«Политика конфиденциальности» и «Политика обработки персональных данных» это разные документы?

Законодательством (в частности, положениями Федерального закона от 27.07.2006 № 152-ФЗ) не предусмотрено каких-либо требований относительно раздельного или совместного оформления «Политики конфиденциальности» и «Политики обработки персональных данных».

На практике наиболее распространен подход, когда эти документы представлены раздельно. Вместе с тем популярность такого подхода обусловлена не требованиями законодательства, а удобством работы по рассматриваемым вопросам как для самого оператора, так и для пользователей интернет-ресурса. Если это единый документ, то его, как правило, так и называют «Политика конфиденциальности и обработки персональных данных», с отражением в нем всех требований, которые обязательны для соблюдения требований о ПД и конфиденциальности.

Какие разделы обязательно должны быть включены в «Политику обработки персональных данных» по требованиям 152-ФЗ?

Я занимаюсь запуском сайта, на котором буду собирать персональные данные пользователей. Хочу уточнить: какие конкретно разделы и сведения должны быть обязательно указаны в «Политике обработки персональных данных», чтобы не получить претензий от Роскомнадзора?

Отвечает Пастухов Михаил

Чтобы свести к минимуму риск потенциальных претензий со стороны надзорного ведомства, целесообразно использовать его же рекомендации относительно этого вопроса, а конкретно рекомендации РКН от 31.07.2017. В них среди прочего содержатся рекомендации по формированию структуры «Политики обработки персональных данных».

Если следовать этим рекомендациям (что очень желательно), то структура политики по работе с ПД должна содержать следующие разделы:

• общие положения;
• цели работы с ПД;
• правовое обоснование деятельности с ПД;
• объем и категории данных, подвергаемых обработке, и категории субъектов ПД;
• условия, порядок и способы обработки;
• механизм исправления, удаления, уничтожения и актуализации обрабатываемой информации.

Какая информация должна быть включена в «Политику конфиденциальности», если на сайте используются не только персональные, но и обезличенные данные, а также работает анализ поведения пользователей?

Помимо персональных данных, я собираюсь использовать на сайте сбор статистики через cookie и сторонние сервисы аналитики. Необходимо ли мне это всё отражать в «Политике конфиденциальности» и как правильно оформить?

Отвечает Пастухов Михаил

Файлы cookie и иные аналогичные идентификаторы пользователя относятся к персональным данным по смыслу Федерального закона от 27.07.2006 № 152-ФЗ. Кроме того, подобный подход в отношении этих инструментов используется и в странах ЕС, согласно положениям GDPR.

Включение информирования об использовании cookie и аналогичных технологий в «Политику конфиденциальности» — допустимый вариант. Например, подобный подход использует «Почта России» (Приказ ФГУП «Почта России» от 21.02.2019 № 73-п). Сегодня на практике распространен и другой вариант решения вопроса: через информирование на сайте путем «всплывающего окна» с просьбой покинуть сайт, если пользователь не согласен с использованием cookie-файлов.

Обязательно ли размещать два отдельных документа на сайте или разрешено совместить их в одном файле?

Хочу понять, насколько критично для закона и для удобства пользователей делать две отдельные политики — или всё же достаточно одной, если она включает все необходимые элементы? Есть ли какие-то риски при совмещении?

Отвечает Пастухов Михаил

Положения Федерального закона от 27.07.2006 № 152-ФЗ не запрещают объединять в одном документе положения, касающиеся обработки ПД и конфиденциальности. На практике многие организации оформляют единый документ, который включает все необходимые элементы этих двух документов. Основное правило — единый документ обязан отражать все законные требования к каждой из политик.

Если рассматривать не юридический аспект, а практический, то слишком объёмный или сложный документ затрудняет понимание пользователями их прав и обязанностей, что снижает уровень доверия.

Какие последствия могут быть, если на сайте размещена только общая политика конфиденциальности и нет отдельной политики обработки персональных данных?

Если я размещу на сайте только общий документ с положениями о конфиденциальности, но отдельно не выделю раздел по обработке персональных данных, то насколько это опасно и может ли привести к штрафам или проверкам?

Отвечает Пастухов Михаил

Предложенный вами вариант противоречит законодательству и приведет ко всем вытекающим из этого последствиям, и вот почему. Размещая документ с положениями только о конфиденциальности, вы игнорируете требования ч. 2 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ, поскольку этой нормой предусмотрена обязанность оператора сайта публиковать его подход по вопросам, связанным с обработкой персональных данных.

Вместе с тем, если под «общей» политикой конфиденциальности вы имеете в виду такое положение, в котором отражены и вопросы, связанные с приватностью, и вопросы, связанные с обработкой ПД, то это не является нарушением. Право на выбор названия такого положения и порядок его оформления остаются за оператором.

Как часто нужно обновлять текст политики обработки персональных данных в связи с изменениями в законодательстве или в работе сайта?

Наш сайт развивается, добавляются новые сервисы и функции. Есть ли требования по актуализации этих документов, и как часто этим стоит заниматься, чтобы не нарушить закон?

Отвечает Пастухов Михаил

Положения Федерального закона от 27.07.2006 № 152-ФЗ не предусматривают какой-либо обязанности оператора интернет-ресурса для регулярного обновления положения. Вместе с тем актуализация положения об обработке пользовательских данных потребуется при изменениях в:

• законодательстве в сфере обработки персональных данных, которые непосредственно затрагивают те вопросы, которые подлежат отражению в тексте политики обработки персональных данных;
• работе сайта или сервисов, которые влияют на порядок и цели обработки персональных данных. Например, если добавляются новые функции, формы сбора данных или способы обработки — это подлежит указанию в политике.

Вывод следующий: отслеживайте изменения в законодательстве, а при изменении технических аспектов работы вашего ресурса нововведения соотнесите с требованиями закона.

С какими требованиями к оформлению и размещению политики обработки персональных данных может прийти Роскомнадзор при проверке?

Меня интересует, на что обращают внимание проверяющие: где конкретно должна быть размещена политика, какие формулировки и технические нюансы стоит учесть, чтобы избежать предписаний и штрафов?

Отвечает Пастухов Михаил

Положения ч. 2 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ предусматривают, что политика обработки персональных данных подлежит публикации в сети, в том числе на страницах того интернет-ресурса, на котором организован сбор персональных данных посетителей. Кроме того, этой нормой на оператора возложена обязанность по обеспечению доступа к этому документу в интернете. Простыми словами, разместите документ на своем сайте, причем размещать его следует на «видных» для обычного гражданина местах, чтобы даже не самый опытный пользователь смог с ним ознакомиться.

А чтобы снизить риски, связанные с непосредственно содержанием и структурой документа, то соблюдайте Рекомендации РКН от 31.07.2017.

Нужно ли согласовывать текст политики обработки персональных данных с юристом или можно использовать шаблон из интернета?

Можно ли обойтись стандартным шаблоном или стоит обязательно привлекать специалиста для проверки текста? Есть ли риски в самостоятельном составлении этих документов для малого бизнеса?

Отвечает Пастухов Михаил

Ситуация окажется стандартная практически для всех юридически значимых действий. Да, вы можете найти образец и адаптировать его под персональные цели и разместить на сайте. Вместе с тем рассмотрим риски такого подхода:

• нет гарантий, что найденный вами шаблон корректен и не противоречит законодательству;
• существует вероятность, что найденный шаблон разрабатывался под специфические потребности, которых у вас нет.

Ответственность за подобного рода правонарушения предусмотрена ст. 13.11 КоАП РФ, поэтому учтите размер потенциальных штрафов, если полагаете, что сможете составить документ без привлечения специалиста.