Как написать политику конфиденциальности по новым правилам: пошаговая инструкция

Требования к содержанию политики конфиденциальности поменялись после внесения изменений от 1 сентября 2022 года в закон «О персональных данных». Они разбросаны по закону и различным письмам контролирующих органов. Мы собрали всё воедино и упаковали в подробный гайд.

Статью подготовила для вас Алиса Голенищева
Статью отредактировал Герман Ященко

Фотограф: <a href="https://api.vc.ru/v2.8/redirect?to=https%3A%2F%2Fenilina.ru&postId=497180" rel="nofollow noreferrer noopener" target="_blank">Енилина Яна</a>
Фотограф: Енилина Яна

Оглавление:

Зачем нужна политика?

Политика конфиденциальности - документ, в котором вы декларируете, какие данные вы собираете, для каких целей вы их собираете и что с ними делаете.

Политика конфиденциальности нужна, если вы обрабатываете персональные данные своих пользователей. Поскольку обработка - любые действия с персональными данными, а персональными данные - любые данные о человеке, то политика конфиденциальность нужна любому сайту, у которого есть форма обратной связи, возможность приема заявок, регистрация пользователей и т.д.

Политика конфиденциальности (ссылка на неё) должна быть опубликована на вашем сайте, на каждой странице, где собираются персональные данные. Иначе вам грозит:

  • штраф от 30 до 60 тыс. руб. (КоАП ч. 3 ст. 13.11);
  • угроза блокировки интернет-ресурса (ст. 15.5 Федерального закона от 27.07.2006 N 149-ФЗ).

Также, если вы обрабатываете персональные данные, то вы должны уведомить об этом Роскомнадзор (далее - РКН). Подать уведомление можно через сайт РКН. После вы будете включены в реестр операторов персональных данных (ссылка).

Шаг 1. Укажите контакты.

Пользователь должен знать, кто будет обрабатывать его персональные данные. Поэтому вы обязаны указать в политике:

  • К какому сайту (сервису) применяется политика;
  • Кто будет обрабатывать персональные данные (кто является оператором персональных данных пользователей).

Можете разместить эти данные в любом разделе политики: в начале или в конце.

Шаг 2. Определите порядок сбора согласий.

Вы можете обрабатывать персональные данные только с согласия субъекта персональных данных. Поэтому вы должны собирать согласия перед тем, как начнете обработку данных. У вас должна быть возможность подтвердить, что определенное лицо дало вам своё согласие.

Например, на сайтах чаще всего размещают чек-бокс, без принятия которого нельзя оставить заявку, зарегистрировать на сайте. Также информация о кликах прописывается в лог-файлах сайт.

Основные требования к согласию:

  1. Конкретное - нельзя признать согласием молчание или бездействие субъекта;
  2. Информированное - субъект может ознакомиться с политикой конфиденциальности до дачи согласия;
  3. Сознательное - согласие должно даваться добровольно и не по принуждению;
  4. Предметное - субъект должен понимать цели сбора, какие персональные данные обрабатываются и перечень действий с персональными данными.
  5. Однозначное.

В политике надо прописать, как вы собираете эти согласия. Например, напишите, что "согласие дается путем проставления галочки при регистрации пользователя на сайте".

Важно. Также нельзя получать согласия от несовершеннолетних. Поэтому в политике пишем, что пользователь гарантирует, что является совершеннолетним.

Шаг 3. Указываем для чего собираем данные и что с ними делаем.

Цель обработки - это то, для чего вы собираете персональные данные. Цель обязательно должна быть конкретной. Например, оказание услуг по договору, регистрация пользователя на сайте и т.д.

Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных (п.3.2. Рекомендаций Роскомнадзора).

Новые правила внесли существенные изменения связанные с целями обработки. Теперь в отношении каждой цели необходимо прописывать (пункт 2, часть 1, статья 18.1. ФЗ-152): категории субъектов персональных данных, перечень и категории обрабатываемых данных, способы и сроки обработки данных и порядок уничтожения персональных данных.

Поскольку цели должны быть конкретными и ясными, то, как правило, их может быть несколько и в отношении каждой цели нужно указывать эти данные.

1. Категории субъектов, чьи данные обрабатываются в заданной цели. Нигде не раскрывается, что означает категория субъектов. На практике сложилось, что обычно указывают какие у вас отношения сложились с данным субъектом: пользователи сайта, потенциальные клиенты, заемщики и т.д.

