УТВЕРЖДЕНО
Приказомpolitika_konfiden1 Генерального директораpolitika_konfiden2 Укажите наименование администратораpolitika_konfiden3
от Укажите дату приказаpolitika_konfiden4 № Укажите номер документаpolitika_konfiden5
Введите текст своего условия
Настоящая политика конфиденциальности опубликована в редакции от укажите дату редакцииpolitika_konfiden5_1 и действует до момента принятия новой редакции политики конфиденциальностиpolitika_konfiden5_2.
Введите текст своего условия
1. Общие положения
1.1. Настоящая Политика конфиденциальности (далее – «Политика») принята Администратором и действует в отношении всей информации, которую Администратор может получить о Пользователе сайта укажите доменное имяpolitika_konfiden6 (далее – «Сайт» или «Сервис») с любого устройства и при коммуникации с Администратором в любой форме.
1.1. Используя Cайт (просмотр, чтение текста, отправка или загрузка информации) и предоставляя свои персональные данные, Пользователь Сайта дает согласие на обработку персональных данных в соответствии с данной Политикой, если дополнительные требования к согласию не установлены настоящей Политикой.
1. Общие положения
1.1. Настоящая Политика конфиденциальности (далее – «Политика») принята Администратором и действует в отношении всей информации, которую Администратор может получить о Пользователе мобильного приложения Укажите Название приложенияpolitika_konfiden7 (далее – «Мобильное приложение» или «Сервис») с устройства на платформеpolitika_konfiden8 Укажите вид платформыpolitika_konfiden9 и при коммуникации с Администратором в любой форме.
1.1. Используя Мобильное приложение (просмотр, чтение текста, отправка или загрузка информации) и предоставляя свои персональные данные, Пользователь дает согласие на обработку персональных данных в соответствии с данной Политикой, если дополнительные требования к согласию не установлены настоящей Политикой.
1. Общие положения
1.1. Настоящая Политика конфиденциальности (далее – «Политика») принята Администратором и действует в отношении всей информации, которую Администратор может получить о Пользователе сервиса укажите полное наименование и адрес сервисаpolitika_konfiden7 (далее – «Сервис») с любого устройства и при коммуникации с Администратором в любой форме.
1.1. Используя Сервис (просмотр, чтение текста, отправка или загрузка информации) и предоставляя свои персональные данные, Пользователь дает согласие на обработку персональных данных в соответствии с данной Политикой, если дополнительные требования к согласию не установлены настоящей Политикой.
1. Общие положения
1.1.Введите текст своего условия
1.1. Для целей настоящей Политики под «Администратором» понимается физическое лицо – Укажите полное ФИОname4.
1. Персональные данные
1.1. Для целей настоящей Политики под «Администратором» понимается индивидуальный предприниматель укажите ФИОname6, ОГРНИП укажите ОГРНИПogrnip2, ИНН укажите ИННinn_ip2
1. Персональные данные
1.1. Для целей настоящей Политики под «Администратором» понимается юридическое лицо укажите наименованиеname5, адрес места нахождения: укажите адресur_adress2, ОГРН укажите ОГРНogrn2, ИНН укажите ИННinn2.
1. Персональные данные
1. Персональные данные
1.1.Введите текст своего условия
1.1. Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных) - Пользователю.
1.1.
Введите текст своего условия
1.1. Обработка персональных данных – любое действие (операция) или совокупность действий (операций) с персональными данными, совершаемое с использованием средств автоматизации или без их использования, в том числе сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
1.1.
Введите текст своего условия
1.1. Администратор производит обработку следующих персональных данных: фамилии, имени и отчества (при наличии) пользователя Сервиса.
1.1. Администратор производит обработку следующих персональных данных: фамилии, имени и отчества (при наличии) пользователя Сервиса, дату рождения.
1.1. Администратор производит обработку следующих персональных данных: фамилии, имени и отчества (при наличии) пользователя Сервиса, дату и место рождения.
1.1. Администратор производит обработку следующих персональных данных: фамилии, имени и отчества (при наличии) пользователя Сервиса, дату и место рождения, реквизиты документа, удостоверяющего личность, адрес регистрации, адрес электронной почты, адрес доставки, статистические и иные данные, необходимые для цели пользования Сервисом.
1.1. Администратор производит обработку следующих персональных данных: перечислите данныеprivacypolicy100.
1.1.
Введите текст своего условия
1.1. Cookies – небольшие по размеру текстовые файлы, хранящиеся в браузере посетителей Сервиса. На совокупности различных веб-проектов Администратора (при просмотре Сервиса происходит автоматический сбор (из Cookies) следующих обезличенных статистических данных о посетителе Сервиса, в том числе:
- тип выполненного на Сервисе действия (клик, наведение курсора и т.п.);
- дата и время выполнения действия;
- URL страницы;
- Referer;
- IP (без возможности работы с IP-адресами в статистике);
- User-Agent;
- ClientID (идентификатор браузера по файлу Cookie);
- экранное разрешение;
- класс HTML-элемента, на который происходит клик;
- данные о просматриваемых товарахpolitika_konfiden16.
1.1.
Введите текст своего условия
1.1. Администратором обрабатываются статистические и иные данные о посетителе Сервиса, в том числе с использованием систем укажите системуpolitika_konfiden17.
1.1.
Введите текст своего условия
1.1. Обработка так же может быть поручена третьим лицам для целей достижения обработки персональных данных.
1.1.
Введите текст своего условия
1.1. Перечень третьих лиц, уполномоченных Администратором на обработку персональных данных, определяется Администратором самостоятельно. Пользователь дает полное и безоговорочное согласие на передачу Администратором персональных данных третьим лицам, выбранным Администратором.
