Политика ПД — документ “для галочки” или реальная защита бизнеса

WhatsApp
Telegram
ВКонтакте
Одноклассники
2 мин
Интернет право
Юрист Клеблеева Найля Равильевна объясняет: Политика ПД — документ “для галочки” или реальная защита бизнеса
Большинство компаний до сих пор воспринимают политику обработки персональных данных как формальность: «Нужно — значит разместим где-нибудь в подвале».

Большинство компаний до сих пор воспринимают политику обработки персональных данных как формальность:

«Нужно — значит разместим где-нибудь в подвале».

Скачали шаблон, вставили название компании — и забыли.

Проблема в том, что в момент проверки или жалобы этот «документ для галочки» становится главным доказательством против вас.

Политика обработки персональных данных (политика конфиденциальности) –

это не просто текст на сайте. Это документ, который показывает:

  • какие данные вы собираете;
  • зачем вы их собираете;
  • на каком основании;
  • кому передаёте;
  • как защищаете;
  • какую ответственность за защиту несете.

Требования установлены Федеральный закон № 152-ФЗ «О персональных данных».

И да — он обязателен практически для любого бизнеса, но сегодня о политике ПД в рамках бизнеса, имеющего сайт.

У таких компаний проблемы начинаются там, где бизнес делает политику «для вида»:

  • скачанный шаблон;
  • не совпадает с реальными процессами;
  • нет конкретики;
  • нет логики обработки данных.

И в итоге: документ есть, но он не защищает

Почему это опасно.

Политика — это первое, что смотрят при: жалобе пользователя, проверке, споре.

И если в ней:

❌ указано одно, а по факту другое
❌ нет ключевых элементов
❌ формулировки «размытые»

Это прямое доказательство нарушения

Типичные ошибки

Из практики:

  1. Одна политика “на всё”
    Без разделения целей: заявки, рассылки, аналитика.
  2. Нет правового основания
    Не указано, на каком основании обрабатываются данные.
  3. Игнор cookies (небольшие текстовые файлы) и аналитики
    Если данные реально собираются.
  4. Копипаст без адаптации.
    Указаны процессы, которых в бизнесе нет.
  5. Нет связи с формами на сайте.
    Политика сама по себе, формы — сами по себе.

Заканчивается это:

  • штрафами;
  • предписаниями об устранении нарушений;
  • блокировками обработки данных;
  • проблемами с рекламой и рассылками;
  • репутационными потерями.

И важный момент: жалобу может подать любой пользователь за пару минут.

Почему “галочка” не работает.

Политика — это только часть системы. И если у вас:

  • нет корректных согласий;
  • не разделены цели обработки;
  • нет логики хранения и передачи.

ПОЛИТИКА НЕ СПАСЕТ. 

Политика ПД — это не «бумажка». Это публичное описание того, как вы работаете с персональными данными. И если описание не совпадает с реальностью — это ваш же риск.

ВЫВОД:

Политика начинает работать, когда:

✔ соответствует реальным процессам;
✔ связана с формами и согласиями;
✔ учитывает все точки сбора данных;
✔ логически выстроена.

Только тогда она становится частью системы защиты.

Как это должно выглядеть в бизнесе!!!

Рабочая модель:

  • аудит сайта и процессов
  • выявление всех точек сбора данных
  • разделение целей (заявка / реклама / аналитика)
  • корректные тексты согласий
  • политика, которая отражает реальность
На ваш вопрос может ответить искусственный интеллект

Статья была полезна?

Не нашли ответа? Задайте вопрос юристам

0 Отзывы
Новые
Старые Популярные
Межтекстовые Отзывы
Посмотреть все отзывы

Подобные публикации

Вопросы по теме

  • Сайт должен запрашивать согласие пользователя на то что используются cookie?

    2 ответа

    Cайт (ИМ) должен по закону в обязательном порядке запрашивать согласие пользователя что на сайте используются cookie?
    На многих сайтах видел внизу строку или баннер с предупреждением и крестиком чтобы одобрить и закрыть предупреждение.
    Если обязательно, то как предупреждать пользователя? Строчка, баннер?

