Разбираем на примерах, зачем на самом деле нужен этот документ, почему его нельзя просто скачать из интернета и как он защищает не только клиентов, но и вас. В конце — важный бонус для подписчиков.
Почему политика — это не просто «бумажка»?
Действительно, сложился стереотип, что внутренние регламенты по 152-ФЗ — это что-то абстрактное и не имеющее ценности. Проблема в том, что большинство операторов не адаптируют документы под свои процессы. На выходе получается монстр, который не работает и противоречит сам себе.
Усугубляет ситуацию и позиция регулятора: Роскомнадзор требует детально прописывать каждый шаг, что часто leads к избыточности. Яркий пример — Приказ Минцифры № 720 от 17.08.2023. Он вводит правило «трех несоответствий»: если в ваших уведомлениях и данных на сайте найдены расхождения всего три раза — это уже повод для внеплановой проверки. Так что поддерживать документы в актуальном состоянии — уже не блажь, а необходимость.
Но я убежден: правильно подготовленная политика — это ваш главный союзник. Она не только успокаивает РКН, но и дает четкое понимание процессов внутри вашей компании, а также builds trust с клиентами и партнерами.
Сердце вашего комплаенса: что должно быть в политике?
По закону (п. 2 ч. 1 ст. 18.1 ФЗ-152) политика — основной документ. Название может быть разным: «Политика конфиденциальности», «Политика в отношении обработки персональных данных» — суть не меняется.
Обязательные пункты, на которые я советую обратить особое внимание:
- Категории данных и цели обработки. Не просто списком, а с максимальной детализацией. Разделяйте на общие, специальные и биометрические. Это прямо соотносится с формой уведомления в РКН.
- Субъекты данных. Кто эти люди? (сотрудники, клиенты, соискатели).
- Способы обработки. Автоматизированные или нет?
- Сроки хранения. Золотой стандарт — указать конкретные периоды. Если это невозможно (например, из-за требований налогового учета), четко опишите события, после которых данные уничтожаются (например, расторжение договора).
- Порядок уничтожения. Не ограничивайтесь общими фразами! Сверьтесь с Приказом Роскомнадзора № 179 от 28.10.2022, который устанавливает строгие правила. Убедитесь, что ваши процедуры ему соответствуют.
Что я рекомендую добавить сверху:
- Раздел о правах субъектов. С четкими инструкциями: куда писать, какой срок ожидания ответа. Это снизит поток хаотичных запросов и покажет вашу открытость.
- Процедуры по предотвращению нарушений. Это требование закона (п. 2 ч. 1 ст. 18.1). Опишите, как вы реагируете на жалобы и как проводите внутренний аудит.
Важный лайфхак: Избегайте в документе формулировок, которые хоть как-то ограничивают права людей. РКН может счесть нарушением даже сложную процедуру отзыва согласия. Документ должен быть написан понятным языком, а не юридической тарабарщиной.
Где и как публиковать?
Здесь все строго:
- Если собираете данные через сайт — политика должна быть на сайте.
- Ссылку нужно размещать под каждой формой сбора данных (например, формой обратной связи или подписки). Минимум — в «подвале» сайта (футере).
- С документом must be ознакомлены все ваши сотрудники, а не только те, кто работает с данными (ст. 86 ТК РФ).
Главная мысль
Политика — это не самоцель, а отражение ваших реальных бизнес-процессов. Она первична по отношению к ним. Не делайте ее просто для регулятора, делайте ее для себя — чтобы систематизировать работу и минимизировать риски.
А чтобы разобраться в теме еще глубже, я подготовил для своего Telegram-канала подробный чек-лист: «10 пунктов, которые гарантированно вызовут вопросы у Роскомнадзора в вашей политике конфиденциальности». В нем нет воды, только конкретные формулировки-примеры и рекомендации, как их исправить.
👉 Подписывайтесь на мой Telegram-канал. Только там вы найдете самую актуальную и прикладную информацию о защите персональных данных без воды. Делитесь своим мнением в комментариях — какие пункты в политике вызывают у вас наибольшие сложности?