Политика конфиденциальности персональных данных: как составить и где разместить

Реклама
Erid: F7NfYUJCUneTVTioReht

Если ваш сайт собирает информацию о посетителях, на нем обязательно должна быть размещена Политика конфиденциальности персональных данных (ПДн). Этот документ разъясняет пользователям, какие сведения собираются, как вы их защищаете и кому могут быть переданы. Без нее вы рискуете получить штраф или, как минимум, предписание Роскомнадзора об устранении нарушений. 

Политика конфиденциальности: что это и для чего нужна

Политика конфиденциальности – это публичный документ, в котором компания объясняет, какие персональные данные она собирает, для каких целей, как их обрабатывает и защищает. 

Политика конфиденциальности – это публичный документ оператора, в котором раскрываются принципы и условия обработки персональных данных пользователей сайта. К ней должен быть предоставлен неограниченный доступ для всех посетителей (ч. 2  ст. 18.1 Федерального закона от 27 июля 2006 г. № 152-ФЗ "О персональных данных"). 

На практике Политика конфиденциальности для сайта нужна всем, кто:

• собирает данные пользователей через формы;
• использует cookie, системы аналитики и метрики;
• принимает заказы или заявки онлайн;
• ведет личные кабинеты клиентов.

Для владельца бизнеса это еще и способ снизить риски: при проверке Роскомнадзором Политику конфиденциальности запрашивают в первую очередь.

Если вы впервые сталкиваетесь с обязанностями Закона о персональных данных, то БЕСПЛАТНУЮ КОНСУЛЬТАЦИЮ можно получить у специалистов Всероссийского сервиса "РОСКОМ ОНЛАЙН".

Кто может не оформлять Политику конфиденциальности персональных данных

На практике встречаются ситуации, когда обязанность по размещению Политики не возникает, если одновременно соблюдаются следующие условия:

• сайт не собирает никакие данные пользователей: нет форм, комментариев, регистрации;
• не используются cookie и аналитические сервисы;
• информация размещена исключительно для чтения.

Во всех остальных ситуациях Политика конфиденциальности компании обязательна, даже если бизнес небольшой и работает с ограниченным объемом данных.

Политика конфиденциальности и Политика обработки: отличия

Эти документы часто путают, но они решают разные задачи.

Политика обработки персональных данных описывает, как вы работаете с данными в целом, причем она затрагивает все категории субъектов, с которыми взаимодействует оператор: клиенты, представители контрагентов, сотрудники и т. д. Этот документ используется для выполнения требований законодательства и предъявляется при проверках контролирующих органов. 

Политика конфиденциальности адресована пользователям сайта и объясняет:

• какие данные собираются при посещении ресурса;
• для каких целей;
• кому могут передаваться;
• как пользователь может реализовать свои права.

Как составить Политику конфиденциальности

Общие положения

В этом разделе вы задаете рамки документа. Здесь обычно указывают:

• для чего разработана Политика;
• сведения об операторе ПДн;
• какие основные термины используются.

Важно не перегружать текст определениями, но базовые понятия лучше раскрыть простым языком: кто такой оператор, что считается ПДн, что понимается под обработкой.

Также здесь стоит зафиксировать права пользователя: получать информацию о своих данных, требовать их уточнения или удаления (ст. 14 Закона № 152-ФЗ и ст. 18.1 Закона № 152-ФЗ). 

Цели сбора ПДн

Закон требует конкретики. Цели должны быть законными, заранее определенными, напрямую связанными с деятельностью бизнеса.

Для сайта это обычно:

• обработка заявок и обращений;
• заключение и исполнение договоров;
• обратная связь с клиентами;
• аналитика и улучшение работы сайта.

Каждая цель должна соотноситься с конкретным набором данных. Избыточный сбор – прямое нарушение Закона № 152-ФЗ.

Основания обработки

Здесь вы объясняете, на каком основании работаете с ПДн. Например, это может быть заключение и исполнение договора с пользователем, требования закона, согласие субъекта ПДн (ст. 6 Закона № 152-ФЗ). 

Важно понимать: сам по себе Закон № 152-ФЗ не является основанием обработки. Он устанавливает правила, но не дает автоматического права собирать данные.

Также стоит учитывать: если вы просите пользователя поставить галочку "соглашаетесь с политикой конфиденциальности", это не равно согласию на получение рекламных сообщений. Для этого нужно отдельное согласие.

Категории и объем обрабатываемых ПДн

В этом разделе показывают, что бизнес собирает ровно столько данных, сколько необходимо.

Обычно на сайте обрабатываются:

• фамилия, имя;
• номер телефона;
• адрес электронной почты;
• IP-адрес;
• данные cookie.

Если используются файлы cookie, это нужно прямо указать: какие именно файлы применяются и для чего.

Отдельно стоит обозначить категории субъектов: чаще всего это клиенты или пользователи сайта. 

Условия и порядок обработки

Здесь описывается порядок обработки данных на всех этапах.

Рекомендуется указать:

• какие действия совершаются с данными (сбор, хранение, передача, удаление и т. д.);
• использование автоматизированных систем для обработки;
• сроки хранения информации;
• кому и в каких случаях данные передаются.

