Игорь Баранов, адвокат и эксперт Национального антикоррупционного комитета, прокомментировал для CISOCLUB запуск массовых автоматизированных проверок сайтов на соответствие требованиям 152-ФЗ. По его словам, речь идет о переходе к новой модели надзора, при которой контроль становится постоянным и масштабным.
«Запуск автоматизированных проверок сайтов со стороны Роскомнадзора — это качественно новый этап контроля за соблюдением требований 152-ФЗ. Фактически регулятор переходит от выборочного надзора к массовому и постоянному мониторингу, что кратно увеличивает риски для бизнеса», — отметил Игорь Баранов.
Эксперт подчеркнул, что теперь даже небольшие компании и региональные сайты попадают в зону внимания регулятора. Вероятность получения предписания существенно возрастает, поскольку базовые нарушения выявляются автоматически.
«Если раньше многие компании могли годами не попадать в поле зрения проверяющих, то теперь ситуация изменилась: бот способен выявлять базовые нарушения в автоматическом режиме», — заявил он.
По его словам, в новых условиях формальный подход к соблюдению требований больше не работает. Простого размещения типовых документов недостаточно, поскольку проверяется не только их наличие, но и реальная логика обработки данных.
«Это означает, что „формальный подход“ к персональным данным — когда на сайте просто размещены шаблонные документы — больше не работает», — подчеркнул эксперт.
Он отметил, что основные типы нарушений остаются прежними, однако теперь фиксируются значительно быстрее. Среди них — некорректные формы согласия, предустановленные галочки, расхождения между политикой и фактическими процессами, а также отсутствие регистрации в реестре операторов.
«Важно понимать, что проверяется не только наличие документов, но и фактическая логика работы сайта, от формы сбора данных до аналитики и cookie», — заявил Игорь Баранов.
Эксперт также обратил внимание на сжатые сроки для устранения нарушений. По его словам, десяти дней часто недостаточно, особенно если требуется изменение технической архитектуры или внутренних процессов.
«Десяти дней зачастую недостаточно, особенно если речь идёт не просто о тексте политики, а о необходимости изменить архитектуру сайта или внутренние процессы обработки данных», — отметил он.
Он добавил, что складывается ситуация, при которой требования могут восприниматься как несовершенные, однако ответственность за их несоблюдение продолжает усиливаться.
«Возникает правовой парадокс — правила считаются несовершенными, но ответственность за их несоблюдение продолжает ужесточаться», — подчеркнул эксперт.
По его словам, в таких условиях компаниям необходимо пересматривать подход к работе с персональными данными и проводить комплексную проверку всех процессов.
«Персональные данные больше нельзя воспринимать как формальность „для галочки“. Необходим комплексный аудит всех процессов», — заключил Игорь Баранов.