Ответ на запрос по сайту редко терпит хаотичный подход. Ошибка многих владельцев проекта — сразу писать объяснение в свободной форме, не проверив сам сайт, документы и маршрут данных. В результате получается письмо с общими обещаниями, но без точной привязки к форме запроса, спорным URL, характеру обработки данных и уже выполненным действиям. Намного надежнее сначала собрать фактическую картину, а уже потом оформлять ответ.

На официальных ресурсах Роскомнадзора для операторов персональных данных выделены отдельные сервисы: уведомление о начале обработки, изменение сведений, проверка состояния уведомления, реестр операторов, уведомление об инцидентах. Это важно не само по себе, а как ориентир для структуры ответа: ведомство работает с конкретными сведениями об операторе, целях обработки, маршрутах данных и изменениях в модели работы, а не с расплывчатыми пояснениями без документов и привязки к фактам.

Первое, что нужно сделать перед ответом, — определить предмет запроса. Это может быть конкретная форма на сайте, вопрос по документам, сведения об операторе, порядок сбора данных, использование внешних сервисов, содержание ранее поданного уведомления или иной аспект обработки. Пока не ясно, что именно проверяется, невозможно подготовить внятный ответ. Поэтому сначала фиксируют, какие страницы и элементы сайта затронуты, какие документы относятся к вопросу и какие внутренние процессы нужно описать.

После этого собирают подтверждения. Если на сайте уже что-то исправлено, это нужно не просто упомянуть, а показать. Если внесены изменения в политику, тексты согласий, формы, поп-апы или мобильную версию, полезно приложить материалы, которые это подтверждают. Если запрос связан с уведомлением или актуализацией сведений, надо сверить ответ с тем, что указано в официальных сервисах и во внутренних документах компании. Без этого велик риск дать письмо, которое формально отправлено вовремя, но не закрывает вопросы по существу.

Обычно рабочий ответ строят вокруг таких элементов:

• реквизиты запроса и точное указание, на что именно дается ответ;
• описание сайта, оператора и спорного или проверяемого участка обработки данных;
• перечень документов и материалов, которые подтверждают текущую модель работы;
• сведения о том, какие изменения уже внесены, если они были необходимы;
• приложение подтверждающих материалов по формам, документам и маршрутам данных;
• проверка согласованности ответа с тем, что фактически видно на сайте и во внутренних процессах.

Большая часть проблем возникает не из-за отсутствия ответа, а из-за неточности деталей. Например, письмо говорит о корректировке формы, но не указывает, на какой именно странице она была изменена. Или владелец сайта пишет, что данные собираются только для обратной связи, хотя фактически форма передает их еще и в CRM, чат или аналитику. Или прикладывается политика конфиденциальности, но не объясняется, как она связана с конкретной формой, по которой поступил вопрос. В результате ответ выглядит общим и неубеждающим.

Если в ходе внутренней проверки обнаружено несоответствие, лучше не маскировать его расплывчатыми фразами. Намного сильнее выглядит позиция, где сайт проверен, проблемный участок найден, конкретные изменения внесены и это подтверждено документально. Такой подход показывает, что владелец ресурса управляет ситуацией. Для сайта это особенно важно, потому что многие вопросы возникают не из-за тяжести нарушения, а из-за ощущения, что процесс никто не контролирует.

Чаще всего в ответах упускают такие детали:

• не называют конкретные URL, формы и версии документов, к которым относится запрос;
• не прикладывают подтверждения уже внесенных изменений;
• не проверяют мобильную версию, всплывающие окна и старые страницы;
• не учитывают внешние сервисы, через которые проходят данные;
• не сверяют ответ с ранее поданными сведениями об операторе;
• пишут общими формулами вместо описания фактического маршрута данных.

На практике полезно сначала пройти сайт полностью: десктоп, мобильную версию, поп-апы, старые лендинги, формы в статьях и служебные страницы. Затем нужно проверить, совпадает ли это с политикой, согласиями, внутренними регламентами и сведениями, которые компания уже подавала в официальный контур. Только после такой сверки письмо получится точным. Иначе почти всегда остаются пробелы, которые потом приходится закрывать дополнительными пояснениями.

Отдельно стоит помнить, что на портале Роскомнадзора существуют сервисы проверки состояния уведомления и изменения ранее поданных сведений. Если модель обработки данных на сайте поменялась, ответ на запрос должен учитывать не только текущую верстку и документы, но и вопрос актуальности уже заявленной информации об операторе.

Хороший ответ на запрос Роскомнадзора по сайту — это не длинное письмо ради объема. Это точный документ, где видно, что владелец ресурса понял предмет вопроса, проверил сайт и внутренние процессы, собрал доказательства и изложил позицию без разрывов между словами и фактической работой сайта. Когда такая логика соблюдена, даже сложный запрос перестает быть хаотичной перепиской и становится управляемой процедурой

При подготовке статьи частично использованы материалы с сайта web2b.law — как отвечать на запрос Роскомнадзора по сайту

Дата публикации: 29 мая 2022 года