Политика обработки персональных данных для сайта: что должно быть и где её разместить

Что обязательно должно быть в политике по 152-ФЗ

Минимальный состав документа задан статьями 14, 18 и 18.1 152-ФЗ. Если хотя бы одного пункта нет — формально документ не соответствует закону, даже если объёмный.

• Наименование, ИНН, ОГРН и контакты оператора (физлицо тоже указывает ФИО и адрес).
• Цели обработки персональных данных — конкретно, не «для любых целей, разрешённых законом».
• Правовые основания: согласие субъекта, договор, нормы закона (например, бухгалтерский учёт).
• Категории субъектов: клиенты, посетители сайта, кандидаты, контрагенты, работники.
• Категории и перечень персональных данных по каждой группе.
• Способы обработки: автоматизированные / неавтоматизированные.
• Сроки хранения и условия прекращения обработки.
• Перечень действий с данными: сбор, запись, систематизация, использование, передача, удаление.
• Меры защиты ПДн: организационные и технические (ст. 18.1, ст. 19 152-ФЗ).
• Информация о трансграничной передаче, если она есть.
• Права субъекта (доступ, изменение, отзыв согласия) и порядок обращения.

Типичные ошибки и за что штрафуют

Самая опасная ошибка — взять шаблон из интернета и не привести его в соответствие со своим сайтом. Регулятор сравнивает текст политики с тем, что реально происходит на сайте: какие формы, какие куки, какие сервисы подключены.

Часто встречаются такие проблемы:

• В политике не указаны конкретные формы и поля, которые есть на сайте.
• Указан только один тип субъектов (клиенты), хотя сайт также собирает резюме или подписки.
• Нет упоминания cookies и аналитики, хотя на сайте подключены Яндекс.Метрика, Top.Mail.Ru и пиксели рекламы.
• Не описана трансграничная передача, хотя данные форм уходят на серверы за пределами РФ.
• Реквизиты ИП или ООО — устаревшие, политика не пересматривалась после переезда или смены ОПФ.

Где и как разместить документ

Политика обработки персональных данных должна быть доступна без авторизации, по прямой ссылке и без обязательного скачивания. Базовые требования к размещению:

• Постоянная ссылка в подвале сайта, видимая на каждой странице.
• Доступ к политике рядом с каждой формой, где собираются данные, в виде кликабельной ссылки.
• Формат: страница на сайте (HTML), либо PDF с публичной ссылкой — без авторизации и форм.
• Дата последней редакции внутри документа — обязательно.

Когда политику пора обновить

Политика — живой документ. Любое серьёзное изменение в работе сайта должно отражаться в нём. Обновляйте политику, если:

• Появились новые формы или новые поля (например, добавили загрузку резюме).
• Подключили новые аналитические или рекламные сервисы, особенно зарубежные.
• Сменился исполнитель — хостинг, почтовый сервис, чат-бот.
• Изменились реквизиты компании или контактные данные ответственного.
• Поменялся срок хранения каких-то категорий данных.