Политика конфиденциальности данных: для кого нужна и как правильно ее составить

Что такое политика конфиденциальности

Что же такое политика конфиденциальности и какие еще связанные с ней термины стоит учесть в процессе ее создания? Раскроем подробно каждое из них далее.

• Политика конфиденциальности – это документ, описывающий принципы, цели, правовые основания, порядок и условия обработки персональных данных. Он регламентирует весь процесс работы с данными клиентов и должен быть оформлен у всех, кто так или иначе работает с информацией о потребителях товаров или услуг. Если вы используете на своем сайте или в социальных сетях формы обратной связи, регистрации, заказа, подписки и т.д., то вы обязаны иметь грамотно составленную политику конфиденциальности.
• Оператор персональных данных – это физическое или юридическое лицо, которое собирает, использует, обрабатывает и передает информацию не в бытовых целях. Многие ошибочно полагают, что операторами являются только крупные компании, однако это далеко не так. И самозанятые, и ИП также являются операторами, если у них на сайте размещена форма сбора контактов, если они собирают данные в соц сетях или в организации работают сотрудники.
• Согласие на обработку персональных данных – это документ, с которым должен ознакомиться и подписать клиент, если вы используете его данные. Без этого согласия их обработка не является законной.
• Субъект персональных данных – физическое лицо, чьи персональные данные обрабатывает оператор, т.е. клиент, который зашел к вам на сайт и заполнил форму обратной связи.
• Персональные данные (ПДн) – любая информация о субъекте персональных данных, т.е. его ФИО, дата рождения, контакты и так далее.

Кому нужна политика конфиденциальности?

Политика конфиденциальности необходима вам, если вы используете:

• Формы сбора обратной связи или контактов. Если вы используете на своем сайте или в социальных сетях формы, которые собирают любые данные о клиентах, то вам необходима политика конфиденциальности. Например, это могут быть формы регистрации, оформления заказа, подписки, обратного звонка. Сюда же относится и общение через виджеты онлайн-чатов и мессенджеры, потому что в таких случаях вы тоже получаете информацию о пользователе и обрабатываете ее.
• Системы аналитики. Яндекс Метрика, Roistat, Calltouch, CoMagic – популярные среди предпринимателей системы аналитики, которые с помощью специальных счетчиков наглядно отражают посещаемость сайта. Они удобны в использовании и позволяют бизнесу измерять результаты своей работы в цифрах. Однако, подобные программы тоже собирают данные о пользователях, и Роскомнадзор при проверке обнаруживает в том числе и их. Поэтому при создании политики конфиденциальности необходимо указать в ней все технические системы и сервисы, которые вы используете в работе. Об этом мы расскажем подробнее далее.
• Файлы cookies. Cookies – это небольшие текстовые файлы, которые отправляются веб-сервером в браузер. Они содержат информацию о пользователе (его тип подключения, время посещения сайта, переходы по ссылкам и страницам) и сохраняются на устройство.

Так или иначе, вы в любом случае получаете, используете и обрабатываете персональные данные. Вне зависимости от способа их сбора, используемых сервисов и программ, наличие правильно составленной политики конфиденциальности на вашем сайте является обязательным.

Как Privacy Policy поможет в маркетинге и продажах?

Помимо требований закона, правильно подготовленная документация на сайте отражает уровень вашей компании и ее современность в глазах клиентов. Правовое оформление сайта создает ощущение надежности, ответственности, защищенности, что формирует доверие людей к вашему бизнесу.

Это особенно важно, если вашими клиентами являются юридические лица, поскольку они могут передавать вам данные своих сотрудников или клиентов. Например, ваш клиент — организация заказывает у вас проведение тренинга для своей команды. В процессе регистрации или участия в мероприятии сотрудники вашего клиента могут передавать вам информацию о себе (ФИО, контактные данные, должность). В таком случае оператором персональных данных будет являться ваш клиент, и при возникновении у вас утечки данных отвечать перед законом придется именно ему.

Кроме того, у компаний покрупнее, часто есть сотрудники службы безопасности. Они регулярно проводят проверки всех контрагентов, и в первую очередь под такой анализ может попасть именно ваш сайт. Важно учитывать, что 19 статья федерального закона №152 обязывает оператора персональных данных проводить аудит своих подрядчиков, которым они передают персональные данные. Именно поэтому правовое оформление сайта может стать решающим фактором при заключении сотрудничества с вами.

Что должно быть в политике конфиденциальности?

