Добавить в корзинуПозвонить
Найти в Дзене
Дмитрий Карташов | Право в IT и бизнесе
6 подписчиков

Как составить политику конфиденциальности по 152-ФЗ без штрафов

5
7 мин
Я регулярно провожу аудит сайтов на соответствие 152-ФЗ и практически постоянно вижу одну и ту же проблему – политика конфиденциальности не соответствует требованиям.
Меня зовут Дмитрий, я юрист с опытом в IT. Сегодня разберем, что такое политика конфиденциальности, почему она важна и что в ней нужно указать.
Закон не предусматривает такого понятия как «политика конфиденциальности», он именует ее
Оглавление

Я регулярно провожу аудит сайтов на соответствие 152-ФЗ и практически постоянно вижу одну и ту же проблему – политика конфиденциальности не соответствует требованиям.

Меня зовут Дмитрий, я юрист с опытом в IT. Сегодня разберем, что такое политика конфиденциальности, почему она важна и что в ней нужно указать.

Что такое политика конфиденциальности

Закон не предусматривает такого понятия как «политика конфиденциальности», он именует ее как «политика оператора в отношении обработки персональных данных».

В соответствии с п. 2 ч. 1 ст. 18.1 Закона 152-ФЗ, оператор, юридическое лицо, обязан издать документ, определяющий политику оператора в отношении обработки персональных данных. Которая определяет:

· цели обработки и для каждой из них:

· категории и перечень обрабатываемых персональных данных,

· категории субъектов, персональные данные которых обрабатываются,

· способы, сроки их обработки и хранения,

· порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований.

Это минимальные требования, предусмотренные законом к содержанию политики.

То есть, политика конфиденциальности – публичный документ (регламент) оператора, который определяет какие ПДн обрабатываются, у кого они получаются, порядок их обработки, хранения и удаления.

Почему важна политика?

Часть 2 вышеуказанной статьи, предусматривает обязанность по опубликованию или иным образом обеспечению неограниченного доступа к политике.

Если у вашего бизнеса есть сайт, то разместите ее на каждой странице, где осуществляется сбор данных, либо вообще на каждой странице в доступном для пользователя месте (чаще всего «подвал» сайта). Если вы работаете только оффлайн и обрабатываете данные, то разместите политику на информационном стенде в офисе или ином доступном месте.

Таким образом, ст. 18.1 ФЗ №152-ФЗ предусматривает, что каждый оператор обязан иметь политику конфиденциальности, а за ее отсутствие предусмотрена ответственность.

Что указать в политике?

Мало кто знает, но РКН публиковало рекомендации по составлению документа, определяющего политику оператора в отношении обработки персональных данных (Рекомендации от 31.07.2017 г.).

Согласно данным рекомендациям в политике должно быть:

1. Общее положение:

  • чья это политика и где применяется;
  • для чего политика;
  • основные понятия, используемые в ней;
  • основные права и обязанности оператора и субъекта;

2. Цели обработки. Цели крайне важны, поскольку обработка должна ограничиваться ими. Цели вы определяете сами с учетом ваших бизнес-процессов. Они могут быть как локальными (оформление трудового договора), так и более глобальными (исполнение требований трудового законодательства);

3. Правовые основания. Правовые основания перечислены в ч. 1 ст. 6 ФЗ №152-ФЗ, при этом сам закон не является основанием. Основанием могут быть:

  • федеральные законы и принятые на их основе нормативные правовые акты, регулирующие отношения, связанные с деятельностью оператора;
  • уставные документы оператора;
  • договоры, заключаемые между оператором и субъектом персональных данных;
  • согласие на обработку персональных данных (в случаях, прямо не предусмотренных законодательством Российской Федерации, но соответствующих полномочиям оператора) и др.

4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных. Расписывает по каждой цели:

  • какие данные обрабатываем (категории обрабатываемых данных),
  • от кого они будут получены (категории субъектов);

5. Порядок и условия обработки персональных данных. Указывает перечень действий, совершаемых с ПДн.

Также, отражаем сведения о соблюдении требований конфиденциальности персональных данных, информацию о принятии оператором мер, предусмотренных ч. 2 ст. 18.1, ч. 1 ст. 19 Федерального закона "О персональных данных"

6. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным. Рассказываем о порядке внесения изменений и удаления.

Но это далеко не все, нужно написать про:

  • передачу ПДн третьим лицам, в случае передачи данных внутри страны;
  • куки, если на сайте используется такая технология;
  • аналитику, если вы используете сервисы по отслеживанию действий и поведения пользователей;
  • трансграничной передаче, в случае если вы передаете данные за границу. Не забудьте соблюсти иные условия закона.

