Анализ интернет-сайт rozetka39.ru на соблюдение закона «О персональных данных»
26 июля 2017 года специалисты правового партнерства «Ефимов и партнеры» проанализировали интернет-сайт https://rozetka39.ru/, выделили ряд недостатков и подготовили рекомендации для минимизации правовых рисков в рамках требований Федерального закона №152 «О персональных данных».
1. На дату анализа в форме регистрации не был реализован механизм получения соглашения на обработку персональных данных пользователей сайта.
Не работала ссылка в примечании (рядом с чек-боксом), тем самым нарушались положения ФЗ-152 «О персональных данных» в части получения соглашения на обработку персональных данных, что грозило штрафом в соответствие с частью 2 статьи 13.11 КоАП РФ.
Было рекомендовано реализовать механизм получения соглашения пользователей через пользовательское соглашение на сайте либо создать отдельный документ, рабочую ссылку на который следует разместить рядом с чек-боксом.
Администратором сайта рекомендация выполнена.
2. Политики в отношении обработки персональных данных не размещена в неограниченном доступе пользователей сайта.
Частью 3 статьи 13.11 КоАП РФ установлена обязанность Оператора обеспечить неограниченный доступ к политике Оператора в отношении обработки персональных данных (далее – Политика). Как правило текст Политики размещают в «подвале» (футере сайта).
Было рекомендовано разработать и разместить Политику в футере сайта.
Администратором сайта рекомендация выполнена частична: разработана политика конфиденциальности, но в неограниченном доступе она фактически отсутствует.
3. Администратор доменного имени Amplituda Ltd не включен в реестр операторов персональных данных.
Рекомендация об уведомлении Роскомнадзора о начале обработки персональных данных через форму (https://pd.rkn.gov.ru/operators-registry/notification/form/) не реализована.
Общие рекомендации.
1. Локальные акты (организационно-распорядительные документы) организации.
Части 6 статьи 13.11 КоАП РФ требует от оператора персональных данных выполнения ряда требований, установленных статьями 18.1 и 19 ФЗ-152, что в свою очередь требует разработки и соболюдения ряда организационно-распорядительных документов.
2. Всплывающее предупреждение.
При переходе на интернет сайт как правило обрабатываются файлы cookie, пользовательские данные: сведения о местоположении; тип и версия ОС; тип и версия Браузера; тип устройства и разрешение его экрана; источник откуда пришел на сайт пользователь; с какого сайта или по какой рекламе перешел пользователь; язык ОС; язык Браузера; какие страницы открывает и на какие кнопки нажимает пользователь; ip-адрес).
Законодательство не устанавливает обязательство выводить всплывающие предупреждения, однако подобная практика является правильной, начинает распространятся в Российской Федерации и давно работает в других странах. Это показывает Ваше уважительное отношение к пользователям.
Предлагаем Выводить на сайте всплывающее предупреждение: «Продолжая использовать наш сайт, Вы даете согласие на обработку файлов cookie, пользовательских данных (местоположение (геолокация); тип ОС; версия ОС; тип Браузера; версия Браузера; тип устройства; разрешение экрана устройства; источник откуда пришел на сайт пользователь; с какого сайта или по какой рекламе; язык ОС; язык Браузера; какие страницы открывает и на какие кнопки нажимает пользователь; ip-адрес) в целях функционирования сайта, проведения ретаргетинга и проведения статистических исследований и обзоров. Если вы не хотите, чтобы Ваши данные обрабатывались, пожалуйста покиньте этот сайт.»
3. Общие рекомендации
- Осуществляйте обработку только тех персональных данных которые необходимы для Ваших целей, не получайте и не обрабатывайте лишние персональные данные;
- Раздельно храните материальные носители персональных данных различных категорий субъектов персональных данных;
- Получайте от субъектов персональных данных их согласие на обработку персональных данных;
- Передавайте персональные данные третьим лицам, оформляя поручение на обработку персональных данных;
- Оформляйте согласие на обработку персональных данных и обязательство о неразглашении персональных данных в качестве приложений к трудовому договору с новыми сотрудниками;
- Следите за обращениями субъектов персональных данных, представителей таких субъектов, отвечайте на запросы уполномоченного органа по защите прав субъектов персональных данных, вносите записи в журнал;
- Проводите внутреннюю проверку соблюдения порядка обработки персональных данных;
- В случае возникновения изменений в штате сотрудников, появления новых целей обработки персональных данных не забудьте актуализировать информацию в локальной документации и вносить изменения в реестр операторов персональных данных;
- Храните базы персональных данных на территории Российской Федерации.
Как оставаться в рамках закона о персональных данных и продолжать вести бизнес