    Лагодич Евгений Владимирович

    В 2018 году в Европе появился регламент по защите личной инфо в интернете - GDPR, согласно которому пользователи получают доступ к личным данным и самостоятельно контролируют сбор и использование. После принятия документа сайты и стали спрашивать о файлах cookie. В России их сбор регулирует закон No152-ФЗ "О персональных данных".

    Таким образом как Вы будете уведомлять это особо не Важно, главное, чтобы уведомление было четким и хорошо читаемым.

    Радостева Анфиса Михайловна

    Иван, добрый день! Если у вас настроены cookies на сайте то строка уведомления об этом с согласием/несогласием (для посетителя сайта) обязательна!

  • Нужно ли в cookie-банере делать кнопки Принять/Отказаться согласно новым правкам 152-ФЗ?

    2 ответа

    Здравствуйте! Нужно ли в cookie-банере делать кнопки "Принять/Отказаться" в связи с новыми правками в 152-ФЗ?

    Некоторые юристы на данном портале пишут, что нужно и ссылаются на правку в 152-ФЗ, в котором указано обязательное наличие кнопок «Принять всё» / «Отклонить всё» (или аналогичных) в баннере о cookies. Это следует из п. 8.1 ст. 10.1 152-ФЗ (в ред. ФЗ №266-ФЗ от 02.07.2021) и Разъяснений Роскомнадзора №07-об/дги-11030 от 30.08.2023.

    Но, я прочитал закон и не нашел там таких тезисов. И так не могу понять, нужно или нет?

    Буду очень благодарен за развернутый ответ.

    Решетникова Ольга Николаевна

    Да, согласно изменениям в 152-ФЗ, необходимо включить в cookie-баннер кнопки "Принять всё" и "Отклонить всё" для управления согласиями пользователя. Это требование поддержано Роскомнадзором.

    Малюк Андрей Григорьевич

    Здравствуйте!

    Спасибо за ваш вопрос. Я понимаю, что эта тема может вызывать много вопросов и обсуждений. Действительно, в последнее время в законодательство вносятся изменения, и важно быть в курсе всех обновлений.

    Согласно Федерального закона № 266-ФЗ от 02.07.2021, действительно существуют определённые требования к информированию пользователей о сборе и использовании их персональных данных, включая данные, получаемые через cookies. Однако, как вы правильно заметили, в самом законе не содержится прямого указания на необходимость наличия именно кнопок «Принять всё» и «Отклонить всё».

    Тем не менее, для точного понимания всех требований и правильного оформления cookie-баннера, рекомендую обратиться к официальным разъяснениям Роскомнадзора.

    Я готов помочь вам разобраться в этом вопросе более подробно и предоставить профессиональную юридическую консультацию. Буду рад ответить на все ваши вопросы и помочь вам разобраться в этой ситуации. Обращайтесь ко мне за платной юридической помощью, и мы вместе найдём оптимальное решение для вашего проекта.

  • Необходимость включения в cookie-баннер кнопки \"Принять всё\" и \"Отклонить всё\"

    1 ответ

    Добрый день! Подскажите вырезку/номер/ссылку из рекомендаций РКН о необходимости включения в cookie-баннер кнопки "Принять всё" и "Отклонить всё" для управления согласиями пользователя.

    Спасибо!

    Колоколов Евгений Константинович

    Здравствуйте. Прямой обязанности иметь именно кнопки «Принять всё»/«Отклонить всё» в рекомендациях Роскомнадзора нет. См. «Рекомендации Роскомнадзора по обработке персональных данных при использовании файлов cookie» — в них указано требование информированного согласия и обеспечения возможности отказа/управления соглашениями. Найдёте на сайте rkn.gov.ru в разделе «Документы/Рекомендации» (по запросу «cookie»).

  • Можно ли продавать в интернет список строительных компаний России?

