Что должно быть в политике конфиденциальности сайта

4 мин
персональные данныеполитика конфиденциальности
Чек-лист содержания политики конфиденциальности сайта — обложка статьи Sitelaw

Документ, который чаще всего скачивают из интернета первым попавшимся шаблоном, — это политика конфиденциальности. Её ставят в подвал сайта, ссылаются на неё в форме обратной связи и считают, что вопрос закрыт. Но закон требует от политики конкретный набор сведений, а не сам факт наличия файла. Если половины из них нет, документ есть, а требование не выполнено.

Разберём по смыслу, какие сведения сайт обязан раскрыть посетителю, чтобы тот понимал, кто, зачем и как обрабатывает его данные. Структура конкретного шаблона тут вторична.

Почему политика вообще обязательна

Если сайт собирает любые персональные данные — имя в форме заявки, email для рассылки, телефон при заказе, — он становится оператором персональных данных. А для оператора, который собирает данные через интернет, действует прямое требование: опубликовать документ, определяющий его политику в отношении обработки персональных данных, и обеспечить к нему неограниченный доступ. Это норма части 2 статьи 18.1 Федерального закона 152-ФЗ.

«Неограниченный доступ» означает простую вещь: ссылка на политику должна быть видна с любой страницы, где собираются данные, и открываться без регистрации и оплаты. Спрятанный в личном кабинете документ требование не закрывает.

Базовый состав сведений

Политика отвечает на вопросы посетителя ещё до того, как он их задал. Вот что в ней должно быть раскрыто.

Кто оператор. Наименование (или ФИО, если оператор — физлицо или самозанятый), способ связи. Человек должен понимать, к кому обращаться по поводу своих данных, а не гадать, чей это сайт.

Цели обработки. Зачем собираются данные. Формулировка должна быть конкретной: обработка заявок, отправка заказов, ответы на обращения, рассылка с согласия. Размытое «для улучшения сервиса» не годится. Цель определяет всё остальное, ведь без неё обработка считается избыточной.

Правовые основания. На каком основании сайт обрабатывает данные: согласие субъекта, исполнение договора, требование другого закона. У каждой цели — своё основание.

Категории персональных данных. Какие именно данные собираются: контактные (имя, телефон, email), технические (cookie, IP, данные об устройстве), иногда платёжные. Если на сайте есть формы с паспортными данными или сведениями о здоровье — это отдельные, более чувствительные категории, и о них нужно сказать прямо.

Перечень действий, сроки и передача

Состав сведений на «кто и зачем» не заканчивается. Дальше — как именно с данными обращаются.

Перечень действий с данными. Что оператор делает с ПДн: сбор, запись, хранение, использование, передача, удаление. Посетитель вправе знать весь жизненный цикл своих данных, поэтому формальной отпиской тут не обойтись.

Сроки обработки и хранения. Как долго данные хранятся и что служит сигналом к их удалению. Бессрочное хранение «на всякий случай» — типичная ошибка: данные хранят ровно столько, сколько нужно для заявленной цели.

Передача третьим лицам. Если данные уходят подрядчику (сервису рассылок, CRM, аналитике, платёжному провайдеру), это нужно раскрыть. Особенно важно, когда данные обрабатываются за пределами России: трансграничная передача требует отдельного внимания и не может быть «по умолчанию».

Здесь же стоит отдельно проверить аналитику и внешние виджеты. Часто политика описывает формы на сайте, но молчит про счётчики и чаты, которые тоже собирают данные посетителей. Если не уверены, что именно подгружает ваш сайт, это видно в автоматической проверке сайта: она показывает, какие внешние сервисы реально работают на страницах.

Права субъекта и порядок их реализации

Отдельный блок политики — права человека, чьи данные обрабатываются, и как этими правами воспользоваться. Закон закрепляет за субъектом право на доступ к своим персональным данным: он может запросить подтверждение факта обработки, узнать её цели и способы, получить сведения об операторе и о том, какие именно данные обрабатываются. Это закреплено статьёй 14 Федерального закона 152-ФЗ.

Чтобы это право работало, в политике должно быть указано:

  • как направить запрос оператору (адрес, email);
  • в какой срок оператор отвечает;
  • как отозвать согласие на обработку и потребовать удаления данных.

Если политика перечисляет права субъекта, но не объясняет, куда писать и что будет дальше, получается декларация без механизма. Формально права есть, фактически воспользоваться ими нельзя.

Короткий чек-лист

Перед тем как считать политику готовой, пройдитесь по списку. В документе должны быть:

  • сведения об операторе и способ связи с ним;
  • цели обработки персональных данных;
  • правовые основания обработки;
  • категории обрабатываемых данных;
  • перечень действий с данными;
  • сроки обработки и хранения;
  • сведения о передаче третьим лицам, включая трансграничную;
  • права субъекта ПДн и порядок их реализации;
  • порядок отзыва согласия.

Что делать дальше

Скачанный шаблон закрывает в лучшем случае половину этого списка и почти всегда описывает абстрактный сайт, а не ваш. Главные расхождения возникают там, где политика говорит одно, а сайт делает другое: документ не упоминает аналитику, которая стоит на каждой странице, или обещает хранить данные «до отзыва согласия», хотя механизма отзыва на сайте нет.

Самый быстрый способ увидеть эти расхождения — сверить политику с тем, что сайт реально собирает. Наш сервис проверяет политику конфиденциальности и обработку ПДн на сайте: находит формы и внешние сервисы, сопоставляет их с текстом документа и показывает, каких обязательных сведений не хватает. Это не заменит юриста там, где нужна индивидуальная работа, но точно покажет, с чего начинать.

Нормативная база

  • Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ, часть 2 статьи 18.1 — обязанность оператора, собирающего данные через интернет, опубликовать документ о политике обработки персональных данных и обеспечить к нему неограниченный доступ.
  • Федеральный закон «О персональных данных» от 27.07.2006 № 152-ФЗ, статья 14 — право субъекта на доступ к своим персональным данным (подтверждение факта обработки, её целей и способов, сведений об операторе и обрабатываемых данных).

Проверьте свой сайт бесплатно

Сканер за ~30 секунд пройдёт по сайту и покажет нарушения с пунктами КоАП, вилкой штрафов и готовыми фиксами.

Бесплатно. Без регистрации. Полный отчёт со штрафами и КоАП.

Читайте также