menu
+7 (495) 777-66-90
Продукты
Продукты
Privacy Box
Privacy Check
close
Menu
02
База знаний
05
Документы
События
Услуги
01
Защита персональных данных по 152-ФЗ
Защита критической информационной инфраструктуры (КИИ) по 187-ФЗ
Ежемесячная поддержка и аутсорсинг функции ответственного
Защита от утечек
Международное privacy: GDPR, CCPA, Казахстан, ОАЭ, Беларусь
О нас
04
О компании
Наши реквизиты
Что о нас говорят
Лицензии и награды
Вакансии
2024
Web design by Jekyll&Hyde
Web development by Ivan Romanov
Контакты
Москва,
ул. Земляной Вал, 8, SOK Земляной Вал
Youtube
telegram
VC
ОСТАВИТЬ ЗАЯВКУ
+7 (499) 372-06-52
info@b-152.ru
phone
e-mail:
info@b-152.ru
Облачная безопасность
Обучение
03
Курс DPO
Контакты
Курс "Персональные данные. Старт"
Защита данных по требованиям ЦБ

Что должно быть в политике конфиденциальности, чтобы она реально работала (и не вызвала вопросов у РКН)

лонгриды
13.01.2023
20/09/25
Б-152
Лонгриды
События /
Что должно быть в политике конфиденциальности, чтобы она реально работала
В цифровой экономике персональные данные стали одним из ключевых активов любого бизнеса. Но работа с этим ценным ресурсом требует не просто грамотного использования, а соблюдения строжайших правил. 
Для большинства российских компаний главным таким правилом является Федеральный закон № 152-ФЗ «О персональных данных». А главным документом, который видят и ваши клиенты, и регулятор (Роскомнадзор), — Политика в отношении обработки персональных данных.
Многие руководители до сих пор считают Политику формальностью — документом, который можно скопировать у конкурента, разместить в «подвале» сайта и забыть. Это опасное заблуждение. В 2024—2025 годах мы наблюдаем ужесточение контроля со стороны РКН, а также рост количества проверок.
Неработающая, некорректная или скопированная Политика не просто может привести к штрафу. Это мина замедленного действия под вашей репутацией и клиентской базой. И прямой сигнал регулятору, что в компании нет системного подхода к защите данных.
Политика конфиденциальности — что это такое?
Обязательные разделы Политики конфиденциальности
Содержание
Требования к политике
Высший пилотаж — описать cookies в политике конфиденциальности
Почему нельзя скопировать чужую политику
Стратегии работы с политиками
Штрафы
Заключение
Политика конфиденциальности — что это такое?
Обязательные разделы Политики конфиденциальности
Содержание
Требования к политике
Высший пилотаж — описать cookies в политике конфиденциальности
Почему нельзя скопировать чужую политику
Стратегии работы с политиками
Штрафы
Заключение

Политика конфиденциальности — что это такое?

По смыслу ст. 6 152-ФЗ политика не является правовым основание для обработки ПДн. 
Определение политики конфиденциальности нет  в 152-ФЗ, однако п. 2 ч. 1 ст. 18.1 152-ФЗ указаны разделы, которые должны быть отражены в политике. 
В ч. 2 ст. 18.1 152-ФЗ закреплена обязанность опубликовать политику обработки персональных данных в неограниченном доступе.
В условиях моратория на проверки Роскомнадзора один из способов проверить компанию — провести «мероприятие по контролю без взаимодействия с контролируемыми лицам». Проще говоря, это проверка сайта оператора на наличие и корректность документов на сайте.
Однако в рамках контрольных мероприятий в отношении сайтов представители РКН обращают внимание не только на наличие или отсутствие Политики, но и на ее структурно-содержательную составляющую, которая должна соответствовать требованиям. Об этом заявлял Начальник Управления РКН по защите прав субъектов ПДн Ю. Е. Контемиров на Дне открытых дверей РКН от 29.09.2022 г. и 01.03.2023 г., Также на это указывал РКН в своих официальных ответах (здесь и здесь).

