Если вам нужна политика обработки персональных данных образец 2024, то эта информация будет полезна для вас и вашей компании. Здесь вы найдете актуальные советы о том, как не навредить своему бизнесу поспешно скачанным образцом документа.
Также мы разберем ТОП-5 ошибок, которые допускают операторы персональных данных, пользуясь шаблонами и формами политики конфиденциальности.
Содержание
- Политика конфиденциальности или политика обработки персональных данных – как правильно?
- Что нужно знать перед тем, как скачать образец политики?
- Обязательные положения в тексте политики 2024
- Утверждение политики — приказ и иные локальные документы
- Штрафы за отсутствие политики конфиденциальности
- ТОП-5 ошибок в политике конфиденциальности на сайте в 2024
- Как правильно издать политику обработки ПД в 2024
- Цена политики обработки персональных данных
Политика конфиденциальности или политика обработки персональных данных – как правильно?
В сети можно встретить различные названия политики в отношении обработки персональных данных:
- политика защиты персональных данных
- политика конфиденциальности и обработки персональных данных
- политика безопасности персональных данных
- и другие.
Как правильно? Законодатель использует понятие «документ, определяющий политику оператора в отношении обработки персональных данных» — это следует из содержания Закона о персональных данных (ст. 18.1 ФЗ-152).
Кроме того, законодатель в ст. 7 Закона о персональных данных устанавливает для оператора обязанность обеспечивать конфиденциальность персональных данных. Операторы обязаны не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
Вывод. Применительно к теме персональных данных понятие «политика конфиденциальности» будет более узким, чем «политика обработки персональных данных». Политика конфиденциальности здесь — это только про раскрытие и передачу данных третьим лицам, то есть соответствующий раздел Политики обработки персональных данных.
Следовательно, при разработке и опубликовании документа корректно будет назвать документ «политика ИП Пупкина в отношении обработки персональных данных».
Далее перейдем к содержательной части документа.
Что нужно знать перед тем, как скачать образец или форму политики конфиденциальности в 2024?
Любой скачанный образец документа — это не панацея. Форма политики конфиденциальности либо образец политики персональных данных 2024 не исключение. Очевидно, что скачанный образец политики конфиденциальности может как помочь (например, сэкономить время), так и существенно навредить.
Как может навредить скачанная на коммерческих ресурсах политика персональных данных 2024? Очень просто.
Во-первых, она не учитывает специфику работы именно вашего бизнеса и особенности того, как вы фактически в реальности обрабатываете персональные данные пользователей своих сайтов.
Важно помнить, что политика конфиденциальности — это не просто формальный документ, который повесили на сайт и забыли. Раньше так оно и было, но не сейчас. Это базовый документ, который будет проверять Роскомнадзор в случае, если получит на вас жалобу и начнет проверку.
Например, вы хотите скачать форму политики конфиденциальности. Вы ищете её в сети и встречаете документ под названием «Политика конфиденциальности для интернет-магазина скачать». Или другое название — «Политика конфиденциальности для онлайн-школы скачать».
Первое, что нужно сделать — это задуматься. Потому что сам по себе заголовок ещё ни о чем не говорит. Не исключено, что это обычный неактуальный документ, и его название просто оптимизировал заботливый seo-специалист.
Во-вторых, такой образец быстро устаревает, поскольку законодательство в области персональных данных динамично развивается и постоянно меняется. Меняется судебная практика и позиции Роскомнадзора в отношении персональных данных.
Какой сделаем вывод? Даже если вы скачали форму документа под названием «Политика обработки персональных данных образец 2024» — это не гарантия. В частности, не гарантия того что вы скачали актуальный рабочий документ. За год может произойти много изменений, и не факт, что автор образца документа их отразил.
Таким образом, любую политику в отношении обработки персональных данных необходимо обновлять и держать руку на пульсе.
Обязательные положения в тексте политики конфиденциальности на сайте 2024
Из содержания ст. 18.1 Закона о персональных данных следует, что оператор персональных данных обязан издать:
- документ, определяющий политику оператора в отношении обработки персональных данных
- локальные акты, которые устанавливают процедуры, направленные на предотвращение и выявление нарушений законодательства РФ, устранение последствий таких нарушений.
- локальные акты по вопросам обработки персональных данных. Такие акты должны определять для каждой цели обработки персональных данных:
- категории и перечень обрабатываемых персональных данных
- категории субъектов, персональные данные которых обрабатываются
- способы, сроки их обработки и хранения
- порядок уничтожения персональных данных при достижении целей их обработки или при наступлении иных законных оснований
Роскомнадзор рекомендует включать в политику конфиденциальности такие структурные компоненты (Рекомендации Роскомнадзора от 31 июля 2017 г.)*:
- цели сбора персональных данных
- правовые основания обработки персональных данных
- объем и категории обрабатываемых персональных данных
- порядок и условия обработки персональных данных
- актуализация, исправление, удаление и уничтожение персональных данных
- ответы на запросы субъектов на доступ к персональным данным
Дополнительно оператор может включать и иные разделы в зависимости от специфики своего бизнеса и порядка обработки данных.
Утверждение политики обработки персональных данных на сайте — приказ и иные локальные документы
Политика в отношении обработки персональных данных на сайте — это не единственный локальный документ, который обязан издать оператор.
