Политика обработки персональных данных укажите доменное имя сайтаpdn_1
1. Общие положения
1.1. Политика в отношении обработки персональных данных (далее – «Политика») разработана во исполнение требований пункта 2 части 1 статьи 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – «Закон о персональных данных») в целях укажите цели политикиpdn_2.
1.1. Во исполнение требований части 2 статьи 18.1 Закона о персональных данных настоящая Политика публикуется в свободном доступе в информационно-телекоммуникационной сети Интернет на сайте Оператора.
1.1. Субъектом политики персональных данных является любое физическое лицо, обладающее соответствующими персональными данными.
Политика обработки персональных данных мобильного приложения укажите наименованиеpdn_3
1. Общие положения
1.1. Политика в отношении обработки персональных данных (далее – «Политика») разработана во исполнение требований пункта 2 части 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – «Закон о персональных данных») в целях укажите цели политикиpdn_4.
1.1. Во исполнение требований части 2 статьи 18.1 Закона о персональных данных настоящая Политика публикуется в свободном доступе в мобильном приложении, доступ к которому осуществляется с использованием информационно-телекоммуникационной сети Интернет.
1.1. Субъектом политики персональных данных является любое физическое лицо, обладающее соответствующими персональными данными.
Политика обработки персональных данных укажите наименование сервисаpdn_3
1. Общие положения
1.1. Политика в отношении обработки персональных данных (далее – «Политика») разработана во исполнение требований пункта 2 части 1 ст. 18.1 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» (далее – «Закон о персональных данных») в целях укажите цели политикиpdn_4.
1.1. Во исполнение требований части 2 статьи 18.1 Закона о персональных данных настоящая Политика публикуется в свободном доступе в мобильном приложении, доступ к которому осуществляется с использованием информационно-телекоммуникационной сети Интернет.
1.1. Субъектом политики персональных данных является любое физическое лицо, обладающее соответствующими персональными данными.
1. Термины и определения
1.1. Оператором является физическое лицо Укажите полное ФИО оператораname1, действующ как физическое лицо (далее – «Оператор»).
1. Термины и определения
1.1. Оператором является Индивидуальный предприниматель укажите ФИО оператораname3, зарегистрированн в реестре индивидуальных предпринимателей под № укажите ОГРНИПogrnip1 (далее – «Оператор»).
1. Термины и определения
1.1. Оператором является Укажите наименование оператораname2, от имени которого действует генеральный директорdous21 укажите ФИО полностьюname21 на основании Уставаdous22, именуемое в дальнейшем «Оператор».
1. Термины и определения
1.1.Введите текст своего условия
1.1. Персональные данные – любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).
1.1.
Введите текст своего условия
1.1. Персональные данные, разрешенные субъектом персональных данных для распространения – это персональные данные, доступ неограниченного круга лиц к которым предоставлен субъектом персональных данных, путем дачи согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения.
1.1.
Введите текст своего условия
1.1. Обработка персональных данных – любое действие (операция) или совокупность действий (операций) с Персональными данными, совершаемых с использованием средств автоматизации или без их использования. Обработка персональных данных включает в себя, в том числе: сбор; запись; систематизацию; накопление; хранение; уточнение (обновление, изменение); извлечение; использование; передачу (распространение, предоставление, доступ); обезличивание; блокирование; удаление; уничтожение.
1.1.
Введите текст своего условия
1.1. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники.
1.1.
Введите текст своего условия
1.1. Распространение персональных данных – действия, направленные на раскрытие персональных данных неопределенному кругу лиц.
1.1.
Введите текст своего условия
1.1. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц.
1.1.
Введите текст своего условия
1.1. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных).
1.1.
Введите текст своего условия
1.1. Уничтожение персональных данных – действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных.
1.1.
Введите текст своего условия
1.1. Обезличивание персональных данных – действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных.
1.1.
Введите текст своего условия
1.1. Информационная система персональных данных – совокупность содержащихся в базах данных персональных данных и обеспечивающих их обработку информационных технологий и технических средств.
1.1.
Введите текст своего условия
1.1. Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
1.1.
Введите текст своего условия
1.1. Согласие на обработку Персональных данных разрешенных субъектом Персональных данных для распространения предоставляется Оператору путем предоставления такого согласия непосредственно по адресу Оператора.
1.1. Согласие на обработку Персональных данных разрешенных субъектом Персональных данных для распространения предоставляется Оператору путем предоставления такого согласия с использованием Информационной системы уполномоченного органа по защите прав субъектов персональных данных.
1.1. Согласие на обработку Персональных данных разрешенных субъектом Персональных данных для распространения предоставляется Оператору путем предоставления такого согласия непосредственно по адресу Оператора или путем предоставления такого согласия с использованием Информационной системы уполномоченного органа по защите прав субъектов персональных данных.
1.1.
Введите текст своего условия
1.1. Оператор осуществляет автоматизированную обработку Персональных данных.
