Что такое политика конфиденциальности и как ее составить

Политика конфиденциальности — документ, который обязаны размещать у себя на сайте все, кто собирает и обрабатывает персональные данные пользователей.

Если этого документа нет или ему не следуют, можно получить штраф или даже блокировку.

Что такое политика конфиденциальности

Прежде чем говорить о политике конфиденциальности, важно понять, что в этой теме есть три важных понятия: оператор, субъект и персональные данные.

Оператор — человек, индивидуальный предприниматель или компания, которые собирают личные данные пользователей.

Субъект — человек, персональные данные которого собирает оператор. То есть пользователь, который зашел на сайт и решил, например, оставить заявку.

Персональные данные — это любая информация о пользователе, которая помогает его опознать. Например:

• фамилия и имя,
• телефон,
• email,
• домашний адрес,
• фото,
• дата рождения,
• ссылки на профили в соцсетях.

А политика конфиденциальности — это документ, в котором оператор рассказывает, как и зачем он использует персональные данные своих субъектов (пользователей).

Кстати, политику конфиденциальности могут называть по-разному:

• пользовательское соглашение,
• положение об обработке персональных данных,
• политика обработки данных для сайта,
• политика приватности,
• политика защиты персональных данных,
• privacy policy.

В общем, название документа может быть каким угодно. Главное, чтобы в нем были все необходимые пункты (об этом ниже).

Когда нужна политика конфиденциальности

На сайте есть формы для сбора контактов. Например, люди регистрируются, оставляют обратную связь, подписываются на рассылку или оформляют корзину — во всех эти случаях пользователи заполняют формы и передают свои персональные данные.

На сайте используют cookies. Это маленькие текстовые файлы, в которых хранится информация о посетителе сайта и его действиях. Например, логин, пароль, язык, время посещения, просмотренные страницы. В нашем Словаре маркетолога есть подробный материал о том, что такое cookies.

Большинство сайтов используют инструменты сбора контактов и системы веб-аналитики, значит, политика персональных обработки данных нужна практическим всем. Интернет-магазинам, социальным сетям, образовательным платформам, сайтам с личными кабинетами. Посещаемость или возраст сайта не имеют значения.

Из чего состоит политика конфиденциальности

Суть документа — объяснить пользователю, какую информацию о нем собирают и зачем. Писать можно в свободной форме. Главное — отразить все важные пункты.

Основные пункты

Информация об операторе. Обычно это наименование, адрес и контактные данные. Эти сведения могут быть в первом пункте «‎Общие положения».

Основания обработки персональных данных. Это законы, договоры оператора, пользовательское соглашение — те формальности, которые дают право использовать персональную информацию пользователей. Важно указать, что считается согласием на обработку личных данных — например, поставленная галочка рядом с соответствующим текстом.

Цели сбора и обработки персональных данных. Здесь нужно доступно и исчерпывающе рассказать, зачем оператору данные. Например, интернет-магазин собирает их, чтобы сделать сайт более удобным, персонализировать контент, отправлять маркетинговые сообщения.

Перечень персональных данных, которые собирает оператор. Здесь обычно указывают все данные, которые посетители передают в формы на сайте (имя, почта, телефон). Или указывают информацию о поведении пользователя на сайте, которая будет содержаться в cookies (например, какой товар добавили в корзину).

Порядок и условия использования персональных данных. Объемный пункт (или даже несколько), где оператор рассказывает, как он будет обращаться с данными пользователей. То есть собирать их, обрабатывать, хранить, уничтожать. Нужно указать сроки обработки и хранения. Важно учесть все действия и написать так, чтобы у пользователей не осталось вопросов.

Безопасность данных. В этом пункте оператор объясняет, как защищает персональные данные и не допускает их утечки. Например, применяет резервное копирование и не передает третьим лицам. Здесь же можно показать, как пользователь может защитить свои персональные данные — к примеру, отозвать согласие на использование.

Дополнительные пункты

Иногда операторам недостаточно основных пунктов и нужны дополнительные. Они делают политику более понятной и исчерпывающей:

Определение терминов. Так как политика — это документ, а документы мы читаем не каждый день, в ней могут быть непонятные определения. Лучше расшифровать такие термины, как оператор, обработка персональных данных или их уничтожение.

Передача персональных данных третьим лицам. Этот пункт важен, если оператор передает личную информацию субъектов кому-то еще — например, сервисам аналитики. Чтобы успокоить пользователя, можно объяснить, что от этой передачи не будет ничего плохого. Никто не начнет одолевать навязчивыми звонками, просто сайт будет более удобным.

Трансграничная передача данных. Пункт нужен, если оператор передает данные пользователей на территорию иностранных государств. Например, когда у компании есть филиалы в нескольких странах.

Часто задаваемые вопросы. Пункт здорово прояснит все то, что потенциально беспокоит аудиторию конкретного оператора. Например, есть спортивный клуб, который собирает телефоны посетителей. Тогда в политике он может написать, что не будет постоянно звонить и предлагать купить новый абонемент.

Связь с оператором. Этим пунктом можно дополнительно позаботиться о человеке. Написать, куда он может обращаться, если возникнут вопросы по документу. Также пункт выручит, если у пользователя возникнут претензии.

Нет строгого порядка, в котором нужно располагать пункты в политике конфиденциальности. Но можно ориентироваться на простую логику:

• Сначала вводные положения, которые постепенно погрузят читателя в тему.
• Потом самое важное — зачем оператор собираете данные и как с ними работает.
• И, наконец, — дополнительные положения.

