Как правильно составить положение об обработке персональных данных

Илья Кириллов
управляющий партнер
юридического бюро
Law & Wise

Под персональными, как правило, понимаются данные, представляющие собой любые сведения о человеке (даже те, что относятся к нему косвенно). Они нуждаются в защите вне зависимости от того, какую роль играет человек в экономической деятельности компании, является ли он работником или потенциальным клиентом.

Особенно высокие требования предъявляются к защите персональных данных, если речь идет об отношениях, возникающих в сети Интернет. Это вполне логично, так как при совершении любых действий (например, покупки или заказа услуг) требуется обмен большим количеством информации, в том числе, например, сведения о банковских счетах или других платежных средствах клиента.

Поэтому нет ничего удивительного в том, что при создании коммерческих сайтов серьезное внимание уделяется вопросам защиты персональных данных. Обычно речь в подобной ситуации идет о разработке  Соглашения о конфиденциальности или Положения об обработке персональных данных. Тема становится тем более актуальной, поскольку находится под строгим контролем со стороны органов государственной власти и, прежде всего, Роскомнадзора.

Правовая база и ее текущее состояние

Основным нормативным правовым актом, регламентирующим сферу защиты персональных данных, выступает Федеральный закон от 27 июля 2006 года № 152-ФЗ «О персональных данных» (далее – Закон о персональных данных).

Положения Закона о персональных данных дополняются и развиваются в некоторых подзаконных актах. Наиболее важными из них является Постановление Правительства Российской Федерации от 01 ноября 2012 года № 1119 «Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных» (далее – Постановление Правительства РФ № 1119).

Еще один ключевой нормативный акт по рассматриваемому вопросу – Приказ Федеральной службы по техническому и экспортному контролю (ФСТЭК России) от 18 февраля 2013 года № 21. Приказ перечисляет и определяет организационные и технические меры по защите персональных данных, предъявляемые к операторам персональных данных – физическим и юридическим лицам, осуществляющим обработку персональных данных.

Немаловажное значение в области защиты персональных данных имеют многочисленные рекомендации как органов государственной власти (прежде всего, Роскомнадзора), так и некоммерческих организаций, в которых формируются или закрепляются лучшие практики по защите персональных данных. 

Важно отметить, что на внесение изменений в нормативные правовые акты в сфере защиты персональных данных существенное влияние оказывает развитие самих отношений, складывающихся в сети Интернет. Это означает, с одной стороны, что рассматриваемая область правовых норм является быстро развивающейся, а, с другой стороны, что действующие нормы права могут отставать от реально складывающихся общественных отношений.

Наконец, отдельного внимания заслуживают и существенные полномочия, переданные Роскомнадзору для осуществления контроля и надзора в сфере защиты персональных данных. Речь идет, в том числе, о блокировании на территории Российской Федерации Интернет-ресурсов, действия которых нарушают требования действующего законодательства и подзаконных актов.

Необходимость выполнения требований законодательства

Прежде чем перейти к описанию правил составления Соглашения о конфиденциальности, необходимо понять, на кого распространяются требования законодательства в этой области. Исходя из анализа нормативных правовых актов, ответ на поставленный вопрос достаточно очевиден. Он заключается в том, что на любой коммерческий сайт распространяется действие Закона о защите персональных данных и дополняющих его правовых актов.

Другими словами, необходимость выполнять требования в части защиты персональных данных возникает, если сайт предоставляет доступ к таким сервисам или функциональным возможностям, как:

  • обратная связь с посетителями, включая формат комментариев;
  • публикация объявлений;
  • анкетирование, проведение опросов и другие способы сбора информации, позволяющие идентифицировать посетителя;
  • регистрация и доступ к функционалу личного кабинета;
  • оформление подписки на различные рассылки и уведомления;
  • оформление заказа на товары либо услуги.

Применительно к работе сайтов под персональными данными понимается следующая информация, получаемая от посетителей:

  • фамилия, имя и отчество;
  • место фактического проживания или регистрации;
  • ИНН, СНИЛС и иные подобные сведения;
  • контактные данные в виде номера телефона или адреса электронной почты;
  • ссылки на ресурсы посетителя в интернете (личный сайт или страница в социальных сетях);
  • образование, специальность, профессия, место работы и аналогичные по характеру сведения;
  • геопозиция, cookie-файлы, IP-адрес и т.д., которые используются для идентификации программы (браузера или приложения), с помощью которого осуществляется доступ к ;
  • другая информация, которая может быть отнесена к персональным данным.

