Ошибки в Политике обработки персональных данных

Одна ошибка при работе с персональными данными (ПДн) может стоить компании репутации и денег, причем немалых. Первое, что нужно сделать, чтобы снизить риски – правильно оформить локальные документы. Начать рекомендуем с Политики обработки персональных данных.

Что может пойти не так

1. Обработка персональных данных осуществляется, а Политика в отношении ПДн не утверждена.
2. Персональные данные обрабатываются раз в пятилетку, значит Политика не нужна.
3. У вас микробизнес или самозанятость, нет работников. И нет желания тратиться на документооборот.
4. Создается шаблонный документ, за основу берется первый попавшийся образец из интернета.
5. В документе не указано, как и когда уничтожаются, удаляются данные.

Исправляем ошибки

Политика обработки персональных данных – локальный документ, который регулирует порядок работы с соответствующими данными. Также он формирует репутацию добросовестного оператора. Отсутствие такого документа буквально говорит партнерам и проверяющим: мы не уважаем права клиентов, и не закон нам не писан. И если первые просто откажутся от сотрудничества, вторые наложат санкции. Не хотите платить штрафы, сформируйте и утвердите Политику обработки персональных данных. И не забудьте разместить ее на сайте в открытом доступе, как положено по закону.

Разработка Политики по ПДн является обязательной (ст.18.1 ФЗ №152 от 27.07.2006). Нет ее – нет и законных оснований для сбора, обработки данных. А значит, вы не можете даже организовать электронную рассылку рекламы или уведомлений на почту. Публичный документ нужен не только для соблюдения формальностей. Политика по ПДн – это ваша открытая позиция в отношении сбора и обработки данных, подробная инструкция о том, какие данные, как и для чего вам нужны. И еще один нюанс, документ должен быть «живым». Законодательство по ПДн меняется. Актуализируйте Политику, в противном случае не удивляйтесь жалобам и штрафам.

Размеры бизнеса и режим налогообложения не влияют на статус оператора персональных данных. Роль играет сфера деятельности и формат взаимодействия с целевой аудиторией. Политика по ПДн обязательна для всех, кто собирает данные покупателей (пользователей). Это касается административных и медицинских порталов, образовательных платформ, социальных сетей и приложений, площадок с подписками и рассылками, сайтов с личными кабинетами, онлайн-сервисов услуг (бронирование жилья, доставка еды, такси и т.п.), интернет-магазинов. Даже если вы собираете только электронные адреса для рассылки, нужна Политика по ПДн и согласие на обработку данных от пользователя.

Политика по ПДн должна быть адаптирована под бизнес-процессы компании. Если она не учитывает специфику работы с данными, риски проверок и штрафов возрастают многократно. Документ должен отражать, какие данные собираются, как именно они обрабатываются и защищаются. Например, если используется CRM-система для хранения данных клиентов, или функция передается на аутсорсинг, это нужно отразить в Политике.

О разделе про актуализацию, исправление, уничтожение, удаление данных часто забывают. А его отсутствие делает Политику несостоятельной. Обязательно прописывайте, как и когда вы актуализируете данные, в какие сроки вносите изменения, как уведомляете клиентов и контрагентов. А также указывайте, данные уничтожаются при отзыве согласия субъектом (без всяких «но»), при достижении цели обработки и при выявлении неправомерной обработки.