Статья

Политика конфиденциальности: кому она нужна и как подготовить самостоятельно

Персональные данные
Когда вы запускаете свой сайт, возникает много вопросов, в том числе: а есть ли какие-то обязательные требования со стороны закона?
Наш ответ «да», и он максимально очевиден. Сегодня мы поговорим об одном из таких обязательных требований, как Политика конфиденциальности. Разговоры о политике – это, конечно, не очень благодарное занятие, но, поверьте, об этой Политике вам стоит знать!
Что такое "Политика конфиденциальности"?
Политика конфиденциальности – по сути документ, при помощи которого вы объясняете вашим пользователям то, как вы обрабатываете его данные. Часто встречается и другое (официальное) название данного документа - Политика обработки персональных данных.

Если конкретнее, то это документ, регулирующий обработку персональных данных пользователей и размещаемый на сайте, который является ничем иным, как правилами игры, устанавливаемыми владельцем сайта в отношениях с пользователями. Цель фиксации и размещения таких
правил — снизить риски из законодательства о персональных данных.

Пользователь должен согласиться с вашей политикой конфиденциальности, совершив определенное действие на сайте, как правило, проставляя галочку, например, при оформлении заказа.
Кому нужна Политика конфиденциальности?

Если хотите погрузиться глубже, закон для самостоятельного изучения можно найти по ссылке.
Политика конфиденциальности нужна любому оператору персональных данных.

Сложно? Тогда давайте по порядку.

Что такое персональные данные?
Этому понятие дает Федеральный закон «О персональных данных» 152-ФЗ:

Персональные данные — любая информация, относящаяся прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных). Грубо говоря, это все то, что может вас идентифицировать, любая информация, связанная с вами.

А операторы – это те субъекты, которые такие данные обрабатывают, это любой человек, компания или государственный орган, который собирает, хранит, обрабатывает и совершает действия с персональными данными. Владельцев интернет-ресурса можно отнести к операторам, если на сайте есть формы заказа, комментариев, регистрации и обратной связи, в которые человек вводит имя, фамилию, электронный адрес, номер телефона и все в таком духе.

Продаете через интернет цветы и просите от покупателя адрес доставки и телефон с его именем? Вы оператор!

На вашем сайте можно оплатить и заказать услуги вашего салона красоты? Вы тоже оператор!

Продаете обувь через свой интернет-магазин и пользователь оставляет данные для доставки? Поздравляем, и вы оператор!
Это единичные примеры. Политика конфиденциальности несомненно нужна практически всем, кто ведет бизнес через интернет. Ведь так или иначе, но пользователь оставляет свои данные для контакта с вами.
После подготовки Политики, ее необходимо разместить на сайте.

Закон опять же четко не регламентирует где и как должна быть размещена Политика конфиденциальности. Главное, чтобы Пользователь мог с ней ознакомиться и согласиться.

Мы рекомендуем размещать ее на отдельной сверстанной странице, добавляя ссылку на нее под всеми формами сбора данных на сайте. Пользователь вносит свои данные, например, для заказа, а над кнопкой «Заказать» видит ссылку на документ, рядом с которой проставляет согласие, например, галочку. Естественно, предварительно ознакомившись.
Я понял. А как составить Политику конфиденциальности?
На самом деле, по вопросу создания такого документа стоит обратиться к юристам, специализирующимся на защите персональных данных.

Дело в том, что упустив одну маленькую деталь, можно создать себе и своему бизнесу проблем. Для Роскомнадзора важно не просто наличие такого документа на сайте, но и его содержание.

Конечно, Роскомнадзор позаботился и составил рекомендации по составлению такого документа. Но даже эти рекомендации сложны для восприятия человеком, не имеющим никакого отношения к юриспруденции.

Поэтому мы решили разобрать эти рекомендации специально для вас!
Утвержденной формы политики конфиденциальности не существует.
Но есть определенные требования к информации, которая обязательно должна быть включена в такой документ:

- На каком основании и с какой целью вы собираете персональные данные;

- Какие данные обрабатываете и из каких источников получаете, включая файлы cookie;

- Сведения о том, кто обрабатывает данные, если этим занимается другая компания, а также о третьих лицах, у которых есть доступ к ним;

- Сроки обработки и хранения персональных данных;

- Информация о том, что вы передаете данные за пределы России (если передаете, конечно);

- Каким образом вы соблюдаете права субъекта, предусмотренные законом «О персональных данных»;

- Ваши наименование, контактные данные и адрес.
Всю эту информацию можно изложить в свободной форме. Главная цель –документ должен содержать все сведения, которые требует закон, а также понятно показывал пользователю, что происходит с персональными данными и что вы делаете, чтобы защитить его право на неприкосновенность частной жизни и личную тайну.

Наш совет:
Кстати, крайне не советуем брать Политику с других сайтов!

Во-первых, такое копирование расценивается законом как нарушение.

Во-вторых - у каждого сайта разные цели и задачи, разный способ обработки данных. Следовательно и Политики разные.

Ну и в-третьих, не факт, что ту Политику составляли грамотные юристы и люди, которые в этом что-то понимают.
Какие санкции, если на сайте нет Политики конфиденциальности?
Наказания за отсутствие Политики на сайте малоприятные, особенно для малого бизнеса.
Штраф за отсутствие политики конфиденциальности (ч. 3 ст. 13.11 КоАП РФ) для юрлиц — от 15 000 до 30 000 ₽, а для ИП — от 5 000 до 10 000 ₽
Помимо штрафов Роскомнадзор очень часто применяет практику «блокировки ресурса до устранения нарушения».

Только вот устранить нарушение вы можете за час. А разблокировки можете ждать и до месяца. Практика показывает, что Роскомнадзор не торопится возвращать к деятельности нарушителей, и скорее, именно блокировка страшнее штрафа. Особенно для тех, чей бизнес базируется исключительно в интернете. Ведь блокировка сайта для такого бизнеса – это остановка деятельности.
Кстати, надеятся на то, что вас это не коснется - очень самоуверенно.

Роскомнадзор ежемесячно проводит аудит сайтов из определенных категорий. Вчера были сайты турагенств, а сегодня интернет-магазины. Именно поэтому вчера вас не коснулся государственный удар. Но что будет завтра?

Кроме того, за отсутствием Политики вы не сможете создавать рекламу в различных интернет-сервисах (Яндекс, Google и т.д.), так как без нее вам не позволят пройти модерацию (допуск к показам) в этих сетях.

Будьте внимательны и пользуйтесь нашими рекомендациями.
Ведь блокировка – это время, а время – деньги!

Филиппович Максим
Автор статьи, эксперт сервиса по защите бизнеса в интернете «LegalBox».