Какие документы должны быть по персональным данным в организации?
Согласно Федеральному закону от 27.07.2006 г. № 152-ФЗ «О персональных данных», в организации должны быть разработаны и утверждены следующие документы по обработке персональных данных: политика в отношении обработки персональных данных, политика конфиденциальности, локальные нормативные акты по обработке и защите персональных данных, инструкции по обработке персональных данных, договоры субподрядчиков на обработку персональных данных (в случае, если рассматриваемое направление передано на аутсорсинг) и иные документы, предусмотренные законодательством.
Что такое Политика в отношении обработки персональных данных
Политика в отношении обработки персональных данных — официальный документ, который регламентирует порядок сбора, использования, хранения и передачи персональных данных физических лиц. Документ обязателен для организаций, которые обрабатывают персональные данные, и должен быть разработан в соответствии с требованиями законодательства о защите персональных данных.
Что такое Политика конфиденциальности?
Политика конфиденциальности — заявление, в котором раскрываются некоторые или все способы, с помощью которых сайт собирает, использует и раскрывает персональные данные (личную информацию) посетителей сайта, а также управляет ими. Документ, регулирующий обработку персональных данных пользователей и размещаемый на сайте, который является ничем иным, как правилами, устанавливаемыми владельцем сайта в отношениях с пользователями. Цель фиксации и размещения таких правил — снизить риски из законодательства о персональных данных. Пользователь должен согласиться с политикой конфиденциальности, совершив определенное действие на сайте, как правило, проставляя галочку, например, при оформлении заказа. Политика конфиденциальности создается в соответствии с требованиями Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» (Постановление Тринадцатого ААС от 02.11.2023 г. № 13АП-30732/2023 по делу № А56-53279/2022).
Когда на сайте должна быть Политика конфиденциальности?
Политика конфиденциальности должна быть подготовлена для сайта (лэндинга), если на нем осуществляется сбор данных о пользователях.
Например, если на сайте есть:
- Форма обратной связи
- Форма заказа звонка
- Форма подписки
- Форма регистрации
- Форма заказа
- Яндекс. Метрика / GoogleAnalytics
Как получить согласие посетителя сайта на обработку персональных данных?
- Согласно статье 9 Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных», согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным. Это означает, что согласие должно быть явно выражено, и факт согласия должен быть подтвержден конкретными действиями субъекта. Поэтому клиент должен самостоятельно отметить галочку согласия на сайте. Использование настроек по умолчанию или галочек «отказа», при отсутствии доказательств изменений пользователем, не соответствует этому требованию. Стоит обратить внимание, что информированное согласие должно быть отдельным документом, на который можно перейти по гиперссылке в стандартном согласии с галочкой.
За что оператор может быть привлечен к ответственности (ч. 3 ст. 13.11 КоАП РФ)?
- За неопубликование Политики конфиденциальности;
- На сайте имеется Политика конфиденциальности, но документ не отражает реальные процессы сбора и обработки данных (шаблонный документ);
- Не указаны принципы, условия, цели обработки, виды данных, способы обеспечения их безопасности, права и обязанности, контакты оператора.