Политика конфиденциальности

Автор статьи
Юлия Чуракова

Политика конфиденциальности — это документ, в котором компания рассказывает, как и зачем она использует персональные данные своих пользователей. 

Политику конфиденциальности обязаны размещать у себя на сайте все, кто собирают и обрабатывают персональные данные пользователей. Если этого документа нет или ему не следуют, можно получить штраф или даже блокировку.

Прежде чем говорить о политике конфиденциальности, важно понять, что в этой теме есть три важных понятия: оператор, субъект и персональные данные.

Оператор — человек, индивидуальный предприниматель или компания, которые собирают личные данные пользователей.

Субъект — человек, персональные данные которого собирает оператор. То есть пользователь, который зашел на сайт и решил, например, оставить заявку.

Персональные данные — это любая информация о пользователе, которая помогает его опознать. Например:

  • фамилия и имя,
  • телефон,
  • email,
  • домашний адрес,
  • фото,
  • дата рождения,
  • ссылки на профили в соцсетях.

Политику конфиденциальности могут называть по-разному, главное, чтобы в ней были все необходимые пункты. Вот самые распространенные варианты названий:

  • пользовательское соглашение,
  • положение об обработке персональных данных,
  • политика обработки данных для сайта,
  • политика приватности,
  • политика защиты персональных данных,
  • privacy policy.
политика конфиденциальности может называться по-разному

Вот так политика конфиденциальности называется на сайте Литрес

Чтобы лучше понять, что представляет собой такой документ, изучите несколько примеров политики конфиденциальности от разных компаний. Не все написаны простым языком, но по содержанию все окей:

Когда нужна политика конфиденциальности

На сайте есть формы для сбора контактов. Например, люди регистрируются, оставляют обратную связь, подписываются на рассылку или оформляют корзину — во всех эти случаях пользователи заполняют формы и передают свои персональные данные.

На сайте используют cookies. Это маленькие текстовые файлы, в которых хранится информация о посетителе сайта и его действиях. Например, логин, пароль, язык, время посещения, просмотренные страницы. 

Куки тоже относят к персональным данным. Так что если на сайте установлен счетчик Яндекс.Метрики или Google Analytics, то и политика конфиденциальности должна быть. Для cookies можно даже опубликовать отдельный документ.

Большинство сайтов используют инструменты сбора контактов и системы веб-аналитики, значит, политика персональных обработки данных нужна практическим всем. Интернет-магазинам, социальным сетям, образовательным платформам, сайтам с личными кабинетами. Посещаемость или возраст сайта не имеют значения.

Что будет, если на сайте нет privacy policy

Работу с персональными данными в РФ регулирует Закон №152-ФЗ «‎О персональных данных». Он запрещает использовать данные пользователей без их согласия, устанавливает условия обработки данных, а также определяет права субъекта и обязанности оператора. А статья 13.11 Кодекса об административных правонарушениях устанавливает ответственность за нарушение законодательства о персональных данных.

«‎Объединим» эти два закона и получится: если оператор не размещает на сайте политику, — или размещает, но не соблюдает, — ему грозит штраф.

Так как персональные данные чаще всего собирают компании, коротко пройдемся по штрафам для них. Вот самые частые случаи:

  • Если на сайте нет политики — 30–60 тыс. рублей.
  • Если на сайте есть политика, но компания не соблюдает ее условия — 60–100 тыс. рублей.
  • Если компания не объясняет пользователю, как она обрабатывает его данные, — 40–80 тыс. рублей.
  • Если персональные данные оказались некорректными, — и пользователь просит это исправить, а компания ничего не делает, — 50–90 тыс. рублей.

Наказание может ужесточаться, если компания совершает правонарушение не в первый раз. Помимо штрафов, оператору может грозить блокировка сайта. Например, пользователь пожалуется, что на сайте нет политики, и Роскомнадзор на время проверки ограничит к нему доступ.

В Архиве решений арбитражных судов и судов общей юрисдикции по запросу «Нарушение законодательства Российской Федерации в области персональных данных‎» находятся 214 документов. Причем наказывают по статье 13.11 даже крупные компании. Например, летом 2021 года Twitter, Facebook** и WhatsApp оштрафовали на 36 млн рублей за отказ локализовать данные российских пользователей на территории РФ.

Штрафы для операторов-физлиц или ИП — ниже. Если, к примеру, предприниматель, который держит небольшой салон красоты в Воронеже, не опубликует на сайте политику, то получит штраф от 10 до 20 тыс. рублей.