Последний пункт списка требует дополнительных пояснений. Дело в том, что положения Закона о персональных данных не содержат четко сформулированного и ограниченного какими-то рамками перечня персональных данных. Это позволяет Роскомнадзору расширительно толковать положения упомянутого закона. Поэтому особенно важным становится соблюдение в полном объеме владельцами сайтов в сети Интернет требований нормативных правовых актов в области защиты персональных данных.

Когда не нужно получать согласие на обработку ПД?

По общему правилу, обработка персональных данных может осуществляться только с его согласия. Тем не менее, Законом о защите персональных данных предусматриваются случаи, в которых не требуется получение согласия на обработку персональных данных. К ним относятся, в частности, исполнение договора, заключенного с субъектом персональных данных, либо осуществление профессиональной журналистской деятельности, а также законной творческой или научной деятельности. Таким образом, владельцам коммерческих сайтов в сети Интернет необходимо запомнить, что необходимо получать согласие посетителей и потенциальных клиентов на обработку их персональных данных.

Основные принципы работы сайта с данными посетителей

Анализ законодательства, определяющего правила обработки персональных данных, позволяет сформулировать перечень базовых принципов, обязательных для выполнения большинством операторов персональных данных, имеющих сайты в сети Интернет. Он включает:

  • уведомление посетителя о сборе информации;
  • получение согласия на сбор данных;
  • четкое определение перечня сведений, получаемых от субъекта персональных данных, и осуществление деятельности строго в рамках этого перечня;
  • применение полученной информации только в целях обработки персональных данных;
  • ознакомление посетителя сайта в сети Интернет с политикой обработки персональных данных, принятой на сайте;
  • предоставление клиенту интересующей его информации в рамках обратной связи;
  • обеспечение конфиденциальности персональных данных;
  • уничтожение, блокировка или уточнение персональной информации пользователя по его обращению.

Требования к сайтам, занимающимся обработкой и хранением ПД

На основании изложенной выше информации, можно составить основные требования законодательства к сайтам, работающим с личной информацией клиентов. Главные из них заключаются в следующем:

  • Хранение персональных данных (размещение хостингов и серверов) только на территории Российской Федерации.
  • Размещение под любой формой сбора персональных данных согласия субъекта персональных данных (посетителя сайта, пользователя приложения, клиента) на обработку данных. В данной форме должна располагаться ссылка на Пользовательское соглашение или другой аналогичный по смыслу документ.
  • Переход по ссылке на отдельную страницу сайта, на которой и располагается данный документ. Его содержание должно включать информацию об операторе персональных данных, перечне собираемой информации и целях ее использования, сроках обработки персональных данных, сроках действия Пользовательского соглашения.
  • Размещение на сайте Политики об обработке персональных данных.
  • Уведомление новых посетителей в формате дисклеймера о сборе данных о посетителях Интернет-сайта с указанием конкретного перечня получаемой информации. При несогласии пользователя на предоставление сведений он должен иметь возможность покинуть данный сайт.
  • Уведомление Роскомнадзора о включении в реестр операторов персональных данных.

Приведенные требования являются общими как для физических, так и для юридических лиц. К последним предъявляется еще несколько дополнительных условий, включая:

  • назначение лиц, ответственных внутри компании за обработку персональных данных;
  • подготовку комплекта документации, регламентирующей работу с данными клиентов; он может включать несколько десятков документов;
  • обеспечение мероприятий по защите персональных данных в рамках мероприятий, содержащихся в Приказе ФСТЭК № 21.

Требования к содержанию внутренних документов сайта в области защиты ПД

Только после детального рассмотрения нормативных требований в сфере защиты персональных данных посетителей сайтов можно переходить непосредственно к описанию правил составления Соглашения о конфиденциальности или Положения об обработке персональных данных. Указанные названия являются вариантами наименования одного и того же документа, содержание которого определяется в строгом соответствии с Законом о персональных данных и принятыми в его исполнение подзаконными актами.

