Политика обработки персональных данных на сайте: что должно быть внутри

Политика обработки персональных данных — это не формальность и не просто «политика конфиденциальности». Для сайта она показывает пользователю и проверяющему органу, кто является оператором, какие данные собираются, зачем они нужны, как используются, кому передаются, сколько хранятся и как субъект может реализовать свои права. Если политика составлена как общий шаблон, она часто не совпадает с реальной работой сайта.

Закон требует, чтобы оператор обеспечил неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных. Если сбор идет через интернет, политика должна быть опубликована на сайте, в том числе на страницах, где собираются данные. Поэтому ссылка только в футере иногда недостаточна: пользователь должен видеть ее рядом с формой, через которую оставляет данные.

Политика информирует о правилах обработки данных. Согласие выражает волю конкретного человека на обработку его данных в конкретных целях. Эти документы нельзя подменять друг другом. Ошибка многих сайтов — в форме написано «даю согласие в соответствии с политикой», но отдельного текста согласия нет. В результате есть информационный документ, но нет полноценного подтверждения согласия.

Политика должна быть шире согласия: она описывает все процессы оператора. Согласие, наоборот, должно быть конкретным и привязанным к определенной форме или цели: заявка, консультация, запись, обратная связь, рассылка, регистрация, участие в мероприятии.

• полное наименование оператора, адрес, контакты;
• перечень категорий субъектов: клиенты, пользователи сайта, сотрудники, кандидаты, контрагенты;
• категории персональных данных по каждой группе;
• цели обработки: консультация, заключение договора, обратная связь, исполнение закона, рассылка, кадровый учет;
• правовые основания обработки;
• перечень действий с данными: сбор, запись, хранение, уточнение, использование, передача, удаление;
• сроки обработки и условия прекращения;
• сведения о передаче подрядчикам и третьим лицам;
• порядок реализации прав субъекта и отзыва согласия;
• меры защиты данных;
• условия трансграничной передачи, если она есть.

Шаблон не знает, какие формы стоят на вашем сайте, какая CRM подключена, где хостинг, кто принимает заявки, используются ли онлайн-чаты, идет ли рассылка, передаются ли данные в рекламные кабинеты и есть ли сотрудники с доступом к базе. Из-за этого шаблонные политики часто содержат взаимоисключающие пункты: данные «не передаются третьим лицам», но тут же указана передача хостингу и платежному агрегатору; срок хранения «до достижения цели», но цель описана так широко, что срок невозможно определить.

Для SEO и доверия клиента политика тоже важна. Пользователь видит, насколько аккуратно компания работает с юридическими документами. Если политика написана чужими реквизитами, содержит другой город, другой вид деятельности или неработающие ссылки, это снижает доверие еще до обращения.

• политика называется «конфиденциальность», но не содержит обязательных сведений об операторе;
• в политике нет конкретных целей обработки;
• не описаны формы сайта и фактические каналы получения данных;
• не указаны подрядчики или категории лиц, которым передаются данные;
• не описаны cookie и аналитика;
• нет порядка отзыва согласия и обращения субъекта;
• документ скрыт, недоступен или открывается не на страницах сбора данных;
• политика не обновлялась после изменений законодательства и изменения сервисов сайта.

Политику нужно пересматривать не только при изменении закона, но и при изменении сайта. Добавили форму записи, подключили CRM, сменили хостинг, внедрили виджет обратного звонка, запустили рекламную аналитику, начали принимать резюме — нужно проверить документ. Иначе политика описывает старую схему, а фактическая обработка уже другая.

Хорошая политика не должна быть чрезмерно рекламной или запутанной. Она должна быть понятной пользователю и достаточно полной для проверки. Оптимальный подход — сначала составить карту обработки данных, затем подготовить документ под конкретную компанию.

Если нужно быстро понять, какие документы и действия нужны именно вашей компании, можно направить сайт, форму сбора данных, договоры с подрядчиками или письмо Роскомнадзора на предварительный разбор через kurnev.ru. Такой аудит помогает отделить реальные риски от формальных замечаний и подготовить понятный план исправлений.