1.1. Оператор осуществляет неавтоматизированную обработку Персональных данных.
1.1. Оператор осуществляет как автоматизированную, так и неавтоматизированную обработку Персональных данных.
1.1. Не допускается раскрытие третьим лицам и распространение Персональных данных без согласия субъекта Персональных данных, если иное не предусмотрено законодательством Российской Федерации.
1.1. Передача Персональных данных органам дознания и следствия и другие уполномоченные органы исполнительной власти и организации осуществляется в соответствии с требованиями законодательства Российской Федерации.
1.1. Оператор принимает необходимые правовые, организационные и технические меры для защиты Персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения и других несанкционированных действий.
1.1. Персональные данные субъектов могут быть получены, проходить дальнейшую обработку и передаваться на хранение как на бумажных носителях, так и в электронном виде.
1.1. Не допускается хранение и размещение документов, содержащих Персональные данные, в открытых электронных каталогах и тому подобных файлообменниках.
1.1. Оператор осуществляет хранение Персональных данных в форме, позволяющей определить субъекта Персональных данных, не дольше, чем этого требуют цели обработки Персональных данных, если срок хранения Персональных данных не установлен законодательством Российской Федерации, договором или соглашением.
1.1. Уничтожение документов (носителей), содержащих Персональные данные, производится путем, при котором персональные данные на материальных носителях прекращают свое существование.
1.1. Персональные данные на электронных носителях уничтожаются путем стирания или форматирования носителя.
1.1.
Введите текст своего условия
1. Порядок и условия обработки биометрических персональных данных
1.1. К биометрическим персональным данным относятся сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых можно установить его личность и которые используются оператором для установления личности субъекта персональных данных.
1.1. Обработка биометрических персональных данных может осуществляться только при наличии согласия в письменной форме субъекта персональных данных, за исключением случаев, предусмотренных Законом о персональных данных
1.1. Использование и хранение биометрических персональных данных вне информационных систем персональных данных могут осуществляться только на таких материальных носителях информации и с применением такой технологии ее хранения, которые обеспечивают защиту этих данных от неправомерного или случайного доступа к ним, их уничтожения, изменения, блокирования, копирования, предоставления, распространения.
1.1. Оператор утверждает порядок передачи материальных носителей уполномоченным лицам.
1.1. Материальный носитель должен использоваться в течение срока, установленного оператором, осуществившим запись биометрических персональных данных на материальный носитель, но не более срока эксплуатации, установленного изготовителем материального носителя.
1.1. Оператор обязан:
Осуществлять учет количества экземпляров материальных носителей;
Осуществлять присвоение материальному носителю уникального идентификационного номера, позволяющего точно определить оператора, осуществившего запись биометрических персональных данных на материальный носитель.
1. Порядок и условия обработки биометрических персональных данных
1.1.Введите текст своего условия
1. Основные права субъекта персональных данных
1.1. Субъект имеет право на доступ к его персональным и следующим сведениям:
Подтверждение факта обработки персональных данных Оператором;
Правовые основания и цели обработки Персональных данных;
Цели и применяемые Оператором способы обработки Персональных данных;
Наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к Персональным данным или которым могут быть раскрыты Персональные данные на основании договора с Оператором или на основании законодательства Российской Федерации;
Сроки обработки Персональных данных, в том числе сроки их хранения;
Порядок осуществления субъектом Персональных данных прав, предусмотренных Законом о персональных данных;
Наименование или фамилия, имя, отчество и адрес лица, осуществляющего обработку Персональных данных по поручению Оператора, если обработка поручена или будет поручена такому лицу;
Обращение к Оператору и направление ему запросов.
1. Основные права субъекта персональных данных
1.1.Введите текст своего условия
Конструктор политики обработки персональных данных
1. Цели обработки персональных данных
1.1. Обработка Оператором Персональных данных осуществляется в следующих целях: обеспечение соблюдения Конституции Российской Федерации, федеральных законов и иных нормативных правовых актов Российской Федерации; осуществление укажите род деятельности оператораpdn_5 деятельности в соответствии с уставомpdn_6 Оператора.
1. Порядок, условия обработки и хранения персональных данных
1.1. Обработка Персональных данных осуществляется Оператором в соответствии с требованиями законодательства Российской Федерации.
1.1. Обработка Персональных данных осуществляется с согласия субъектов Персональных данных на обработку их Персональных данных. Согласие на обработку персональных данных осуществляется в любой позволяющей подтвердить факт его получения форме.
1.1. Согласие на обработку Персональных данных, разрешенных субъектом Персональных данных для распространения, оформляется отдельно от иных согласий субъекта Персональных данных на обработку его Персональных данных.
1. Категории субъектов персональных данных
1.1. Обрабатываются Персональные данные следующих субъектов Персональных данных: Укажите категории субъектовpdn_11.
1.1. Персональные данные, получаемые Оператором: укажите персональные данныеpdn_15.
1. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным
1.1. Подтверждение факта обработки Персональных данных Оператором, правовые основания и цели обработки Персональных данных, а также иные сведения, указанные в части 7 статьи 14 Закона о персональных данных, предоставляются Оператором субъекту Персональных данных или его представителю при обращении либо при получении запроса субъекта Персональных данных или его представителя.
1.1.1. Запрос субъекта должен содержать: укажите требования к запросуpdn_19.
1.1. В случае выявления неточных Персональных данных при обращении субъекта Персональных данных или его представителя либо по их запросу или по запросу Роскомнадзора Оператор осуществляет блокирование Персональных данных, относящихся к этому субъекту Персональных данных, с момента такого обращения или получения указанного запроса на период проверки, если блокирование Персональных данных не нарушает права и законные интересы субъекта Персональных данных или третьих лиц.
1.1.1. В случае подтверждения факта неточности Персональных данных Оператор на основании сведений, представленных субъектом Персональных данных или его представителем либо Роскомнадзором, или иных необходимых документов уточняет Персональные данные в течение семи рабочих дней со дня представления таких сведений и снимает блокирование Персональных данных.
1.1. В случае выявления неправомерной обработки Персональных данных при обращении (запросе) субъекта Персональных данных или его представителя либо Роскомнадзора Оператор осуществляет блокирование неправомерно обрабатываемых Персональных данных, относящихся к этому субъекту Персональных данных, с момента такого обращения или получения запроса.
1.1. При достижении целей обработки Персональных данных, а также в случае отзыва субъектом Персональных данных согласия на их обработку Персональных данных подлежат уничтожению, если:
Иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем, по которому является субъект Персональных данных;
Оператор не вправе осуществлять обработку без согласия субъекта Персональных данных на основаниях, предусмотренных Законом о персональных данных или иными федеральными законами;
Иное не предусмотрено другим соглашением между Оператором и субъектом Персональных данных.
Содержание статьи
1. Проверьте, кто является оператором персональных данных
Первый вопрос: кто обязан иметь политику? Ответ содержится в статье 3 Закона № 152-ФЗ. Оператор — это государственный орган, муниципальный орган, юридическое или физическое лицо, которое самостоятельно или совместно с другими лицами организует и/или осуществляет обработку персональных данных, а также определяет цели обработки, состав данных и действия с ними.
Иными словами, оператором становится не тот, кто «очень крупный» или «имеет сложную IT-систему», а тот, кто решает, зачем собирать данные людей и что с ними делать. Если компания принимает заявки через форму обратной связи, записывает клиентов на прием, ведет базу покупателей, оформляет доставку, хранит резюме кандидатов или собирает телефоны для обратного звонка, она уже должна оценить свои обязанности по Закону № 152-ФЗ.
Персональные данные по статье 3 Закона № 152-ФЗ — это любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу. К ним относятся не только паспортные данные. ФИО, номер телефона, адрес электронной почты, адрес доставки, фотография, сведения о заказе, должность представителя контрагента, данные аккаунта, IP-адрес и cookie при определенных условиях тоже могут быть персональными данными.
политика нужна не потому, что у компании есть сайт, а потому, что компания определяет цели и способы обработки данных конкретных людей.
Политика может потребоваться и в отношениях между юридическими лицами. Сам договор заключают организации, но в документах, переписке и CRM обычно фигурируют ФИО, телефоны, должности и рабочие e-mail директоров, бухгалтеров, менеджеров. Это данные физических лиц, пусть и связанных с бизнесом. Поэтому фраза «мы работаем только B2B, нам политика не нужна» часто ошибочна.
В отношениях между физическими лицами ситуация тоньше. Если один человек записал телефон другого, чтобы встретиться и продать личную вещь, это обычно бытовая ситуация. Но если физическое лицо системно оказывает услуги, ведет клиентскую базу, собирает анкеты, делает рассылки и продвигается онлайн, риск признания его оператором выше. Здесь уже лучше не полагаться на чужой образец, а составить документ под реальную деятельность.
2. Разделите политику, согласие, оферту и пользовательское соглашение
Частая ошибка — объединить всё в один длинный документ: «политика, согласие, оферта, правила сайта». В итоге пользователь не понимает, где он соглашается на обработку данных, где заключает договор, а где просто читает информацию. Для закона это разные юридические инструменты.
Политика обработки персональных данных — публичный информационный документ. Ее задача — объяснить порядок обработки данных, права субъектов, меры защиты и контактные данные оператора. Требование об опубликовании политики предусмотрено частью 2 статьи 18.1 Закона № 152-ФЗ.
Согласие на обработку персональных данных — одно из оснований обработки. Требования к согласию установлены статьей 9 Закона № 152-ФЗ: оно должно быть конкретным, предметным, информированным, сознательным и однозначным. В случаях, предусмотренных законом, согласие оформляется письменно или в форме, приравненной к письменной.
Оферта или пользовательское соглашение регулируют договорные отношения: оплату, сроки оказания услуг, возвраты, ответственность, правила использования сервиса. Они не заменяют политику. Можно включить в оферту упоминание о персональных данных, но публичная политика всё равно должна быть доступна отдельно.