Основу осуществления обработки персональных данных посетителей сайтов составляет, во-первых, получение согласия на такую обработку и, во-вторых, обязательное принятие оператором персональных данных Соглашения о конфиденциальности или Положения об обработке персональных данных, а также опубликование указанного документа на сайте оператора в сети Интернет.

Согласие на обработку конфиденциальной информации

Как уже было отмечено выше, получение согласия выступает обязательным требованием для обработки персональных данных. Согласие на обработку персональных данных может быть получено в различных формах: например, путем проставления символа в виде галочки в соответствующем поле на сайте, заполнением формы с указанием персональных данных, продолжением пребывания на сайте и совершения на нем определенных действий (перехода на иные страницы сайта). В последнем случае, на сайте должно быть однозначно указано, что продолжение использования сайта означает выражение согласия на обработку персональных данных, для чего обычно используются отдельные всплывающие окна.

Статья 9 Закона о персональных данных допускает получение согласия на обработку персональных данных в любой форме, определяя при этом, что она позволяет подтвердить факт получения такого согласия. Содержание же согласия должно позволить установить субъекта персональных данных, для чего потребуется указать, по меньшей мере, фамилию, имя и отчество субъекта. Иные сведения, которые могут быть сообщены при получении согласия на обработку персональных данных, перечислены в пункте 5 статьи 9 Закона о защите персональных данных.

Также пользователь должен понимать, с кем он взаимодействует, кому и для чего передаёт данные о себе. Поэтому должен присутствовать соответствующий блок информации, определяющий оператора персональных данных и содержащий следующую обязательную информацию:

  • название и другие реквизиты компании или индивидуального предпринимателя, а также документ, выступающий основанием для ведения деятельности;
  • цели обработки персональных данных клиентов;
  • перечень сведений, которые подлежат обработке;
  • ФИО лица, назначенного ответственным за обработку персональных данных, а также его должность и ссылка на документ, подтверждающий полномочия;
  • срок, в течение которого действует согласие пользователя.

Каких-либо дополнительных требований к форме документа в действующем законодательстве не содержится. Главное условие – наличие в содержательной части указанных реквизитов и данных.

Политика обработки персональных данных

Вопросы составления Положения об обработке персональных данных регулируются значительным числом правовых норм. Такой подход объясняется предельно просто – Положение является внутренним документом, который может быть проверен Роскомнадзором при осуществлении контрольных мероприятий в отношении участников рынка.

На сайте Роскомнадзора размещается примерная форма указанного документа. Она носит рекомендательный характер. В нем излагаются подробные рекомендации, помогающие составить политику обработки персональных данных оператором персональных данных вне зависимости от его правового статуса и организационно-правовой формы в точном соответствии с действующим законодательством.

Первый и очевидный вывод, который можно сделать по результатам изучения рекомендаций Роскомнадзора таков: не важно, как именно называется рассматриваемый документ – порядок, политика, положение. Он вообще может быть частью пользовательского соглашения, договора оферты или правил сайта. Главное, чтобы его содержание отвечало на несколько обязательных вопросов, в числе которых:

  • какие данные планируется собирать;
  • цели обработки;
  • кто и к каким именно сведениям получает доступ из сотрудников сайта;
  • принципы организации по защите конфиденциальных сведений о посетителях Интернет-ресурса, включая систему назначения и практического использования паролей, шифрования информации;
  • правила ограничения и получения доступа к конфиденциальной информации о клиентах;
  • меры по обеспечению безопасного хранения персональных данных;
  • организация системы мониторинга попыток взлома или других способов получения несанкционированного доступа к сведениям о пользователях;
  • ответственность оператора персональных данных а также должностных лиц за нарушение законодательства в сфере защиты персональных данных, а также Положения об обработке персональных данных.

Каких-либо строгих требований к формату документа в законодательстве не содержится, что существенно облегчает его составление и утверждение. Самый простой способ подготовить Политику об обработке персональных данных, устраивающую Роскомнадзор – в максимальной степени использовать разработанные федеральной службой рекомендации.

Такой подход позволит избежать вероятных проблем в случае осуществления Роскомнадзором проверок. В то же время необходимо помнить, что для исключения утечек персональных данных необходимо заниматься не только оформлением внутренней документации, но и грамотной организацией работы по защите персональных данных клиентов с технической точки зрения.