Анализ интернет-сайт rozetka39.ru на соблюдение закона «О персональных данных»

26 июля 2017 года специалисты правового партнерства «Ефимов и партнеры» проанализировали интернет-сайт https://rozetka39.ru/, выделили ряд недостатков и подготовили рекомендации для минимизации правовых рисков в рамках требований Федерального закона №152 «О персональных данных».

1. На дату анализа в форме регистрации не был реализован механизм получения соглашения на обработку персональных данных пользователей сайта.

Не работала ссылка в примечании (рядом с чек-боксом), тем самым нарушались положения ФЗ-152 «О персональных данных» в части получения соглашения на обработку персональных данных, что грозило штрафом  в соответствие с частью 2 статьи 13.11 КоАП РФ.

Было рекомендовано реализовать механизм получения соглашения пользователей через пользовательское соглашение на сайте либо создать отдельный документ, рабочую ссылку на который следует разместить рядом с чек-боксом. 

Администратором сайта рекомендация выполнена.

 

2. Политики в отношении обработки персональных данных не размещена в неограниченном доступе пользователей сайта.

Частью 3 статьи 13.11 КоАП РФ установлена обязанность Оператора обеспечить неограниченный доступ к политике Оператора в отношении обработки персональных данных (далее – Политика). Как правило текст Политики размещают в «подвале» (футере сайта).

Было рекомендовано разработать и разместить Политику в футере сайта.

Администратором сайта рекомендация выполнена частична: разработана политика конфиденциальности, но в неограниченном доступе она фактически отсутствует.

3. Администратор доменного имени Amplituda Ltd не включен в реестр операторов персональных данных.

Рекомендация об уведомлении Роскомнадзора о начале обработки персональных данных через форму (https://pd.rkn.gov.ru/operators-registry/notification/form/) не реализована.


Общие рекомендации.

1. Локальные акты (организационно-распорядительные документы) организации.

Части 6 статьи 13.11 КоАП РФ требует от оператора персональных данных выполнения ряда требований, установленных статьями 18.1 и 19 ФЗ-152, что в свою очередь требует разработки и соболюдения ряда организационно-распорядительных документов.

2. Всплывающее предупреждение.

При переходе на интернет сайт как правило обрабатываются файлы cookie, пользовательские данные: сведения о местоположении; тип и версия ОС; тип и версия Браузера; тип устройства и разрешение его экрана; источник откуда пришел на сайт пользователь; с какого сайта или по какой рекламе перешел пользователь; язык ОС; язык Браузера; какие страницы открывает и на какие кнопки нажимает пользователь; ip-адрес).

Законодательство не устанавливает обязательство выводить всплывающие предупреждения, однако подобная практика является правильной, начинает распространятся в Российской Федерации и давно работает в других странах. Это показывает Ваше уважительное отношение к пользователям.

Предлагаем Выводить на сайте всплывающее предупреждение: «Продолжая использовать наш сайт, Вы даете согласие на обработку файлов cookie, пользовательских данных (местоположение (геолокация); тип ОС; версия ОС; тип Браузера; версия Браузера; тип устройства;  разрешение экрана устройства; источник откуда пришел на сайт пользователь; с какого сайта или по какой рекламе; язык ОС; язык Браузера; какие страницы открывает и на какие кнопки нажимает пользователь; ip-адрес) в целях функционирования сайта, проведения ретаргетинга и проведения статистических исследований и обзоров. Если вы не хотите, чтобы Ваши данные обрабатывались, пожалуйста покиньте этот сайт.»


3. Общие рекомендации

  • Осуществляйте обработку только тех персональных данных которые необходимы для Ваших целей, не получайте и не обрабатывайте лишние персональные данные;
  • Раздельно храните материальные носители персональных данных различных категорий субъектов персональных данных;
  • Получайте от субъектов персональных данных их согласие на обработку персональных данных;
  • Передавайте персональные данные третьим лицам, оформляя поручение на обработку персональных данных;
  • Оформляйте согласие на обработку персональных данных и обязательство о неразглашении персональных данных в качестве приложений к трудовому договору с новыми сотрудниками;
  • Следите за обращениями субъектов персональных данных, представителей таких субъектов, отвечайте на запросы уполномоченного органа по защите прав субъектов персональных данных, вносите записи в журнал;
  • Проводите внутреннюю проверку соблюдения порядка обработки персональных данных;
  • В случае возникновения изменений в штате сотрудников, появления новых целей обработки персональных данных не забудьте актуализировать информацию в локальной документации и вносить изменения в реестр операторов персональных данных;
  • Храните базы персональных данных на территории Российской Федерации.

Как оставаться в рамках закона о персональных данных и продолжать вести бизнес