Бизнес начал получать от Роскомнадзора «письма счастья», где подробно перечислены нарушения на сайтах. Проверки проходят без уведомлений и запросов — специалисты ведомства просто заходят на сайт, анализируют формы, тексты и политику обработки данных.
Кроме того, эти проверки идут и в автоматическом режиме. Ведомство запустило систему мониторинга, которая сама выявляет нарушения в политике обработки данных и формах согласий. То есть на сайте может побывать не инспектор, а алгоритм Роскомнадзора.
Так проверили уже более 80 тысяч сайтов, и в 82,5% случаев бизнес получил такое письмо:
Если что-то не соответствует закону, на исправление регулятор дает 10 рабочих дней. Это немного: нужно успеть переписать формы, проверить документы, обновить политику и доказать, что данные клиентов собираются по правилам.
Кого это касается?
Роскомнадзор начал проверки не только с сайтов крупных компаний. В поле зрения — вообще все, кто работает с персональными данными: интернет-магазины, маркетплейсы, образовательные платформы, SaaS-сервисы, в общем, компании с формой обратной связи или рассылкой. Любая форма на сайте, где есть поля «имя» и «телефон», подпадает под закон о персональных данных. И если в ней есть ошибка — придется объясняться.
Где чаще всего ошибаются
Ошибки в сборе согласий редко выглядят как явные нарушения. Чаще — это детали, на которые не обратили внимание. Но именно они становятся причиной предписаний и штрафов.
1. Дарк-паттерны
Предустановленные чекбоксы, спрятанные согласия, тексты «мелким шрифтом» под кнопкой «Отправить». Такие формы считаются введением пользователя в заблуждение. Согласие, полученное таким образом, юридически ничтожно.
2. Несогласованность формулировок
В форме написано одно, в политике — другое. Например, человек соглашается на рассылку, а в политике указано «на передачу третьим лицам». Регулятор расценивает это как отсутствие информированного согласия: человек не мог понять, на что именно согласен.
3. Отсутствие версионности
При обновлении текстов согласий на сайте часто затираются старые формулировки. В результате компания не может подтвердить, какой именно текст видел пользователь в момент согласия.
4. Разрозненные источники данных
Сайт, мобильное приложение, контакт-центр, чат — каждый хранит согласия по-своему. Когда пользователь отзывает согласие, обновление не всегда доходит до всех каналов. И бизнес продолжает отправлять письма, нарушая закон.
5. Ручная работа
Комплаенс-команды часто обрабатывают запросы вручную: сверяют данные, ищут доказательства, поднимают логи. Любая ошибка в этом процессе — риск штрафа и репутационных потерь.
Какие ошибки чаще всего встречаются в формах согласий, мы подробно писали на vc.ru.
Что делать бизнесу уже сейчас
Если сайт и системы обработки данных не проверялись давно — лучше сделать это до, а не после письма от Роскомнадзора.
- Проверить все формы сбора данных
Чекбоксы должны быть неотмеченными по умолчанию, тексты — однозначными. - Сверить формулировки
Не стоит слепо смешивать политику и согласие. Это два разных документа, и каждый решает свою задачу. Желательно их разделить. - Проверить хранение согласий
Должна быть возможность подтвердить, где, когда и на что клиент дал согласие. - Проверить процесс отзыва согласия
Убедитесь, что при отзыве согласия изменения автоматически применяются во всех системах. Если автоматизации нет, важно, чтобы был понятный и быстрый процесс ручного аудита — и отзыв действительно влиял на использование ПДн. - Автоматизировать контроль
Если согласий много и они нужны для ежедневных задач (реклама, передача данных и т. д.), то лучше подумать об автоматизации. Вручную сложно актуализировать статус многих тысяч документов, которые уже собрал сайт.
Как ЦУС решает эти задачи
Даже если компания проверит формы, сверит тексты и обновит процессы, без автоматизации риски остаются. «Центр управления согласиями» становится точкой контроля для всего процесса: от сбора до отзыва согласий.
- Все согласия хранятся в едином хранилище, с датой, источником и текстом
- При отзыве информация автоматически обновляется во всех системах
- Любой факт подписания согласия и сам текст можно найти за секунды и показать регулятору
- История изменений фиксируется: можно увидеть, какой текст действовал в момент согласия
Для бизнеса это означает: если специалист или робот Роскомнадзора заглянет на сайт завтра, обоснованный ответ на запрос регулятора можно будет подготовить в течение часа.
