Ошибка в разграничении документов по ПДн обходится бизнесу в среднем от 60 000 до 600 000 рублей за одно нарушение по ст. 13.11 КоАП РФ, причем риск возрастает кратно при проверке кадрового делопроизводства. Путать публичную оферту для клиентов с внутренним регламентом обработки данных сотрудников — значит создать юридическую дыру, которую Роскомнадзор закрывает штрафом при первом же запросе.
Целевая аудитория: внешний рынок vs штат
Политика конфиденциальности (Privacy Policy) — это публичный документ, ориентированный на пользователя сайта. Его задача — легализовать сбор cookies, e-mail и телефонов для маркетинга. Здесь работают принципы минимализма: пользователь не будет читать 20 страниц текста, поэтому фокус идет на прозрачность целей (рассылка, лид-форма). В 2024 году средний объем такой политики составляет 3-7 страниц.
Политика обработки персональных данных (ППД) для сотрудников — это жесткий внутренний регламент. В отличие от клиентской версии, здесь обрабатываются специальные категории данных: СНИЛС, ИНН, паспортные данные, сведения о здоровье и доходах. Ошибка многих компаний в том, что они пытаются использовать одну общую формулировку для всех, что ведет к избыточности данных для клиентов и недостаточности для HR-департамента.
Экспертный вывод: Не пытайтесь создать «универсальный комбайн». Разделение документов позволяет избежать избыточного информирования клиентов о ваших внутренних HR-процессах, что снижает риск жалоб в РКН на «чрезмерный сбор данных».
Состав собираемых данных и правовые основания
Для пользователей сайта достаточно «мягких» данных: IP-адрес, город, имя и телефон. Правовым основанием здесь выступает чаще всего согласие пользователя или исполнение договора (заказ товара). В этом контексте важно изучить разница в целях использования: когда достаточно политики конфиденциальности, а когда обязательна политика обработки данных, чтобы не перегружать интерфейс лишними чек-боксами.
Для сотрудников база данных в 10-15 раз объемнее. Сюда входят данные о квалификации, семейном положении, банковские реквизиты для выплаты ЗП. Основанием здесь выступает не только согласие, но и Трудовой кодекс РФ (ст. 88). Если вы пропишете обработку данных сотрудника только на основании его «согласия», которое он может отозвать в любой момент, вы формально лишитесь законного права вести кадровый учет.
Мини-кейс: Компания «X» объединила документы. При отзыве согласия клиентом система автоматически заблокировала доступ к ПДн сотрудника в CRM, так как они были связаны одним идентификатором политики. Итог: простой HR-отдела на 2 дня и переписывание всей архитектуры БД.
Сроки хранения и регламенты уничтожения
В пользовательской политике сроки хранения обычно привязаны к жизненному циклу маркетинговой воронки или требованию пользователя удалить данные (обычно 30-90 дней после запроса). Здесь допустимы гибкие формулировки: «до достижения целей обработки».
В кадровой политике действуют жесткие законодательные сроки. Например, хранение личных дел сотрудников может достигать 50 или даже 75 лет (для документов по стажу). Ошибка в указании срока хранения в ППД для сотрудников — прямой путь к предписанию РКН. Практика показывает, что в 40% проверок именно несоответствие сроков хранения реальным архивным реестрам становится триггером для штрафа.
Экспертный вывод: Сроки в клиентской политике должны быть максимально короткими для лояльности и безопасности, а в сотруднической — строго соответствовать архивным нормам РФ.
Техническая реализация и доступность
Политика конфиденциальности обязана быть доступна в один клик с любой страницы сайта (футер, формы захвата). Это требование ст. 18.1 ФЗ-152. Стоимость разработки корректной структуры перелинковки для среднего e-com проекта составляет от 15 000 до 40 000 рублей, но это страховка от блокировки сайта.
Политика обработки данных для сотрудников чаще всего является внутренним локальным нормативным актом (ЛНА). Она не вывешивается в футере, а доводится до сотрудника под роспись или через ЭДО. Если вы вывесите внутреннюю политику обработки данных сотрудников в открытый доступ, вы сами создадите утечку данных, раскрыв структуру своего штата и внутренние регламенты безопасности.
Экспертный вывод: Публичность для клиентов — обязанность; секретность для сотрудников — необходимость. Смешивание этих режимов доступа — грубейшая ошибка в архитектуре комплаенса.
Вывод
Мой вердикт: разделяйте документы бескомпромиссно. Для внешней среды используйте лаконичную политику конфиденциальности, сфокусированную на маркетинговых целях. Для внутреннего контура внедряйте детальную политику обработки персональных данных, опирающуюся на ТК РФ и архивное законодательство. Начните с аудита текущих форм согласий: если у вас один документ на всех — вы в зоне риска. Избегайте шаблонов из интернета, так как они либо слишком общие, либо перегружены лишними пунктами, что провоцирует лишнее внимание регулятора.