Практически у каждой компании есть сайт: корпоративный портал, интернет-магазин, лендинг, личный кабинет, блог, форма заявки или страница мероприятия. Для клиента это витрина бизнеса. Для Роскомнадзора — открытый источник, по которому можно увидеть часть процессов обработки персональных данных.
Сайт редко обрабатывает ПДн только в одной точке. Обычно данные собираются через формы обратной связи, заявки, подписку на рассылку, онлайн-чат, cookie-файлы, аналитику, рекламные пиксели, личный кабинет, формы регистрации на мероприятия, квизы и интеграции с CRM. Каждый элемент должен иметь понятную цель, правовое основание, корректный текст для пользователя и связь с политикой обработки персональных данных.
Ответственность за нарушения в сфере ПДн в основном сосредоточена в статье 13.11 КоАП РФ. Она охватывает обработку без правового основания, нарушения требований к согласию, отсутствие доступной политики, локализацию, уведомления, инциденты и неправомерную передачу данных.
Для бизнеса важно учитывать несколько моментов:- ИП, если прямо не указано иное или если в санкции нет отдельной графы ответственности для ИП, несут ответственность как должностные лица по ст. 2.4 КоАП РФ.
- ИП за правонарушения, предусмотренные частью 1.1 и частями 8−18 ст. 13.11 КоАП РФ, несут ответственность как юридические лица.
- Для частей 10−18 под должностными лицами понимаются лица, работающие в государственных или муниципальных органах либо в некоммерческих организациях. Для юридических лиц действует обратная логика: это все юрлица, кроме государственных и муниципальных органов и НКО.
Самые чувствительные штрафные риски связаны с локализацией, неправомерной передачей ПДн, инцидентами, специальными категориями и биометрическими данными. Но на практике сайт часто «падает» на более базовых вещах: нет понятного согласия, политика не соответствует собираемой вформах сбора информации, cookie-баннер не раскрывает аналитику, в чек-боксе смешаны разные правовые основания.