Политика конфиденциальности должна отображать реальные бизнес-процессы и отвечать требованиям законодательства, изложенным в законе №152-ФЗ. Есть ряд разделов, которые необходимо внести в документ. Перечислим и раскроем подробнее каждый из них.

1. Оператор персональных данных
   В этом пункте политики конфиденциальности необходимо указать информацию о том, кто является оператором данных, предоставив все основные сведения о компании, такие как ее наименование, ИНН, ОГРН, адрес, контакты и реквизиты.
2. Категории субъектов персональных данных
   Здесь должны быть прописаны все группы лиц, чьи данные вы собираете, используете и обрабатываете в своей работе. Например, такими группами лиц могут быть ваши клиенты (реальные и потенциальные), соискатели или текущие работники, слушатели ваших вебинаров.
3. Цели обработки персональных данных
   Этот раздел должен подробно объяснить пользователю, для чего конкретно вы используете его данные, поскольку цели у каждого бизнеса разные. Так, если в случае с интернет-магазином сбор данных клиента необходим для оформления и доставки заказа, то онлайн-школа делает это в целях обучения и коммуникации с учащимися. Пользователь может также оформить подписку на новости компании, и тогда его электронная почта будет использоваться для отправки маркетинговых рассылок. Важно определить цели так, чтобы они отражали реальные бизнес-процессы в компании, потому что при проверке Роскомнадзором документ тщательно анализируется на предмет соответствия действительности.
4. Перечень персональных данных
   Как и цели обработки, типы персональных данных тоже могут отличаться в зависимости от бизнеса. Для того, чтобы провести обучающий вебинар, необходимо собрать имена и телефоны пользователей. А данные для найма нового сотрудника будут включать в себя сведения о его образовании, опыте и специализации.
5. Порядок и условия использования персональных данных
   Нужно детально описать весь процесс взаимодействия с персональными данными ваших клиентов. Пользователь в этом разделе должен увидеть информацию о том, какие именно формы вы используете, какие конкретно данные в них собираете и что будете с ними делать. Среди списка действий могут быть: сбор, запись, систематизация и структурирование в CRM-системе, накопление и хранение, использование, уточнение, передача уполномоченным обработчикам данным, обезличивание, блокирование, уничтожение и удаление.
6. Сроки хранения
   Этот раздел подразумевает, что пользователь вашего контента должен знать, как долго его данные будут храниться у вас. Следует указать реальные сроки взаимодействия с полученной информацией, а также объяснить, чем они обусловлены.
7. Передача персональных данных третьим лицам (обработчикам)
   Раздел носит дополнительный характер и должен содержаться в вашей политике конфиденциальности в случае, если вы передаете полученные данные третьим лицам. Например, подрядчикам, службам доставки или различным сервисам телефонии. Если вы используете веб-системы аналитики: Яндекс Метрика, Roistat, Calltouch, CoMagic или сервисы для коммуникации с клиентами: Mango Office, Zadarma, Wazzup, и др., то они тоже по умолчанию являются обработчиками данных ваших клиентов и сотрудников, поэтому обязательно нужно указывать в том числе и их. Сюда же относятся и CRM-системы: АМО, Битрикс24, 1С и прочие – как правило, именно в них происходит основная обработка персональных данных. Кроме того, под перечислением каждого третьего лица необходимо также описать и типы передаваемых данных, которые вы им передаете.

8. Меры по обеспечению безопасности персональных данных
   Передавая вам свои данные, пользователь должен убедиться, что они будут находиться в безопасности, и не попадут в руки мошенников. Для этого стоит обозначить, какие меры по обеспечению безопасности вы предпринимаете – они могут быть как организационными, так и техническими.

К организационным мерам относятся:

• Разграничение прав доступа к персональным данным по ролям в CRM-системе. Таким образом каждый сотрудник сможет видеть только ту информацию, которая ему нужна для работы. Менеджер по продажам не увидит данные клиентов других продажников, или сведения, которые нужны только бухгалтеру, и наоборот.
• Индивидуальные учетные записи. Под каждого сотрудника создается своя учетная запись с личным паролем, чтобы у третьих лиц не было доступа к персональным данным.
• Регулярные инструктажи для сотрудников. Специальные инструктажи по теме защиты персональных данных позволяют донести всю опасность утечек и закрепить ответственность.
• Подписание соглашений о конфиденциальности. При трудоустройстве новых сотрудников с ними подписывается договор о неразглашении персональных данных, который документально регламентирует зоны ответственности.

