Phạt từ Roskomnadzor: 152-FZ và các yêu cầu bắt buộc bạn không thể bỏ qua
Victoria Denisyuk từ Columbus, Người sáng lập / CEO
Website của bạn thu thập yêu cầu, đăng ký người dùng hay chỉ đơn giản là nhận tin nhắn qua form liên hệ? Vậy thì bạn là một bên xử lý dữ liệu cá nhân, và bạn chịu sự điều chỉnh của các yêu cầu trong 152-FZ cùng các quy định của Roskomnadzor. Vấn đề là phần lớn chủ website biết về những yêu cầu này không phải từ một bản hướng dẫn, mà từ một lá thư về việc thanh tra hoặc từ một quyết định xử phạt. Mà những năm gần đây các cuộc thanh tra đã trở nên có hệ thống: cơ quan quản lý giám sát các website, phản ứng với khiếu nại của khách truy cập và ngày càng đến mà không báo trước.
Bức tranh điển hình: có một website đẹp, có form «Để lại yêu cầu», nhưng không có chính sách xử lý dữ liệu cá nhân, không có ô tích đồng ý, cũng không có banner về cookie. Về mặt hình thức, mỗi kẽ hở như vậy là một vi phạm độc lập, và mỗi vi phạm đều có chế tài tương ứng. Tệ nhất là không thể khắc phục chúng chỉ trong một buổi tối trước khi thanh tra viên ghé thăm: thông báo cho Roskomnadzor và việc bản địa hóa dữ liệu cần thời gian.
Điểm chính
Những yêu cầu của 152-FZ và Roskomnadzor mà các website hay vi phạm nhất, điều đó gây thiệt hại ngân sách ra sao và cách đưa website tuân thủ để chịu 0 khoản phạt.
Vì sao điều này giáng đòn mạnh hơn ta tưởng
Trước đây các khoản phạt theo 152-FZ được xem như mang tính tượng trưng — vài nghìn rúp, trả còn dễ hơn là đi tìm hiểu. Giờ tình hình đã thay đổi hoàn toàn. Mức chế tài tăng gấp nhiều lần, xuất hiện các khoản phạt nặng hơn cho vi phạm tái phạm, còn một số hành vi cụ thể — ví dụ như rò rỉ dữ liệu cá nhân — bị xử phạt đặc biệt nghiêm khắc, thậm chí đến mức phạt theo doanh thu đối với các bên xử lý lớn. Với doanh nghiệp nhỏ và vừa Columbus, ngay cả một quyết định «cơ bản» cũng có thể đồng nghĩa với một khoản tiền tương đương ngân sách marketing hàng tháng.
Nhưng tiền bạc vẫn chưa phải điều khó chịu nhất. Nguy cơ bị hạn chế truy cập vào website hoặc vào những trang riêng lẻ xử lý dữ liệu có thể chặn đứng toàn bộ doanh số. Hãy hình dung: yêu cầu không gửi đi được, form không truy cập được, khách hàng Columbus chuyển sang đối thủ, còn bạn mất hàng tuần trao đổi thư từ với cơ quan quản lý thay vì làm việc. Cộng thêm tổn thất danh tiếng — khách truy cập ngày càng chú ý hơn đến cách website đối xử với số điện thoại và email của họ.
Những yêu cầu bắt buộc nào đối với website
Hãy phân tích theo từng điểm xem cụ thể họ kiểm tra gì và vấn đề thường nảy sinh ở đâu nhất. Đây không phải là tư vấn pháp lý mà là một định hướng thực tiễn — danh mục cuối cùng luôn phụ thuộc vào dữ liệu nào và cách thức cụ thể mà bạn thu thập.
1. Chính sách xử lý dữ liệu cá nhân
Tài liệu phải được đăng trên website và truy cập được từ bất kỳ trang nào có thu thập dữ liệu. Vi phạm điển hình: hoàn toàn không có chính sách, hoặc đó là một mẫu tải từ internet với tên công ty của người khác và mục đích xử lý không còn phù hợp. Chúng tôi soạn và đăng chính sách phù hợp với các quy trình thực tế của website bạn, và đặt liên kết chính xác ở chân trang và cạnh các form.
2. Sự đồng ý rõ ràng về xử lý DLCN trong các form
Mỗi form nơi người dùng để lại tên, số điện thoại, email và bất kỳ dữ liệu nào khác đều phải đi kèm một sự đồng ý riêng biệt, không được tích sẵn theo mặc định kèm liên kết tới chính sách. Vi phạm điển hình: không có ô tích, hoặc nó đã được tích sẵn, hoặc thiếu văn bản đồng ý. Chúng tôi bổ sung các ô tích đúng quy định, chặn việc gửi form khi chưa đồng ý và ghi nhận sự kiện nhận được đồng ý.
3. Banner về cookie
Nếu website sử dụng cookie và các hệ thống phân tích, cần thông báo cho khách truy cập về điều đó. Vi phạm điển hình: không có banner, hoặc có nhưng không hề liên quan đến hoạt động thực tế của các bộ đếm. Chúng tôi thiết lập thông báo về cookie và thông tin chính xác về công cụ phân tích đang dùng.
4. Thông báo cho Roskomnadzor về việc xử lý DLCN
Trong phần lớn trường hợp, bên xử lý có nghĩa vụ gửi tới Roskomnadzor thông báo về ý định xử lý dữ liệu cá nhân — trước khi bắt đầu xử lý. Vi phạm điển hình: hoàn toàn không gửi thông báo, điều này thường lộ ra đúng vào lúc thanh tra. Chúng tôi giúp chuẩn bị thông tin cho thông báo và đưa việc xử lý thực tế trên website phù hợp với những gì đã khai báo.