    3 ответа

    Можно ли продавать в интернет список строительных компаний России, если он содержит название компании, ее адрес (не полный) и email?

    Горохов Сергей Александрович

    Можно, это информация из открытого доступа, просто сгруппирована.

    Федорова Ольга Аркадьевна

    Можно, эта информацие есть в открытом доступе и не содержит охраняемых законом сведений

    Мерзликин Алексей Борисович

    Можете, эта информация является открытой, она не относится к интеллектуальной собственности.

  • Политика конфиденциальности

    4 ответа

    Как найти юриста который проведет аудит сайта и составит пользовательское соглашение/публичную оферту и политику конфиденциальности?
    сайт предоставляет услуги по подписке.

    Пименов Дмитрий Юрьевич

    Здравствуйте, готов подготовить Вам документы. Срок от 24 до 48 часов.

    С уважением, Дмитрий

    Радостева Анфиса Михайловна

    Добрый день! Могу помочь, провести аудит бесплатно, за вознаграждение подготовить публичную оферту или пользовательское соглашение (в зависимости от того, что какие именно услуги предоставляете).

    Пушкарева Елена Анатольевна

    Здравствуйте. Просто. Использовать ресурсы данного сайта по городам или по активности юристов.

    Ким Галина Владимировна

    Здесь много юристов - с кем "сойдетесь" (понимание друг друга + цена работы, сроки)

  • Разработка универсального пакета документов для сайта

    3 ответа

    Нам необходим пакет документов для сайта - политика конфиденциальности, согласие на рассылку и обработку данных и другие документы, которые будут необходимы. Сколько стоит? И что внутри? Нам нужны хорошие, актуальные документы

    Радостева Анфиса Михайловна

    Добрый день, Лидия! Могу Вам помочь с составлением документов. Опыт есть. По стоимости ориентировочно политика конфиденциальности - 8.000 руб., также необходимы для сайта: оферта (8.000 руб.) и/или пользовательское соглашение (5.000 руб.). Согласие на рекламную рассылку и согласие на обработку перс.данных подготовлю бесплатно. Если что, пишите в любой мессенджер по телефону в профиле!

    Пушкарева Елена Анатольевна

    Здравствуйте.

    Если нужны хорошие, с наделжашщим качеством, то они разрабатываются с учётом всех индивидуальных особенностей и с учётом защиты ваших интересов.

    Содержание, условия, редакция документов обсуждается в индивидуальном порядке

    Кайдаш Александр Владимирович

    Здравствуйте, пишите, сделаем. Мой сайт вам для примера.

  • Вопрос по 152-ФЗ для самозанятого разработчика автоматизаций (n8n, Telegram-боты)

    2 ответа

    Здравствуйте!
    Меня зовут Иван, я самозанятый специалист по автоматизациям.
    Работаю с платформой n8n — это система, которая позволяет автоматизировать бизнес-процессы: интеграции между Telegram-ботами, Google Sheets, CRM и другими сервисами.
    Например:

    клиент пишет в Telegram-бот → данные записываются в Google Sheets → уведомление идёт в CRM или в Telegram менеджеру.
    В некоторых случаях данные пользователей (имя, Telegram ID, телефон, email и т.д.) временно проходят через мои сценарии n8n.

    Я хочу работать полностью по закону и не нарушать 152-ФЗ «О персональных данных».
    Прошу помочь мне разобраться, что именно нужно оформить и как действовать, чтобы всё было правильно юридически.

    ⚖️ Мои вопросы:

    Нужно ли мне уведомлять Роскомнадзор, если я — самозанятый и делаю Telegram-ботов и автоматизации для клиентов?
    Если да — как правильно это сделать?

    Кто является оператором персональных данных в моём случае: я (как разработчик) или клиент (для кого я делаю автоматизацию)?

    Нужен ли мне договор поручения на обработку персональных данных между мной и клиентом, и что в нём должно быть прописано?

    Как оформить согласие пользователя в Telegram-боте, чтобы оно соответствовало требованиям 152-ФЗ (например, кнопка “Согласен”)?
    Какие обязательные пункты нужно включить?

