Разработка политики конфиденциальности для сайта малого бизнеса, осуществляющего сбор и обработку персональных данных клиентов
Анализ вашей ситуации
Вы являетесь оператором персональных данных, так как собираете и обрабатываете информацию от клиентов через ваш сайт. Сбор включает как базовые данные (ФИО, контакты), так и платёжные реквизиты для исполнения договоров. Вы также передаёте эти данные третьим лицам (курьерским службам) для целей доставки. Ненадлежащее оформление документов, регулирующих обработку данных, влечёт риск административной и иной ответственности.
Применимые правовые нормы и требования
1. Обязательность политики и её публикации
Закон прямо обязывает оператора, осуществляющего сбор данных через интернет, иметь и публиковать документ, определяющий его политику в отношении обработки персональных данных.
"Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети, в том числе на страницах принадлежащего оператору сайта в информационно-телекоммуникационной сети "Интернет", с использованием которых осуществляется сбор персональных данных, документ, определяющий его политику в отношении обработки персональных данных..." (Источник: Федеральный закон "О персональных данных", статья 18.1, часть 2)
2. Цели и принципы обработки данных
Обработка должна осуществляться на законной основе и строго для достижения конкретных, заранее определённых целей. Сбор данных должен быть необходимым и достаточным для этих целей.
"Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных." (Источник: Федеральный закон "О персональных данных", статья 5, часть 2)
"Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки." (Источник: Федеральный закон "О персональных данных", статья 5, часть 5)
Правовое основание для обработки: В вашем случае основным правовым основанием, скорее всего, будет исполнение договора с клиентом (покупателем).
"Обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных..." (Источник: Федеральный закон "О персональных данных", статья 6, часть 1, пункт 5)
3. Информация, которую необходимо раскрыть субъекту данных (клиенту)
Содержание политики конфиденциальности напрямую вытекает из перечня сведений, которые оператор обязан предоставить субъекту по его запросу. Разумно включить эту информацию в политику сразу.
"Субъект персональных данных имеет право на получение информации, касающейся обработки его персональных данных, в том числе содержащей:
- подтверждение факта обработки персональных данных оператором;
- правовые основания и цели обработки персональных данных;
- цели и применяемые оператором способы обработки персональных данных;
- ...сведения о лицах..., которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором...;
- обрабатываемые персональные данные... источник их получения...;
- сроки обработки персональных данных, в том числе сроки их хранения;
- порядок осуществления субъектом персональных данных прав, предусмотренных настоящим Федеральным законом;
- наименование или фамилию, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка поручена или будет поручена такому лицу..." (Источник: Федеральный закон "О персональных данных", статья 14, часть 7)
4. Передача данных третьим лицам (курьерским службам)
Передача персональных данных курьерской службе для целей доставки заказа является поручением обработки другому лицу. Для этого необходимо:
- Согласие субъекта или наличие иного законного основания (например, необходимость для исполнения договора с клиентом).
- Оформление поручения в договоре с курьерской службой.
"Оператор вправе поручить обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено федеральным законом, на основании заключаемого с этим лицом договора..." (Источник: Федеральный закон "О персональных данных", статья 6, часть 3)
"Субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе. Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным." (Источник: Федеральный закон "О персональных данных", статья 9, часть 1)
Важно: В политике конфиденциальности обязательно нужно указать факт такой передачи, наименование или категории таких лиц (например, "службы доставки") и цели передачи.
5. О платежных данных
Платёжные реквизиты (данные банковской карты) сами по себе не относятся к специальным категориям персональных данных, перечисленным в законе (раса, здоровье, интимная жизнь и т.д.).
"Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, состояния здоровья, интимной жизни, не допускается, за исключением случаев..." (Источник: Федеральный закон "О персональных данных", статья 10, часть 1)
Однако это не снижает требований к их защите, так как это данные, позволяющие совершать финансовые операции, и их утечка может причинить значительный вред.
6. Меры по обеспечению безопасности данных
Оператор обязан принимать меры для защиты данных от неправомерного доступа. В политике можно сделать общую отсылку к принимаемым мерам.
"Оператор при обработке персональных данных обязан принимать необходимые правовые, организационные и технические меры или обеспечивать их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных." (Источник: Федеральный закон "О персональных данных", статья 19, часть 1)
Конкретные требования к защите устанавливаются Правительством РФ. Для большинства малых бизнесов, обрабатывающих данные клиентов, обычно требуется как минимум 4-й или 3-й уровень защищенности, что подразумевает, например, назначение ответственного, утверждение перечня лиц с доступом, использование средств защиты информации.