1.1. Перечень третьих лиц, уполномоченных Администратором на обработку персональных данных, определяется Администратором самостоятельно и публикуется на официальном сайте Администратора в разделе Конфиденциальностьpolitika_konfiden19. Пользователь дает полное и безоговорочное согласие на передачу Администратором персональных данных третьим лицам, выбранным Администратором.
1.1. Администратором определены следующие третьи лица, уполномоченные на обработку персональных данных Пользователя: перечислите третьих лиц наименование и местонахождениеpolitika_konfiden19. Пользователь дает полное и безоговорочное согласие на передачу Администратором персональных данных указанным третьим лицам.
Введите текст своего условия. Нумерация уже соблюдена.
1.1. Посетитель Сервиса может самостоятельно управлять файлами Cookies, путем изменения настроек браузера.
1.1.
Введите текст своего условия
1.1. Изменения пользовательских настроек, в результате которых файлы Cookies будут заблокированы или удалены, могут привести к недоступности отдельных компонентов Сервиса.
1.1.
Введите текст своего условия
1.1. Для получения доступа к материалам Сервиса Пользователю необходимо зарегистрироваться путем заполнения регистрационной формы, содержащей следующие идентифицирующие Пользователя персональные данные: укажите данные для регистрацииpolitika_konfiden20.
1.1. Пройдя процедуру регистрации Пользователь считается принявшим условия Политики в полном объеме, без каких-либо исключений, оговорок, возражений.
1.1. При регистрации в Сервисе Пользователь обязан предоставить Администратору необходимую, достоверную и актуальную информацию для формирования профиля, включая уникальные для каждого Пользователя логин (адрес электронной почты) и пароль доступа к Сервису.
1.1.
Введите текст своего условия
1.1. Пользователь считается прошедшим регистрацию после предоставления необходимой, достоверной и актуальной информацию для формирования профиля.
1.1. По завершении процесса регистрации Пользователь становится обладателем учетных данных Пользователя. Пользователь несет ответственность за безопасность учетных данных, а также за все, что будет сделано на Сервисе под учетными данными Пользователя. Пользователь обязан немедленно уведомить Администратора о любом случае несанкционированного доступа к Сервису без согласия и ведома Пользователя и (или) о любом нарушении безопасности учетной информации Пользователя.
1.1. После предоставления необходимой, достоверной и актуальной информацию для формирования профиля Пользователю необходимо подтвердить регистрацию путем выражения своего желания через нажатие на ссылку подтверждения регистрации в сообщении, отправленном на указанную им электронную почту.
1.1. По завершении процесса регистрации Пользователь становится обладателем учетных данных Пользователя. Пользователь несет ответственность за безопасность учетных данных, а также за все, что будет сделано на Сервисе под учетными данными Пользователя. Пользователь обязан немедленно уведомить Администратора о любом случае несанкционированного доступа к Сервису без согласия и ведома Пользователя и/или о любом нарушении безопасности учетной информации Пользователя.
1.1. Любые действия, совершенные с использованием логина и пароля Пользователя, считаются совершенными соответствующим Пользователем. В случае несанкционированного доступа к логину и паролю и/или профилю Пользователя или распространения логина и пароля Пользователь обязан незамедлительно сообщить об этом Администратору в установленном порядке.
1.1. После предоставления необходимой, достоверной и актуальной информацию для формирования профиля Пользователю необходимо подтвердить регистрацию путем выражения своего желания посредством ввода sms-кода, направленного Пользователю на номер указанного им мобильного телефона.
1.1. По завершении процесса регистрации Пользователь становится обладателем учетных данных Пользователя. Пользователь несет ответственность за безопасность учетных данных, а также за все, что будет сделано на Сервисе под учетными данными Пользователя. Пользователь обязан немедленно уведомить Администратора о любом случае несанкционированного доступа к Сервису без согласия и ведома Пользователя и (или) о любом нарушении безопасности учетной информации Пользователя.
1.1. Любые действия, совершенные с использованием логина и пароля Пользователя, считаются совершенными соответствующим Пользователем. В случае несанкционированного доступа к логину и паролю и (или) профилю Пользователя или распространения логина и пароля Пользователь обязан незамедлительно сообщить об этом Администратору в установленном порядке.
1.1.
Введите текст своего условия
1.1. Настоящим Пользователь соглашается с направлением ему рекламных материалов Администратора и третьих лиц, с которым у Администратора заключен договор, по которому Администратор является рекламораспространителем и (или) иные договоры.
1.1.
Введите текст своего условия
1.1. Направление рекламных материалов осуществляется Администратором посредством направления смс-сообщений (SMS) Пользователю.
1.1. Направление рекламных материалов осуществляется Администратором посредством направления смс-сообщений (SMS) и push-уведомлений Пользователю.
1.1. Направление рекламных материалов осуществляется Администратором посредством направления push-уведомлений Пользователю.
1.1. Направление рекламных материалов осуществляется Администратором посредством направления e-mail рассылок на адрес электронной почты, указанной Пользователем.
1.1. Информирование Пользователя о рекламных кампаниях осуществляется путем телефонных звонков.
1.1. Направление рекламных материалов осуществляется Администратором посредством направления сообщений в любых мессенджерах.
1.1. Информирование Пользователя о рекламных кампаниях осуществляется любым законным способом, путем предоставления информации по любому из контактных данных, предоставленных Пользователем Администратору.
1.1.
Введите текст своего условия
1.1. Администратор обрабатывает персональные данные Пользователя для цели информационно-справочного обслуживания, в том числе предоставления информации о товарахpolitika_konfiden22 Администратора.