Какие документы можно изучить в качестве примера

Google нестандартно подошел к политике конфиденциальности на сайте. Он написал ее не официальным, а обычным языком, с примерами. А еще разбил цели сбора личных данных на семь пунктов и в каждом объяснил, как это помогает делать Google лучше для людей. Вот один из пунктов:

Кроме этого, в документе есть видео и иллюстрации, с которыми материал воспринимается легче. В общем, политика конфиденциальности Google — интересная и простая.

А вот еще несколько документов из разных сфер, которые можно взять в качестве примеров. Не все написаны простым языком, но по содержанию все окей:

• Маркетплейс Ozon.
• Интернет-магазин «ОнЛайн Трейд».
• Онлайн-университет «Нетология».
• Фитнес-клуб «Новая Лига».
• Ресторан «БульВар».
• Картографическая компания «2ГИС».
• И наш сервис email-рассылок Unisender.

А еще у Unisender есть отдельная Политика Cookies — посмотрите, если интересно.

Как составить политику конфиденциальности

Есть три способа:

• Самостоятельно. Включить в документ все необходимые пункты, показать юристу (для уверенности) и опубликовать на сайте. Если мало опыта составления документов и вы вообще с ними не дружите, то, конечно, Политику лучше сразу доверить юристу — так будет спокойнее.
• По шаблону. Найти в интернете примеры политик, которые уже используют другие компании, сделать для себя что-то похожее и опубликовать на сайте.
• В конструкторе. Довериться специальному инструменту и внести нужные данные — сервис выдаст готовый документ. Останется только опубликовать его на сайте.

Для тех, кто выбирает третий способ, я нашла несколько хороших и бесплатных конструкторов:

Tilda.cc — популярный конструктор с 7 полями для заполнения. В некоторых полях (например, цель обработки персональных данных) можно выбрать готовый вариант, а в некоторых — свой. Также на сайте есть образец политики.

ProfiSet.org — генератор с немного устаревшим интерфейсом, но вполне четкими 11 полями для заполнения. На выходе получается конкретная политика, настроенная именно для вас — описывает даже то, как пользователь может запрашивать свои данные. А еще тут можно создать политику на английском.

A-Position.ru — сервис, похожий на Tilda.cc. Здесь 6 полей, в которые нужно внести информацию. Минималистично и быстро.

Где размещать политику обработки данных на сайте

Закон не определяет точного места на сайте, где должна быть Политика. На практике документ размещают прямо там, где пользователь делится своими данными или дает согласие на их сбор. Например:

Во всплывающем окне с оповещением о cookies. Специальное меню со ссылкой на политику конфиденциальности появляется внизу страницы, когда человек заходит на сайт. Пользователю остается нажать «‎Принимаю», «Соглашаюсь» или «‎ОК».

При регистрации на сайте. Человек вводит свое имя и почту, ставит галочку, что согласен на обработку персональных данных. И около этой галочки как раз и дают ссылку на политику конфиденциальности.

При заполнении форм на сайте. Когда нужно оставить заявку, зарегистрировать личный кабинет или дать обратную связь. В любой форме всегда уместна ссылка на политику.

В подвале сайта. Документ с названием «Политика конфиденциальности‎» или похожим часто размещают в футере, чтобы человек на любой странице сайта мог быстро уточнить, зачем компании его данные.

Что будет, если на сайте нет privacy policy

Работу с персональными данными в РФ регулирует Закон №152-ФЗ «‎О персональных данных». Он запрещает использовать данные пользователей без их согласия, устанавливает условия обработки данных, а также определяет права субъекта и обязанности оператора. А ст. 13.11 Кодекса об административных правонарушениях устанавливает ответственность за нарушение законодательства о персональных данных.

Так как персональные данные чаще всего собирают компании, коротко пройдемся по штрафам для них. Вот самые частые случаи:

• Если на сайте нет политики — 30 000 – 60 000 ₽.
• Если на сайте есть политика, но компания не соблюдает ее условия — 60 000 –100 000 ₽.
• Если компания не объясняет пользователю, как она обрабатывает его данные — 40 000 – 80 000 ₽.
• Если персональные данные оказались некорректными, — и пользователь просит это исправить, а компания ничего не делает, — 50 000 – 90 000 ₽.

Наказание может ужесточаться, если компания совершает правонарушение не в первый раз. Помимо штрафов, оператору может грозить блокировка сайта. Например, пользователь пожалуется, что на сайте нет политики, и Роскомнадзор на время проверки ограничит к нему доступ.

Штрафы для операторов-физлиц или ИП — ниже. Если, к примеру, предприниматель, который держит небольшой салон красоты в Воронеже, не опубликует на сайте политику, то получит штраф от 10 000 до 20 000 ₽.

Что в итоге

Главное при составлении политики конфиденциальности — объяснить людям, какие их данные вы собираете и зачем. Чтобы у пользователей не возникло вопросов и, как следствие, поводов обратиться в Роскомнадзор. И, конечно, важно отразить в документе всю информацию, которую требует закон.

Для спокойствия можно протестировать политику на пользователях —- предложите им прочитать, оценить и поделиться, все ли было понятно. А перед этим текст можно проверить через специальные сервисы для проверки грамотности и читабельности: «Главред», «Орфограммка» или подобные.

И еще можно обратиться к юристу, чтобы он оценил документ с точки зрения закона.