К техническим мерам относятся:

• Надежные пароли. Назначение сложных паролей на учетные записи сотрудников – это маленький, но важный шаг на пути к безопасности данных.
• Актуальное ПО. Регулярное обновление всех установленных на рабочие компьютеры программ помогает избежать критических ошибок, возможных в старых версиях.
• Двухфакторная аутентификация. Защищает от несанкционированного доступа, даже если ваш пароль украден.
• Антивирусы. Kaspersky, Dr.Web и PRO32 – популярные антивирусы, которые ищут и удаляют вредоносные файлы и программы до того, как они успеют причинить вред.
• Защищенные протоколы. Шифрование протоколами, такими как SSL/TLS, позволяют обеспечить конфиденциальность данных.
  Современные технические сервисы и системы. Например, это могут быть CRM или облачные хранилища.

9. Права субъектов персональных данных
   Обязательным элементом политики конфиденциальности являются также и четко прописанные права, которыми обладает субъект, передающий компании свои данные.

Клиент должен понимать, какими правами в отношении своих персональных данных он обладает, и среди них, как правило, в документе указываются следующие:

• Право на доступ к своим личным данным. Это право позволяет субъекту получить информацию о том, какие именно его данные собираются, как они обрабатываются и хранятся. При необходимости субъект также может внести в них изменения.
• Право обжаловать действия или бездействие оператора. Граждане могут оспорить или запросить прекращение действий, связанных с обработкой их данных, если считают их неправомерными или нарушающими их права
• Право требовать уничтожения своих персональных данных. Если информация о субъекте была получена оператором незаконно, или же не соответствуют указанным целям обработки, то субъект имеет право требовать уничтожить ее.
• Право отозвать согласие на обработку персональных данных. Клиент, от которого вы когда-то получили согласие на обработку его данных, имеет право в любой момент передумать и отозвать это согласие. Расскажем подробнее, как он может это сделать, далее.

Отличие политики конфиденциальности от положения о персональных данных

Некоторые ошибочно считают политику конфиденциальности и положение о персональных данных синонимами, однако это не так. В чем же отличие?

Положение о персональных данных – это большой локальный документ, описывающий и регламентирующий все процессы по обработке данных внутри компании, включая данные как клиентов и пользователей, так и сотрудников организации.

Политика конфиденциальности – это документ, который публично размещается на сайте компании для всех пользователей, оставляющих там свои персональные данные.

Положение о персональных данных отражает внутренние процессы обработки данных в компании и скорее ориентировано на ее сотрудников и то, как внутри организации должны соблюдаться требования законодательства. Адресатами этого документа выступают в первую очередь работающие в компании люди, ответственные за работу с данными. Также он может быть полезен для внутренних аудитов и проверок.

Политика конфиденциальности же, в свою очередь, адресована пользователям (клиентам, посетителям сайта или приложения) и рассказывает им, как компания взаимодействует с их персональными данными. Назначения у документов также разные – если положение необходимо, чтобы установить строгий порядок работы с данными внутри организации и письменно зафиксировать ответственность между сотрудниками, то целью политики конфиденциальности является информирование и ознакомление клиентов.

Можно ли скачать готовую Privacy Policy

Многие предприниматели прибегают к скачиванию готового документа с другого сайта, чтобы сэкономить время и деньги. Несмотря на доступность этого способа, он несет в себе большие риски для репутации и финансового положения бизнеса.

Политика конфиденциальности – это достаточно серьезный и объемный документ, который должен включать в себя множество элементов и учитывать все тонкости с точки зрения закона. Кроме того, каждый бизнес уникален, и процессы внутри разных компаний не могут быть одинаковыми.

Кто-то использует собственные формы сбора контактов, сверстанные на сайте, а кто-то применяет для этого специальные конструкторы внутри CRM-систем – соответственно, программное обеспечение, количество и состав обработчиков данных у двух этих организаций будут разными. Цели использования данных, типы данных и способы их обработки, как уже было сказано ранее, тоже зависят от уникальных особенностей именно вашей организации, а значит не могут быть одинаковыми. Поэтому единого решения для всех просто не существует, и чужая политика, написанная под процессы одной компании, не будет соответствовать процессам другой.

Поделиться в социальных сетях:

Андрей Лихачев

Руководитель компании

14 лет опыта

Более 400 выигранных дел

Автор статьи

120 публикаций на сайте

Подробнее о специалисте