Обычно комплект документов для сайта включает:
- политику обработки персональных данных;
- согласие на обработку персональных данных для форм заявки;
- отдельное согласие на рекламную рассылку, если она используется;
- публичную оферту или пользовательское соглашение;
- внутренние локальные акты по обработке и защите данных.
Согласие на рекламные сообщения не стоит прятать внутри общей политики. Если компания рассылает рекламу по e-mail, SMS, мессенджерам или через звонки, нужно учитывать статью 18 Федерального закона от 13.03.2006 № 38-ФЗ «О рекламе». Там действует свой подход: распространение рекламы по сетям электросвязи допускается при условии предварительного согласия абонента или адресата. Это не отменяет требований Закона № 152-ФЗ, а добавляет отдельный риск.
Если используется конструктор документов онлайн, важно проверить, не смешал ли он разные документы в один текст. Хороший конструктор помогает создать основу, но финальный шаблон нужно вычитать: где политика, где согласие, где оферта, где согласие на распространение или рекламу.
3. Укажите оператора и контактные данные без «рыбы»
В политике должно быть понятно, кто именно отвечает за обработку данных. Нельзя оставлять в документе «ООО Ромашка», «адрес оператора», «указать ИНН» или старое название компании. Для проверяющего органа и пользователя это выглядит как признак того, что документ скачали и не адаптировали.
В разделе об операторе обычно указывают полное наименование юридического лица или ФИО индивидуального предпринимателя, ОГРН или ОГРНИП, ИНН, адрес места нахождения или адрес для корреспонденции, электронную почту для обращений по персональным данным. Если назначено лицо, ответственное за организацию обработки персональных данных, можно указать порядок связи с ним.
Такая обязанность связана не только с удобством пользователя. По статье 18.1 Закона № 152-ФЗ оператор обязан принимать меры, необходимые и достаточные для выполнения обязанностей, предусмотренных законом. Среди этих мер названы, в частности, назначение ответственного лица, издание документов, определяющих политику оператора, и локальных актов по вопросам обработки персональных данных.
Для небольшого сайта формулировка может быть простой: «Оператором персональных данных является ООО “Альфа”, ОГРН…, ИНН…, адрес…, e-mail для обращений…». Для группы компаний, франшизы или маркетплейса формулировки сложнее: нужно указать, кто является оператором сайта, кто отвечает за личный кабинет, кто обрабатывает данные по программе лояльности, а кто получает данные в рамках исполнения договора.
Ошибка возникает, когда политика размещена на сайте одного лица, а данные фактически собирает другое. Например, сайт принадлежит агенту, заявки передаются принципалу, CRM оформлена на третью компанию, а в документе указан только бренд без юридического лица. В таком случае пользователю трудно понять, кому предъявлять требования, а оператору — доказать добросовестность.
Судебная практика по делам о персональных данных и защите нематериальных благ исходит из того, что важны не только формальные документы, но и реальное поведение лица, обрабатывающего сведения. При требованиях о компенсации морального вреда суды применяют статьи 151, 1099–1101 ГК РФ и разъяснения постановления Пленума Верховного Суда РФ от 15.11.2022 № 33. Суд оценивает характер нарушения, степень вины, последствия для гражданина, требования разумности и справедливости.
4. Опишите конкретные цели обработки
Цели обработки — один из главных разделов политики. Статья 5 Закона № 152-ФЗ устанавливает принцип: обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка, несовместимая с целями сбора данных.
Поэтому формулировки вроде «для любых законных целей оператора» или «для улучшения качества обслуживания и иных целей» лучше не использовать как универсальную фразу. Они слишком широкие. Пользователь должен понимать, зачем именно у него берут телефон, e-mail, адрес, дату рождения или иной набор сведений.
Практические цели могут быть такими:
- обработка заявки и обратная связь;
- регистрация пользователя в личном кабинете;
- заключение и исполнение договора;
- доставка товара или оказание услуги;
- ведение бухгалтерского, налогового и кадрового учета;
- рассмотрение резюме соискателя;
- направление информационных сообщений;
- направление рекламной рассылки при отдельном согласии;
- обеспечение работы сайта, аналитика и защита от злоупотреблений.
если цель обработки нельзя объяснить обычным языком в одной-двух фразах, ее нужно уточнить до публикации политики.
Не стоит включать цели «на всякий случай». Если компания не проводит конкурсы, не нужно писать о конкурсах. Если нет личного кабинета, не нужно писать о регистрации. Если нет доставки, не нужно писать о передаче адреса транспортной компании. Политика должна быть не шире, а точнее фактической обработки.
Особенно внимательно нужно описывать специальные категории персональных данных. Статья 10 Закона № 152-ФЗ касается сведений о расовой и национальной принадлежности, политических взглядах, религиозных или философских убеждениях, состоянии здоровья, интимной жизни. Для таких данных действует более строгий режим. Медицинская клиника, психологический центр, страховая компания, фитнес-сервис с медицинскими анкетами не должны использовать обычный типовой шаблон без переработки.