Это выглядит очень сложно и запутано, но разобраться можно. Если у вас, что-то не получается, вы можете обратиться ко мне за помощью.

Можно ли использовать шаблоны или генераторы?

Да, сейчас очень много шаблонов и генераторов, но, чтобы качественно собрать политику, нужно понимать, какие бизнес-процессы у вас происходят, где, как и для чего вы получаете ПДн, что с ними происходит и будет происходить, ну и что относится к ПДн, категорию субъекта и т.д.

В связи с чем без какой-либо подготовки очень сложно составить собственную политику.

Второй немаловажный момент: да шаблонов много, но не все они качественные. Я регулярно встречаю одну и ту же форму политики с существенными ошибками. Поиски первоисточника заняли у меня некоторое время и им оказался один конструктор сайтов. Конечно, сам конструктор в этом не виноват, собрать там нормальную политику возможно, если разбираешься в законе о персональных данных, но по умолчанию собирается политика, которая вызовет много вопросов от РКН.

Третий аспект, не все они актуальны. Многие шаблоны появились на заре закона о персональных данных и практически не претерпели изменений.

Если же вы выбрали данный способ, обратитесь к проверенным источникам и надежным компаниям.

Можно ли взять чужую политику?

В теории можно, если вы ее полностью перепишите под себя.

На практике, при аудите я встречаю политики, где даже не изменены данные об операторе, не говоря уже об иных составляющих. Самые удивительные случаи, когда компании копируют многостраничные политики компаний гигантов (Яндекс, Сбер и т.п.) поскольку они составлены опытными юристами и лишь поверхностно их редактируют, не понимая, что всего описанного в политике у них не происходит.

У каждой компании свои особенности работы с персональными данными, в связи с чем чужая политика будет не актуальна вам.

Копировать чужую политику можно только если вы опытный юрист в сфере защиты персональных данных.

А можно вообще без политики?

«Можно», если вы не обрабатываете персональные данные вовсе или вы готовы платить штрафы.

Согласно ч. 3 ст. 13.11 КоАП РФ, за неопубликованные политики предусмотрен штраф от 30 000 до 60 000 рублей для юридических лиц и ИП. Если Политика есть, но в ней не указаны категории данных или сроки (ч. 1 или ч. 2 ст. 13.11 КоАП), штрафы могут достигать 100 000 — 150 000 рублей.

В связи с чем, без политики нельзя, издание и опубликование политики — это обязанность оператора.

3 распространенные ошибки

Ошибка №1: категории персональных данных живут своей жизнью

Часто в политике указано, что компания собирает ФИО, адрес электронной почты, а по факту собираются абсолютно другие данные и в ином объеме.

Ошибка №2. Непонимание законных оснований

На многих сайтах вижу в качестве основания обработки «Федеральный закон "О персональных данных" от 27.07.2006 N 152-ФЗ». Сам закон не может быть правовым основанием — он лишь содержит их перечень. Основанием должен быть договор, согласие и т.п.

Ошибка №3. Слишком узкая политика

Также часто встречаются политики с одной целью обработки, а сайт или деятельность предусматривает большее количество.

Чек-лист хорошей политики

  • Доступность: ссылка на Политику есть во всех местах сбора персональных данных;
  • Структурность: для каждой цели прописаны все категории, а не указываем все сразу. В случае нарушения, никто не будет с этим разбираться, а виновными будете вы;
  • Конкретность: в тексте политики нет размытых фраз «и иные данные». Только четкий список;
  • Сроки: «До востребования» или «Бессрочно» - это не про персональные данные, тут пишем конкретные сроки;
  • Обратная связь: указываем реальную и работающую почту для запросов, чтобы не попасть на штраф за неответ на запрос.

Заключение

Политика конфиденциальности – это не просто документ, а обязательный регламент оператора, в соответствии с которым осуществляется обработка персональных данных. Отступление от него не допустимо.

В 2026 году РКН не нужно приходить к вам в офис для проверки, их скрипт-сканеры мониторят сайты 24/7, и если вы до сих пор не опубликовали политику, ее у вас вовсе нет, то вы не выполняете требования закона и вас могут оштрафовать на существенную сумму.

Не дожидайтесь штрафов, а принимайте превентивные меры.

P.S. Как человек с юридическими и IT знаниями, я вижу не только текст политики, но и то, как скрипты на вашем сайте этот текст игнорируют. Политика должна описывать реальную работу вашего бизнеса. Я подготовил чек-лист для проверки сайта на соответствие 152-ФЗ. Присылайте на почту kartashovdmitriyi@yandex.ru свой сайт— проведу экспресс-аудит и подсвечу «красные флаги» бесплатно.