Провели аудит документов в области защиты персональных данных

К нам обратился клиент с просьбой провести аудит пользовательских документов, размещённых на их сайте, на предмет соответствия законодательству о персональных данных. В ответ на данную просьбу юристы нашей компании провели тщательную проверку этих документов.

В результате аудита были выявлены нарушения, характерные для многих операторов персональных данных. Основные проблемы заключались в недостаточной прозрачности процессов обработки информации конфиденциального характера, а именно: отсутствие четкого и доступного для понимания описания целей обработки данных, а также неясные формулировки касательно порядка передачи и использования персональных данных третьими лицами.

Подобные нарушения могут повлечь за собой не только административную ответственность, но и риски блокировки интернет-ресурса. Для устранения выявленных недочётов наши юристы подготовили ряд рекомендаций, направленных на улучшение документации и приведение её в соответствие с требованиями законодательства. Предлагаем рассмотреть некоторые из них:

1. Недостаточная ясность целей обработки данных: В документах отсутствует четкая и доступная информация о целях, для которых собираются и обрабатываются персональные данные пользователей. Пользователи должны понимать, как именно будет использоваться их информация, чтобы гарантировать, что они принимают обоснованное решение о предоставлении своего согласия.

2. Неясные условия согласия: формы согласия на обработку персональных данных не содержат ясных и подробных условий, которые объясняют, какие именно данные собираются, как они будут обрабатываться и какое время будет осуществляться это хранение. Тексты согласий вступают в явное противоречие с условиями других юридических документов.

3. Недостаточные меры безопасности: в документах не прописаны конкретные меры, которые компания предпринимает для защиты персональных данных от несанкционированного доступа, потери или уничтожения. В то же время, прозрачность в вопросах безопасности данных играет ключевую роль в формировании доверия со стороны пользователей.

4. Необоснованное хранение данных: в документах не указано, как долго собираемые персональные данные будут храниться и что произойдет с данными по истечении этого срока. Законодательство требует, чтобы данные хранились столько времени, сколько это необходимо для достижения указанных целей обработки.

5. Отсутствие информации о третьих лицах: в документах не указано, передаются ли персональные данные третьим лицам, и если да, то на каких условиях это происходит. Прозрачность в этом вопросе крайне важна для того, чтобы пользователи знали, куда может быть передана их информация.

6. Отсутствие законных оснований для работы с файлами cookies: Политика использования файлов cookies недостаточно подробно объясняет пользователям, как эти файлы будут использоваться, какие данные будут собираться и как они могут управлять своим согласием на использование cookies. Отсутствие информации о таких правах может вводить пользователей в заблуждение.

7. Отсутствует актуальная информация о трансграничной передаче персональных данных. В связи с тем, что на сайтах и в документах клиента нет данных о сотрудничестве с зарубежными партнерами и передаче им персональных данных, невозможно установить достоверную информацию об использовании Google Analytics и уведомлении контролирующих органов о факте трансграничной передачи. Несоблюдение правил информирования пользователей о порядке обработки данных и несвоевременное уведомление оператора об изменениях являются нарушениями законодательства.

Выявленные недостатки и нарушения подчеркивают важность незамедлительной работы над формированием более прозрачной и соответственной законодательству политики обработки персональных данных. Рекомендуем предпринять шаги по доработке актуальных документов, учтя приведенные выше аспекты, чтобы обеспечить полное соблюдение прав пользователей на ваших ресурсах. Это не только поможет избежать возможных юридических последствий, но и повысит уровень доверия со стороны клиентов.