"организация режима обеспечения безопасности помещений... обеспечение сохранности носителей персональных данных; утверждение руководителем оператора документа, определяющего перечень лиц, доступ которых к персональным данным... необходим..." (Источник: Постановление Правительства РФ от 01.11.2012 N 1119, пункт 13)
7. Порядок оформления и публикации
- Политика должна быть размещена на сайте в свободном доступе, обычно в подвале (футере) сайта, по постоянной ссылке (например,
/privacy).
- Согласие на обработку данных может быть получено различными способами. На практике для интернет-магазинов это часто реализуется как отдельный пункт в форме заказа с галочкой и ссылкой на текст политики.
"Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом." (Источник: Федеральный закон "О персональных данных", статья 9, часть 1)
Обязательные разделы политики конфиденциальности (на основе закона)
- Общие положения: Наименование и реквизиты оператора (ИП или ООО).
- Основные понятия и определения.
- Цели сбора и обработки персональных данных (например, для заключения и исполнения договора купли-продажи, доставки, обслуживания клиентов, выполнения требований законодательства).
- Правовые основания обработки персональных данных (ст. 6 152-ФЗ, в вашем случае — пункт 5 ч.1 — договор с клиентом).
- Состав (перечень) обрабатываемых персональных данных (ФИО, телефон, email, адрес доставки, данные платёжного средства).
- Принципы и условия обработки данных, включая сроки хранения (хранить не дольше, чем требуется для целей обработки, если иное не установлено законом).
- Поручение обработки третьим лицам: Явное указание, что для целей доставки данные (ФИО, адрес, телефон) передаются партнёрским курьерским службам, которые обязуются соблюдать конфиденциальность.
- Меры по защите персональных данных (общее описание принимаемых организационных и технических мер).
- Права субъекта персональных данных (право на доступ, уточнение, блокирование, уничтожение, отзыв согласия). Обязательно укажите контакты для направления запросов.
- Заключительные положения: Как изменения в политику доводятся до сведения пользователей, реквизиты оператора.
Выводы и конкретные рекомендации
- Политика конфиденциальности обязательна. Её отсутствие или несоответствие требованиям закона — прямое нарушение, которое может повлечь административный штраф по статье 13.11 КоАП РФ.
- Используйте приведённый выше перечень разделов как план. Наполните каждый раздел информацией, специфичной для вашего бизнеса.
- Для передачи данных курьерам:
- Включите в политику чёткую формулировку о такой передаче.
- Получите согласие пользователя на обработку (включая передачу) данных. Это можно сделать через галочку в форме заказа: "Я согласен на обработку моих персональных данных, включая передачу службе доставки, в соответствии с Политикой конфиденциальности".
- Заключите письменный договор с курьерской службой, в котором пропишите её обязанности по соблюдению конфиденциальности и безопасности данных (это требуется ч. 3 ст. 6 152-ФЗ).
- Примите организационные меры внутри компании: назначьте ответственного за обработку ПДн (если у вас ООО, это обязательно), утвердите внутренний документ (приказ) с перечнем лиц, имеющих доступ к данным.
- Обеспечьте техническую защиту сайта: используйте SSL-сертификат (HTTPS), регулярно обновляйте программное обеспечение, особенно если платёжные данные обрабатываются на вашем сайте. Рекомендуется обратиться к специалистам по информационной безопасности для настройки.
- Проверьте необходимость уведомления Роскомнадзора. С 01.09.2022 уведомление требуется не всегда. В вашем случае, если обработка осуществляется только для исполнения договора с клиентом (покупки товара), уведомление может не требоваться, но этот вопрос сложен. Рекомендуется уточнить этот момент.
Где посмотреть образцы? В открытом доступе на сайтах крупных и средних российских компаний, особенно в сегменте интернет-торговли (Ozon, Wildberries, крупные розничные сети). Обращайте внимание не на дословное копирование, а на структуру и отражение ключевых элементов, перечисленных выше.
Важно: Данный ответ является юридическим анализом на основе предоставленного контекста и не заменяет персональную консультацию. Учитывая наличие обработки платёжных данных и передачу их третьим лицам, для подготовки полного пакета документов (политика, формы согласий, внутренние приказы, договоры с подрядчиками) и оценки всех рисков настоятельно рекомендую обратиться к адвокату, специализирующемуся на информационном праве и защите персональных данных.