Для биометрических персональных данных действует статья 11 Закона № 152-ФЗ. К ним могут относиться сведения, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность, например изображение лица при определенных способах использования. Если сервис применяет распознавание лица, голосовую идентификацию или пропускную систему с биометрией, раздел политики должен быть отдельным и аккуратным.
5. Перечислите категории субъектов и данных
В политике важно указать не только цели, но и категории людей, чьи данные обрабатываются. Это могут быть посетители сайта, клиенты, представители контрагентов, работники, бывшие работники, соискатели, подписчики рассылки, участники мероприятий, пользователи мобильного приложения.
Затем нужно описать категории данных. Для формы обратной связи это обычно ФИО, телефон, e-mail, содержание сообщения, технические сведения о посещении сайта. Для интернет-магазина — дополнительно адрес доставки, состав заказа, сведения о способе оплаты, данные для возврата. Для работодателя — паспортные данные, СНИЛС, ИНН, сведения о трудовой деятельности, банковские реквизиты, документы воинского учета в случаях, предусмотренных законом.
Статья 5 Закона № 152-ФЗ говорит, что содержание и объем обрабатываемых данных должны соответствовать заявленным целям. Обрабатываемые данные не должны быть избыточными по отношению к этим целям. Поэтому нельзя без причины собирать паспортные данные для простой подписки на новости или дату рождения для обратного звонка, если это никак не нужно оператору.
Пример перечня для обычного сайта услуг:
- фамилия, имя, отчество, если пользователь сам их указывает;
- номер телефона и адрес электронной почты;
- сведения, содержащиеся в тексте обращения;
- технические данные о посещении сайта, включая cookie, IP-адрес, сведения о браузере и устройстве;
- сведения о согласиях пользователя и времени их предоставления.
Такой список понятнее, чем абстрактная фраза «иные данные, необходимые оператору». Фразу об иных данных можно использовать только осторожно, когда она привязана к конкретной цели и ситуации. Например, «иные сведения, которые пользователь добровольно указывает в тексте обращения». Это не то же самое, что разрешить себе собирать любые сведения.
Если вы хотите скачать образец политики, обязательно проверьте раздел с категориями данных. В шаблонах часто встречаются лишние сведения: паспорт, место рождения, семейное положение, доходы, сведения о родственниках. Для большинства сайтов услуг это избыточно. Чем больше лишнего в политике, тем больше вопросов к оператору: либо он реально собирает слишком много, либо документ не соответствует действительности.
6. Укажите правовые основания обработки
Не вся обработка персональных данных строится на согласии. Это важный момент, который часто неправильно отражают в политиках. Статья 6 Закона № 152-ФЗ содержит несколько оснований обработки. Согласие субъекта — только одно из них.
Например, интернет-магазин обрабатывает данные покупателя для заключения и исполнения договора. Работодатель обрабатывает данные работника, потому что обязан вести кадровый, налоговый и страховой учет. Организация хранит первичные бухгалтерские документы, потому что обязана делать это по законодательству о бухгалтерском учете и налогах. В этих случаях согласие может использоваться не для всей обработки, а только для отдельных действий, если закон требует именно согласие.
В политике можно указать такие основания:
- согласие субъекта персональных данных;
- заключение и исполнение договора;
- исполнение обязанностей, предусмотренных законодательством РФ;
- осуществление прав и законных интересов оператора, если при этом не нарушаются права и свободы субъекта;
- иные основания, предусмотренные статьей 6 Закона № 152-ФЗ.
Зачем это нужно практически? Представим, что клиент отозвал согласие. Оператор обязан прекратить обработку, которая велась именно на основании согласия, если нет другого законного основания. Но он может продолжить хранить документы, необходимые для налогового учета, рассмотрения претензий или защиты прав в суде. Если политика честно разделяет основания, пользователю проще понять, почему часть данных не уничтожается в день отзыва.
Согласие по статье 9 Закона № 152-ФЗ должно быть конкретным и информированным. В онлайн-формах лучше использовать отдельный чекбокс без заранее проставленной отметки. Текст рядом с формой должен указывать цель: обработка заявки, регистрация, обратная связь, заключение договора. Нежелательно писать: «Нажимая кнопку, вы соглашаетесь на обработку персональных данных для любых целей».
Отдельного внимания требует согласие на распространение персональных данных. Статья 10.1 Закона № 152-ФЗ регулирует персональные данные, разрешенные субъектом для распространения. Это не обычное согласие на обработку. Оно нужно, например, если оператор публикует отзывы с ФИО и фотографией, размещает данные участников на сайте, выкладывает анкеты экспертов или сотрудников в публичный доступ. Такое согласие должно позволять субъекту определить условия и запреты на распространение.
