Штрафы за отсутствие политики конфиденциальности — правда или миф

Алексей Ветров

Эксперт по защите данных IC-TECH

Задать вопрос

Роскомнадзор не штрафует за отсутствие «политики конфиденциальности» как отдельного документа само по себе. Штрафы применяются за нарушение требований законодательства о персональных данных, частью которых является обязанность оператора обеспечивать публичный доступ к информации об обработке персональных данных.

На практике отсутствие политики конфиденциальности рассматривается как признак того, что оператор не исполняет обязанность по раскрытию информации о своей обработке персональных данных, что и образует состав административного правонарушения. Именно поэтому штрафы связаны не с названием документа, а с фактом несоблюдения требований 152-ФЗ.

Обязательна ли политика конфиденциальности по закону

Политика конфиденциальности не является добровольным или рекомендательным документом. Её наличие прямо вытекает из требований законодательства о персональных данных, если сайт осуществляет обработку персональных данных пользователей.

Требование 152-ФЗ о публичности информации об обработке персональных данных

Это означает, что любой оператор, обрабатывающий персональные данные, обязан иметь и публиковать документ, в котором раскрываются:

• цели обработки персональных данных;

• категории обрабатываемых данных;

• правовые основания обработки;

• меры по обеспечению безопасности персональных данных;

• права субъектов персональных данных и порядок их реализации.

Для сайтов таким документом и является политика конфиденциальности (политика обработки персональных данных).

Кто обязан иметь политику конфиденциальности

Политику обязаны иметь все операторы персональных данных, включая:

• юридические лица;

• индивидуальных предпринимателей;

• самозанятых — если они фактически обрабатывают персональные данные через сайт.

Размер бизнеса, форма собственности и объём обрабатываемых данных значения не имеют — определяющим является сам факт обработки персональных данных.

Когда сайт обязан размещать политику

Политика конфиденциальности обязательна, если сайт:

• содержит формы обратной связи, заявки, регистрации;

• принимает заказы или обращения клиентов;

• использует личные кабинеты пользователей;

• применяет онлайн-чаты;

• использует cookies и системы аналитики, позволяющие идентифицировать пользователей;

• передаёт данные в CRM, сервисы рассылок и иные внешние системы.

Даже сбор минимального объёма данных (например, имя и e-mail) уже делает размещение политики обязательным.

Когда требование не распространяется

Политика может не требоваться только в тех редких случаях, когда сайт:

• не собирает никаких персональных данных;

• не содержит форм ввода информации;

• не использует cookies и аналитические системы, связанные с идентификацией пользователей;

• не обрабатывает данные клиентов, сотрудников и пользователей в рамках деятельности.

На практике такие сайты встречаются крайне редко.

За что на самом деле штрафуют: отсутствие политики или нарушение 152-ФЗ

Штрафы применяются не за отсутствие «политики конфиденциальности» как отдельного файла или страницы, а за нарушение обязанностей оператора персональных данных, установленных 152-ФЗ.

Политика конфиденциальности в данном случае — лишь форма реализации этих обязанностей.

Отсутствие политики как форма нарушения закона

Если у оператора нет политики, это означает, что он:

• не обеспечил доступ субъектов персональных данных к информации об обработке;

• не исполнил требование о публичности сведений об обработке ПДн;

• не подтвердил выполнение обязанностей по организации обработки данных.

Именно эти факты и квалифицируются как административное правонарушение.

Нарушение обязанности по обеспечению доступа к информации

152-ФЗ требует, чтобы информация об обработке персональных данных была доступна неограниченному кругу лиц.
Если политика отсутствует либо скрыта, это расценивается как:

• ограничение прав субъектов персональных данных;

• нарушение принципов прозрачности обработки данных;

• неисполнение прямой обязанности оператора.

Несоответствие политики фактической обработке

Даже при наличии политики штраф возможен, если:

• в ней указаны не все реально обрабатываемые данные;

• цели обработки не соответствуют реальности;

• не отражены передачи данных третьим лицам;

• не указаны используемые сервисы (CRM, рассылки, аналитика).

В этом случае политика формально есть, но фактически она не выполняет свою юридическую функцию.

Формальный документ как риск ответственности

Распространённая ошибка — использование шаблонной политики без адаптации под конкретный сайт и бизнес.
Для проверяющих такой документ приравнивается к отсутствию политики, поскольку он:

• не отражает реальные процессы;

• не позволяет субъектам понять, как обрабатываются их данные;

• не подтверждает соблюдение требований закона.