1.1. Администратор обрабатывает персональные данные Пользователя для целей информационно-справочного обслуживания, в том числе предоставления информации о товарахpolitika_konfiden23 Администратора, а также идентификации Пользователя Сервиса.
1.1. Администратор обрабатывает персональные данные Пользователя для целей:
– информационно-справочного обслуживания, в том числе предоставления информации о товарахpolitika_konfiden2224 Администратора; а также идентификации Пользователя Сервиса;
– идентификации Пользователя Сервиса;
– заключения с Пользователем договоров купли-продажиpolitika_konfiden24.
1.1. Администратор обрабатывает персональные данные Пользователя для целей реализации полномочий и обязанностей, возложенных на Администрацию законодательством Российской Федерации.
Введите текст своего условия. Нумерация уже соблюдена.
1.1. Для обеспечения защиты персональных данных Пользователя при их обработке Администратором приняты следующие меры от несанкционированного доступа, а также иных неправомерных действий в отношении персональных данных Пользователя:
1.1.1. Правовые меры, включающие в себя, в том числе создание документов, направленных на защиту персональных данных: положение о защите персональных данных,politika_konfiden2224_1 издание приказа о назначении лиц, ответственных за защиту персональных данных,politika_konfiden2224_2 заключение соглашений о конфиденциальности с лицами, имеющими доступ к персональным даннымpolitika_konfiden2224.
1.1.2. Организационные меры, в том числе назначение лиц, ответственных за защиту персональных данных,politika_konfiden2225_1 хранение персональных данных, содержащихся на материальных носителях, в сейфеpolitika_konfiden2225.
1.1.3. Технические меры: использование средств защиты информации, прошедших процедуру оценки соответствия требованиям законодательства РФ, взаимодействовать с госсистемой обнаружения, предупреждения и ликвидации последствий кибератакpolitika_konfiden2226.
1.1. Для обеспечения защиты персональных данных Пользователя при их обработке Администратором приняты следующие меры от несанкционированного доступа, а также иных неправомерных действий в отношении персональных данных Пользователя: укажите правовые, организационные и технические мерыpolitika_konfiden2223.
1.1.
Введите текст своего условия
1. Права пользователя
1.1. Пользователь вправе реализовать свои права, предусмотренные законодательством Российской Федерации о персональных данных, в том числе, но не ограничиваясь:
– уточнять, обновлять свои персональные данные, требовать их блокирования или уничтожения;
– запрашивать у Администратора перечень обрабатываемых персональных данных, правовых оснований обработки, источники их получения, информацию о сроках обработки и хранения, а также иные сведения, связанные с обработкой своих персональных данных.
1. Права пользователя
1.1. Пользователь вправе реализовать свои права, предусмотренные законодательством Российской Федерации о персональных данных, в том числе, но не ограничиваясь: Укажите права пользователяpolitika_konfiden225.
1. Права пользователя
1.1.Введите текст своего условия
1. Права и обязанности администратора
1.1. Администратор обязуется использовать полученную персональную информацию Пользователя только в целях, названных в настоящей Политике.
1.1. Администратор обязан принимать меры предосторожности для защиты конфиденциальности персональных данных Пользователя согласно порядку, обычно используемого для защиты такого рода информации в деловом обороте.
1.1. Администратор обязан хранить персональную информацию Пользователя в течение периода времени, необходимого для целей, указанных в настоящей Политике конфиденциальности, если только более длительный срок хранения не является необходимым в соответствии с действующим законодательством.
1.1. Администратор вправе не удалять данные Пользователя, необходимые для хранения в соответствии с действующим законодательством Российской Федерации.
1. Права и обязанности администратора
1.1.Введите текст своего условия
1. Заключительные положения
1.1. Согласие действует в течение неограниченного времени. Пользователь вправе отозвать настоящее согласие на обработку своих персональных данных, письменно уведомив об этом Администратора по электронной почтеpolitika_konfiden2400.
1. Заключительные положения
1.1. Согласие действует в течение Укажите количество летpolitika_konfiden25 летpolitika_konfiden26. Пользователь вправе отозвать настоящее согласие на обработку своих персональных данных, письменно уведомив об этом Администратора по электронной почтеpolitika_konfiden2400.
1. Заключительные положения
1.1. Согласие действует до момента достижения Администратором цели обработки персональных данных. Пользователь вправе отозвать настоящее согласие на обработку своих персональных данных, письменно уведомив об этом Администратора по электронной почтеpolitika_konfiden2400.
1. Заключительные положения
1.1.Введите текст своего условия
Конструктор политики конфиденциальности
Политика конфиденциальности
1. Цели обработки персональных данных
1. Порядок и условия обработки персональных данных
1.1. Обработка персональных данных Пользователя осуществляется без ограничения срока, любым законным способом, в том числе в информационных системах персональных данных с использованием средств автоматизации или без использования таких средств.
1.1. Обработка персональных данных Пользователя осуществляется на срок действия договорных и иных правоотношений Пользователя и Администратора, любым законным способом, в том числе в информационных системах персональных данных с использованием средств автоматизации или без использования таких средств.
1.1. Все персональные данные Администратор получает непосредственно от Пользователя или от его представителя, либо от лица, поручившего Администратору обработку персональных данных Пользователя, за исключением случаев, предусмотренных законодательством Российской Федерации.
1.1. Администратор вправе передавать персональные данные органам дознания и следствия, иным уполномоченным органам по основаниям, предусмотренным действующим законодательством Российской Федерации.
1.1. Правовым основанием обработки персональных данных Администратором являются: Конституция РФ, Гражданский кодекс РФ, Трудовой кодекс РФ, согласие Пользователя на обработку его персональных данных, договоры, заключаемые между Администратором и Пользователемpolitika_konfiden2222.