    Можно ли использовать иностранные сервисы (Google Sheets, OpenAI, Airtable и т.д.), если я получаю отдельное согласие на трансграничную передачу данных?

    Как правильно локализовать хранение данных в РФ, если часть логики работает через n8n на моём сервере?
    Достаточно ли, чтобы мой n8n-сервер находился в российском дата-центре (например, Beget или Selectel)?

    Какие документы должны быть у меня, чтобы я соответствовал требованиям 152-ФЗ?
    (Политика конфиденциальности, регламент, журнал обращений, политика защиты ПД и т.д.)

    Какие меры защиты персональных данных мне нужно внедрить как разработчику (пароли, VPN, шифрование, бэкапы и т.д.)?

    Что грозит, если я случайно обработаю ПД без уведомления РКН или без полного пакета документов?
    (Чтобы понимать риски и приоритетность шагов.)

    Лаптев Ярослав Сергеевич

    Добрый день. Могу оказать помощь по данному направлению работы. Сроки, детали можем обсудить, если интересно.

    Малюк Андрей Григорьевич

    Здравствуйте, Иван!

    Спасибо за ваш вопрос. Я рад помочь вам разобраться в сложных юридических аспектах работы с персональными данными. Как специалист в этой области, я понимаю, насколько важно соблюдать все требования законодательства.

    1. Уведомление Роскомнадзора. Да, как оператор или организатор обработки персональных данных, вы должны уведомить Роскомнадзор о начале обработки персональных данных. Для этого необходимо подать уведомление в электронном виде через Единый портал государственных услуг. Я могу помочь вам с подготовкой всех необходимых документов и подачей уведомления в РКН.

    2. Оператор персональных данных. В вашем случае оператором персональных данных является то лицо, которое осуществляет обработку данных. Это может быть как вы (как разработчик), так и клиент (в зависимости от условий договора). Важно чётко определить, кто несёт ответственность за обработку данных в каждом конкретном случае.

    3. Договор поручения на обработку персональных данных. Да, вам необходим договор поручения на обработку персональных данных между вами и клиентом. В договоре должны быть прописаны все условия обработки данных, включая цели, сроки, права и обязанности сторон, а также меры по обеспечению безопасности данных. Я могу помочь вам разработать такой договор, который будет соответствовать всем требованиям законодательства.

    4. Согласие пользователя в Telegram-боте. Согласие пользователя должно быть оформлено в соответствии с требованиями 152-ФЗ. Это может быть кнопка «Согласен» в интерфейсе бота, но важно, чтобы пользователь понимал, какие данные будут обрабатываться и для каких целей. Я могу помочь вам разработать форму согласия, которая будет соответствовать всем требованиям.

    5. Использование иностранных сервисов. Использование иностранных сервисов возможно при наличии отдельного согласия на трансграничную передачу данных. Однако важно учитывать требования законодательства и обеспечивать соответствие обработки данных международным стандартам. Я могу помочь вам разобраться в этих требованиях и разработать соответствующие процедуры.

    6. Локализация хранения данных в РФ. Для обеспечения соответствия требованиям законодательства, данные пользователей должны храниться на территории РФ. Размещение сервера в российском дата-центре может быть одним из способов обеспечения этого требования, но важно учитывать все аспекты. Я могу помочь вам разработать стратегию локализации хранения данных.

    7. Необходимые документы. Для соответствия требованиям 152-ФЗ у вас должны быть следующие документы: политика конфиденциальности, регламент обработки персональных данных, журнал обращений, политика защиты персональных данных и другие документы, необходимые для обеспечения соответствия. Я могу помочь вам разработать все необходимые документы.

    8. Меры защиты персональных данных. Вы должны внедрить меры по обеспечению безопасности персональных данных, включая использование паролей, VPN, шифрования, бэкапов и других средств. Я могу помочь вам разработать комплексную систему защиты данных.

