Политика конфиденциальности и Политика обработки персональных данных?

На многих российских и зарубежных сайтах мы даем согласия на обработку персональных данных и соглашаемся с Политикой конфиденциальности или Privacy Policy. Для чего она используется? Политика конфиденциальности информирует посетителей сайта, клиентов, учащихся, покупателей, работников и любых людей о том, зачем и как компания или владелец сайта обрабатывает персональные данные. Тематика защиты персональных данных и privacy стала актуальной не только в мире с выходом GDPR, но и в России. Без этого документа не обойтись, иначе будут штрафы и много проблем для владельца сайта или компании. В материале мы исчерпывающе ответим на все вопросы, касающиеся этого документа.

07/10/22

Максим Лагутин

Основатель Б-152

Политика конфиденциальности 2023

Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года

По российским законам этот документ называется не Политика конфиденциальности, а Политика в отношении обработки персональных данных. Но Политика конфиденциальности чаще употребляется и за название документа таким образом ничего не будет. Она необходима всем ООО, АО, ПАО, ИП, самозанятым и физическим лицам, которые обрабатывают персональные данные в своих целях — они являются операторами персональных данных. Наличие Политики конфиденциальности предусмотрено п.2) ч.1 и ч.2 ст. 18.1 Закона № 152-ФЗ «О персональных данных».

Если вы собираете в виде документов очно или через сайт персональные данные работников, клиентов, учеников или покупателей в своих целях или в целях соблюдения закона, то вы оператор персональных данных и у вас должна быть Политика конфиденциальности.

Разберем пример

На сайте интернет-магазина у вас есть форма заказа товара без регистрации. В формах человеку необходимо ввести имя, адрес электронной почты (email), имя, контактный телефон, адрес доставки, интервал и способ доставки. Эти данные являются персональными и они собираются интернет-магазином для своих целей (обработка заявок с целью продажи товара). Владелец интернет-магазина будет являться оператором персональных данных и ему будет необходимо издать и разместить на сайте Политику конфиденциальности (Политику обработки персональных данных).

На самом деле политика конфиденциальности может вам понадобиться даже тогда, когда вы не обрабатываете персональные данные (хотя в это слабо верится).

На самом деле политика конфиденциальности может вам понадобиться даже тогда, когда вы не обрабатываете персональные данные (хотя в это слабо верится).

Политика конфиденциальности вам может потребоваться, когда требуется:

• подключить оплату на сайт (платежный шлюз) — оператор платежного шлюза для активирования оплаты попросит предоставить доступ к вашей Политике конфиденциальности

• запустить рекламу в VK — без соглашения об обработке персональных данных или Политики конфиденциальности на сайте рекламная кампания не пройдет модерацию

• опубликовать приложение в Google Play или AppStore — без этого документа вы не пройдете модерацию и ваше приложение не будет опубликовано

• использовать API Facebook и разработать под него приложение — крупнейшая в мире социальная сеть просто

Как видно из примеров выше, без политики конфиденциальности практически невозможно запустить рекламу и оплату через сайт.

Конечно, можно обойтись без этого документа.

Политика конфиденциальности не нужна в 3х случаях:

1. Вы не обрабатываете персональные данные
2. Вы обрабатываете персональные данные в личных целях (например, собираете на сайте данные друзей, кто придет к вам на День рождения).
3. Вы понимаете, что возможны штрафы, но вдруг пронесет

Во всех остальных случаях без Политики конфиденциальности не обойтись.

Без Политики конфиденциальности не будет ничего хорошего.

Первое, что стоит знать — штрафы в России за отсутствие Политики обработки персональных данных на сайте и в других случаях выросли в 2021 году в 2 раза.
Второе, надзорный орган по персональным данным в России, Роскомнадзор, проверяет сайты и накладывает нарушения и штрафы, даже без проведения проверок.

Какие штрафы предусмотрены?