2. Перечень обрабатываемых данных. Просто называете список всех персональных данных, которые вы обрабатываете (ФИО, номер, адрес и т.д.).

3. Категории данных. Указываете, к какой категории относятся персональные данные (см. ниже в таблице).

Как написать политику конфиденциальности по новым правилам: пошаговая инструкция

4. Действия с данными - укажите, как вы будете обрабатывать данные, например можно указать следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 ФЗ "О персональных данных").

Также необходимо указать способы обработки персональных данных. Способы обработки бывают:

  • автоматизированный (данные обрабатываются на компьютере, сервере);
  • неавтоматизированный (данные хранятся и обрабатываются на бумаге).

5. Сроки обработки и хранение данных - укажите, в течение какого срока вы храните персональные данные.

Также укажите где и как вы их храните.

6. Уничтожение ПД - стирание их со всех носителей навсегда.

Если персональные данные обрабатывались автоматизированным способом, уничтожить их можно путем стирания из базы данных, форматирования носителя или путем механического повреждения жестких дисков.

Если персональные данные обрабатывались неавтоматизированным способом, их можно уничтожить путем сожжения, дробления (измельчения), химического разложения.

Порядок документального оформления факта уничтожения персональных данных определяется оператором самостоятельно. Для уничтожения ПД обычно созывается специальная комиссия и по итогам ее деятельности составляется акт об уничтожении ПД.

Уничтожение ПД производится в случае:

  • предоставления пользователем сведений, подтверждающих, что ПД являются незаконно полученными или не являются необходимыми для заявленной цели обработки - в течение 7 рабочих дней со дня представления таких сведений (ч. 1 ст. 14, ч. 3 ст. 20 Закона N 152-ФЗ);
  • выявления неправомерной обработки персональных данных - в течение 10 рабочих дней (ч. 3 ст. 21 Закона N 152-ФЗ);
  • отзыва персональных данных Пользователем - в течение 30 дней (ч. 5 ст. 21 Закона N 152-ФЗ;
  • достижения цели обработки персональных данных - в течение 30 дней (ч. 4 ст. 21 Закона N 152-ФЗ);
  • истечения сроков хранения персональных данных - в течение 30 дней (ч. 4 ст. 21 Закона N 152-ФЗ).

Как это прописать в политике?

В редакции нового закона необходимо указывать всю информацию в отношении каждой цели обработки. Хорошо, когда цель обработки одна, однако, если их много, то текст начнет сильно раздуваться.

Мы видим несколько вариантов как это можно оформить.

Вариант 1 - сплошной текст

Суть в том, чтобы мы шли текстом по каждой отдельной цели, такой формат нельзя назвать удобным с точки зрения восприятия информации и понятности политики. Вид будет примерно следующий:

Цель: регистрация на сайте. Категория субъекта: пользователи сайта. Обрабатываемые данные: фамилия, имя, отчество, дата рождения, номер телефона. Категория данных: общие персональные данные. Способ обработки персональных данных: автоматизированные сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование. Срок обработки: в течение 3 лет с даты проявления последней активности на сайте. Персональные данные уничтожаются путем стирания с серверов оператора персональных данных.

Цель: оформление покупки Категория субъекта: пользователи сайта. Обрабатываемые данные: фамилия, имя, отчество, дата рождения, номер телефона, адрес доставки, платежные реквизиты. Категория данных: общие персональные данные. Способ обработки персональных данных: автоматизированные сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование. Срок обработки: в течение 3 лет с даты проявления последней активности на сайте. Персональные данные уничтожаются путем стирания с серверов оператора персональных данных.

Цель: оформление возврата товара ...

Вариант 2 - таблица

Оформляем информацию представленную выше в виде таблице, где каждая строка - новая цель обработки. Такой вариант уже лучше, поскольку прочитать и понять его гораздо проще, чем предыдущие. Однако всё равно не очень удобно, т.к. много информации будет дублироваться. Примерный вид:

Как написать политику конфиденциальности по новым правилам: пошаговая инструкция

Вариант 3 - таблица + текст

Оформляем переменную информацию в виде таблицы, а постоянную отдельными пунктами. В нашем примере, как и у большинства компаний будут неизменны: способ и сроки хранения персональных данных и порядок их уничтожения.

Как написать политику конфиденциальности по новым правилам: пошаговая инструкция

И отдельными пунктами прописываем:

1. Для всех целей обработки персональных данных срок обработки персональных данных составляет 3 года с даты проявления последней активности на сайте.