Содержание статьи
1. Политика конфиденциальности: что это за документ
Политика конфиденциальности — это документ, в котором оператор персональных данных объясняет, какие сведения о человеке он собирает, зачем это делает, как хранит данные, кому может их передавать и как пользователь может реализовать свои права. В российском законодательстве более точное название такого документа — политика в отношении обработки персональных данных. Именно о ней говорит статья 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных».
В быту и в интернет-бизнесе чаще используют выражение «политика конфиденциальности». Это не ошибка, если по содержанию документ действительно раскрывает правила обработки персональных данных. Для пользователя название менее важно, чем смысл: он должен заранее понимать, что произойдет с его именем, телефоном, e-mail, адресом доставки, аккаунтом, IP-адресом, историей заказов или сообщением, которое он отправляет через форму на сайте.
Статья 3 Закона № 152-ФЗ определяет персональные данные как любую информацию, относящуюся к прямо или косвенно определенному или определяемому физическому лицу. Поэтому персональные данные — это не только паспортные сведения. В зависимости от ситуации к ним относятся ФИО, телефон, адрес электронной почты, адрес проживания, дата рождения, данные о заказе, фотография, сведения о здоровье, номер карты лояльности, переписка с поддержкой, технические идентификаторы и иные данные, позволяющие выделить конкретного человека.
политика конфиденциальности не является декоративным файлом для сайта. Это документ, по которому пользователь, Роскомнадзор и суд оценивают, насколько открыто и законно оператор обращается с персональными данными.
Сама по себе политика не всегда заменяет согласие на обработку персональных данных. Она описывает общие правила. Согласие, если оно требуется, подтверждает волеизъявление конкретного человека. Но без политики оператору сложно доказать, что он заранее сообщил пользователю, кто, зачем и на каких условиях будет обрабатывать данные. Поэтому для сайта, онлайн-сервиса, интернет-магазина, мобильного приложения, образовательной платформы, медицинского центра, службы доставки, агентства недвижимости и даже небольшого лендинга политика обычно нужна.
2. Когда политика обязательна, а когда без неё почти нельзя работать
Обязанность принимать документы, определяющие политику оператора в отношении обработки персональных данных, закреплена в статье 18.1 Закона № 152-ФЗ. Если оператор собирает персональные данные с использованием информационно-телекоммуникационных сетей, в том числе через сайт, он должен обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных. На практике это означает: ссылка на политику должна быть доступна пользователю, а не спрятана в админке или отправляться только по запросу.
Политика особенно важна, если на сайте или в приложении есть:
- форма обратной связи;
- регистрация личного кабинета;
- оформление заказа или бронирования;
- подписка на рассылку;
- онлайн-запись на консультацию;
- чат с менеджером;
- заявка на обратный звонок;
- загрузка документов пользователем.
Даже если бизнес считает себя маленьким, закон не делает исключение только из-за размера компании. Если предприниматель собирает телефоны клиентов через сайт, образовательный проект принимает заявки на курс, мастер записывает клиентов через форму, а интернет-магазин получает адрес доставки, персональные данные уже обрабатываются. Значит, появляются обязанности оператора.
Суды по делам о нарушении законодательства о персональных данных обычно оценивают не вывеску на сайте, а фактические обстоятельства: собирались ли данные, было ли правовое основание, был ли пользователь информирован, соответствовала ли обработка заявленным целям. При рассмотрении дел по статье 13.11 КоАП РФ формальный довод «мы не крупная компания» сам по себе не освобождает от ответственности. Если данные реально собирались и использовались, оператор должен показать, что он соблюдал закон.
Отдельно нужно помнить о статье 22 Закона № 152-ФЗ. В ряде случаев оператор обязан уведомить Роскомнадзор о намерении обрабатывать персональные данные до начала обработки. Исключения из этой обязанности есть, но они не универсальны. Поэтому политика конфиденциальности — важный документ, но не единственная обязанность оператора. Наличие политики не отменяет необходимости проверить уведомление Роскомнадзора, согласия, договоры с подрядчиками и меры защиты.
3. Чем политика отличается от согласия и пользовательского соглашения
Частая практическая ошибка — смешать в одном тексте политику конфиденциальности, согласие на обработку персональных данных, согласие на рекламу и пользовательское соглашение. Иногда такие документы можно объединить в один пакет, но юридически у них разные задачи.
Политика конфиденциальности описывает общие правила обработки данных. Она отвечает на вопросы: кто оператор, какие данные собираются, зачем они нужны, как используются, кому передаются, как защищаются и как человек может обратиться к оператору.
Согласие на обработку персональных данных регулируется статьей 9 Закона № 152-ФЗ. Оно должно быть конкретным, предметным, информированным, сознательным и однозначным. Оператор должен доказать получение согласия, если именно на него он ссылается как на правовое основание обработки.
Пользовательское соглашение регулирует правила использования сайта или сервиса: регистрацию, оплату, возвраты, размещение контента, ограничения, блокировки, порядок претензий, ответственность сторон. Оно не заменяет политику, потому что предмет у него другой.
Согласие на рекламную рассылку связано не только с Законом № 152-ФЗ, но и со статьей 18 Федерального закона от 13.03.2006 № 38-ФЗ «О рекламе». Реклама по сетям электросвязи, в том числе по телефону, SMS, e-mail и через мессенджеры, допускается при предварительном согласии адресата. Если рекламодатель или распространитель рекламы не может доказать согласие, реклама считается распространенной без предварительного согласия.