Незаконная обработка персональных данных

01

Если вы обрабатываете персональные данные незаконно (например, без согласий в Политике конфиденциальности), то возможен штраф по ч.1−1.1 ст. 13.11 КоАП — до 100.000 рублей при первом нарушении и до 300.000 рублей при повторном

Обработка персональных данных без согласия

Неопубликование на сайте Политики конфиденциальности

02

03

Если персональные данные обрабатываются без обязательного письменного или электронного согласия с электронной подписью, или согласие оформлено не по требованиям, то возможен штраф по ч.2−2.1 ст. 13.11 КоАП — до 150.000 рублей при первом нарушении и до 500.000 рублей при повторном

Если на сайте не опубликована Политика конфиденциальности, которая выполняет требования Федерального закона № 152-ФЗ «О персональных данных», то возможен штраф по ч.3 ст. 13.11 КоАП — до 60.000 рублей

Если вы думаете, что это большие штрафы, то это не так. В Европе действует их регламент GDPR и по нему штрафы достигают 20 млн евро или 4% годового оборота компании.

Как могут быть наложены штрафы?
Представители надзорного органа в области персональных данных, Роскомнадзора, вручную и с помощью автоматизированной системы обходят различные сайты. На сайтах они смотрят в том числе наличие необходимой информации по обработке персональных данных: согласия об обработке персональных данных, Политику обработки персональных данных или Политику конфиденциальности, а также уведомление об обработке cookie.
Такой мониторинг сайтов предусмотрен в Постановлении Правительства о надзоре в области персональных данных.

Если будут выявлены нарушения, то для владельца сайта или того, кто его использует, возможны штрафы, которые для примера мы приводили выше по тексту.

• был издан приказом или подписан генеральным директором / индивидуальным предпринимателем;
• назывался Политика конфиденциальности, Политика в отношении обработки персональных данных или другим названием
• в тексте должно быть название организации / физического лица, адрес и контактные данные
• в тексте должно упоминаться, что документ разработан в соответствии с Федеральным законом от 27.07.2007 г. № 152-ФЗ «О персональных данных»
• должно быть детально прописано, в какой цели, какие данные и как обрабатываются

Выполнив требований выше, вы формально выполните требования закона, будете защищены от штрафов со стороны Роскомнадзора, а также сможете пройти модерацию сторонних сервисов.

Но есть рекомендации к содержанию Политики обработки персональных данных, выпущенные Молодежной Палатой при Консультативном совете Роскомнадзора.

С использованием рекомендаций Политика конфиденциальности получается более клиентоориентированной и правильной.

Если учитывать эти рекомендации, то в тексте Политики обработки персональных данных должно быть:

• основные понятия из 152-ФЗ «О персональных данных»
• основные права физических лиц при обработке их персональных данных
• обязанности оператора персональных данных и физических лиц
• цели сбора персональных данных
• описание правовых основания обработки персональных данных
• состав и категории обрабатываемых персональных данных
• категории физических лиц, чьи персональные данные обрабатываются
• порядок и условия обработки персональных данных
• наименование и контакты оператора персональных данных
• условия обновления Политики и дата последнего обновления

С таким количеством требований Политику конфиденциальности уже довольно сложно составить, но возможно.

Если смотреть формально, то для того, чтобы выполнить требования закона и различных площадок, достаточно, чтобы документ соответствовал следующим требованиям:

Действительно, на многих сайтах у нас берут согласия на cookie и делают ссылку на Политику конфиденциальности.

Еще несколько лет назад указывать информацию о cookie в Политике обработки персональных данных не требовалось, но позиция Роскомнадзора поменялась. Главный надзорный орган России в области персональных данных теперь относит cookie к персональным данным со всеми вытекающими последствиями.

Для обработки cookie необязательно делать отдельную Cookie Policy, достаточно в Политике конфиденциальности выделить отдельный раздел под описание обработки cookie
В таком разделе необходимо указать для каких целей вы собираете cookie и как человек может прекратить обработку его cookie с помощью браузера.

Если хотите сделать ее по подобию европейских Privacy Policy, то добавьте детальную информацию о всех собираемых cookie.