Обязательные разделы Политики конфиденциальности

Сведения о целях обработки, категориях данных и субъектов
Что это? Для каждой цели обработки персональных данных вы обязаны подробно указать:
  • какие именно категории данных вы собираете и используете (например, ФИО, адрес электронной почты, cookies),
  • к каким субъектам эти данные относятся (клиенты, пользователи).
Способы обработки персональных данных
Что это? Полный перечень действий, которые компания совершает с данными: сбор, хранение, систематизация и т. д.
Формула: просто возьмите за основу список из ст. 3 ФЗ № 152-ФЗ и укажите, какие именно способы реально применяются у вас.
Частая ошибка: оставлять формулировку «обрабатываем любыми способами, предусмотренными законодательством», а также коммерческим организациям добавлять к действиям обезличивание.
Сроки хранения и условия прекращения обработки
Что это? Важный раздел, где прописывается, сколько времени и на каком основании вы храните данные.
Примеры:
  • бухгалтерские данные для отчетности — не менее 5 лет (п. 3 ст. 8 Закона о персонифицированном учете, п. 1 ст. 29 Закона  о бухгалтерском учете);
  • маркетинговые рассылки — до момента отзыва согласия или прекращения рассылок, в зависимости от того, что наступит раньше;
  • данные кандидатов — в течение 3 месяцев после принятия решения об отказе в соответствии со ст. 391−392 ТК РФ (позиция Роструда).
Условия прекращения: достижение целей обработки, отзыв согласия, ликвидация компании.
Порядок уничтожения персональных данных
Что это? Описание того, как компания удаляет данные после истечения сроков хранения или наступления иных законных оснований. Например, физическое уничтожение в форме шредирования, удаление из систем.
Что это? Перечень организационных и технических мер, которые компания применяет, чтобы не допустить нарушений закона.
Процедуры по предотвращению и выявлению нарушений
Примеры:
  • регулярные внутренние аудиты,
  • контроль доступа к данным,
  • обучение сотрудников работе с персональными данными,
  • расследование инцидентов и устранение последствий.
Частая ошибка: ограничиваться общей фразой «мы принимаем все необходимые меры». Для РКН важно видеть конкретику.

Требования к политике

Во-первых, документ необходимо издать.
Во-вторых, он должен быть опубликован в открытом доступе: размещен на всех страницах сайта, где происходит сбор персональных данных, в мобильных приложениях компании, а также доступен для ознакомления на территории офисов.
Содержание политики также строго регламентировано. Для каждой заявленной цели обработки персональных данных требуется указать:
  • категории физических лиц, чьи данные обрабатываются;
  • состав (перечень) персональных данных;
  • способы их обработки;
  • сроки обработки и хранения;
  • порядок уничтожения персональных данных после достижения целей или при наступлении иных законных оснований;
  • информацию о мерах, обеспечивающих безопасность данных.
Таким образом, политика должна не просто существовать формально, а быть подробным и прозрачным документом, отражающим реальную практику компании в сфере обработки и защиты персональных данных.

Высший пилотаж — описать cookies в политике конфиденциальности

1. Введение

Начните с короткого описания для неспециалистов:
«Cookie-файлы — это небольшие текстовые файлы, которые сохраняются на устройстве при посещении сайта. Они помогают сайту корректно работать, запоминать ваши настройки и собирать обезличенную статистику».
Это снимает лишние вопросы у пользователей.
2. Зачем мы используем cookie

Опишите основные цели:
  • корректная работа сайта,
  • сохранение пользовательских предпочтений (например, язык интерфейса),
  • аналитика (понимание, какие страницы посещают чаще всего),
  • маркетинг (показ релевантной рекламы).
3. Классификация cookie

4. Табличное представление - удобный формат для политики
Разбейте все файлы на группы, например:
  • Строго необходимые (без них сайт не работает корректно);
  • Предпочтений / функциональные (запоминают язык, регион, другие настройки);
  • Статистические / аналитические (собирают обезличенные данные о посещениях и поведении);
  • Маркетинговые / рекламные (для таргетинга и аналитики рекламных кампаний).
Высший пилотаж: указать назначение каждого cookie-файла сайта. Такой формат показывает системность и прозрачность. Важно обновлять политику и раздел после изменений.
5. Как управлять cookie

Добавьте инструкцию об управлении файлами: «Вы можете отключить или удалить cookie в настройках браузера. Подробнее: [ссылки на Chrome, Яндекс. Браузер, Firefox]».
  • Обработка cookie осуществляется на основании согласия пользователя в баннере на сайте;
  • По истечении сроков хранения файлы автоматически удаляются.
Возможно создание и опубликование отдельной политики по обработке cookies, но зачастую проще включить в раздел политики на сайте соответствующий раздел.
6. Правовое основание и сроки хранения

Почему нельзя скопировать чужую политику

«Зачем тратить время и деньги? Возьмем готовую политику у конкурента или найдем шаблон в интернете». Такое решение может привести к предписаниям и штрафам.
Почему так делать нельзя:
  • Каждый бизнес уникален. У конкурента другие цели обработки, другая CRM, другие подрядчики и сервисы. То, что подходит другой компании, может не отражать ваши процессы.
  • Несоответствие фактам является нарушением законодательства. Если в политике написано, что вы храните данные 3 года, а фактически они не удаляются до достижения 7 лет — это основание для штрафов.
  • В политике могут быть ошибки, которые станут вашими рисками. Никто не гарантирует, что политика конкурента корректна. Если скопировать ее, ошибки будут у вас тоже.
  • Доверие клиента. Через поиск легко найти одинаковые тексты в интернете. Шаблон или копипаст выглядит как небрежность.
Использовать чужую политику можно максимум как ориентир для структуры. Однако очень важно, чтобы текст документа отражал корректные и действительные процессы компании: какие данные вы собираете, где храните, как используете и удаляете. Лучший вариант — провести аудит и составить политику на основании результатов.

