Виктория Меньшова, консультант по информационной безопасности компании «КИТ», прокомментировала для CISOCLUB практику массовых проверок сайтов на соответствие требованиям 152-ФЗ. По её словам, ужесточение законодательства привело к росту числа выявляемых нарушений, многие из которых носят системный характер и повторяются у разных организаций.
«С ужесточением требований законодательства всё чаще фиксируются прямые нарушения. Значительная часть из них связана с грубыми нарушениями при обработке персональных данных (далее — ПДн). Роскомнадзор активно осуществляет проверки сайтов организаций, выявляя повторяющиеся и типовые ошибки, допускаемые при обработке данных», — отметила Виктория Меньшова.
Эксперт пояснила, что одной из ключевых проблем остаётся отсутствие обязательных документов или их некорректное оформление. По её словам, при сборе данных через сайт компании обязаны обеспечить прозрачность и доступность информации для пользователей.
«При сборе ПДн, с использованием сайта, необходимо в обязательном порядке разместить следующие актуальные документы

Политика организации в отношении обработки ПДн;
Согласие на обработку ПДн.

Указанные документы должны быть в свободном доступе для посетителей сайта, а также интегрированы в форму обратной связи. Каждый пользователь, заполняющий соответствующие поля для формы обратной связи, должен иметь возможность предварительно ознакомиться с содержанием политики и согласия на обработку ПДн.
Распространённой ошибкой также является использование неактуальных форм документов, которые уже не соответствуют нормам законодательства или отражают неактуальные цели сбора ПДн и неактуальный состав ПДн», — заявила она.
Она также обратила внимание на ошибки в механике получения согласия пользователя. По её словам, на многих сайтах отсутствует обязательное подтверждение, что делает процесс обработки данных юридически уязвимым.
«На многих сайтах реализованы формы обратной связи, позволяющие посетителям оставить свои личные данные для связи. Однако одна из распространённых ошибок — отсутствие обязательного поля для подтверждения согласия. В такой форме субъект должен самостоятельно поставить „галочку“, подтверждающую, что он ознакомлен с Согласием на обработку ПДн и Политикой обработки ПДн, а также даёт свое добровольное согласие на их обработку. Такой подход обеспечивает ясность и законность процедуры получения согласия», — отметила Виктория Меньшова.
Отдельно эксперт выделила нарушения, связанные с обработкой cookie-файлов. По её словам, компании обязаны не только информировать пользователей, но и получать их согласие в установленной форме.
«Необходимо обратить внимание, какие cookie-файлы собирает сайт. Если осуществляется их сбор, на сайте необходимо установить всплывающий баннер, появляющийся при каждом посещении сайта. В этом баннере должна быть размещена ссылка на актуальную политику обработки cookie-файлов. В документе обязательно должны быть описаны виды собираемых файлов и условия обеспечения их конфиденциальности. При размещении документов важно, чтобы они находились на том же домене, что и сам сайт.
Кроме того, в баннере должно присутствовать обязательное поле для подтверждения согласия пользователя на сбор cookie-файлов, тем самым обеспечивая законное согласие посетителя», — подчеркнула она.
Эксперт также указала на риски, связанные с использованием сторонних сервисов, особенно иностранных. По её словам, такие решения требуют дополнительной проверки на соответствие требованиям законодательства о локализации данных.
«В большинстве случаев организации могут использовать сторонние сервисы для сбора ПДн или cookie-файлов. Такая практика часто связана с желанием воспользоваться расширенными возможностями аналитики или маркетинга. Однако она несет серьезные правовые риски и требует особого внимания.
Законодательство требует, чтобы базы данных с ПДн граждан Российской Федерации (далее – РФ) находились на территории РФ. Нахождение баз данных за пределами страны допустимо лишь в отдельных случаях, установленных действующим законодательством. Поэтому необходимо обязательно проверить, какие сервисы для сбора данных используются и где осуществляется дальнейшее или промежуточное хранение собранных данных.
Важно также обратить внимание на отдельно используемые сервисы сбора и аналитики cookie-файлов. Часть таких сервисов полностью запрещены к использованию на территории РФ», — заявила Виктория Меньшова.
По её словам, автоматизация проверок позволяет регулятору выявлять нарушения на ранних этапах и оперативно реагировать на них. При этом последствия для компаний могут быть достаточно серьёзными.
«Роскомнадзор активно проверяет сайты организации. Первичная проверка осуществляется автоматическим способом, где в том числе выявляют различные cookie-скрипты, обращения к внешним API и прочие „следы“ обработки данных.
В случаях, когда выявлены первичные нарушения, Роскомнадзор может направить официальный запрос, где потребует разъяснить как собираются и обрабатываются ПДн, а также какими способами обеспечивается защита ПДн. При подтверждении нарушения организации могут направить предписание на устранение выявленных нарушений.
В худшем случае, информацию о нарушении могут передать на судебное рассмотрение», — заключила эксперт.