Содержание
Современные реалии требуют от компаний повышенного внимания к защите персональных данных. С 1 сентября 2023 года в России вступили в силу изменения в Федеральный закон № 152-ФЗ «О персональных данных», усилившие требования к обработке персональных данных. Создание и размещение на сайте документов, регулирующих обработку данных пользователей, – важная часть юридической безопасности бизнеса. Однако у многих организаций возникает путаница между политикой обработки персональных данных и политикой конфиденциальности.
Политика обработки персональных данных (ПОПД) – документ, который регламентирует, каким образом организация собирает, хранит, обрабатывает и защищает персональные данные пользователей.
Политика конфиденциальности описывает меры по обеспечению конфиденциальности всех данных, с которыми работает организация, включая персональные, коммерческую информацию и внутренние документы. Она может включать аспекты, выходящие за рамки обработки персональных данных. Цель этого документа усилить юридическую защиту компании и повысить прозрачность ее работы с чувствительной информацией. Политика конфиденциальности, хотя и полезна для пользователей, размещается по усмотрению организации.
На сайте организации обязательно должна быть размещена политика обработки персональных данных, поскольку это требование законодательства (например, ч. 2 ст. 18.1 Федерального закона № 152-ФЗ). Ошибки при составлении этого документа могут привести к серьезным правовым и финансовым последствиям. Штрафы за отсутствие ПОПД на сайте или её несоответствие требованиям нормативно-правовых актов для должностных и юридических лиц весьма солидные, о чём я уже рассказывал в статье на сайте.
Зачем обязательно нужна ПОПД?
Политика обработки персональных данных на сайте необходима для выполнения нескольких важных задач:
- Соблюдение требований законодательства. Согласно ст. 18.1 Федерального закона № 152-ФЗ, компании, обрабатывающие персональную информацию, обязаны разместить на своем сайте этот документ. Отсутствие политики может привести к штрафам со стороны Роскомнадзора.
- Информирование пользователей. Политика объясняет, какие сведения собираются, как используются и защищаются. Это создает прозрачность и помогает пользователям понимать, на что они соглашаются.
- Защита интересов компании. Политика выступает как доказательство того, что организация действует в рамках закона. При возникновении споров или проверок она может быть использована как элемент защиты.
- Повышение доверия клиентов. Пользователи более охотно взаимодействуют с сайтами, которые открыто информируют об обработке данных. Это особенно важно для коммерческих и финансовых ресурсов, где пользователи передают конфиденциальную информацию.
Требования к содержанию
Политика обработки персональных данных обязательно должна включать следующие ключевые элементы:
- Общие положения: цель документа, ссылка на Закон о персональных данных.
- Сведения об операторе сбора сведений: наименование компании, контактные данные, адрес.
- Цели обработки: для чего собираются данные (например, предоставление услуг, выполнение договорных обязательств).
- Категории обрабатываемых данных: ФИО, контактные данные, данные о посетителях, собираемые с помощью интернет-сервисов Google Analytics, «Яндекс.Метрика» и т.д.
- Способы обработки: автоматизированная и неавтоматизированная обработка.
- Условия передачи третьим лицам: случаи, когда данные могут быть переданы и кому.
- Меры защиты: технические и организационные меры по обеспечению безопасности.
- Сроки хранения: описание периодов хранения и случаев удаления.
- Права субъектов данных: подачи запросов и жалоб, обязательно должен быть прописан порядок отзыва согласия.
- Ответственность оператора: за нарушение требований закона.
Документ должен быть составлен простым языком, доступным для аудитории.
Как правильно оформить на сайте?
Согласие пользователя с условиями ПОПД должно быть осознанным, свободным и недвусмысленным. Вот основные рекомендации:
- Форма согласия. Чаще всего используется активная форма согласия, например, установка «галочки» в чекбоксе перед отправкой формы.
- Текст согласия. Рядом с чекбоксом должен быть текст, подтверждающий согласие, например: «Я даю согласие на обработку персональных данных в соответствии с политикой обработки персональных данных».
- Ссылка на документ. Политика должна быть опубликована на сайте и доступна по гиперссылке, открывающей документ на отдельной странице.