    9. Риски и последствия. Невыполнение требований законодательства может привести к штрафам и другим санкциям. Я могу подробно рассказать вам о возможных рисках и помочь разработать стратегию минимизации этих рисков.

    Я готов предоставить вам более подробную информацию и помочь с подготовкой всех необходимых документов. Если вам потребуется юридическая помощь, я буду рад предложить свои услуги. Пожалуйста, свяжитесь со мной для обсуждения деталей.

  • Как самозанятому составить документы для сайта?

    4 ответа

    Добрый день! Я работаю как самозанятый и хочу сделать сайт - по сути интернет-магазин. Как я понимаю, мне необходимо оформить документы: публичная оферта, политика конфиденциальности, согласие на обработку персональных данных.

    В примерах, которых нахожу, я вижу, что надо указывать помимо ФИО, еще и ИНН и паспортные данные. Но я не понимаю, это же будет висеть в публичном доступе, то есть любой может воспользоваться моими данными в неправомерных целях. Можно ли не указывать в этих документах паспорт и ИНН? Хватит ли только ФИО?

    Захаров Александр Юрьевич

    Да, для стандартного оформления договора и оплаты услуг, как правило, хватает ФИО и ИНН. Запрос паспортных реквизитов оправдан только для целей дополнительной верификации и часто является излишним. Однако при работе с персональными данными важно соблюдать требования закона №152-ФЗ. В частности, необходимо получить согласие самозанятого на обработку его информации. С 1 сентября 2025 года получать согласие нужно в виде отдельного документа — то есть его нельзя включать в текст договора, анкет и других документов. Перед размещением политики конфиденциальности рекомендуется проверить, какие данные собираются и цели их сбора, а также иные положения политики.

    Питниченко Александр Юрьевич

    При желании ваши данные и без того можно найти, в вашем случае достаточно ФИО и ИНН, т.к. По ИНН будут проверять являетесь вы НПД или нет. В остальном нужно делать документы с учетом вашей деятельности.

    Якубова Ольга Алексеевна

    Кристина, добрый день! Для самозанятого в документах на сайте (оферта, политика, согласие) достаточно указать ФИО, ИНН и контактные данные, паспорт светить не нужно. ГК РФ и Закон о ЗПП требуют, чтобы потребитель мог идентифицировать продавца, но не обязывают размещать серию/номер паспорта в открытом доступе; для договоров с самозанятыми обычно хватает ФИО, ИНН и банковских реквизитов без паспорта и прописки. При этом закон о рекламе и разъяснения ФНС/ФАС требуют указывать ИНН самозанятого в интернет‑рекламе и на сайте, если там есть коммерческое предложение, поэтому полностью убрать ИНН нельзя, а вот паспортные данные лучше оставить только в «внутренних» договорах, не выкладывая их в публичный доступ.

    Ким Галина Владимировна

    1. Самозанятые не могут заниматься перепродажей, поэтому магазин может продавать только то, что они создали сами.
    2. создание сайте зависит от платформы, домена, хостинга и т д идентифицировать личность они должны (ваш паспорт - не отражается на вашем сайте в документах).данные нужны для договора.
    3. на самом же сайте, который видят пользователи, есть структура обязательных документов: инн, орг-правовая форма в вашем случае самозанятый, фио, контактная инфа и обязательные до-ты - публичная оферта, политика конфиденциальности, согласие на обработку персональных данных.

  • Нарушил правила ИБ, отправил файл с персональными данными на личную почту

    1 ответ

    Нарушил правила ИБ, отправил файл с персональными данными на личную почту. Какие могут быть последствия? От ИБ компании пришло письмо с уведомлением об инциденте.

    Пилипенко Игорь Александрович

    Возможные меры ответственности за нарушение правил интеллектуальной безопасности указаны в соответствующем регламенте или инструкции для сотрудника.