В судебных спорах оператору обычно приходится доказывать законность обработки: на каком основании данные собирались, какой текст согласия действовал, когда и каким способом субъект выразил волю. Поэтому важно хранить версии документов, дату согласия, технические логи, текст формы на момент отправки. Просто наличие политики на сайте не доказывает, что конкретный пользователь дал конкретное согласие.
7. Опишите действия с данными и сроки хранения
Статья 3 Закона № 152-ФЗ раскрывает обработку персональных данных очень широко: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение и другие действия. В политике можно перечислить эти действия, но лучше дополнить их понятным описанием реальных процессов.
Например, для заявки на сайте можно написать: пользователь заполняет форму, данные поступают в CRM или на электронную почту оператора, менеджер связывается с пользователем, информация хранится для обработки обращения и дальнейшей коммуникации, после достижения цели удаляется или хранится в пределах законного срока при наличии основания. Такой текст понятнее, чем сухое перечисление терминов из закона.
Срок хранения — отдельный важный блок. По статье 5 Закона № 152-ФЗ персональные данные должны храниться в форме, позволяющей определить субъекта, не дольше, чем этого требуют цели обработки, если срок хранения не установлен федеральным законом, договором или согласием. После достижения цели данные подлежат уничтожению или обезличиванию, если иное не предусмотрено законом.
Плохая формулировка: «персональные данные хранятся бессрочно». Для большинства процессов она не подходит. Лучше писать привязку к цели: до обработки обращения, до окончания договора, в течение срока действия личного кабинета, до отзыва согласия, в течение сроков хранения бухгалтерских и налоговых документов, в течение срока исковой давности по возможным требованиям.
Пример: пользователь оставил заявку, но договор не заключил. Хранить его телефон десять лет без понятной причины рискованно. Оператор может установить разумный срок хранения заявок, связанный с обработкой обращения и возможной последующей коммуникацией. Для договорных и бухгалтерских документов срок будет другим, потому что действуют требования законодательства.
срок хранения должен отвечать на простой вопрос — почему оператору всё еще нужны эти данные.
При прекращении обработки нужно учитывать статью 21 Закона № 152-ФЗ. В ней регулируются обязанности оператора по прекращению обработки, блокированию, уточнению, уничтожению персональных данных в случаях выявления неправомерной обработки, достижения цели, отзыва согласия и других ситуациях. Поэтому в политике полезно указать общий порядок: данные уничтожаются или обезличиваются после достижения целей обработки, истечения сроков хранения либо при наступлении иных оснований, предусмотренных законом.
8. Раскройте передачу данных третьим лицам и поручение обработки
Многие операторы пишут: «Мы не передаем персональные данные третьим лицам». Но фактически почти любой онлайн-бизнес использует подрядчиков: хостинг, CRM, платежный агрегатор, сервис рассылки, телефонию, онлайн-чат, службу доставки, бухгалтерский сервис. Поэтому перед публикацией политики нужно честно проверить, кто имеет доступ к данным.
Передача третьим лицам может быть законной, если она связана с целью обработки и имеет правовое основание. Например, интернет-магазин передает адрес и телефон службе доставки, чтобы исполнить договор с покупателем. Платежному сервису передаются сведения, необходимые для оплаты. IT-подрядчик получает доступ к базе, чтобы поддерживать сайт или CRM. Но все эти процессы нужно отразить в документах.
Статья 6 Закона № 152-ФЗ допускает поручение обработки персональных данных другому лицу с согласия субъекта, если иное не предусмотрено федеральным законом, на основании договора. В поручении должны быть определены перечень действий с персональными данными, цели обработки, обязанность соблюдать конфиденциальность и обеспечивать безопасность данных. Также должны быть установлены требования к защите данных.
В политике можно указать категории получателей: платежные организации, банки, службы доставки, операторы связи, сервисы рассылок, хостинг-провайдеры, IT-подрядчики, бухгалтерские и юридические консультанты, государственные органы в случаях, предусмотренных законом. Если передача конкретному лицу особенно значима для пользователя, его лучше назвать прямо.
Не нужно раскрывать коммерческие тайны, но нужно дать человеку честное понимание. Если используется рассылочный сервис, нельзя писать, что e-mail никуда не передается. Если заявки обрабатываются в сторонней CRM, нельзя утверждать, что доступ есть только у работников оператора. Такая разница между текстом и реальностью может стать проблемой при проверке или споре.
Особенно аккуратно нужно работать с государственными органами. Передача по законному требованию суда, следователя, налогового органа или Роскомнадзора может осуществляться без отдельного согласия субъекта, если есть правовое основание. В политике достаточно указать, что данные могут быть предоставлены уполномоченным органам в случаях и порядке, предусмотренных законодательством РФ.
9. Проверьте трансграничную передачу и локализацию баз
Трансграничная передача персональных данных регулируется статьей 12 Закона № 152-ФЗ. Она возникает, когда персональные данные передаются на территорию иностранного государства иностранному органу власти, иностранному физическому или юридическому лицу. На практике вопрос возникает при использовании зарубежного хостинга, иностранных CRM, рекламных кабинетов, аналитики, облачных хранилищ, сервисов рассылки и техподдержки.