На практике лучше использовать такую схему:
- отдельная политика конфиденциальности на сайте;
- отдельный текст согласия под формой сбора данных;
- отдельное согласие на рекламную рассылку, если она есть;
- пользовательское соглашение для правил сервиса;
- договор оферты, если через сайт продаются товары, услуги или цифровой доступ.
один чекбокс «согласен со всем» часто выглядит удобно, но в споре может оказаться слабым доказательством, если из него не видно, на что именно согласился пользователь.
Для юридической устойчивости пользователь должен видеть политику до отправки данных. Чекбокс не должен быть заранее проставлен, особенно если речь идет о согласии. Текст около кнопки должен быть понятным: пользователь подтверждает ознакомление с политикой и, при необходимости, дает согласие на обработку персональных данных для конкретной цели.
4. Кто такой оператор и что о нём писать в политике
Оператор персональных данных — это лицо, которое организует или осуществляет обработку персональных данных, а также определяет цели обработки, состав данных и действия с ними. Такое определение содержится в статье 3 Закона № 152-ФЗ. Оператором может быть организация, индивидуальный предприниматель, государственный орган, муниципальный орган или в некоторых случаях физическое лицо.
В политике нужно указать оператора так, чтобы пользователь мог его идентифицировать. Для юридического лица обычно указывают наименование, ОГРН, ИНН, адрес, e-mail для обращений по вопросам персональных данных. Для индивидуального предпринимателя — ФИО, ОГРНИП, ИНН, адрес для корреспонденции или иной допустимый контактный способ. Если политика делается для онлайн-проекта, важно не писать абстрактно «администрация сайта», когда за сайтом стоит конкретное ООО или ИП.
Если сайт принадлежит одной компании, а заявки фактически обрабатывает другая компания группы, это нужно разобрать отдельно. Оператором может быть одно лицо, совместными операторами — несколько лиц, а подрядчик может обрабатывать данные по поручению оператора. В статье 6 Закона № 152-ФЗ предусмотрена возможность поручить обработку персональных данных другому лицу с согласия субъекта, если иное не предусмотрено федеральным законом, на основании договора или иного акта. В таком поручении должны быть определены перечень действий с данными, цели обработки, обязанность соблюдать конфиденциальность и обеспечивать безопасность данных.
Если интернет-магазин передает данные службе доставки, платежному агрегатору, CRM-сервису, сервису рассылки или колл-центру, в политике нужно описать сам принцип такой передачи. Не обязательно раскрывать внутреннюю коммерческую схему во всех деталях, но пользователь должен понимать, что его данные могут передаваться третьим лицам для исполнения заказа, оплаты, доставки, поддержки, хранения документов, соблюдения закона или направления уведомлений.
Плохая формулировка: «Мы можем передавать данные любым партнерам по своему усмотрению». Более корректная формулировка: «Оператор вправе передавать персональные данные третьим лицам, если это необходимо для достижения заявленных целей обработки, включая оплату, доставку, техническую поддержку, ведение учета, исполнение договора и выполнение требований законодательства РФ».
5. Какие персональные данные перечислять в документе
Состав персональных данных должен соответствовать целям обработки. Этот принцип следует из статьи 5 Закона № 152-ФЗ: обработка должна ограничиваться достижением конкретных, заранее определенных и законных целей, а содержание и объем данных не должны быть избыточными по отношению к заявленным целям.
Если пользователь задает вопрос через форму обратной связи, обычно достаточно имени, телефона или e-mail и текста сообщения. Если он оформляет заказ, могут понадобиться адрес доставки, сведения о заказе, способ оплаты. Если речь идет о медицинской услуге, образовательной программе, займе, трудовых отношениях или проверке личности, состав данных может быть шире, но он должен быть обоснован конкретной целью и законом.
В политике можно перечислить категории данных, которые реально используются:
- данные, которые пользователь вводит сам: имя, телефон, e-mail, адрес, комментарий;
- данные о заказах, платежах, обращениях и истории взаимодействия;
- технические данные: IP-адрес, cookie, сведения о браузере, устройстве, времени посещения;
- данные из документов, если они действительно нужны для договора или закона;
- данные представителей контрагентов, если работа идет в B2B-сегменте.
Особое внимание нужно уделить специальным категориям персональных данных. Статья 10 Закона № 152-ФЗ устанавливает особый режим для сведений о расовой и национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни. Статья 11 регулирует биометрические персональные данные, то есть данные, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность. Для таких данных обычного короткого шаблона обычно недостаточно.
Если сайт использует файлы cookie, аналитические системы, пиксели рекламы или похожие технологии, это лучше прямо указать. Российский закон не использует термин cookie как отдельный самостоятельный режим на уровне, привычном для европейского GDPR, но технические идентификаторы могут относиться к персональным данным, если позволяют идентифицировать пользователя или связать действия с конкретным лицом. Поэтому в политике нужно объяснить, какие технические данные собираются и для чего: аналитика, безопасность, сохранение настроек, улучшение сайта, показ релевантной информации.
Нельзя включать в политику заведомо лишние категории «про запас». Если оператор пишет, что собирает паспортные данные, биометрию и сведения о здоровье, но на самом деле сайт продает сувениры и таких данных не собирает, документ выглядит странно. Кроме того, лишнее описание может вызвать вопросы у пользователя и проверяющего органа.
6. Как правильно сформулировать цели обработки
Цели обработки — центральная часть политики. По статье 5 Закона № 152-ФЗ цели должны быть конкретными, заранее определенными и законными. Нельзя ограничиться фразой «для улучшения качества услуг и иных целей оператора». Такая формулировка слишком широкая и не показывает пользователю, что именно происходит с его данными.