- Отсутствие предварительных отметок. «Галочка» в чек-боксе не должна быть установлена заранее — пользователь должен сам сделать выбор. В соответствии с ч. 2 ст. 9 Федерального закона № 152-ФЗ пользователь сайта должен дать согласие на обработку личной информации свободно и по своей воле, поэтому заранее установленная «галочка» является нарушением.
- Наличие на сайте уведомления пользователей о сборе персональных данных сервисами Яндекс.Метрика, Google Analytics и т.д. посредствам файлов Cookie и праве отключить их в настройках браузера.
- Запись согласия. Система должна фиксировать факт получения согласия, чтобы его можно было предоставить в случае проверки.
- Язык. Текст согласия должен быть понятным и не содержать сложных юридических или технических терминов.
Ошибки при составлении
- Использование шаблонов без учёта специфики бизнеса
Многие компании предпочитают скачать готовый шаблон Политики, считая, что универсальные документы подходят для любой организации. Однако такие шаблоны зачастую не учитывают особенности бизнеса:
- Цели обработки данных. Политика должна чётко указывать, для каких целей собираются персональные данные, будь то обработка заявок на сайте, проведение маркетинговых исследований или управление кадрами. Шаблоны часто содержат общие формулировки, которые не соответствуют реальной деятельности компании.
- Категории данных. Для каждого бизнеса перечень обрабатываемых данных может существенно отличаться (например, медицинские учреждения обрабатывают данные о здоровье, которые при определенных условиях могут быть отнесены к биометрическим персональным данным, а интернет-магазины – данные о заказах и платежах).
- Отсутствие актуализации в соответствии с законодательством
Законодательство в области защиты персональных данных постоянно изменяется. Например, в 2023 году введены новые требования к уведомлению Роскомнадзора о трансграничной передаче данных, а в 2022 был издан ФЗ об ограничениях в идентификации при помощи биометрических персональных данных (об этом на нашем сайте тоже есть статья). Если Политика не обновляется, компания рискует нарушить закон.
- Неполнота информации
Политика должна содержать обязательные разделы, предусмотренные законом:
- назначение ответственного за обработку данных;
- порядок и условия передачи третьим лицам;
- сроки хранения информации;
- порядок отзыва согласия.
Шаблоны, доступные в интернете, часто не содержат полный перечень необходимых сведений.
- Нарушение структуры документа
Несоблюдение структуры, рекомендованной Роскомнадзором, может затруднить проверку документа. Политика должна быть понятной для клиентов и сотрудников, но шаблоны часто перегружены сложной юридической терминологией или, наоборот, недостаточно детализированы.
- Неучёт технических и организационных мер защиты
Законом предусмотрено описание мер, принимаемых компанией для защиты данных. Например, использование шифрования, парольной защиты или ограничение доступа к базам данных. Эти аспекты часто упускаются, что может стать причиной претензий со стороны проверяющих органов.
Политика обработки персональных данных в медицинской организации
Медицинские организации находятся в зоне риска, когда речь идёт о защите персональной информации. Сведения, которые они обрабатывают, относятся к специальным категориям и требуют строгого подхода к обработке и защите. Политика обработки персональных данных в медицинских учреждениях должна учитывать как общие требования законодательства, так и отраслевые особенности. Составление политики в этой сфере — задача, которая не терпит шаблонных подходов.
- Специальные категории данных
Медицинские организации обрабатывают не только стандартные сведения о клиентах, такие как ФИО, адрес или контактный телефон, но и информацию о:
- семейном положении;
- образовании;
- сведения о состоянии здоровья;
- диагнозах;
- результатах анализов;
- проводимых процедурах;
- назначенном лечении и т.д.
Эти данные отнесены к специальным категориям, обработка которых регулируется особенно строго в силу законодательно закрепленной обязанности медицинских организаций защищать от разглашения сведения, составляющие врачебную тайну.
Отдельно следует отметить вопрос биометрических персональных данных. Поскольку законодательство разрешает автоматизированную обработку только голоса и изображения, то медицинская организация обязана документально закрепить, что данные с которыми она работает (зубная формула, ДНК, рентгеновские снимки и т.д.) не используются в с целью идентификации/аутентификации и не могут быть квалифицированы в качестве персональных данных.