Стратегии работы с политиками

Единого «универсального» подхода к оформлению политики нет. Компания может выбрать стратегию в зависимости от своей структуры, количества сайтов, приложений и юридических лиц. 
Единого подхода среди РКН нет, рекомендуем учитывать риски при выборе формата. Три различия между политикой, опубликованной на сайте, и информацией в реестре операторов могут стать основанием для проведения внеплановой проверки. Однако, выявление таких нарушений должно быть разделено во времени, что дает основания для выбора варианта политики. 
Есть несколько вариантов:
1. Одна политика для всех целей
Универсальный документ, где собрана вся информация об обработке персональных данных.
Плюс: все в одном месте.
Минус: может получиться слишком громоздкой и трудной для восприятия пользователями.
2. Разделение на внутреннюю и внешнюю политику
  • Внутренняя политика об обработке ПДн — для работников
  • Внешняя политика конфиденциальности — для пользователей сайта и клиентов
Плюс: пользователь сайта, открывая политику, не тратит время на поиск информации о взаимодействии с сайтом. Контролирующим органам проще проверять документ на соответствие.
Минус: необходимо поддерживать в актуальном состоянии два документа вместо одного.
Отдельная политика для каждого сайта и мобильного приложения и внутренняя.
Плюс: максимально точно отражает реальные процессы обработки, поскольку в разных приложениях или сайтах могут быть различия, связанные с разработкой.
Минус: требует дополнительных ресурсов на разработку и актуализирование.
Плюс: общая политика формирует доверие у клиентов и партнеров; правила обработки данных одинаковы для всех компаний в холдинге.
Минус: высок риск противоречий без постоянной актуализации, сложность обновления из-за объемов.
3. Политика для каждого продукта или сайта + внутренняя политика

Общая политика конфиденциальности для всей группы компаний.
Общий документ, который определяет:
  • единые принципы обработки персональных данных во всей группе,
  • базовые подходы к безопасности,
  • общую терминологию и ответственность.
4. Модель для группы компаний и по отдельной политике для каждой компании в группе
Важно понимать, что политика написана для субъекта персональных данных. Это документ для описания ПДн субъекта, которые обрабатываются, разъяснения прав этому субъекту. При выборе варианта оформления политики важно исходить из особенностей работы конкретной компании и удобства субъекта ПДн. 
В политике на сайте опубликовать политику, связанную с целями пользователей сайта, для описания внутренних процессов сделать ссылку на реестр РКН
Плюс: экономия затрат на написание целей, понятно для пользователей.
Минус: важно следить за актуальностью сведений в реестре РКН и постоянно обновлять информацию при фактических изменениях.
5. Описание внутренних целей со ссылкой на реестр РКН

Штрафы

Основные нарушения, связанными с политикой:
  • Отсутствие самой политики обработки персональных данных (п. 32 Приказа Роскомнадзора № 253);
  • Ситуацию, когда политика не опубликована на сайте или недоступна для пользователей (п. 32 Приказа № 253);
  • Наличие на одном сайте политик сразу нескольких юридических лиц, что вводит пользователей в заблуждение (п. 32 Приказа № 253);
  • Некорректные ссылки: вместо текста политики открывается другой файл (п. 32 Приказа № 253);
  • Отсутствие в документе базовой информации об операторе (какому юрлицу принадлежит политика);
  • Отсутствие детализированного описания целей, состава и способов обработки персональных данных (п. 32 Приказа № 253).
  • Отдельное согласие на обработку персональных данных.
Невыполнение или нарушение требований законодательства влечет административную ответственность по ч. 3 ст. 13.11 КоАП РФ:
  • Для юридических лиц — штраф от 30 000 до 60 000 рублей за каждый выявленный случай нарушения;
  • Для должностных лиц — штраф от 6 000 до 12 000 рублей за каждый случай нарушения.

Заключение

Создание и поддержание в актуальном состоянии качественной Политики конфиденциальности — это непрерывный процесс, требующий вовлечения как юридического, так и технического блоков компании.
Для CEO и собственника — это инструмент управления юридическими и репутационными рисками.
Для юридического отдела — это фундамент для выстраивания всей системы комплаенса в области персональных данных.
Для отдела маркетинга — это возможность выстроить с клиентом честный диалог, который в долгосрочной перспективе приносит гораздо больше лояльности, чем любые манипулятивные техники.
Инвестиции в приведение в порядок процессов обработки персональных данных сегодня — это ваша страховка от многомиллионных штрафов, болезненных предписаний регулятора и, что самое главное, от потери доверия тех, на ком держится ваш бизнес, т. е. ваших клиентов. Начните с главного публичного документа — вашей Политики конфиденциальности, чтобы сделать ее своим союзником.
Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года
Подписывайтесь на наш Telegram-канал, чтобы быть в курсе последних новостей и событий!
реклама
бизнес
юридические вопросы
маркетинг
Материалы по теме