Сегодня хороший повод вспомнить о том, что персональные данные — это не галочка в чек-листе, а зона реальных юридических рисков.
Что по-прежнему регулярно выявляют проверки:
- На сайте отсутствует политика обработки персональных данных. Не «где-то в документах компании», не «по запросу», а именно в открытом доступе на сайте.
- Нигде не описана обработка персональных данных через сторонние сервисы. Классический пример — Яндекс.Метрика и другие аналитические, маркетинговые и облачные инструменты.
В одном из недавних дел в ходе внеплановой выездной ‼️ проверки контролирующий орган зафиксировал сразу два нарушения:
- ❌ отсутствие политики оператора в отношении персональных данных на сайте;
- ❌ отсутствие сведений об обработке персональных данных пользователей сайта с использованием Яндекс.Метрики.
И этого оказалось достаточно, чтобы признать нарушение законодательства о персональных данных и привлечь организацию к административной ответственности.
Штраф 30 тыс. руб. Сумма в целом подъемная. Но зачем платить, если можно оформить все правильно и не платить?
‼️ Важно понимать:
- даже если вы «просто смотрите статистику»,
- даже если данные «никуда не передаёте»,
- даже если «так делают все»
- для проверяющих это обработка персональных данных, со всеми вытекающими.
📌 Персональные данные начинаются не с CRM и не с базы клиентов, а с сайта, формы обратной связи, cookies и аналитики.
Я свою работу с персональными данными начинаю именно с документов для сайта, потому что это то, что видно всем и, прежде всего, проверяющему органу.
✏️ Продолжу следить за делом в АС Санкт-Петербурга и Ленинградской области.