А теперь давайте разберемся, как можно получить для своего сайта Политику конфиденциальности.

Способов не так уж и много:

1. Взять Политику конфиденциальности с чужого сайта и переделать под себя
2. Использовать бесплатные конструкторы Политик конфиденциальности
3. Использовать платные конструкторы Политик конфиденциальности
4. Обратиться к Юристу

Последний способ мы не будем рассматривать, так как он более чем понятен — ищем юриста или идем к знакомому, отдаем деньги и получаем через какое-то время Политику конфиденциальности.

А по остальным способам подготовки Политики обработки персональных данных пройдемся подробнее.

Взять Политику конфиденциальности с чужого сайта и переделать под себя

Бесплатный конструктор Политик конфиденциальности

Как вы догадались, это один из самых распространенных способов. Обычно обходятся сайты конкурентов или аналогичных сайтов, копируется текст, текст сокращается и добавляется информация о сайте и его владельце.

Бесплатные генераторы Политик конфиденциальности в России представлены несколькими сервисами. Они позволяют, заполнив анкету на сайте, получить на выходе текст Политики конфиденциальности.

Задача таких сервисов понятная — помочь сделать Политику конфиденциальности просто для людей, которые не знакомы с законодательством о персональных данных. Ответив на 3 или 10 вопросов вы получите образец Политики конфиденциальности для своего сайта. В большинстве случаев это вопросы об адресе сайта, названии компании / физического лица, адреса и контактов — самый минимум.

Бесплатные конструкторы Политик конфиденциальности отлично подойдут тем, кто не хочет тратить много на создание документа и хочет быть уверен, что документ все минимальные требования законодательства выполнит.

Действительно, такое может сработать, если сайт у вас очень простой и вы разбираетесь в юриспруденции. И мы знаем, что бесплатно ничего просто так не бывает — вы потратите свое время и можете допустить ошибки.

Копируя Политику конфиденциальности с чужого сайта, старайтесь не допускать распространенных ошибок:

• забыли убрать реквизиты другого сайта и компании — Роскомнадзор штрафует за это
• не указали информацию о том, кому принадлежит сайт — это не будет соответствовать требованиям закона
• удалили нужный текст — тогда Политика конфиденциальности перестанет защищать вас от штрафов
• не удалили ненужный текст — если вы оставите информацию о том, какие данные и в каких целях обрабатываются с другого сайта, то вы подпишитесь, что обрабатываете больше данных, чем на самом деле
• у вас маленькая политика для большого сайта — копировать чужую Политику конфиденциальности просто не получится, там будет меньше данных, чем нужно для вашего сайта
• не обновляете Политику конфиденциальности — если вы стали обрабатывать данных больше или в других целях, но в Политике это не поправили, то это также нарушение

Грамотно скопировать и доработать под себя Политику можно и возможно, главное не допускать указанных ошибок. Но стоит помнить, что это займет у вас не мало времени.

И есть другой способ, который с каждом годом в России и набирает популярность другой способ — конструкторы / генераторы Политик конфиденциальности.

При всех плюсах и простоте в бесплатных генераторах Политик конфиденциальности, стоит учитывать некоторые моменты относительно них:

• просто так генераторы Политик конфиденциальности не делают бесплатными — их создатели потом или будут предлагать вам свои другие услуги, или будут спамить на почту. Но есть и сервисы, которые вполне на добровольных началах делают Политики конфиденциальности
• бесплатные конструкторы Политик конфиденциальности редко делаются специалистами — поэтому в текст документа может изначально быть составлен не очень правильно
• Политика конфиденциальности на выходе не будет соответствовать рекомендациям надзорного органа и будет не слишком детализированно
• Политику конфиденциальности придется вручную обновлять при изменениях на вашем сайте или законодательстве

С учетом того, что такие сервисы бесплатны — плюсы для владельцев маленьких сайтов перевесят минусы. Самый популярный такой сервис — Политика конфиденциальности Тильда.

