Когда речь заходит о сайте, чуть ли не один из первых документов, который советуют разместить — это политика в отношении обработки персональных данных. Разберемся, что это вообще за бюрократические проделки.
Политика в отношении обработки персональных данных — документ с условиями работы с персональными данными.
Откуда политика вообще взялась?
Это всё положения пп 2 ч. 1 статьи 18.1 152-ФЗ . Оператор обязан издать (!) "документы, определяющие политику оператора в отношении обработки персональных данных". Вот ровно из этой формулировки и вылупилась политика в отношении обработки ПДн.
Кому нужна политика?
Всем операторам персональных данных: ИП, юрлицам, самозанятым.
Помним, что мы с вами — самозанятые и ИП, оказывающие услуги — операторы персональных данных. Даже если вы не собираете отдельно персональные данные, вы все равно с ними соприкасаетесь, а значит, обрабатываете — вы оператор.
прислали анкету клиенту
прислали предложение клиенту в мессенджер
подписали договор
согласовали условия
сделали сайт, страничку таплинк и т.п.
Что, как Оператор, вы обязаны сделать с политикой?
Все та же ч 2 статьи 18.1 ФЗ-152. Обязан:
1. Издать политику в отношении обработки ПДн. 2. Обеспечить неограниченный доступ к этой политике. 3. Если сбор персональных данных (оплата, рассылка, заявки и т.п.) идёт через сайт или бот — разместить политику на сайте или в боте.
И тут нюанс. Все эти пункты не исключают друг друга. То есть даже если у вас нет сайта, с которого вы собираете ПДн, политика у вас все равно должна быть и должна быть где-то размещена. У кого есть офис или кабинет — можно повестить в уголок.
А если офиса нет... :) Понятное дело, что вероятность прихода сотрудников РКН с проверкой к самозанятому или ИП домой — с вопросом "гдеее у вас размещена политика?!", маловероятна, но я все равно должна была предупредить :)
Короче. Однозначный мастхэв по политике, если у вас есть:
сайт/лендинг
бот
страница типа таплинк
Что должно быть в Политике?
Общий перечень — опять пп. 2 ч. 1 статьи 18.1 ФЗ-152:
1. общие цели 2. цели сбора персональных данных 3. правовые основания обработки персональных данных 4. объем и категории обрабатываемых данных, категории субъектов персональных данных; 5. порядок и условия обработки персональных данных; 6. актуализация, исправление, удаление и уничтожение данных, ответы на запросы субъектов на доступ к персональным данным.
У Роскомнадзора рекомендации есть по составлению политики.
Что будет если не разместили политику на сайте? Ну или не показали ее при запросе от РКН.
Штрафы по ч. 3 статьи 13.11 КоАП РФ:
Физлица и самозанятые — от 1 000 до 3 000 руб. ИП — от 10 000 до 20 000 руб.
Резюме Однозначно нужно размещать политику на сайте, лендинге, в боте.