Таким образом, штрафуют не за «отсутствие страницы с названием Политика», а за то, что оператор не обеспечил законную и прозрачную обработку персональных данных, и политика — лишь один из элементов этого нарушения.

Не уверены, нужна ли вашему сайту политика конфиденциальности?

Ошибка здесь может стоить штрафа

Проверим сайт и подскажем, какие документы вам действительно необходимы

Оставить заявку

Какие штрафы предусмотрены за отсутствие политики конфиденциальности

Как уже отмечалось, штрафы назначаются не за сам факт отсутствия страницы «Политика конфиденциальности», а за нарушение требований законодательства о персональных данных, которое выражается, в том числе, в отсутствии или некорректности этого документа.

Размеры штрафов зависят от статуса нарушителя и характера выявленных нарушений.

Штрафы для юридических лиц

Для организаций отсутствие политики конфиденциальности либо несоблюдение требований к её содержанию, как правило, квалифицируется как нарушение требований к обработке персональных данных.

В таких случаях для юридических лиц могут применяться штрафы, которые на практике составляют десятки тысяч рублей, а при совокупности нарушений и повторности — существенно больше.

Важно: штраф может быть назначен не один, а сразу по нескольким составам, если, помимо отсутствия политики, выявлены:

• отсутствие согласий;

• ошибки в уведомлении Роскомнадзора;

• незаконный сбор данных;

• отсутствие ОРД.

Штрафы для индивидуальных предпринимателей

ИП несут ответственность как лица, осуществляющие предпринимательскую деятельность без образования юридического лица.

За нарушения, связанные с отсутствием политики конфиденциальности и иных требований 152-ФЗ, ИП могут быть привлечены к ответственности с наложением штрафов, как правило, в размере от нескольких тысяч до десятков тысяч рублей, в зависимости от состава нарушения и обстоятельств дела.

Штрафы для должностных лиц

К ответственности могут привлекаться и конкретные должностные лица — прежде всего руководитель организации или лицо, ответственное за обработку персональных данных.

Для них предусмотрены персональные штрафы, которые назначаются отдельно от штрафов, наложенных на саму организацию.

Совокупность нарушений и суммирование ответственности

На практике отсутствие политики конфиденциальности редко выявляется изолированно. Обычно оно сопровождается другими нарушениями, что приводит к:

• одновременному применению нескольких штрафов;

• увеличению общей суммы ответственности;

• повышению риска повторных проверок.

Когда отсутствие политики не приводит к штрафу

Несмотря на обязательность политики конфиденциальности для большинства сайтов, существуют ситуации, при которых её отсутствие не влечёт административной ответственности.

Сайт не обрабатывает персональные данные

Если сайт:

• не содержит форм ввода данных;

• не принимает заявки, обращения, регистрации;

• не использует cookies и системы аналитики, позволяющие идентифицировать пользователей;

• не ведёт сбор данных о посетителях,

то он фактически не осуществляет обработку персональных данных.
В этом случае обязанность иметь политику конфиденциальности не возникает, и отсутствие такого документа не образует состав правонарушения.

Однако на практике такие сайты встречаются крайне редко.

Отсутствие субъектов персональных данных

Если в рамках деятельности оператора:

• отсутствуют клиенты, пользователи или сотрудники, чьи персональные данные обрабатываются;

• сайт носит исключительно информационный характер без сбора данных,

то требования по размещению политики также не применяются.

Добровольное устранение до проверки

Если оператор:

• выявил отсутствие политики самостоятельно;

• разработал и разместил её до начала проверки;

• привёл сайт в соответствие требованиям закона,

то основания для привлечения к ответственности, как правило, отсутствуют, поскольку на момент контроля нарушения уже не существует.

Отсутствие состава нарушения

В ряде случаев формально политика может отсутствовать, но при этом:

• обработка персональных данных фактически не осуществляется;

• либо осуществляется на иных законных основаниях без использования сайта.

В таких ситуациях привлечение к ответственности невозможно из-за отсутствия события правонарушения.

Шаблонная политика не защищает от проверок

А иногда лишь усугубляет ситуацию

Разработаем политику конфиденциальности и согласия под ваш сайт — без рисков и формальностей

Оставить заявку

Типовые ошибки, из-за которых штрафуют даже при наличии политики

Наличие политики конфиденциальности само по себе не гарантирует отсутствие претензий со стороны Роскомнадзора. На практике штрафы нередко назначаются именно тем операторам, у которых политика формально есть, но не выполняет свою юридическую функцию.