Цели нужно связывать с реальными действиями. Например, если человек оставляет телефон в форме обратного звонка, цель — обработка обращения и связь с пользователем. Если он оформляет заказ, цель — заключение и исполнение договора, доставка, оплата и сопровождение заказа. Если пользователь регистрируется в личном кабинете, цель — идентификация пользователя, предоставление доступа к сервису и сохранение истории взаимодействия. Если человек подписывается на новости, цель — направление информационных сообщений, а для рекламы нужно отдельное согласие.
Корректные цели могут выглядеть так:
- обработка заявок и обращений пользователей;
- заключение, исполнение и прекращение договоров;
- предоставление доступа к сайту, сервису или личному кабинету;
- оплата, доставка и возврат товаров;
- техническая поддержка и обратная связь;
- выполнение требований налогового, бухгалтерского и иного законодательства;
- направление рекламных сообщений при наличии отдельного согласия;
- обеспечение безопасности сайта и предотвращение злоупотреблений.
Важно не путать цель и действие. «Хранение», «передача», «систематизация» и «уточнение» — это действия с данными. А цель отвечает на вопрос «зачем». Например, хранение адреса доставки — это действие, а исполнение договора купли-продажи и доставка товара — цель.
В судебной практике по административным делам о персональных данных встречается подход, при котором проверяется соответствие фактической обработки заявленным целям. Если политика говорит только об обработке заявок, а данные потом используются для рекламных звонков без отдельного согласия, у оператора возникает риск по Закону № 152-ФЗ и Закону № 38-ФЗ «О рекламе». Поэтому лучше не писать лишнего, но и не умалчивать о реальных маркетинговых процессах.
7. Правовые основания: когда нужно согласие, а когда достаточно договора или закона
Многие считают, что на любую обработку персональных данных всегда нужно согласие. Это не совсем так. Статья 6 Закона № 152-ФЗ предусматривает разные условия обработки. Среди них — согласие субъекта, исполнение договора, осуществление прав и законных интересов оператора при соблюдении прав субъекта, выполнение обязанностей, установленных законом, участие в судопроизводстве и другие основания.
Например, интернет-магазин обрабатывает имя, телефон, адрес доставки и сведения о заказе для заключения и исполнения договора с покупателем. Работодатель обрабатывает данные работника в силу Трудового кодекса РФ и связанных обязанностей. Бухгалтерия хранит первичные документы, потому что этого требует законодательство о бухгалтерском учете и налогах. Но рекламная рассылка по e-mail или SMS требует предварительного согласия по статье 18 Закона «О рекламе».
В политике можно указать, что обработка осуществляется на основании:
- согласия субъекта персональных данных;
- договора, стороной которого является субъект персональных данных;
- требований законодательства РФ;
- законных интересов оператора, если при этом не нарушаются права субъекта;
- иных оснований, предусмотренных статьей 6 Закона № 152-ФЗ.
Согласие по статье 9 Закона № 152-ФЗ должно быть конкретным, информированным и сознательным. Если согласие собирается онлайн, оператору нужно подумать о доказательствах: текст согласия на дату принятия, IP-адрес, дата и время, идентификатор пользователя, версия формы, технический журнал. В споре недостаточно сказать: «у нас на сайте была политика». Нужно доказать, что пользователь совершил действие, из которого следует согласие, если именно согласие является правовым основанием.
Для персональных данных, разрешенных субъектом для распространения, действует статья 10.1 Закона № 152-ФЗ. Это отдельный режим. Нельзя считать, что если человек где-то оставил данные или отправил их компании, то их можно свободно публиковать на сайте, передавать неопределенному кругу лиц или размещать в открытом каталоге. Для распространения требуется отдельное согласие с учетом требований закона.
согласие не должно быть универсальной «заглушкой». Если обработка идет для договора, нужно описать договор; если для рекламы — получить отдельное рекламное согласие; если для закона — указать соответствующую обязанность оператора.
8. Права пользователя и обязанности оператора
Политика должна объяснять пользователю его права. Статья 14 Закона № 152-ФЗ закрепляет право субъекта персональных данных получать информацию об обработке его данных. Пользователь вправе знать, обрабатываются ли его данные, на каком основании, в каких целях, какие данные используются, кому они передавались и как долго будут храниться. Он может требовать уточнения, блокирования или уничтожения данных, если они неполные, устаревшие, неточные, незаконно полученные или не являются необходимыми для заявленной цели обработки.
Статья 21 Закона № 152-ФЗ регулирует обязанности оператора по прекращению обработки, уточнению, блокированию и уничтожению персональных данных в предусмотренных законом случаях. В политике не обязательно подробно переписывать все сроки, но нужно указать понятный порядок обращения: куда писать, какие сведения указать, как оператор отвечает, в каких случаях может запросить подтверждение личности заявителя.
В политике стоит прописать, что пользователь может:
- получить информацию об обработке своих персональных данных;
- потребовать уточнения или удаления данных;
- отозвать согласие, если обработка основана на согласии;
- отказаться от рекламной рассылки;
- обжаловать действия оператора в Роскомнадзор или суд.
Отзыв согласия не всегда означает немедленное удаление всех данных. Если данные нужны для исполнения договора, бухгалтерского учета, защиты прав в споре или выполнения требований закона, оператор может продолжить обработку в необходимом объеме на другом правовом основании. Но это нужно объяснить аккуратно. Нельзя обещать «удалим всё сразу в любом случае», если на практике часть документов должна храниться по закону.
С точки зрения судебной практики важен баланс интересов. Верховный Суд РФ в Постановлении Пленума от 23.06.2015 № 25 разъяснял подходы к защите нематериальных благ, в том числе частной жизни, а также к способам защиты гражданских прав. Для политики это означает: сведения о человеке нельзя использовать произвольно, даже если они когда-то были получены оператором законно. Использование должно оставаться в рамках цели и правового основания.
