СтатьиУслугиИнструментыГлоссарийО портале
Получить аудит
Соответствие11 мин чтения8 934

Политика конфиденциальности: как составить по ФЗ-152 в 2024 году

Как составить политику конфиденциальности по ФЗ-152: обязательные разделы, требования Роскомнадзора, типичные ошибки, ответственность и рекомендации по обновлению документа.

А
Александр Петров
Эксперт по ФЗ-152
12 марта 2024 г.
Политика конфиденциальности: как составить по ФЗ-152 в 2024 году
Главное за 30 секунд
  • Политика обязательна для любого сайта, собирающего персональные данные
  • Документ должен быть доступен без регистрации и размещён по прямой ссылке
  • Скопированный шаблон без адаптации не защищает от штрафов и претензий РКН
  • Политика обязана отражать реальные процессы обработки данных в компании
  • Обновлять документ нужно при изменении сервисов, целей обработки или состава данных

Что такое политика конфиденциальности

Политика конфиденциальности — документ, в котором оператор описывает, какие данные собирает, зачем, как хранит и передаёт.

Статья 18.1 ФЗ-152 обязывает оператора публиковать этот документ. Это обязательное требование для любого оператора.

Отсутствие политики — нарушение

Штраф для юрлица — от 30 000 до 60 000 рублей. Проверяющий РКН проверяет наличие документа в первую очередь.

Обязательное содержание

| Раздел | Что описывать | |---|---| | Общие положения | Кто оператор, на кого распространяется политика | | Категории ПД | Какие данные собираются | | Цели обработки | Зачем нужны данные | | Правовые основания | Согласие, договор, законная обязанность | | Способы обработки | Автоматическая, ручная, смешанная | | Передача третьим лицам | Кому и для чего передаются данные | | Трансграничная передача | Передача в другие страны (если есть) | | Сроки хранения | Сколько хранятся данные | | Права субъектов | Как запросить, изменить, удалить данные | | Меры защиты | Технические и организационные меры |

Чек-лист политики конфиденциальности
  • Политика опубликована на сайте без регистрацииобязательно
  • Документ содержит все обязательные разделыобязательно
  • Описаны реальные данные, которые вы собираетеобязательно
  • Указаны конкретные цели обработкиобязательно

Типичные ошибки

| Ошибка | Последствие | |---|---| | Использование шаблона без адаптации | Несоответствие фактической обработке данных | | Нет информации о cookie и аналитике | Нарушение требований прозрачности | | Не указаны подрядчики и сервисы | Претензии РКН при проверке | | Политика недоступна без регистрации | Нарушение ст. 18.1 ФЗ-152 | | Не обновляется после изменения сервисов | Документ становится недостоверным |

Риск

Если на сайте подключены CRM, аналитика, чат-виджеты, сервисы рассылок или коллтрекинг — они должны быть отражены в политике. Проверяющие сопоставляют текст документа с фактической работой сайта.

Когда нужно обновлять политику

Политика конфиденциальности не является «разовым» документом. Её необходимо пересматривать при любом изменении обработки данных.

Обновление обязательно, если:

  • На сайте появились новые формы сбора данных
  • Подключён новый сервис аналитики или CRM
  • Изменились цели обработки ПД
  • Добавлена трансграничная передача
  • Изменились сроки хранения данных
  • Компания начала использовать cookie для маркетинга
  • Изменились реквизиты оператора

Рекомендуемая практика

  • Проверять актуальность политики минимум раз в год
  • Хранить историю изменений документа
  • Назначить ответственного за актуальность политики
  • Синхронизировать политику с внутренними регламентами

FAQ: частые вопросы

Вопросы о политике конфиденциальности

Да, если ссылка видна, работает без авторизации и ведёт на отдельную читаемую страницу. Но для форм сбора данных дополнительно рекомендуется размещать ссылку рядом с чекбоксом согласия.
Да. Закон не запрещает объединение документов. Главное — чтобы информация о cookie, аналитике и маркетинговых технологиях была раскрыта отдельно и понятным языком.
Формальной ежегодной обязанности нет. Но оператор обязан поддерживать документ в актуальном состоянии. Если изменились сервисы, цели обработки или состав данных — обновление обязательно.
Только если сайты полностью совпадают по процессам обработки данных. На практике у разных сайтов отличаются формы, сервисы и цели обработки, поэтому обычно требуется отдельная адаптация.
Да. Индивидуальный предприниматель является оператором ПД наравне с юридическим лицом и обязан публиковать политику при сборе персональных данных через сайт.
Политика конфиденциальности соответствует требованиям РКН?
Проверим сайт и документы — за 2 рабочих дня
Проверить политику
А
Александр Петров
Юрист · Эксперт по ФЗ-152
Консультирует средний и крупный бизнес по вопросам соответствия требованиям закона о персональных данных. Более 8 лет практики.
Читайте такжеВсе статьи кластера
Штрафы14 мин
Штрафы по ФЗ-152: полный размер и как избежать
Читать
Проверки10 мин
Проверка Роскомнадзора: как подготовиться
Читать
Основы8 мин
Что такое ФЗ-152: основы для бизнеса
Читать