2. Персональные данные уничтожаются путем стирания их с серверов оператора персональных данных.

Шаг 4. Пропишите, кому вы передаете ПД пользователей.

По общему правилу передача ПД третьим лицам запрещена. Исключения составляют:

1. Передача с согласия пользователя. То есть пользователь дает отдельное письменное согласие на передачу своих персональных данных той или иной компании.

2. Передача уполномоченным органам в соответствии с законодательством.

3. Передача персональных данных обработчикам. Обработчики - это компании, которые обрабатывают ПД по специальному документу-поручению оператора. Здесь стоит прописать список обработчиков и их контакты.

Трансграничная передача. Если вы передаете ПД пользователей заграничным компаниям, об этом стоит также написать и указать страны, в которые передаются персональные данные.

Шаг 5: Расскажите про права ваших пользователей.

По закону у пользователей есть ряд прав при обработке их ПД, лучше рассказать о них в вашей политике конфиденциальности.

Как написать политику конфиденциальности по новым правилам: пошаговая инструкция

Шаг 6: Укажите правовое основание обработки ПД. (Не обязательно).

Роскомнадзор рекомендует прописывать перечень документов, на основании которых вы обрабатываете ПД.

Этими документами могут быть:

  1. Законы, которые регулируют деятельность вашего сервиса. Для всех сайтов следует указывать ФЗ «об информации» + законы, которые регулируют именно вашу сферу деятельности. Это может быть ФЗ «о рекламе» или ФЗ «об образовании» и т.д.
  2. Внутренние локальные акты оператора. Для работы с ПД оператор должен создать внутренние акты, содержащие инструкции для сотрудников. Например, это может быть Политика обработки ПД. Необязательно указывать название актов, достаточно прописать, что таковые имеются.
  3. Договоры, заключаемые между оператором и пользователем персональных данных (если есть). Если пользователь может купить товар или получить услугу на вашем сайте, название оферты или договора также стоит здесь прописать.
  4. Согласия на обработку персональных данных, если вы собираете их в форме отдельных документов.

Шаг 7: Определите где вы будете размещать актуальную версию политики.

Не забудьте указать:

  • Что вы вправе вносить изменения в Политику без согласия Пользователя.
  • Где пользователь может ознакомиться с актуальной версией Политики? Добавить активную ссылку.
  • Порядок вступления новой политики в силу.

Вы великолепны!

Подписывайтесь на наш канал @aglegal, мы пишем о новостях в мире права для ИТ-компаний, а также планируем разместить шаблон политики конфиденциальности по новым правилам.

Для консультаций можете звонить +7 (969) 704-24-56 (Герман Ященко).

5959
34 комментария

Шаг 7: удаляйте все нахер и копи/пасте у любого конкурента.

7

почти у всех кого ни видел, есть косяки, даже у правовых систем, хотя казалось бы

1

Какой-то бред придумали, у всех сайтов надо сделать одно и тоже - согласиться с куки и тп! Может при запуске браузера один раз спросить что мол там в инете все пишется и храниться! Согласны запустить браузер? И все!!!!

5

Комментарий недоступен

1

Да, достала эта шляпа. То ссл-сертификаты прямо всем нужны, то цены на домены повышают..

Хороший материал! Спасибо.

А вот такой вопрос:
Владельцы телеграм-ботов получают сведения о пользователе Telegram: telegram id (идентификатор учетной записи пользователя Telegram), фамилию, имя, ник (и еще могут быть иные данные типа аватарки и т.п.). Фамилия и имя могут быть фейковыми.

В общем, все эти данные о пользователе обычно необходимы сервисам для предоставления услуг. Причем данные о пользователе приходят с зарубежных серверов (считайте трансграничная передача, которую осуществляет telegram, не спрашивая ни пользователя, ни владельца бота).

Относятся ли эти данные к персональным? А если добавить к ним номер телефона?

1

Добрый день! К сожалению, на данный в практике нет единого мнения относительно того, какой набор сведений позволит с точностью определить субъекта персональных данных, а следовательно относятся к персональным данным. Позиции судов и Роскомнадзора отличаются от случая к случаю. ID пользователя в совокупности с другими данными, как правило, относят к персональным данным (например, Постановлением 13 ААС от 01.07.2016 по делу № А56-6698/2016).

1