В последние годы требования к трансграничной передаче стали более формализованными. Оператору нужно учитывать, в какую страну передаются данные, какие гарантии защиты есть у получателя, какие уведомительные обязанности возникают перед Роскомнадзором. В политике нельзя просто написать «трансграничная передача не осуществляется», если сайт подключен к иностранным сервисам, которые получают идентификаторы пользователей, e-mail или иные данные.
В политике можно предусмотреть формулировку: «Оператор осуществляет трансграничную передачу персональных данных только при соблюдении требований статьи 12 Закона № 152-ФЗ». Но если передача реально есть, желательно указать цели и категории получателей. Например: аналитика работы сайта, рассылка сообщений, техническая поддержка сервиса. Конкретику нужно согласовать с фактическими инструментами.
Отдельно действует требование локализации. Часть 5 статьи 18 Закона № 152-ФЗ предусматривает, что при сборе персональных данных, в том числе через интернет, оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение и извлечение персональных данных граждан РФ с использованием баз данных, находящихся на территории РФ, за исключением случаев, предусмотренных законом.
Это значит, что политика сама по себе не решает вопрос локализации. Нужно проверить, где физически находятся базы, куда сначала попадают данные из форм, где работает CRM, где хранятся резервные копии. Если данные граждан РФ сначала собираются в базу за рубежом, а потом копируются в Россию, это может не соответствовать смыслу требования локализации.
Для небольшого бизнеса практический порядок такой:
- выяснить, какие сервисы получают персональные данные;
- определить страны, где находятся серверы и получатели;
- проверить, есть ли трансграничная передача;
- оценить обязанность уведомления Роскомнадзора;
- отразить реальную схему в политике и договорах.
Если вы используете типовой шаблон или решили скачать документ у конкурента, этот раздел почти всегда требует ручной доработки. У разных сайтов разные CRM, хостинг, аналитика, виджеты, платежные сервисы и подрядчики.
10. Опишите права субъекта и порядок обращений
Политика должна быть полезной для человека. Пользователь должен понять, какие права у него есть и куда писать, если он хочет получить информацию, уточнить данные, отозвать согласие или потребовать удаления сведений.
Права субъекта персональных данных закреплены в статье 14 Закона № 152-ФЗ. Человек вправе получать сведения об обработке его персональных данных, включая подтверждение факта обработки, правовые основания и цели, применяемые способы обработки, сведения об операторе, обрабатываемые данные, источник их получения, сроки обработки и хранения, порядок реализации прав, информацию о передаче данных и другие сведения, предусмотренные законом.
Также субъект вправе требовать уточнения, блокирования или уничтожения данных, если они неполные, устаревшие, неточные, незаконно полученные или не являются необходимыми для заявленной цели обработки. Действия или бездействие оператора можно обжаловать в Роскомнадзор или в суд.
В политике следует указать:
- e-mail для обращений по персональным данным;
- почтовый адрес для письменных запросов;
- сведения, которые желательно указать в запросе для идентификации заявителя;
- общий порядок ответа оператора;
- порядок отзыва согласия;
- последствия отзыва согласия, если обработка может продолжаться на другом основании.
Статья 20 Закона № 152-ФЗ устанавливает порядок рассмотрения запросов субъекта персональных данных или его представителя. В политике не нужно переписывать всю статью, но нельзя устанавливать порядок хуже закона. Например, нельзя написать, что оператор вправе отвечать «когда будет возможность» или только через платную поддержку.
Отзыв согласия лучше описывать без обещаний, которые оператор не сможет выполнить. Корректная формулировка: после получения отзыва оператор прекращает обработку данных, осуществляемую на основании согласия, если сохранение обработки не допускается законом на другом основании. Это важно для договоров, бухгалтерских документов, налоговых обязанностей, претензий и судебной защиты.
В судебной практике по требованиям граждан к операторам суды оценивают, была ли обработка законной, мог ли субъект реализовать свои права, как оператор реагировал на обращения. При компенсации морального вреда применяются положения ГК РФ о нематериальных благах и компенсации морального вреда, а также разъяснения Пленума Верховного Суда РФ № 33 от 15.11.2022. Наличие политики помогает оператору, но не заменяет реального ответа на запрос гражданина.
11. Укажите меры защиты и внутренние документы
Статья 19 Закона № 152-ФЗ обязывает оператора принимать необходимые правовые, организационные и технические меры для защиты персональных данных. Защита нужна от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения и иных неправомерных действий.
В публичной политике не нужно раскрывать технические детали, которые могут ухудшить безопасность. Не стоит писать, какие именно серверы, пароли, сетевые настройки и системы защиты используются. Но нужно показать, что оператор принимает меры и понимает свои обязанности.