К наиболее распространённым ошибкам относятся следующие.

Шаблонная политика без адаптации под сайт и бизнес

Использование типовых шаблонов из интернета без учета реальной деятельности приводит к тому, что:

• указанные цели обработки не соответствуют фактическим;

• не отражены реальные категории данных и субъектов;

• отсутствует связь с используемыми сервисами и системами.

Для проверяющих такой документ приравнивается к отсутствию политики.

Устаревшие формулировки

Политика должна актуализироваться при изменениях:

• в законодательстве;

• в бизнес-процессах;

• в структуре сайта и способах сбора данных.

Если документ не обновлялся годами, он теряет юридическую силу как инструмент подтверждения соблюдения требований закона.

Неотражение cookies, аналитики и CRM

Распространённая ошибка — отсутствие в политике сведений о:

• сборе cookies;

• использовании Яндекс.Метрики, Google Analytics и аналогичных систем;

• передаче данных в CRM, сервисы рассылок и онлайн-чаты.

Это приводит к несоответствию политики фактической обработке данных.

Отсутствие связи с согласиями субъектов

Политика и согласия должны работать в связке. Если:

• политика говорит одно,

• а согласие оформлено иначе или отсутствует,

это расценивается как нарушение порядка обработки персональных данных.

Несоответствие уведомлению в Роскомнадзор

Для выявления таких несоответствий проводится аудит сайта на соблюдение законодательства по защите информации.

Как избежать штрафов за отсутствие или ошибки в политике конфиденциальности

Избежать штрафов можно не за счёт формального размещения документа, а только при выстраивании корректной и согласованной системы обработки персональных данных, в которой политика конфиденциальности является одним из элементов.

Корректная разработка политики

Политика должна:

• отражать реальные цели обработки персональных данных;

• содержать актуальный перечень обрабатываемых данных;

• учитывать специфику деятельности оператора;

• соответствовать фактическим процессам на сайте и в компании.

Для избежания штрафных мер от регулятора, оператор осуществляет разработку документов по защите персональных данных для сайта.

Связка политики с согласиями субъектов

Политика и согласия не должны существовать отдельно друг от друга. Необходимо:

• чтобы цели и перечень данных в согласиях совпадали с политикой;

• чтобы согласия оформлялись именно на те действия, которые описаны в политике;

• чтобы пользователь имел доступ к политике в момент дачи согласия.

Регулярная актуализация

Политика должна обновляться при:

• изменении функционала сайта;

• внедрении новых сервисов (CRM, рассылки, чаты);

• изменении законодательства;

• расширении видов обрабатываемых данных.

Проверка сайта и процессов обработки ПДн

Важно не ограничиваться только текстом документа, а проверять:

• реальные формы сбора данных;

• логику их обработки;

• передачу данных третьим лицам;

• соблюдение принципа минимизации.

Актуализация уведомления в Роскомнадзор

Если фактическая обработка данных отличается от сведений, поданных в Роскомнадзор, необходимо их привести в соответствие через внесения изменений в уведомление в Роскомнадзор.

Комплексный подход позволяет практически полностью снять риск штрафов, связанных с политикой конфиденциальности.

На практике

На практике штрафуют не за сам факт отсутствия страницы «Политика конфиденциальности», а за то, что оператор не выполнил требования законодательства о персональных данных, частью которых является обязанность по обеспечению открытости и прозрачности обработки ПДн.

Опыт проверок показывает:

• чаще всего ответственность наступает за совокупность нарушений, где отсутствие или формальность политики — лишь один из элементов;

• наличие шаблонной политики без связи с реальными процессами не защищает от штрафов;

• формально размещённый документ не компенсирует отсутствие согласий, ошибок в уведомлении и незаконного сбора данных.

В то же время системный подход — корректная политика, согласия, актуальное уведомление и выстроенные процессы обработки персональных данных — практически полностью снимает риск привлечения к ответственности именно по этому основанию.

Не хотите рисковать штрафами за ошибки в документах?

Доверьте защиту персональных данных профессионалам

Создадим индивидуальный комплект документов и выстроим систему защиты ПДн под ваш бизнес под ключ

Подробнее об услуге