  • ООО игнорирует письма и отзыв персональных данных

    3 ответа

    Куда обращаться в данной ситуации? Здравствуйте, имею претензию к юридическому лицу (ооо) по вопросам хранения персональных данных (я пытаюсь отозвать согласие на обработку). Изначально пытался отозвать согласие на обработку через их e-mail, но по «их регламенту» они удаляют только профиль (он не является персональными данными), для чего я должен прислать им фото паспорта. Это их слова в ответах. Это абсурд и я буду жаловаться в Роскомнадзор .
    Отправил им письмо почтой России, но они игнорируют письмо и не забирают его. Написал им по электронке напоминание, что юр.лица обязаны забирать корреспонденцию, отправленную на их адрес. Получил такой ответ: « К сожалению все обращения обрабатываются исключительно в рамках чата на сайте, в приложении или на данном адресе электронной почты.»
    Так вот вопросы: помимо обращения в Роскомнадзор по нарушению фз о персональных данных, как можно наказать по закону ООО за игнорирование обязанности забирать корреспонденцию (ведь они сознательно признаются в нарушении ГК РФ статья 54) и куда мне обратиться, чтобы заставить их удалить мои персональные данные (ведь Роскомнадзор только оштрафует за нарушения, а мои обращения они игнорируют)

    Пилипенко Игорь Александрович

    В таких случаях следует обращение в суд. Иск о компенсации морального вреда, причинённого вследствие нарушения прав субъекта персональных данных, может предъявляться также в суд по месту жительства истца. Одним из способов защиты гражданских прав является компенсация морального вреда (статьи 12, 151 Гражданского кодекса Российской Федерации). Под моральным вредом понимаются нравственные или физические страдания, причиненные действиями (бездействием), посягающими на принадлежащие гражданину от рождения или в силу закона нематериальные блага или нарушающими его личные неимущественные права (например, жизнь, здоровье, достоинство личности, свободу, личную неприкосновенность, неприкосновенность частной жизни, личную и семейную тайну, честь и доброе имя, тайну переписки, телефонных переговоров, почтовых отправлений, телеграфных и иных сообщений, неприкосновенность жилища, свободу передвижения, свободу выбора места пребывания и жительства, право свободно распоряжаться своими способностями к труду, выбирать род деятельности и профессию, право на труд в условиях, отвечающих требованиям безопасности и гигиены, право на уважение родственных и семейных связей, право на охрану здоровья и медицинскую помощь, право на использование своего имени, право на защиту от оскорбления, высказанного при формулировании оценочного мнения, право авторства, право автора на имя, другие личные неимущественные права автора результата интеллектуальной деятельности и др.) либо нарушающими имущественные права гражданина.

    Ватолин Александр Иванович

    Если вы имеете претензии к юридическому лицу (ООО) по вопросам хранения персональных данных, вы можете обратиться в Федеральную службу по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) для защиты своих прав.Вы можете подать жалобу на нарушение правил обработки персональных данных, а также на игнорирование обязанности забирать корреспонденцию. Роскомнадзор может провести проверку и принять меры в соответствии с законодательством Российской Федерации.Кроме того, вы можете обратиться в суд для защиты своих прав, в том числе на удаление ваших персональных данных. В этом случае вам может потребоваться юридическая помощь для составления заявления и других необходимых документов.Важно помнить, что за нарушения правил обработки персональных данных предусмотрены административные и уголовные наказания, включая штрафы и уголовную ответственность. Поэтому рекомендуется обратиться за юридической помощью и соблюдать все требования законодательства при защите своих прав.

    Янышев Ян Альбертович

    Понудить (обязать) организацию исполнить Ваши требования о прекращении обработки Ваших персональных данных можно в судебном порядке, предъявив соответствующий иск по месту нахождения организации. То обстоятельство, что организация не предприняла никаких мер по получению Вашего письма, направленного её по почте, не является препятствием для предъявления указанного иска. По смыслу ст. 165.1 ГК РФ неполучение организацией письма из отделения почтовой связи не означает, что письмо не доставлено, напротив, означает, что письмо получено, т.к. организация по собственной воле не приняла никаких мер по получению письма. Будет необходима помощь - обращайтесь.

Мы используем cookie, чтобы сайт работал лучше