Как это работает на практике
В политике обработки ПДн достаточно указать категории лиц, которым могут передаваться данные:
- хостинг-провайдеры и компании, обеспечивающие работу сайта;
- операторы колл-центров и коллтрекинга;
- сервисы CRM и учёта заявок;
- платёжные системы;
- государственные органы, если такая передача предусмотрена законом.
Если в политике перечислить конкретные сервисы (например, «Яндекс.Облако», «Битрикс24»), при их замене придётся вносить изменения в документ и публиковать новую редакцию. Поэтому юристы рекомендуют описывать именно категории подрядчиков, а не называть всех поимённо.
Позиция Роскомнадзора
При проверках Роскомнадзор обращает внимание на то, чтобы политика была информативной и отражала реальную деятельность. Проверяющие неоднократно указывали на нарушения, когда в политике указывались общие фразы вроде «мы можем передавать данные третьим лицам» без уточнения, кто именно эти лица. Требуется обозначить хотя бы типы подрядчиков, чтобы пользователь понимал, в каких случаях его данные могут передаваться.
Вывод
В политике на сайте не обязательно указывать конкретные компании-подрядчики, но необходимо прописать категории организаций, которые участвуют в обработке данных. Это позволит избежать претензий Роскомнадзора и сохранить гибкость при смене сервисов.
Компания ICTech поможет составить политику обработки ПДн с корректным описанием категорий подрядчиков, чтобы она соответствовала требованиям ФЗ-152 и при этом оставалась удобной для бизнеса.