5. Bản địa hóa việc lưu trữ dữ liệu của công dân Nga tại Nga
Dữ liệu cá nhân của công dân Nga phải được ghi và lưu trữ ban đầu trên các máy chủ đặt trên lãnh thổ Nga. Vi phạm điển hình: website, CRM hay các form lưu dữ liệu trên hosting nước ngoài hoặc trong một dịch vụ ngoại quốc. Chúng tôi kiểm tra xem dữ liệu từ các form của bạn thực sự nằm ở đâu, và khi cần thì chuyển việc lưu trữ sang hạ tầng tại Nga.
6. Yêu cầu đối với form liên hệ
Form liên hệ cũng là việc thu thập dữ liệu cá nhân. Nó phải thu thập lượng thông tin tối thiểu cần thiết, đi kèm sự đồng ý và dẫn tới một kênh được bảo mật. Vi phạm điển hình: form hỏi những thông tin thừa, gửi dữ liệu qua kết nối không bảo mật hoặc sao chép chúng đến những nơi không an toàn. Chúng tôi đưa các form về nguyên tắc tối thiểu hóa và kiểm tra tính bảo mật của việc truyền dữ liệu.
| Yêu cầu | Vi phạm điển hình | Cách chúng tôi khắc phục |
|---|---|---|
| Chính sách xử lý DLCN | Không có hoặc dùng mẫu của người khác | Soạn và đăng tài liệu cập nhật kèm các liên kết |
| Sự đồng ý trong các form | Không có ô tích hoặc đã tích sẵn | Bổ sung ô tích đúng quy định và chặn việc gửi |
| Banner cookie | Không có thông báo về công cụ phân tích | Thiết lập banner và thông báo |
| Thông báo cho Roskomnadzor | Không gửi trước khi bắt đầu xử lý | Giúp chuẩn bị thông tin và đồng bộ việc xử lý |
| Bản địa hóa dữ liệu tại Nga | Lưu trữ trên máy chủ nước ngoài | Kiểm tra và chuyển việc lưu trữ về Nga |
| Form liên hệ | Trường thừa, truyền dữ liệu không an toàn | Tối thiểu hóa dữ liệu, kiểm tra tính bảo mật |
Giải pháp: đưa website tuân thủ một cách hệ thống
«Vá víu» từng điểm một cách lộn xộn là vô nghĩa — các yêu cầu liên kết với nhau, và bỏ sót một điểm sẽ xóa bỏ mọi nỗ lực cho những điểm còn lại. Chúng tôi tại ООО «Поддержка сайта» làm việc một cách hệ thống: tiến hành kiểm toán, ghi nhận các điểm chưa khớp và khắc phục chúng theo một kế hoạch rõ ràng, không làm gián đoạn hoạt động của website.
Công ty có mặt trên thị trường từ năm 2002, trong thời gian đó đã có hơn 100 khách hàng đi qua chúng tôi. Chúng tôi giữ khả dụng của các website ở mức 99.8%, thực hiện giám sát 24/7, lo việc cập nhật và bảo mật — trong đó có cả việc đưa các website tuân thủ yêu cầu của Roskomnadzor và 152-FZ. Sau khi hoàn thành công việc, bạn nhận được một báo cáo kèm biên bản nghiệm thu: thấy rõ cụ thể đã làm gì và giờ bạn được bảo vệ ở đâu.
Bạn có thể làm việc theo cách thuận tiện cho mình:
- Mô hình thuê bao — mọi nhiệm vụ được đưa vào triển khai ngay, không phải chờ đợi và mặc cả từng việc nhỏ.
- Mô hình theo giờ — thanh toán cho thời gian thực tế đã bỏ ra.
- Với khách hàng mới: theo mô hình theo giờ 30 giờ đầu tiên do chúng tôi chịu, theo mô hình thuê bao — tháng đầu tiên do chúng tôi chịu.
- Khi thanh toán theo năm — giảm 30%.
- Cần tính năng mới? Chúng tôi triển khai tính năng với sự trợ giúp của AI trong 1–2 ngày.
Sự chuyển hóa: yên tâm thay cho rủi ro
Kết quả mà tất cả nhắm tới rất đơn giản và cụ thể: không khoản phạt nào và không quyết định xử lý nào đối với các yêu cầu đã được khắc phục. Website vẫn tiếp tục thu thập yêu cầu, các form hoạt động, dữ liệu được lưu trữ ở nơi quy định, còn bạn thì thôi giật mình mỗi khi nghe từ «thanh tra».
Thay vì những lần chỉnh sửa lúc nửa đêm trước khi thanh tra viên ghé thăm — là một trạng thái tuân thủ rõ ràng và hỗ trợ 24/7 cho mọi câu hỏi. Doanh nghiệp Columbus lo việc bán hàng và khách hàng, chứ không phải trao đổi thư từ với cơ quan quản lý. Đó chính là sự khác biệt giữa «hy vọng sẽ thoát» và «mọi thứ của chúng tôi đều ổn».
Bắt đầu từ đâu
Đừng đoán xem mình có vi phạm hay không — hãy kiểm tra. Chúng tôi sẽ tiến hành kiểm toán website miễn phí về tuân thủ 152-FZ và yêu cầu của Roskomnadzor và chỉ ra những kẽ hở đang tồn tại cùng cách khắc phục chúng. Hãy liên hệ với chúng tôi — và bạn sẽ có một website yên tâm, được bảo vệ, không phạt tiền và không phải đau đầu.