Из чего состоит политика конфиденциальности

Суть документа — объяснить пользователю, какую информацию о нем собирают и зачем. Писать можно в свободной форме. Главное — отразить все важные пункты.

Основные пункты

Информация об операторе. Обычно это наименование, адрес и контактные данные. Эти сведения могут быть в первом пункте «‎Общие положения».

Пример размещения информации об операторе в политике

Основания обработки персональных данных. Это законы, договоры оператора, пользовательское соглашение — те формальности, которые дают право использовать персональную информацию пользователей. Важно указать, что считается согласием на обработку личных данных — например, поставленная галочка рядом с соответствующим текстом.

Пример размещения оснований для обработки данных в документе

Цели сбора и обработки персональных данных. Здесь нужно доступно и исчерпывающе рассказать, зачем оператору данные. Например, интернет-магазин собирает их, чтобы сделать сайт более удобным, персонализировать контент, отправлять маркетинговые сообщения.

Это важнейший пункт. Нужно не только прописать все цели с точки зрения закона, чтобы Роскомнадзор при проверке не нашел ничего подозрительного. Но и написать понятно для пользователей, чтобы они не увидели темных пятен и не пожаловались в тот же Роскомнадзор.

Пример размещения целей сбора и обработки данных в документе

Перечень персональных данных, которые собирает оператор. Здесь обычно указывают все данные, которые посетители передают в формы на сайте (имя, почта, телефон). Или указывают информацию о поведении пользователя на сайте, которая будет содержаться в cookies (например, какой товар добавили в корзину).

Это второй по значению пункт — важно четко перечислить всю информацию, которую вы собираете. При этом не перейти границы — Роскомнадзор следит за тем, чтобы оператор не собирал больше данных, чем нужно для его работы. Например, если онлайн-школа при регистрации на сайте запрашивает домашний адрес человека — это настораживает.

Пример перечисления персональных данных в политике

Порядок и условия использования персональных данных. Объемный пункт (или даже несколько), где оператор рассказывает, как он будет обращаться с данными пользователей. То есть собирать их, обрабатывать, хранить, уничтожать. Нужно указать сроки обработки и хранения. Важно учесть все действия и написать так, чтобы у пользователей не осталось вопросов.

Пример размещения информации об условиях обработки данных в политике

Безопасность данных. В этом пункте оператор объясняет, как защищает персональные данные и не допускает их утечки. Например, применяет резервное копирование и не передает третьим лицам. Здесь же можно показать, как пользователь может защитить свои персональные данные — к примеру, отозвать согласие на использование.

Пример размещения информации о безопасности данных

Дополнительные пункты

Иногда операторам недостаточно основных пунктов и нужны дополнительные. Они делают политику более понятной и исчерпывающей.

Определение терминов. Так как политика — это документ, а документы мы читаем не каждый день, в ней могут быть непонятные определения. Лучше расшифровать такие термины, как оператор, обработка персональных данных или их уничтожение.

Передача персональных данных третьим лицам. Этот пункт важен, если оператор передает личную информацию субъектов кому-то еще — например, сервисам аналитики. Чтобы успокоить пользователя, можно объяснить, что от этой передачи не будет ничего плохого. Никто не начнет одолевать навязчивыми звонками, просто сайт будет более удобным.

Трансграничная передача данных. Пункт нужен, если оператор передает данные пользователей на территорию иностранных государств. Например, когда у компании есть филиалы в нескольких странах.

Часто задаваемые вопросы. Пункт прояснит все то, что потенциально беспокоит аудиторию конкретного оператора. Например, есть спортивный клуб, который собирает телефоны посетителей. Тогда в политике он может написать, что не будет постоянно звонить и предлагать купить новый абонемент.

Связь с оператором. Этим пунктом можно дополнительно позаботиться о человеке. Написать, куда он может обращаться, если возникнут вопросы по документу. Также пункт выручит, если у пользователя возникнут претензии.

Нет строго порядка, в котором нужно располагать пункты в политике конфиденциальности. Но можно ориентироваться на простую логику:

  • Сначала вводные положения, которые постепенно погрузят читателя в тему.
  • Потом самое важное — зачем оператор собираете данные и как с ними работает.
  • И, наконец, — дополнительные положения.

Подробнее о том, как составить и где размещать политику конфиденциальности, читайте в блоге Unisender.

Вы нашли ответ?

1
0