Как составить Политику конфиденциальности, чтобы избежать претензий Роскомнадзора

Структура, шаблоны, сервисы
Закон дает обобщенное определение этому понятию: «Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных)».

Игорь Луканин, руководитель сервиса «Контур.Персональные данные», считает такими данными «всякую информацию, которая относится к определенному человеку: номер мобильного телефона, размер зарплаты, политические убеждения, даже фотографии в соцсетях и&nb

Игорь Луканин, руководитель сервиса «Контур.Персональные данные», считает такими данными «всякую информацию, которая относится к определенному человеку: номер мобильного телефона, размер зарплаты, политические убеждения, даже фотографии в соцсетях и сведения о товарах, заказанных в интернет-магазине на прошлой неделе». А Максим Лагутин, эксперт по защите персональных данных и основатель консалтинговой компании Б-152, опираясь на позиции судов и Роскомнадзора, относит к персональным данным даже cookie, данные об IP-адресе и местоположении без указания фамилии и имени.

Зачем нужна Политика конфиденциальности

Персональные данные обрабатывают почти все владельцы сайтов, например, собирая адреса электронной почты для рассылки. Это могут быть организации, ИП и даже физлица, но в законодательстве все они объединены под общим термином «операторы персональных данных». Даже если собранные данные впоследствии быстро удаляются, это все равно подпадает под определение обработки.

Отсутствие Политики конфиденциальности (Политики по обработке персональных данных) вызывает вопросы у Роскомнадзора и грозит штрафом. А ее наличие, напротив, становится преимуществом для владельцев сайтов — в глазах пользователей и заказчиков.

С 1 июля 2017 года был расширен перечень оснований для привлечения к административной ответственности за незаконную обработку персональных данных и заметно увеличились штрафы. Если на сайте нет Политики по обработке персональных данных, владельца сайта могут оштрафовать:

  • Физлицо — от 700 до 1500 руб
  • Должностное лицо — от 3000 до 6000 руб
  • Юрлицо — от 15 000 до 30 000 руб
  • ИП — от 5000 до 10 000 руб

Уже есть судебные прецеденты, когда компании оштрафовали за отсутствие Политики конфиденциальности. В одном случае поводом стала обычная форма обратной связи из трех пунктов на сайте: «Ваше имя», «Тема сообщения», «Сообщение». Владелец сайта не считал себя оператором персональных данных, потому что в графу «Ваше имя» можно внести любой никнейм, по которому пользователя нельзя идентифицировать.

Политика конфиденциальности должна стать неотъемлемым элементом любого сайта.

Обязательно опубликуйте на сайте политику в отношении обработки персональных данных, если собираете данные через него. Если нет — тоже опубликуйте, это выделит компанию в глазах клиентов и Роскомнадзора, который может проверить наличие политики на сайте компании безо всякого предупреждения.
руководитель сервиса «Контур.Персональные данные»

Почему Политика конфиденциальности важна для пользователей и заказчиков услуг

Наличие Политики конфиденциальности говорит о добросовестности владельца сайта — он заботится о безопасности персональных данных посетителей. Но этот документ важен не только физлицам. Игорь Луканин уверен, что «и юридические лица делают выводы о благонадежности компаний по тому, как они выполняют 152-ФЗ». Мониторинг сайта — один из этапов в процессе проверки контрагента, поэтому публикация документа может повлиять на решение заказчика о сотрудничестве с владельцем сайта.

Структура и содержание Политики конфиденциальности

Имейте в виду, что документ может иметь и другие названия:

Название не столь важно, главное — продуманное содержание. Роскомнадзор рекомендует включить в Политику конфиденциальности шесть разделов:

1. Общие положения

Раздел определяет назначение Политики конфиденциальности. Должен содержать основные понятия, которые используются в документе:

  • Обработка персональных данных
  • Оператор
  • Субъект персональных данных
  • Конфиденциальность персональных данных

«Общие положения» также включают права и обязанности оператора и субъектов персональных данных.

2. Цели сбора данных

В этом разделе нужно написать, зачем вы собираетесь обрабатывать данные пользователей. Роскомнадзор напоминает, что «обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей».

Цели определяются исходя из:

  • Анализа правовых актов, регламентирующих деятельность оператора персональных данных

  • Целей осуществляемой оператором деятельности

  • Целей деятельности, предусмотренной учредительными документами оператора

  • Конкретных бизнес-процессов оператора в конкретных информационных системах персональных данных (по структурным подразделениям оператора и их процедурам в отношении определенных категорий субъектов персональных данных)

3. Правовые основания обработки данных

В этом разделе нужно указать правовые акты, в соответствии с которыми вы будете обрабатывать данные. Это могут быть:

  • Федеральные законы и нормативные правовые акты, регулирующие отношения, связанные с деятельностью владельца сайта

  • Уставные документы; договоры, заключаемые между оператором и субъектом персональных данных

  • Согласие на обработку персональных данных (в случаях, прямо не предусмотренных законодательством РФ, но соответствующих полномочиям оператора)

Помните о том, что Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» не может являться правовым основанием обработки персональных данных. И на это особое внимание обращает Роскомнадзор. Назначение этого документа — регулирование отношений, связанных с обработкой персональных данных, и закрепление требований, предъявляемых к операторам при обработке персональных данных. 

4. Объем и категории обрабатываемых данных, категории субъектов персональных данных

По закону, содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Вы не имеете права обрабатывать данных больше, чем вам нужно.