Кроме того, законом не предусмотрен исчерпывающий перечень таких документов. Каждый оператор разрабатывает и утверждает пакет документов самостоятельно с учетом специфики своей деятельности и категорий субъектов и данных, которые он обрабатывает.
Например, существенно отличается пакет документов ИП, у которого нет работников и у которого небольшой интернет-магазин без личного кабинета пользователя, от пакета документов ООО, в котором есть работники и у которого есть маркетплейс.
В частности, к числу распространенных документов также относятся:
- Положение о работе с персональными данными и приказ о его утверждении
- Положение о защите персональных данных и приказ о его утверждении
- Приказ об утверждении политики в отношении обработки персональных данных
- Приказ о назначении ответственного за организацию обработки персональных данных
- иные локальные акты.
Повторимся, наличие и содержание документов будет зависеть от специфики деятельности оператора. Также зависит от того, как именно и какие именно данные он обрабатывает.
Штрафы за отсутствие политики конфиденциальности
Если оператор не опубликовал на сайте политику обработки персональных данных, то он может получить штраф. Так, ч. 3 ст. 13.11 КоАП РФ устанавливает следующие размеры штрафов за отсутствие политики конфиденциальности:
- граждане: 1 500 — 3 000 руб.
- должностные лица: 6 000 — 12 000 руб.
- ИП: 10 000 — 20 000 руб.
- юридические лица: 30 000 — 60 000 руб.
Кому-то данные штрафы могут показаться небольшими, но это не повод расслабляться. Если в ходе проверки выявлены нарушения и назначены штрафы за отсутствие политики конфиденциальности, то почти со 100% вероятностью будут выявлены и иные связанные нарушения.
В частности, могут быть назначены штрафы за отсутствие согласия на обработку персональных данных или за отсутствие уведомления о намерении обрабатывать персональные данные. Также может быть назначен штраф за трансграничную передачу данных и так далее.
Следовательно, по совокупности это уже иные размеры штрафов. В частности, размеры штрафов в сфере персональных данных могут достигать 1,5 млн., а в ряде случаев — 6 млн. руб. за каждое нарушение.
Кроме того, законодательство в области защиты персональных данных постоянно развивается. В настоящее время можно отметить тенденцию на увеличение штрафов для предпринимателей за обработку персональных данных с нарушением закона.
Поэтому целесообразно приводить все документы в порядок и осуществлять надлежащую защиту персональных данных.
ТОП-5 распространенных ошибок в политике конфиденциальности на сайте в 2024
В ходе работы мы анализируем много документов в области персональных данных. Поэтому можем выделить такие ошибки при скачивании политики в отношении персональных данных:
- налить воды, но не отразить главное и обязательное
- скачать образец политики или взять политику «соседа», без учета специфики работы своей компании. Например, многие даже не меняют данные об операторе (такое можно увидеть на сайтах даже сейчас)
- создать политику, но не разработать иные локальные акты по персональным данным
- поручить разработку политики не юристу, который специализируется на этом, а маркетологу или программисту или еще кому-нибудь
- относиться к документам по персональным данным несерьезно: никто ведь не жалуется на нас пока и не проверяет
Как правильно издать политику обработки персональных данных в 2024
В финале разберем базовые моменты и этапы работы, которые важны при разработке и издании документов в области персональных данных. В идеале, всё должно выглядеть так:
- для начала, разберите ситуацию на молекулы с квалифицированным юристом. Нужно четко и последовательно зафиксировать весь процесс обработки персональных данных в вашей компании. Это будет что-то вроде брифа со всеми нюансами.
- после юрист обязан дать вам рекомендации, что и как нужно сделать для того, чтобы обеспечить защиту персональных данных в компании (комплекс мер).
Подготовительный этап окончен.
- затем юрист разрабатывает для вас проекты всех предусмотренных законом документов. В том числе, политику обработки персональных данных
- после согласования и подписания документов вы размещаете их в соответствующих разделах на сайте
- далее перед началом обработки персональных данных вы уведомляете об этом РКН. Если планируется трансграничная передача данных — тоже уведомляете.
И это еще не всё.
Затем ваш юрист мониторит все изменения в законодательстве и судебной практике и сообщает вам, если нужно что-то изменить. Вы вносите изменения и работаете спокойно. Кстати, именно поэтому лучше взаимодействовать со специализированным юристом — он в курсе всех изменений.
Автор: Марина Новицкая, юрист и основатель юридической фирмы Итербиум.
Чем может помочь Итербиум
Мы разрабатываем четкие, понятные и рабочие политики обработки персональных данных и все сопутствующие документы. Не используем чужие формы и образцы, работаем индивидуально под каждый запрос и учитываем нюансы и специфику деятельности каждого оператора.
Делаем всё по уму, продумываем тонкости. Видим ситуации наперед, поскольку глубоко понимаем и знаем законы и правоприменительную практику.
Стоимость политики в отношении обработки персональных данных
Цены ориентировочные, зависят от объема услуг и будут установлены индивидуально по результатам первичного опроса.
- Разработка политики обработки персональных данных — от 15 000 руб.
- Разработка полного пакета документов для утверждения политики обработки персональных данных — от 20 000 руб.
- Консультация юриста по персональным данным — от 15 000 руб.