9. Передача данных третьим лицам, поручение обработки и трансграничная передача
Современный бизнес редко обрабатывает данные полностью самостоятельно. Сайт может использовать хостинг, CRM, сервис рассылки, платежный агрегатор, телефонию, чат-бот, службу доставки, облачное хранилище, бухгалтерский сервис, техническую поддержку. Поэтому в политике нужно описать передачу данных третьим лицам и поручение обработки.
Если оператор поручает обработку персональных данных другому лицу, статья 6 Закона № 152-ФЗ требует, чтобы такое поручение было оформлено договором или иным актом. В поручении должны быть указаны перечень действий с персональными данными, цели обработки, обязанность лица соблюдать конфиденциальность, обеспечивать безопасность данных и выполнять требования к защите.
Если данные передаются третьему лицу как самостоятельному оператору, например службе доставки или платежной организации, это также должно соответствовать цели обработки и правовому основанию. Пользователю не обязательно видеть каждую техническую инструкцию, но он должен понимать, что передача возможна для оплаты, доставки, связи, учета, выполнения закона или защиты прав оператора.
Особый вопрос — трансграничная передача персональных данных. Она регулируется статьей 12 Закона № 152-ФЗ. После изменений законодательства для трансграничной передачи действует специальный уведомительный порядок перед Роскомнадзором. Оператору нужно отдельно оценить, передаются ли данные за пределы России: например, в иностранную CRM, сервис e-mail-рассылки, зарубежную аналитику, облачное хранилище или службу поддержки.
Также важна локализация персональных данных граждан РФ. Часть 5 статьи 18 Закона № 152-ФЗ устанавливает, что при сборе персональных данных, в том числе через интернет, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение и извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ. Это не означает полный запрет на любые иностранные сервисы, но требует правильно организовать первичное хранение и оценить трансграничную передачу.
Ошибкой будет написать в политике: «Данные не передаются третьим лицам», если на сайте подключены платежи, доставка, хостинг, метрика, CRM и рассылка. Такая фраза может не соответствовать реальности. Лучше честно и спокойно указать категории получателей и цели передачи.
10. Политика между физическими лицами и между юридическими лицами
Политику конфиденциальности чаще обсуждают применительно к сайтам компаний, но вопросы возникают и в других ситуациях. Например, нужна ли политика между физическими лицами? Закон № 152-ФЗ содержит исключение для обработки персональных данных физическими лицами исключительно для личных и семейных нужд, если при этом не нарушаются права субъектов персональных данных. Например, когда один человек хранит телефон знакомого в записной книжке, это не похоже на деятельность оператора в обычном бизнес-смысле.
Но если физическое лицо фактически ведет предпринимательскую или профессиональную деятельность, собирает заявки, продвигает услуги онлайн, хранит клиентскую базу, принимает оплаты, ведет переписку с клиентами и использует данные системно, ситуация меняется. Репетитор, частный мастер, консультант, арендодатель, эксперт или блогер с платными услугами могут оказаться в положении оператора персональных данных, особенно если работают не только для личных нужд.
В отношениях между юридическими лицами персональные данные тоже есть. Данные самой организации — наименование, ОГРН, ИНН, юридический адрес — не являются персональными данными. Но ФИО директора, представителя по доверенности, бухгалтера, менеджера, контактный телефон, e-mail, подпись, должность и деловая переписка конкретного человека относятся к персональным данным. Поэтому в B2B-документообороте также нужно учитывать требования Закона № 152-ФЗ.
Для договоров между юридическими лицами полезно предусмотреть:
- зачем стороны передают данные представителей и работников;
- кто получает доступ к договорам, счетам, актам и переписке;
- используются ли ЭДО, CRM, облачные хранилища;
- кто отвечает за актуальность данных своих представителей;
- как стороны действуют при запросе или отзыве согласия.
Если нужно составить политику для B2B-компании, не стоит брать образец интернет-магазина и оставлять там фразы про покупателей-физических лиц, корзину и доставку, если этого нет. Лучше создать документ под реальный процесс: обработка данных представителей контрагентов, пользователей сайта, соискателей, подписчиков рассылки и лиц, которые направляют обращения.
11. Ответственность и судебная практика: что проверяют в спорах
Основная административная ответственность за нарушения в области персональных данных установлена статьей 13.11 КоАП РФ. В ней предусмотрены составы, связанные с обработкой персональных данных в случаях, не предусмотренных законодательством, обработкой, несовместимой с целями сбора, отсутствием политики, нарушением требований к согласию, незаконным распространением, невыполнением обязанностей по уточнению, блокированию или уничтожению данных и другими нарушениями.
Кроме административной ответственности возможны гражданско-правовые требования. Статья 150 ГК РФ относит неприкосновенность частной жизни, личную и семейную тайну к нематериальным благам. Статья 151 ГК РФ предусматривает компенсацию морального вреда. Статья 152.1 ГК РФ регулирует охрану изображения гражданина. Статья 152.2 ГК РФ запрещает без согласия гражданина собирать, хранить, распространять и использовать информацию о его частной жизни, если иное прямо не предусмотрено законом.
Судебная практика по теме персональных данных опирается на несколько устойчивых подходов. Во-первых, суды смотрят на фактическую обработку, а не только на документы. Если данные собирались через форму, попадали в CRM и использовались менеджерами, обработка была. Во-вторых, оператор должен доказать правовое основание. Если он ссылается на согласие, нужно подтвердить факт его получения и содержание. В-третьих, документ должен соответствовать реальности: политика, скопированная с чужого сайта, не помогает, если процессы у оператора другие.