Если же вы планируете растить свой бизнес или сайт является частью большого бизнеса, то Политики конфиденциальности, взятые с чужих сайтов или созданные с помощью бесплатных генераторов, будут смотреться несерьезно.

Для таких случаев есть платные Конструкторы Политик конфиденциальности.

Платный конструктор Политик конфиденциальности

Платные Генераторы Политик конфиденциальности на первый взгляд похожи на бесплатные сервисы, но это не совсем так.

Как правило, платные конструкторы Политик позволяют сделать Политику обработки персональных данных:

• более персонализированной для сайта
• с правильным формулировками
• с учетом рекомендаций Роскомнадзора
• с детализированной информацией об обработке персональных данных на сайте
• автообновляемой

Помимо наличия стоимости и более качественной Политики конфиденциальности, которую можно повесить и на маленький, и на крупный сайт, выявить платный сервис довольно просто — дизайн таких сервисов на порядок лучше.

В качестве примера платного конструктора Политик конфиденциальности можно привести Privacy Check.

Этот конструктор Политик отличается от бесплатных и даже платных аналогов:

• внутри сервиса есть искусственный интеллект — автоматически выявляет, какие персональные данные обрабатываются на вашем сайта
• автоматически подгружаются данные из ЕГРЮЛ и Реестра операторов персональных данных — чтобы вам не приходилось тратить много времени на подготовку Политики конфиденциальности
• Политика конфиденциальности автоматически изменяется не только при изменении законодательства, но и если сервис заметит изменения на вашем сайте — у вас всегда будет актуальный документ
• в текст документа включены согласия на обработку персональных данных — чтобы еще больше защитить вас от штрафов Роскомнадзора

Таким сервисом пользуются как малые сайты, так и сайты крупных компаний.

Платные конструкторы Политик конфиденциальности помогут любому сайту, школе и другим компаниям и людям. Но такие сервисы не подойдут тем, кто не готов платить за Политику обработки персональных данных, несмотря на то, что стоимость их довольно низкая (ниже 1.000 рублей).

и защитите себя от штрафов в 500.000 рублей совершенно бесплатно

Если вы хотите найти лучший шаблон, образец или пример Политики обработки персональных данных, то сейчас у вас будет возможность с ними ознакомиться.

Ниже выделены те Политики конфиденциальности, которые не только защищают владельца сайтов и бизнес от штрафов, но и написаны человеческим языком.

Лучшие образцы Политик обработки персональных данных

• https://www.lindt.ru/politika-konfidencialnosti — очень простой для восприятия и красиво сверстанный образец Политики конфиденциальности от известного производителя шоколада
• https://yandex.ru/legal/confidential/ — отличный Политики конфиденциальности для сайта в 2021 году от крупнейшего российского поисковика
• https://www.storytel.com/ru/ru/documents/privacy-policy — детализированный пример Политики конфиденциальности от шведского приложения аудиокниг
• https://www.sberbank.ru/ru/personal_policy — максимально понятный и простой образец Политики конфиденциальности от одного из крупнейших банков России

Если у вас есть примеры отличных Политик конфиденциальности, то присылайте их на welcome@privacy-check.ru

Название «Политика конфиденциальности» пришла к нам из Европы, где более 20 лет действовали требования по обработке персональных данных по Евродирективе.

«Политика в отношении обработки персональных данных» или «Политика обработке персональных данных» — обязательный документ для выполнения закона № 152-ФЗ «О персональных данных».

Когда утверждаете документ, то его лучше всего назвать «Политика в отношении обработки персональных данных», чтобы надзорный орган не подкопался.
А на сайте текст утвержденного документа вы можете назвать как вам удобно.

Ниже примеры того, как называют этот документ — выбирайте наиболее подходящее для себя название:

Теперь вы знаете практически все о Политике конфиденциальности и Политики обработки персональных данных и можете обезопасить себя от штрафов.

Ввод оборотных штрафов за утечки откладывается минимум до 1 июля 2023 года

Подписывайтесь на наш Telegram-канал, чтобы быть в курсе последних новостей и событий!

Материалы по теме