- Согласие на передачу данных третьим лицам
Медицинские учреждения часто взаимодействуют с третьими сторонами, такими как страховые компании, лаборатории или органы власти. Политика должна чётко регламентировать:
- Цели и основания для передачи данных.
- Порядок информирования пациентов о таких передачах.
- Получение согласия пациента на передачу информации.
- Трансграничная передача данных
Если медицинская клиника использует зарубежные сервисы, например, облачные хранилища для обработки информации, то Политика должна содержать подробное описание трансграничной передачи данных, включая:
- Перечень стран, в которые могут передаваться данные.
- Гарантии соблюдения конфиденциальности при такой передаче.
Медицинская организация должна уведомить Роскомнадзор об использовании таких сервисов и предусмотреть на сайте функционал, позволяющий получить согласие у пользователя на сбор информации иностранными сервисами. Такие требования к трансграничной передаче распространяются на любой вид бизнеса в России.
- Описание мер защиты данных
Для медицинских организаций важны как технические, так и организационные меры защиты:
- Шифрование.
- Ограничение доступа сотрудников к медицинским картам и иным хранилищам персональных данных (в том числе серверам и другим компьютерным устройствам, где хранятся персональные данные пациентов).
- Выполнение требований информационной безопасности и “информационной гигиены” при работе с персональными данными по сети (установка антивирусных программ, тщательный выбор облачных серверов и т.д.).
- Проведение регулярного обучения персонала о правилах работы с персональными данными.
- Утверждение Положения о работе сотрудников с информацией с ограниченным доступом и подписание NDA (соглашения о неразглашении) с субподрядчиками, работающими по гражданскому договору.
- Приведение документов, содержащих информацию о пациентах, в деперсонализированный (обезличенный) вид перед их передачей контрагентам.
- Учет нормативных актов
Политика должна быть составлена с учётом дополнительных нормативных актов, регулирующих деятельность медицинских организаций, например:
- Федерального закона № 323-ФЗ «Об основах охраны здоровья граждан в Российской Федерации».
- Приказов Минздрава, регулирующих ведение медицинской документации, в том числе электронной.
Кроме этого, не стоит забывать о необходимости оформления согласия на обработку персональных данных с каждым врачом, сведения о которых размещены на сайте клиники.
Почему нужно обратиться к юристу?
- Комплексный подход
Юрист не просто составит Политику, а детально изучит специфику бизнеса, операционные процессы и риски. Такой подход позволяет подготовить документ, который соответствует не только законодательным требованиям, но и практике компании.
- Индивидуализация
Готовые шаблоны не учитывают:
- Отраслевые особенности. Например, медицинские клиники обязаны соблюдать не только 152-ФЗ, но и требования отраслевого медицинского законодательства о врачебной тайне (практически все персональные данные пациентов в медицинской организации автоматически подпадают под определение информации, содержащей врачебную тайну) .
- Масштаб бизнеса. Малый бизнес может использовать упрощённые процессы обработки, тогда как крупным компаниям нужны сложные регламенты.
Юрист подберёт формулировки, которые соответствуют вашей деятельности, и исключит избыточные или неподходящие пункты.
- Готовность к проверкам
Роскомнадзор проводит проверки соблюдения законодательства о персональных данных. При выявлении нарушений компании грозят значительные штрафы. Юрист составит Политику и подготовит формы Согласия на обработку персональных данных исходя из практики взаимодействия с Роскомнадзором.
Составление ПОПД – это не формальность, а важный процесс, который требует профессионального подхода. Ошибки при её подготовке могут привести к серьёзным последствиям: от потери репутации и штрафов (которые одни из самых крупных в законодательстве РФ — до 15 миллионов рублей) и вплоть до уголовной ответственности в случае утечки персональных данных. Обратившись к юристу, вы получите документ, который соответствует законодательству, учитывает особенности бизнеса и защищает интересы компании.
Автор статьи – Орленко Василий Васильевич, кандидат юридических наук, доцент
Статья написана 09.12.2024