Если вы привлекаете подрядчиков – хостинг, CRM, сервисы рассылок – стоит указать это и зафиксировать, что передача осуществляется на основании договора поручения.

Отдельно упоминается соблюдение конфиденциальности и меры защиты данных в соответствии со ст. 7, ст. 18.1 и ст. 19 Закона № 152-ФЗ. Это важный маркер для проверяющих.

Порядок актуализации, исправления и удаления

Пользователь имеет право контролировать обработку своих ПДн. В Политике нужно описать:

• как он может направить запрос для получения информации об обработке;
• в какие сроки компания реагирует;
• в каких случаях данные уточняются или удаляются.

При достижении целей обработки или отзыве согласия ПДн нужно уничтожить, если нет оснований для их хранения. В обоих случаях обработка должна быть прекращена в течение 30 дней. Чтобы правильно сформировать документ и избежать ошибок, рекомендуем проконсультироваться с экспертами. БЕСПЛАТНАЯ КОНСУЛЬТАЦИЯ доступна у специалистов Всероссийского сервиса "РОСКОМ ОНЛАЙН".

Где разместить Политику конфиденциальности на сайте

Документ должен быть доступен в один клик и без регистрации.

На практике ссылку размещают:

• в подвале сайта;
• под формами обратной связи и заявок;
• рядом с кнопкой оплаты;
• в баннере уведомления о cookie.

Важно, чтобы пользователь мог ознакомиться с условиями Политики конфиденциальности до передачи данных.

Как разработать Политику конфиденциальности: пошаговая инструкция

Разработка проводится в несколько этапов:

• Проанализируйте, какие данные вы реально собираете и в каких целях.
• Определите правовые основания обработки для каждой цели.
• Сформируйте структуру документа под ваш бизнес, а не по шаблону.
• Опишите процессы простым и понятным языком, сохраняя юридическую точность.
• Проверьте соответствие требованиям Закона № 152-ФЗ и подзаконных актов.
• Опубликуйте документ на сайте и свяжите его с формами сбора данных.

Универсального шаблона не существует. Политика конфиденциальности компании всегда должна отражать реальные процессы, иначе при проверке это быстро выявляется.

Если не опубликовать Политику 

За отсутствие Политики конфиденциальности на сайте предусмотрена ответственность по ч. 3 ст. 13.11 КоАП РФ и штрафы:

• для граждан – от 1,5 тыс. до 3 тыс. руб.;
• для должностных лиц – от 6 тыс. до 12 тыс. руб.;
• для ИП – от 10 тыс. до 20 тыс. руб.;
• для юрлиц – от 30 тыс. до 60 тыс. руб..

Полезные советы для владельцев сайтов

Политика конфиденциальности сама по себе не защищает бизнес, если она существует только "для галочки". На практике регулятор обращает внимание не только на наличие документа, но и на то, как он соотносится с реальными процессами на сайте. Мы подготовили практические советы, которые помогают снизить риски и избежать ошибок:

1. Приводите текст Политики в соответствие с фактическими процессами обработки ПДн. Если в Политике указано, что вы собираете только имя и email, а в форме заявки запрашиваете фамилию и телефон, это нарушение. Документ должен отражать реальный объем и категории ПДн.
2. Не добавляйте согласие на обработку ПДн в Политику. Фраза "Нажимая кнопку, вы соглашаетесь с Политикой конфиденциальности" не заменяет согласие на обработку ПДн. Согласие всегда оформляется отдельно (ст. 9 Закона № 152-ФЗ).
3. Следите за обновлениями законодательства и сервисов. Подключили новый сервис аналитики, CRM или онлайн-чат – Политику нужно актуализировать.
4. Обеспечьте быстрый доступ к документу. Политика должна открываться без регистрации, паролей и скрытых переходов. 
5. Фиксируйте действия пользователей. Галочки, чекбоксы и логи подтверждения согласия – это ваша доказательная база при спорах и проверках. Без них доказать законность обработки будет сложно. При этом галочки автоматически проставлять нельзя: это должен делать пользователь самостоятельно. 
6. Назначьте ответственного за организацию обработки ПДн. Даже в небольшом бизнесе должен быть человек, который понимает, как обрабатываются ПДн, как все правильно организовать. Он же будет взаимодействовать с Роскомнадзором.
7. Не копируйте Политику у конкурентов. Чужой текст вряд ли будет соответствовать вашим процессам. При проверке это выявляется за несколько минут.
8. Пропишите понятный порядок обращений пользователей. В Политике должно быть ясно, куда писать, в какие сроки вы отвечаете и какие действия предпринимаете при запросе на удаление или исправление данных.
9. Храните доказательства исполнения требований закона. Политика, согласия, журналы доступа и договоры с подрядчиками – это комплект, который позволяет спокойно пережить проверку и не тратить время на оправдания или оспаривание предписания.

Провести юридический аудит сайта и скачать памятку “Требования к сайтам” можете на сайте “Роском Онлайн”