Кроме пользователей вы можете работать с данными своих сотрудников, их родственников, кандидатов на ваши вакансии и представителей компаний, с которыми вы сотрудничаете. Не забудьте указать эти категории в Политике конфиденциальности, перечислить для них виды обрабатываемых данных и написать, зачем они вам нужны.

5. Порядок и условия обработки

Этот раздел Политики конфиденциальности должен содержать три информационных блока:

  • Перечень действий, совершаемых оператором с персональными данными
  • Способы, используемые для обработки данных
  • Сроки обработки данных

Укажите здесь «сведения о соблюдении требований и принятии мер», которые будете предпринимать для защиты данных пользователей. Это может быть разграничение прав доступа ваших работников к базе данных, наличие специальных инструкций, технические меры защиты.

Передача данных третьим лицам. В Политике конфиденциальности нужно прописать, на каких условиях вы передаете персональные данные третьим лицам (если передаете). При этом обязательно указать:

  • Конкретное наименование третьих лиц
  • Местонахождение третьих лиц
  • Цели осуществляемой передачи данных
  • Объем передаваемых данных
  • Перечень действий по обработке данных
  • Способы и иные условия обработки (в том числе требования к защите обрабатываемых персональных данных)

Условия прекращения обработки персональных данных.

  • Достижение целей обработки
  • Истечение срока действия согласия на обработку
  • Отзыв согласия субъекта персональных данных на обработку данных
  • Выявление неправомерной обработки

Хранение персональных данных. Роскомнадзор обращает внимание на три важных аспекта:

  • Форма хранения. Она должна позволять определить субъекта персональных данных «не дольше, чем этого требуют цели обработки персональных данных» (исключение — случаи, когда срок хранения не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных).

  • Сроки хранения. В Политике конфиденциальности необходимо указать конкретную дату (число, месяц, год) и основание, которое приведет к прекращению обработки персональных данных.

  • Использование баз данных. Для хранения информации вы должны использовать базы данных, находящиеся на территории РФ.

Иные условия хранения персональных данных, в том числе при их обработке без использования средств автоматизации, тоже следует указывать в Политике конфиденциальности.

6. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ

Обязанность актуализировать данные наступает в случае подтверждения факта неточности или неправомерности обработки данных.

Владелец сайта должен удалять персональные данные при достижении целей их обработки и в случае отзыва согласия на их обработку, если:

  • Иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

  • Оператор не вправе осуществлять обработку без согласия субъекта персональных данных на основаниях, предусмотренных Федеральным законом «О персональных данных» или иными федеральными законами.

  • Иное не предусмотрено иным соглашением между оператором и субъектом персональных данных.

Важно: по запросу оператор обязан сообщить субъекту персональных данных или его представителю информацию об осуществляемой им обработке персональных данных. Роскомнадзор рекомендует добавить регламенты работы с такими запросами в Политику конфиденциальности.

Где и как разместить Политику конфиденциальности

Политика конфиденциальности раскрывает, как владелец сайта работает с данными пользователей, клиентов и других физических лиц. Поэтому она должна быть размещена на видном месте, чтобы все желающие могли с ней ознакомиться. Идеальный вариант: публикация документа в подвале сайта и в формах сбора любых данных.

Собирая данные через сайт, ссылайтесь на Политику конфиденциальности и спрашивайте разрешение пользователей на использование их данных. «Проставление галочки в форме на сайте — это тоже знак согласия», — предупреждает Игорь Луканин.

Бесплатные сервисы для подготовки Политики конфиденциальности

Для составления документа можно воспользоваться специальными онлайн-инструментами:

  • Контур.Персональные данные. С помощью бесплатного сервиса можно подготовить порядка 40 документов, в том числе Политику конфиденциальности, которые помогают избежать штрафов при проверке Роскомнадзора. Инструмент позволяет выполнить требования закона «О персональных данных», не изучая сам закон. Сервис сопровождает пользователя на каждом этапе формирования документа, дает рекомендации, где и как его разместить.

Почему при использовании образцов необходимо обязательно адаптировать текст под свой бизнес? На этот вопрос аргументировано отвечает Т—Ж: «Не используйте чужие документы. Их можно взять для ориентира, но список данных и цели использования нужно прописывать свои. То, что нужно банку для оформления кредита или интернет-магазину для доставки товара, не понадобится для электронной рассылки или доски объявлений. Запрашивать ненужные данные — нарушение закона и повод для штрафа».

Готовый текст можно разместить на отдельной странице сайта. В форме приема данных поставьте ссылку на эту страницу.

Резюме

  • Политика конфиденциальности — обязательный элемент любого сайта. Даже если вы не являетесь оператором персональных данных, все равно подготовьте и разместите этот документ на сайте. Обезопасьте себя от любых претензий Роскомнадзора.

  • Помните о том, что за невыполнение обязанности по публикации Политики конфиденциальности или сведений по защите персональных данных могут оштрафовать по статье 13.11 КоАП. В зависимости от статуса размер денежных санкций может достигать 30 000 рублей.

  • Чтобы сэкономить время и силы на подготовку Политики конфиденциальности, пользуйтесь бесплатными онлайн-сервисами и рекомендациями Роскомнадзора. В документе должно быть шесть разделов: Общие положения; Цели сбора данных; Правовые основания обработки данных; Объем и категории обрабатываемых данных, категории субъектов персональных данных; Порядок и условия обработки; Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным.

  • Используйте чужие документы при подготовке Политики только в качестве ориентира — перечень данных и цели обработки у каждого бизнеса свои.

  • Опубликуйте Политику конфиденциальности в подвале сайта и в формах сбора данных. Документ должен быть заметен.