ФЗ-152 не обязывает операторов вести разные политики для разных категорий субъектов (клиентов, сотрудников, подрядчиков и т. д.). Закон требует наличия одной политики в отношении обработки персональных данных, доступной всем субъектам. Однако на практике организации часто разделяют документы:
- Публичная политика — размещается на сайте и ориентирована на клиентов и пользователей. Она содержит общие сведения: цели обработки, перечень данных, права субъектов, порядок их реализации и контакты ответственного.
- Внутреннее положение об обработке ПДн — закрытый документ, регулирующий обработку данных сотрудников, подрядчиков, партнеров, а также описывающий внутренние процессы и меры защиты.
Таким образом, отдельная политика именно для клиентов не является обязательной, но её наличие может быть удобным инструментом для прозрачности и соответствия ожиданиям Роскомнадзора.
Обоснование по законодательству
- Ст. 18.1 ФЗ-152 — оператор обязан публиковать в сети Интернет документ, определяющий его политику в отношении обработки ПДн.
- Ст. 19 ФЗ-152 — меры по обеспечению безопасности должны быть закреплены в локальных актах.
- Постановление Правительства № 1119 — устанавливает требования к организационным документам, но не обязывает разделять политику по категориям субъектов.
Практика Роскомнадзора
РКН в первую очередь проверяет, опубликована ли политика на сайте и соответствует ли она фактическим процессам. В одной организации политика описывала только обработку клиентских данных, но умолчала о сотрудниках — проверяющие указали на неполноту документа. В другой компании было разделение: публичная политика для клиентов и отдельное положение для сотрудников — такой подход был признан удобным и соответствующим закону.
Что важно учитывать
- Политика должна быть написана доступным языком, особенно если её аудитория — клиенты.
- Для сотрудников и подрядчиков лучше использовать отдельное положение с внутренними процедурами.
- Если компания работает в разных сферах (например, клиенты + сотрудники + дети в образовательных проектах), целесообразно иметь разные разделы или даже отдельные документы.
Рекомендации и выводы
Отдельная политика по ПДн для клиентов не обязательна, но полезна. Оптимальный вариант:
- Иметь одну общую публичную политику, доступную на сайте.
- Дополнительно разработать внутреннее положение для сотрудников и подрядчиков.
- При необходимости сделать отдельную клиентскую редакцию политики (с упрощёнными формулировками), чтобы повысить доверие и снизить риски претензий.
Компания ICTech поможет вашей организации подготовить и оформить политику ПДн в удобной форме: отдельную публичную для клиентов и внутреннюю для сотрудников. Это обеспечит прозрачность для клиентов и надёжную защиту при проверках.
