Проверка сайта Роскомнадзором редко ограничивается просмотром одной страницы или наличием политики конфиденциальности в футере. Обычно анализируется весь порядок работы ресурса: какие данные собираются, как оформлены согласия пользователей, куда передается информация, какие сервисы подключены и насколько документы соответствуют фактической работе сайта.
Многие владельцы сайтов считают, что достаточно разместить шаблонную политику обработки персональных данных и форму с галочкой согласия. На практике именно формальный подход становится причиной большинства претензий. Проверка быстро выявляет расхождения между опубликованными документами и реальными процессами обработки данных.
Одна из самых частых ошибок — отсутствие обязательных документов или их неполное содержание. На сайте может присутствовать короткая политика конфиденциальности, но в ней не указаны цели обработки данных, порядок хранения информации, использование cookie, передача данных третьим лицам или права пользователя.
Распространенной проблемой считается и отсутствие корректного согласия на обработку персональных данных. Например, форма заявки содержит кнопку отправки, но не объясняет, на что именно соглашается пользователь. Или согласие оформлено скрыто и не связано с конкретным действием посетителя сайта.
Во время проверки обычно обращают внимание на:
- формы обратной связи;
- регистрацию пользователей;
- онлайн-чаты;
- квизы и pop-up формы;
- cookie и аналитику;
- системы рассылок;
- интеграции с CRM;
- передачу данных сторонним сервисам.
Отдельное внимание уделяется cookie-файлам и системам аналитики. Владельцы сайтов часто не считают их частью обработки персональных данных, хотя многие сервисы собирают IP-адреса, информацию об устройстве, действиях пользователя и технические идентификаторы. Если сайт использует аналитику, рекламные пиксели или инструменты ремаркетинга без соответствующих уведомлений, это может стать предметом претензий.
Еще одна типичная ошибка — использование шаблонных документов, не связанных с реальной работой сайта. Например, политика утверждает, что сайт не передает данные третьим лицам, хотя заявки автоматически отправляются в CRM или сервис email-рассылок. Либо в документе указаны устаревшие сведения о компании, старый адрес или неверный перечень собираемых данных.
Проблемы возникают и при отсутствии уведомления Роскомнадзора об обработке персональных данных. Многие компании собирают данные клиентов через сайт годами, но никогда не подавали сведения как оператор персональных данных. При проверке это быстро выявляется.
Серьезной ошибкой считается несогласованность документов между собой. Например:
- политика конфиденциальности содержит один перечень данных;
- пользовательское соглашение — другой;
- формы сайта собирают дополнительные сведения;
- cookie-баннер отсутствует;
- в уведомлении Роскомнадзора указаны не все цели обработки.
Такие противоречия показывают, что документы были подготовлены формально и не отражают реальную работу ресурса.
Проверяющие также анализируют порядок размещения документов на сайте. Если ссылки спрятаны в малозаметных разделах или пользователь не может ознакомиться с условиями до отправки данных, это считается нарушением. Особенно часто проблемы возникают в мобильной версии сайта, всплывающих окнах и нестандартных формах заявок.
Иногда владельцы сайтов забывают о дополнительных сервисах, подключенных разработчиками. На сайте могут работать сторонние виджеты, формы обратного звонка, онлайн-консультанты, сервисы аналитики и рекламные инструменты, о которых нет информации в документах. При технической проверке такие интеграции обычно выявляются быстро.
Для интернет-магазинов отдельным направлением проверки становятся процессы оформления заказа. Анализируется:
- какие данные запрашиваются;
- как оформлено согласие;
- где размещены документы;
- как работает личный кабинет;
- каким сервисам передаются сведения;
- как организована рассылка уведомлений.
Еще одна частая проблема — отсутствие механизма отзыва согласия или удаления данных. Пользователь должен понимать, каким образом он может обратиться с запросом, изменить информацию или прекратить обработку своих данных. Если такой порядок не описан, возникают дополнительные риски.
Некоторые владельцы сайтов пытаются решить проблему уже после начала проверки и срочно добавляют шаблонные документы. Но при серьезном анализе проверяющие оценивают не только наличие текста на сайте, но и всю систему работы с персональными данными. Поэтому формальное размещение документов без изменения реальных процессов редко дает нужный результат.
При правовом аудите сайта обычно проверяют не только тексты документов, но и техническую часть ресурса. Анализируются формы, скрипты, cookie, интеграции, порядок передачи данных и пользовательские сценарии. Такой подход позволяет заранее выявить слабые места и устранить их до появления претензий или ограничений.
Большинство нарушений возникает не из-за одной крупной ошибки, а из-за набора мелких несоответствий, которые постепенно накапливаются на сайте. Именно поэтому регулярная проверка документов и технических процессов помогает снизить риск претензий со стороны Роскомнадзора и других контролирующих органов
При подготовке статьи частично использованы материалы с сайта web2b.law — проверка сайта Роскомнадзором для поиска ошибок
Дата публикации: 29 мая 2022 года
