Алексей, здравствуйте.
Предоставленный документ «Политика обработки персональных данных» содержит базовые положения, необходимые согласно Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных».
Какие я выявил недостатки:
1. Отсутствие актуальных положений о трансграничной передаче данных. В связи с использованием AI-моделей через сторонний сервис, данный раздел требует особого внимания.
Согласно пункту 11 статьи 3 Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных», трансграничная передача персональных данных требует отдельного регулирования и согласия пользователя
11) трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.
2. Недостаточно детально описаны права субъектов персональных данных. В действующей редакции закона существенно расширены права субъектов, которые должны быть отражены в документе.
3. Отсутствует информация о мерах по локализации хранения данных. С 30 мая 2025 года все данные российских пользователей должны храниться и обрабатываться исключительно на территории России. С информацией можно ознакомиться здесь: https://companies.rbc.ru/news/LfIRlNzMxt/popravki-v-152-fz-chto-biznesu-nuzhno-znat-o-personalnyih-dannyih-v-2025/
4. Недостаточно конкретизированы положения о согласии на обработку персональных данных. С 1 января 2025 года действуют новые требования к форме и содержанию согласия.
Распоряжением Правительства от 09.04.2024 № 856-р утверждены бумажная и электронная формы согласия на размещение и обработку ПД в ЕСИА и единой биометрической системе (кратко — ЕБС).
Унифицированные формы включают пункты для заполнения по ПД субъекта, цели согласия, информацию об операторе ПДн, о представителе субъекта ПДн, срок действия, подпись и дату соглашения.
5. Не учтены новые категории данных, введенные в законодательство в 2025 году. В частности, данные о поведении пользователей на сайте теперь требуют отдельного согласия.
6. Недостаточно проработан раздел о мерах защиты персональных данных, особенно в контексте использования AI-технологий.
Вам нужно детализировать раздел о трансграничной передаче данных (указать конкретный перечень передаваемых данных при использовании AI-моделей, добавить информацию о получении отдельного согласия пользователя на трансграничную передачу при каждом использовании функции генерации контента, уточнить, что согласно новой редакции статьи 12 ФЗ-152, оператор обязан до начала передачи получить от иностранных юридических лиц сведения о принимаемых ими мерах по защите передаваемых данных).
Далее, нужно расширить раздел о правах субъекта персональных данных (включить право на получение информации об обработке в структурированном формате, добавить порядок отзыва согласия на обработку, указать сроки исполнения запросов субъекта (10 рабочих дней согласно актуальным требованиям)).
Добавить раздел о локализации хранения данных, указать, что все персональные данные российских пользователей хранятся на серверах, расположенных на территории Российской Федерации. Перечислить технические и организационные меры по обеспечению такой локализации.
Далее, нужно обновить раздел о согласии на обработку. Согласие является отдельным документом и не включается в иные документы, описать новые требования к содержанию согласия согласно Распоряжению Правительства от 09.04.2024 № 856-р.
Добавить раздел о новых категориях данных, включить положения об обработке данных о поведении пользователей на сайте, указать необходимость отдельного согласия на обработку cookie-файлов.
Рекомендовал бы также добавить информацию о конкретных организационных и технических мерах защиты
Указать лиц, ответственных за обеспечение безопасности персональных данных. Можно добавить раздел об ответственности за нарушение требований законодательства о персональных данных с указанием актуальных штрафов.
Помимо обновленной Политики обработки персональных данных, для полного соответствия требованиям законодательства необходимо разработать и разместить на сайте/в сервисе следующие документы:
— Форма согласия на обработку персональных данных (отдельный документ согласно новым требованиям);
— Форма согласия на трансграничную передачу данных (с указанием конкретных данных, передаваемых AI-сервису);
— Форма отзыва согласия на обработку персональных данных;
— Политика в отношении cookie-файлов (отдельный документ или раздел в основной политике);
— Положение о защите персональных данных (внутренний документ, определяющий порядок обработки и защиты ПДн);
— Регламент действий при утечке персональных данных (согласно новым требованиям от 30 мая 2025 года).
В качестве доп. рекомендаций, назначьте ответственное лицо за обработку персональных данных в Вашей организации и укажите его контактные данные в Политике. Подайте уведомление в Роскомнадзор о начале обработки персональных данных. С 2025 года форма уведомления обновлена.
Внедрите механизм получения согласия пользователей перед каждым использованием функции генерации контента через AI-модель с четким указанием, какие данные будут переданы. Используйте только российские облачные сервисы для хранения персональных данных пользователей, чтобы соответствовать требованиям о локализации данных.
Разработайте процедуру проведения оценки соблюдения иностранными контрагентами (AI-сервисами) требований конфиденциальности при передаче им персональных данных. Внедрите механизм гибкой настройки cookie-файлов, позволяющий пользователям выбирать, какие данные могут собираться.
Проведите аудит сайта на наличие иностранных сервисов аналитики и замените их на российские аналоги в соответствии с новыми требованиями. Ведите журнал обращений субъектов персональных данных с запросами об удалении, доступе или изменении данных (хранить, на сколько помню не менее 3 лет).
Обратите особое внимание на вопросы трансграничной передачи данных и локализации их хранения, так как в этой области произошли значительные изменения, а штрафы за нарушения существенно увеличились.
Если у Вас остались вопросы или Вам требуется помощь в подготовке обновленных документов, Вы можете написать мне в чат для дальнейшего обсуждения.
Надеюсь мой ответ был Вам полезен!