Ошибочное слияние политики конфиденциальности и политики обработки ПДн приводит к штрафам по ст. 13.11 КоАП РФ, где сумма взыскания для юрлиц за повторное нарушение может достигать 700 000 рублей. В то время как первый документ регулирует отношения с пользователем, второй — жестко регламентирует внутренние процессы компании согласно ФЗ-152.
Юридическая природа и целевое назначение
Политика конфиденциальности — это публичная оферта, маркетинговый инструмент, который объясняет пользователю «простым языком», как сайт заботится о его приватности. Политика обработки ПДн — это локальный нормативный акт (ЛНА), который требует от оператора раскрытия конкретных способов обработки данных. Различие в целях создания: для кого пишется политика конфиденциальности, а для кого — политика обработки ПДн определяет структуру обоих текстов.
Пример: если в политике конфиденциальности вы пишете «мы бережем ваши данные», то в политике обработки ПДн вы обязаны указать: «сбор осуществляется путем заполнения формы на сайте, хранение — в базе данных PostgreSQL на сервере в г. Москва». Экспертный вывод: попытка заменить ЛНА маркетинговым текстом — прямой путь к предписанию Роскомнадзора.
Сравнение документов по критериям ФЗ-152
Ключевой разрыв лежит в плоскости детализации. Согласно ст. 18.1 ФЗ-152, оператор обязан опубликовать документ, определяющий меры по защите ПДн. В таблице ниже — основные параметры сравнения:
- Объект регулирования: Конфиденциальность — общие принципы; Обработка ПДн — конкретные действия (сбор, запись, систематизация, накопление, хранение).
- Требования к языку: Конфиденциальность — доступный, пользовательский; Обработка ПДн — строго юридический, терминология закона.
- Срок актуализации: Политика конфиденциальности меняется при обновлении функционала сайта; политика обработки ПДн — при изменении целей обработки или смене подрядчика по хостингу.
Мини-кейс: компания изменила CRM с Bitrix24 на AmoCRM. В политике конфиденциальности это может не отразиться, но в политике обработки ПДн необходимо обновить раздел о способах передачи и хранения данных. Экспертный вывод: политика обработки ПДн — это технический паспорт ваших данных, она должна быть предельно конкретной.
Критический анализ структуры и разделов
Существует чек-лист проверки: какие разделы должны быть в политике обработки ПДн, которых нет в политике конфиденциальности, и именно здесь чаще всего обнаруживаются дыры. В политике обработки ПДн обязательно должны быть: конкретные сроки обработки (например, «до достижения цели или в течение 5 лет после расторжения договора»), правовые основания обработки (ст. 6 ФЗ-152) и перечень действий с данными.
В политике конфиденциальности эти пункты часто заменяются общими фразами «в течение необходимого времени» или «в соответствии с законом», что допустимо для пользователя, но недопустимо для регулятора. Экспертный вывод: отсутствие в ЛНА четких сроков хранения данных — одна из топ-3 причин штрафов при проверках РКН.
Риски и финансовые последствия ошибок
Многие владельцы сайтов выбирают риски объединения политики конфиденциальности и политики обработки ПДн в один документ, полагая, что это упростит навигацию. Однако это создает юридический конфликт: либо документ становится слишком громоздким и непонятным для пользователя, либо слишком поверхностным для закона.
Статистика проверок показывает, что до 40% малого бизнеса в РФ не имеет раздельного документооборота по ПДн. При этом стоимость разработки правильного пакета документов (ЛНА + публичная политика + согласия) на рынке варьируется от 15 000 до 45 000 рублей, что в десятки раз дешевле минимального штрафа. Экспертный вывод: разделение документов — это страховка бизнеса, которая окупается при первой же выборочной проверке.
Вывод
Мой вердикт: никогда не объединяйте эти документы. Политика конфиденциальности — это «лицо» вашего сервиса для клиента, а политика обработки ПДн — это «щит» перед Роскомнадзором. Начните с аудита текущих текстов: если у вас один документ на 5 страниц, срочно разделите его на два. Сначала создайте жесткий, сухой регламент обработки ПДн, а затем сделайте из него упрощенную версию для политики конфиденциальности. Избегайте шаблонов из интернета 2018-2020 годов — они не учитывают актуальные требования к трансграничной передаче данных и новые штрафные санкции.