Для гражданско-правовой части важны разъяснения Постановления Пленума Верховного Суда РФ от 23.06.2015 № 25 о применении судами некоторых положений раздела I части первой ГК РФ. В нём раскрываются подходы к защите нематериальных благ и выбору способов защиты гражданских прав. Также применимо Постановление Пленума Верховного Суда РФ от 20.12.1994 № 10 о компенсации морального вреда: при нарушении неимущественных прав гражданин может требовать компенсацию, а суд оценивает характер причиненных страданий и обстоятельства дела.
Если спор связан с публикацией сведений о частной жизни или изображением человека, суды учитывают статью 152.1 и 152.2 ГК РФ, а также разъяснения Верховного Суда РФ о балансе частной жизни и общественного интереса. Постановление Пленума Верховного Суда РФ от 15.06.2010 № 16 по практике применения законодательства о средствах массовой информации также используется судами при оценке распространения сведений, хотя для обычной политики конфиденциальности оно имеет вспомогательное значение.
На практике чаще всего проблемы возникают из-за таких ошибок:
- политика отсутствует или не размещена в свободном доступе;
- в политике не указан реальный оператор;
- цели обработки сформулированы слишком широко;
- согласие на обработку и согласие на рекламу смешаны;
- используются cookie, метрика, CRM и рассылка, но они не отражены в документе;
- данные передаются подрядчикам без договора или понятного правового основания;
- оператор не может подтвердить, что пользователь дал согласие;
- политика не обновлялась после изменения сайта или бизнес-процессов.
Риск заключается не только в штрафе. Возможны предписание Роскомнадзора, жалобы пользователей, судебные требования о прекращении обработки или удалении сведений, компенсация морального вреда, претензии контрагентов и репутационные потери. Для онлайн-проекта особенно чувствительны блокировки и ограничения доступа к ресурсу при грубых нарушениях законодательства о персональных данных.
12. Как использовать образец, шаблон и конструктор без юридических ошибок
Многие начинают с простого решения: скачать образец политики конфиденциальности, заменить название компании и разместить документ на сайте. Это лучше, чем полное отсутствие политики, но такой подход часто дает ложное чувство безопасности. Образец может быть устаревшим, написанным под другую страну, под другой бизнес или под старую редакцию закона. Поэтому образец нужно воспринимать как заготовку, а не как готовую юридическую гарантию.
Шаблон тоже полезен, если он построен по российскому праву и учитывает Закон № 152-ФЗ. Хороший шаблон помогает не забыть разделы об операторе, целях, составе данных, правах пользователя, передаче третьим лицам, хранении, защите и порядке изменения политики. Но шаблон нельзя оставлять без адаптации. Если в нем говорится о медицинских данных, биометрии, доставке товара, маркетплейсе или личном кабинете, а у вас обычный сайт-визитка с формой обратной связи, лишние блоки надо убрать или переписать.
Онлайн-конструктор может ускорить работу, особенно для небольшого бизнеса. Но конструктор не знает все нюансы вашей фактической деятельности, если вы сами их не указали. Хороший онлайн-конструктор задает вопросы о формах сайта, рассылках, cookie, CRM, платежах, доставке, подрядчиках и трансграничной передаче. Плохой конструктор просто выдает типовой текст, одинаковый для всех.
Перед тем как скачать шаблон или использовать конструктор, проверьте:
- кто будет указан оператором;
- какие формы на сайте реально собирают данные;
- какие цели обработки соответствуют бизнесу;
- есть ли рекламная рассылка и отдельное согласие на неё;
- используются ли подрядчики, CRM, хостинг, аналитика, доставка, платежи;
- нужно ли уведомление Роскомнадзора по статье 22 Закона № 152-ФЗ;
- есть ли риск трансграничной передачи по статье 12 Закона № 152-ФЗ.
Практический порядок подготовки политики такой. Сначала составьте карту обработки данных: форма обратной связи, заказ, регистрация, рассылка, чат, оплата, доставка, личный кабинет, аналитика. Затем определите категории персональных данных по каждой точке сбора. После этого сформулируйте цели и правовые основания. Потом проверьте подрядчиков и передачи. И только затем берите типовой каркас, образец или шаблон и адаптируйте его под фактическую работу.
Готовая политика должна быть размещена там, где пользователь легко её найдет: в подвале сайта, рядом с формами, на странице регистрации, в личном кабинете, в приложении, на странице оформления заказа. Если пользователь отправляет форму, рядом с кнопкой желательно указать, что он ознакомлен с политикой и дает согласие на обработку данных в конкретных целях. Для рекламы нужен отдельный чекбокс или иное отдельное подтверждение.
Итоговый документ нужно периодически обновлять. Политику стоит пересмотреть, если вы подключили новую CRM, сервис рассылки, платежный агрегатор, аналитику, чат-бота, мобильное приложение, личный кабинет, изменили оператора, начали работать с новыми категориями данных или передавать данные новым подрядчикам. В конце документа обычно указывают, что новая редакция вступает в силу с момента размещения на сайте, если иное не предусмотрено самой политикой.
Таким образом, чтобы составить рабочую политику конфиденциальности, недостаточно просто скачать файл из интернета. Нужно понять свои процессы, выбрать законные основания, описать цели, не собирать лишнего и обеспечить пользователю понятные права. Можно использовать образец, шаблон, типовой каркас или онлайн-конструктор, но финальный текст должен соответствовать конкретному сайту, сервису или компании. Тогда политика будет не формальностью, а нормальным документом, который снижает юридические риски и делает обработку персональных данных прозрачной.


Похожие шаблоны