Обычно в политике указывают:
- назначение ответственного за организацию обработки персональных данных;
- ограничение доступа работников к данным;
- применение правовых, организационных и технических мер защиты;
- контроль за лицами, которым поручена обработка данных;
- учет и хранение носителей, если применимо;
- уничтожение или обезличивание данных после достижения целей обработки;
- внутренний контроль соответствия обработки требованиям закона.
Помимо самого Закона № 152-ФЗ, для защиты данных важны подзаконные акты. Постановление Правительства РФ от 01.11.2012 № 1119 устанавливает требования к защите персональных данных при их обработке в информационных системах персональных данных. Постановление Правительства РФ от 15.09.2008 № 687 регулирует особенности обработки персональных данных без использования средств автоматизации. Приказ ФСТЭК России от 18.02.2013 № 21 касается состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при обработке в информационных системах.
Для отдельных сфер могут действовать дополнительные требования: медицина, банки, страхование, образование, государственные информационные системы. Поэтому типовой шаблон политики не всегда подойдет. Например, медицинская организация работает с врачебной тайной и сведениями о здоровье, а работодатель — с трудовым законодательством и кадровыми документами.
Важно помнить и про уведомление Роскомнадзора. Статья 22 Закона № 152-ФЗ регулирует обязанность оператора уведомлять уполномоченный орган о намерении осуществлять обработку персональных данных, если нет исключений. В последние годы подход к уведомлениям стал строже, и многим операторам, которые раньше считали себя «маленькими» и незаметными, приходится отдельно проверять эту обязанность. Политика не заменяет уведомление, если оно требуется.
12. Разместите политику на сайте и проверьте ее перед публикацией
Даже грамотно составленная политика не поможет, если она спрятана или недоступна. Часть 2 статьи 18.1 Закона № 152-ФЗ требует опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему политику оператора в отношении обработки персональных данных. Для сайта это означает простую вещь: ссылка должна быть видимой, рабочей и доступной без регистрации.
Обычно ссылку размещают в подвале сайта, рядом с формами заявки, на странице регистрации, в личном кабинете и в интерфейсе оформления заказа. Если форма собирает данные, рядом должен быть текст согласия и ссылка на политику. Лучше использовать отдельный чекбокс, который пользователь отмечает сам. Заранее проставленная галочка — плохая практика, потому что согласие должно быть сознательным и однозначным.
Если сайт использует cookie, сервисы аналитики, пиксели рекламных систем, онлайн-чаты, карты и другие внешние виджеты, это нужно отразить в политике. В российском праве нет единого отдельного «закона о cookie» по модели некоторых зарубежных стран, но если cookie и технические идентификаторы позволяют прямо или косвенно определить пользователя, они могут рассматриваться через режим персональных данных.
Перед публикацией полезно пройти короткий чек-лист:
- указан правильный оператор, ИНН, ОГРН или ОГРНИП и контакты;
- цели обработки конкретные и соответствуют реальным процессам;
- категории данных не избыточны;
- правовые основания разделены, а не сведены только к согласию;
- сроки хранения не указаны как бессрочные без причины;
- раскрыты получатели данных и поручение обработки;
- проверены трансграничная передача и локализация;
- описаны права субъекта и порядок обращений;
- политика размещена в доступном месте;
- формы сайта содержат корректные согласия.
Административная ответственность за нарушения законодательства о персональных данных предусмотрена статьей 13.11 КоАП РФ. В ней есть разные составы: обработка в случаях, не предусмотренных законом, обработка, несовместимая с целями сбора, обработка без согласия, нарушение требований к опубликованию политики, нарушение порядка хранения, уточнения, блокирования или уничтожения данных и другие нарушения. Конкретная часть статьи зависит от фактической ситуации.
Кроме административной ответственности возможны гражданско-правовые требования. Человек может требовать защиты нематериальных благ, неприкосновенности частной жизни, удаления незаконно распространенной информации, компенсации морального вреда. Здесь применяются статьи 150, 151, 152.2, 1099–1101 ГК РФ. Разъяснения по общим вопросам защиты гражданских прав и нематериальных благ содержатся, в частности, в постановлении Пленума Верховного Суда РФ от 23.06.2015 № 25, а по компенсации морального вреда — в постановлении Пленума Верховного Суда РФ от 15.11.2022 № 33.
Итог простой: можно взять образец, использовать конструктор, скачать типовой шаблон онлайн и на его основе создать первую версию. Но перед публикацией нужно сверить текст с реальными процессами компании. Политика должна отвечать на девять вопросов: кто оператор, какие данные собираются, у кого, зачем, на каком основании, что с ними делают, кому передают, сколько хранят и как человек может реализовать свои права.
Если документ отвечает на эти вопросы честно и понятно, он становится не просто формальностью, а рабочим инструментом. Он снижает риск штрафов, помогает выстроить процессы внутри компании и показывает пользователям, что их данные не собирают «в темную». А если политика скачана у конкурента, не совпадает с сайтом и содержит чужие реквизиты, она может создать больше проблем, чем пользы.

Похожие шаблоны