Политика конфиденциальности: нужно ли создать отдельную для сайта или включить в уже существующую?

Здравствуйте, Мария! Ответы на Ваши вопросы следующие:

1) Согласно п. 2 ст. 18.1 Федерального закона от 27 июля 2006 г. N 152-ФЗ "О персональных данных", оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети. Однако закон не устанавливает необходимость разработки отдельной Политики конфиденциальности конкретно для сайта. Таким образом, если Политика в отношении обработки ПД уже разработана, то ее можно разместить на сайте организации.

2) Организация, собирающая персональные данные пользователей сайта, обязана разместить на сайте информацию об этом, включая информацию о целях обработки персональных данных, категориях обрабатываемых персональных данных, о способах обработки персональных данных, обеспечении конфиденциальности персональных данных и прочее. В этом случае, рекомендуется дополнить ранее существовавшую Политику в отношении обработки ПД положениями о сборе ПД на сайте организации.

Отсутствие такой информации на сайте может привести к нарушению законодательства о персональных данных.

Правоприменительной практикой в данном случае может служить Письмо Роскомнадзора от 30 ноября 2016 года N 548/к-28913 "О порядке опубликования оператором в информационно-телекоммуникационной сети документов, определяющих политику в отношении обработки персональных данных".

С уважением, юрист специализирующийся на законодательстве РФ.

Здравствуйте, Мария!

Отвечаю на ваши вопросы.

1) Согласно ч. 2 ст.18.1 ФЗ от 27 июля 2006 г. N 152-ФЗ "О персональных данных", оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, должен опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети. Таким образом, в случае если на сайте собираются персональные данные пользователей, необходимо разместить на сайте политику в отношении обработки персональных данных, которая должна содержать информацию о сведениях, собираемых на сайте, а также о порядке их обработки.

2) При наличии Политики в отношении обработки персональных данных, необходимо дополнить ее положениями, касающимися обработки персональных данных пользователей сайта и разместить актуальную информацию на сайте.

Относительно ссылок на правоприменительную практику, предлагаю ознакомиться со следующими документами: - Постановление Пленума ВС РФ от 24.06.2010 N 11 "О некоторых вопросах, связанных с применением судами законодательства о персональных данных"; - Письмо ФАС от 24.07.2014 N АК/42697/14 "О некоторых вопросах, возникающих при определении условий обработки персональных данных с учетом особенностей использования информационных технологий, включая средства массовой информации, а также при использовании персональных данных при проведении рекламной деятельности".

Надеюсь, мой ответ помог разобраться в данной ситуации. Если у вас возникнут дополнительные вопросы, обращайтесь.

Для решения данных вопросов потребуются следующие документы:

1. Политика в отношении обработки персональных данных, разработанная организацией;
2. Документ, определяющий политику в отношении обработки персональных данных для информационно-телекоммуникационных сетей;
3. Политика конфиденциальности, разработанная для сайта.

Ответы на ваши вопросы:

1. В соответствии с требованиями ст. 18.1 ФЗ "О персональных данных" оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать на сайте документ, определяющий его политику в отношении обработки персональных данных. Поэтому необходимо разместить на сайте уже имеющуюся Политику в отношении обработки ПД.

2. В случае, если в имеющейся Политике в отношении обработки ПД не указывается, что ведется обработка персональных данных пользователей сайта, необходимо разработать отдельную Политику конфиденциальности для сайта и включить в нее соответствующие положения.

Ссылка на правоприменительную практику в данном случае не требуется, так как ответы на вопросы основаны на действующем законодательстве в области персональных данных. Однако, при возникновении спорных вопросов с регулирующими органами, судами или иными заинтересованными сторонами, может потребоваться ссылка на судебную или иную правоприменительную практику.

Для ответа на данный вопрос понадобятся следующие документы:

1. Федеральный закон от 27 июля 2006 г. № 152-ФЗ «О персональных данных»;
2. Политика в отношении обработки персональных данных организации;
3. Требования к защите персональных данных, реализуемые организацией при сборе персональных данных через информационно-телекоммуникационные сети;
4. Документ, определяющий политику организации в отношении обработки персональных данных при использовании информационно-телекоммуникационных сетей (для размещения на сайте).

Отвечая на вопрос Марии, отметим, что хотя в имеющейся Политике в отношении обработки персональных данных ничего не говорится о сборе персональных данных пользователей сайта, оператор, собирающий персональные данные через информационно-телекоммуникационные сети, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных.

