной передаче напрямую зависит от наличия в реестре операторов записи о компании как об операторе персональных данных.

Невыполнение соответствующих требований может грозить компании начислением штрафов на суммы до 18 млн. рублей за повторное нарушение (см. п. 1, п. 8 и п. 9 Ст. 13.11 Кодекса об административных правонарушениях).

В итоге клиентом было принято решение об изменении маркетинговой стратегии компании в части осуществления сбора и обработки данных с использованием программных средств Google Analytic и произведено плановое отключение указанного ресурса на сайтах оператора. Сбор пользовательских данных с помощью программ Google Analytic и отправка их на зарубежные серверы оператором на текущий момент не осуществляется. Соответственно, необходимость подачи уведомления о намерении осуществлять трансграничную передачу пользовательских данных отсутствует.

Во исполнение требований ст. 9 Закона о персональных данных компания разместила на сайтах всплывающие окна с уведомлением об использовании файлов сookie с интегрированной ссылкой, ведущей на страницы, где отображается актуальный текст Политики использования данных сookies. Любой пользователь, обратившийся к сайтам, имеет возможность ознакомиться с условиями использования его пользовательских данных, а также управлять ими, как это указано в Политике использования данных Cookies.

Кроме того, компания предоставила неограниченный доступ к документу, определяющему политику оператора в отношении обработки персональных данных, который соответствует требованиям части 2 статьи 18.1. Закона о персональных данных. В этом документе указаны требования по защите персональных данных пользователей, категории и перечень обрабатываемых персональных данных для каждой цели обработки, методы и сроки обработки и хранения данных, а также процедура их уничтожения. Текст с соответствующим содержанием именуется «Политика конфиденциальности персональных данных» и публикуется на странице. Указанные ссылки размещаются в «подвале» футере каждого сайта, а также доступны для ознакомления через систему внутренних ссылок, используемых оператором при сборе персональных данных через формы обратной связи.

Таким образом, все вопросы, заданные проверяющими органами, были решены. Компания своевременно уведомила контролирующие органы о намерении обрабатывать персональные данные через ЕСИА, и запись об этом уже внесена в реестр операторов персональных данных.

Поделиться:

Подписаться на рассылку по e-mail

Нашу рассылку читают собственники бизнеса, их финансисты, бухгалтеры и юристы. Без спама: в нее включается юридическая аналитика, наша практика, руководства и дайджесты
У вас есть вопрос? Свяжитесь с нами!

Юридическая компания «Центральный округ» поможет решить вашу проблему.


Имя
E-mail*