Алексей Ветров
Эксперт по защите данных IC-TECH
Да, объединить политику по персональным данным и политику конфиденциальности можно, но при этом важно правильно оформить документ. Закон № 152-ФЗ требует, чтобы у компании обязательно была политика в отношении обработки ПДн в открытом доступе. Если в организации принято использовать общий документ под названием «Политика конфиденциальности», он должен содержать все обязательные разделы, предусмотренные ФЗ-152.
Главное — название документа не имеет значения, а вот содержание критически важно. Если «Политика конфиденциальности» описывает только работу сайта (например, использование cookies), но не раскрывает порядок обработки ПДн сотрудников, клиентов или контрагентов, Роскомнадзор признает её неполной.
Главное — название документа не имеет значения, а вот содержание критически важно. Если «Политика конфиденциальности» описывает только работу сайта (например, использование cookies), но не раскрывает порядок обработки ПДн сотрудников, клиентов или контрагентов, Роскомнадзор признает её неполной.
Обоснование по законодательству
- Ст. 18.1 ФЗ-152, ч. 2 п. 2 — оператор обязан опубликовать в сети Интернет и обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки ПДн.
- Ст. 14 ФЗ-152 — субъекты имеют право знать цели, основания, категории обрабатываемых данных и меры их защиты.
- Методические рекомендации Роскомнадзора — допускают использование термина «политика конфиденциальности», если в ней есть весь набор сведений, предусмотренных законом.
Позиция Роскомнадзора
Инспекторы нередко сталкиваются с ситуацией, когда «Политика конфиденциальности» ограничивается правилами использования cookies и не охватывает кадровые и договорные процессы. В таких случаях выдаётся предписание доработать документ. В то же время организации, которые оформили универсальную политику и включили все обязательные разделы, проверку проходят без замечаний.
Что важно учитывать компаниям
- В объединённом документе должны быть отражены все обязательные разделы (цели, категории субъектов, перечень данных, права, меры защиты, контакты ответственного).
- Для прозрачности рекомендуется включить отдельный раздел о cookies и интернет-данных.
- Документ должен распространяться не только на сайт, но и на офлайн-процессы компании.
Рекомендации и выводы
Да, объединение политики ПДн и политики конфиденциальности допустимо, если документ охватывает весь спектр обработки данных в компании. Чтобы избежать претензий:
- Проверьте, что объединённая политика содержит все обязательные сведения из ФЗ-152.
- Убедитесь, что документ касается не только сайта, но и кадровых, договорных и иных процессов.
- Утвердите политику приказом руководителя.
- Разместите её в открытом доступе.
Компания ICTech поможет вашей организации разработать объединённую политику, которая будет понятна клиентам и сотрудникам, соответствовать ФЗ-152 и требованиям Роскомнадзора.
Хотите защитить себя от проверок и штрафов?
Разработаем полный пакет документации по обработке персональных данных для вашей организации.