Таким образом, для обеспечения соблюдения требований Федерального закона № 152-ФЗ «О персональных данных» необходимо разместить на сайте имеющуюся Политику в отношении обработки персональных данных организации и добавить в нее положения о том, что ведется обработка персональных данных пользователей сайта.

Относительно вопроса, нужно ли разработать отдельную Политику конфиденциальности конкретно для сайта, следует отметить, что в практике действует два подхода: 1) разработка отдельной Политики конфиденциальности конкретно для сайта; 2) добавление положений о защите персональных данных пользователей сайта в уже имеющуюся Политику в отношении обработки персональных данных организации.

Конкретный подход зависит от многих факторов, включая сложность и специфику сайта, количество и типы собираемых персональных данных, требования к защите персональных данных и т.д. Рекомендуем проконсультироваться с юристом, который сможет дать рекомендации по данному конкретному вопросу, учитывая все вышеперечисленные факторы и правоприменительную практику.

Для решения данного вопроса необходимы следующие документы:

1. Федеральный закон от 27 июля 2006 г. N 152-ФЗ "О персональных данных";
2. Политика в отношении обработки персональных данных организации;
3. Документ, определяющий политику в отношении обработки персональных данных, размещенный на сайте организации;
4. Правоприменительная практика в области защиты персональных данных.

Ответ на вопросы Марии:

1. Для того чтобы соответствовать требованиям законодательства о персональных данных, необходимо разместить на сайте организации документ, определяющий политику в отношении обработки персональных данных, а также сведения о реализуемых требованиях к защите персональных данных. Если Политика в отношении обработки ПД, уже имеющаяся в организации, содержит все необходимые сведения о защите ПД, то ее можно разместить на сайте. Если же в Политике в отношении обработки ПД ничего не говорится про сбор ПД пользователей сайта, то необходимо разработать отдельную Политику конфиденциальности, которая будет регулировать сбор, использование и защиту персональных данных пользователей сайта.

2. Да, в имеющуюся Политику в отношении обработки персональных данных следует включить положения о сборе и обработке персональных данных пользователей сайта, если организация осуществляет такую деятельность. В политику следует включить также сведения о порядке сбора, хранения, использования и защиты персональных данных пользователей сайта.

Наиболее актуальную правоприменительную практику в области защиты персональных данных можно изучить на сайте Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций.

1) В данном случае нужно разработать отдельную Политику конфиденциальности для сайта, так как этот документ должен быть опубликован на сайте и содержать информацию о реализуемых требованиях к защите персональных данных и их обработке на сайте. Статьи: ч. 2 ст. 18.1 ФЗ "О персональных данных", ст. 20.1 ФЗ "О рекламе". 2) Да, положения о том, что организация осуществляет обработку персональных данных пользователей сайта, должны быть включены в Политику в отношении обработки персональных данных. Статьи: ч. 2 ст. 18.1 ФЗ "О персональных данных", ст. 20.1 ФЗ "О рекламе".

Правоприменительную практику по данному вопросу можно найти, например, на сайте Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) в разделе "Правила обработки персональных данных в информационно-телекоммуникационных сетях".

1) Статья 18.1 часть 2 Федерального закона от 27 июля 2006 года № 152-ФЗ "О персональных данных" требует, чтобы оператор, собирающий персональные данные с использованием информационно-телекоммуникационных сетей, опубликовал документ, определяющий политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных. Поскольку сайт организации собирает персональные данные, то на сайте должна быть размещена политика конфиденциальности, содержащая информацию о том, какие персональные данные собираются, как они обрабатываются и защищаются.

2) В случае, если в существующей политике обработки ПД нет информации о сборе ПД пользователей сайта, ее необходимо изменить и дополнить новыми положениями, содержащими информацию о сборе, обработке и защите персональных данных пользователей сайта.

Ответ является общим и не является консультацией по данному конкретному случаю. В случае необходимости рекомендуется обратиться к юристу для получения консультации на основе детального изучения документов и обстоятельств дела.

1) Необходимо размещать на сайте Политику конфиденциальности конкретно для сайта, поскольку это требование прописано в ч. 2 ст. 18.1 Федерального закона от 27 июля 2006 г. №152-ФЗ "О персональных данных".

2) Для правильной обработки персональных данных пользователей сайта необходимо включать в Политику в отношении обработки персональных данных положения о том, что ведется также обработка пользователей сайта.

Ссылки на практику по данному вопросу: - Постановление Пятницкого районного суда г. Москвы от 23 апреля 2019 года по делу № 2-2101/2019. - Постановление Арбитражного суда г. Москвы от 7 апреля 2020 года по делу № А40-66398/2019.