Чтобы каждый пользователь мог вводить свои личные данные и не бояться, что ими воспользуются мошенники, действует политика конфиденциальности для сайта. В данной статье мы рассмотрим, что такое политика конфиденциальности для сайта, какие федеральные законы ее регулируют и как ее нормы применяются в повседневной жизни.
Политика конфиденциальности - это правовая документация, подлинность которой подтверждают эксперты. Она показывает, что владелец данного интернет-ресурса имеет право собирать, обрабатывать, использовать личную информацию юзеров, обеспечивая ее неприкосновенность. Политика конфиденциальности нужна для того, чтобы обезопасить посетителей сайта от недобросовестного использования их личных сведений хозяином ресурса в корыстных целях.
Еще несколько лет назад политика конфиденциальности для сайтов имела второстепенное значение. Многие собственники и тем более посетители ресурсов не знали, в чем ее предназначение, и, соответственно, считали ее чем-то ненужным. Сегодня российское законодательство регламентирует деятельность большей части сайтов, запрашивающих персональные данные пользователей.
В нормативных актах указано, что владельцы сайтов отвечают за передачу любой информации клиентов третьим лицам. Кроме того, собственники интернет-ресурсов обязаны указывать, какая именно защита предусмотрена против утечки сведений о посетителях.
Документ под названием «Политика конфиденциальности персональной информации» должен располагаться на первой странице сайта. Размещать его лучше так, чтобы перед регистрацией у посетителя не возникало никаких проблем с ознакомлением с ним.
Политика конфиденциальности данных касается всех личных сведений, которые клиент оставляет на сайте. Речь идет об имени, почтовом адресе, номере банковской карты, email, телефонном номере и иного рода информации. Разглашение чужих данных - достаточно серьезное действие, грозящее неприятными последствиями. Человек размещает личные сведения о себе для получения доступа к товарам или услугам, а значит, информация о нем должна быть надежно защищена.
Если мошенники или рекламные агентства получат доступ к личным данным юзеров, то смогут ими воспользоваться в корыстных интересах, а вам как владельцу ресурса люди доверять перестанут. Кроме того, разглашение конфиденциальных сведений - это статья, предусматривающая административные взыскания на основании судебного решения.
Эксперты отмечают: главный тренд в области онлайн-маркетинга - создание и оптимизация мобильной версии сайта фирмы. 59% потребителей используют мобильный интернет, чтобы найти информацию о товаре или перейти на сайт компании. Если вы не хотите потерять потенциальных клиентов, обратите внимание на мобильную версию сайта фирмы или интернет-магазина.
В статье электронного журнала «Коммерческий директор» собраны 11 универсальных советов, которые помогут оптимизировать дизайн и настройки мобильного сайта.
Интерес пользователя к тому или иному сайту трудно поддерживать в течение длительного времени. Как правило, посетитель находит то, что ему нужно, и покидает сайт. Обратно он возвращается в очень редких случаях. По прошествии времени он вводит в поисковике другой запрос, выходит на нужную ему информацию на аналогичном ресурсе и закрывает вкладку, покидая сайт.
Для формирования и сохранения своей аудитории собственники сайтов собирают данные обо всех посетителях, а потом время от времени в ненавязчивой форме присылают им новости и заманчивые предложения, напоминая о себе. Все оповещения зарегистрированный пользователь получает на свой email.
На сайте должен присутствовать особый пункт с разъяснениями порядка и цели сбора личной информации. Даже если для регистрации на сайте нужен лишь email, собственник ресурса все равно обязан размещать политику конфиденциальности. Как правило, на сайтах требуется оставлять только имя и email.
То, что каждый день на ваш электронный адрес поступают ненужные предложения и реклама, означает, что политика конфиденциальности какого-то сайта, где вы оставили свой email, некомпетентна или ее просто нет.
Отметим, что часть сайтов передает контактную информацию и имена посетителей смежным ресурсам, связанным с ними. Они не вправе перегружать посетителя ненужными сведениями, однако могут предлагать что-либо на основании запросов. Таков принцип действия политики конфиденциальности Google.
Если речь идет об интернет-магазине, то в данном случае пользователь не может указать только логин и email. Здесь схема более сложная, так как речь идет о финансовых операциях. В связи с этим политика конфиденциальности для сайта должна быть более строгой. Что касается лендинговых организаций, им политика конфиденциальности нужна, чтобы успешно проходить модерацию в рекламных сетях.
Рассказывает практик
Елена Денисова ,
руководитель коммерческой практики, CLIFF
Многие предприниматели считают, что между их деятельностью и обработкой персональных данных нет прямой связи, так как они просто собирают сведения о своей аудитории, чтобы знать ее. Кроме того, большой процент бизнесменов считает, что интернет-сайт - это не инструмент автоматизированной обработки. Следовательно, они не собирают личные данные пользователей и не обязаны заботиться об их неразглашении. Однако в российском законодательстве сказано, что оператор персональных данных - это как физическое, так и юридическое лицо, которое организует и обрабатывает персональную информацию и устанавливает цели ее сбора.
Чтобы избежать проблем с хранением и использованием ПД и действовать в соответствии с законом, нужно:
По мнению Роскомнадзора, согласием на обработку персональных данных на сайте может являться файл электронной цифровой подписи. Кроме того, в ряде ситуаций предложения оператора о продаже товара могут быть расценены как публичная оферта. Иными словами, когда пользователь соглашается на оферту при оформлении заказа или регистрации, то он тем самым разрешает продавцу использовать свои личные данные.
По мнению судебных органов, предприятиям следует размещать на своих сайтах веб-метку, означающую, что пользователь соглашается с правилами и порядком обработки ПД (постановление ФАС СЗО от 13.12.2010 г. по делу № А56-73636/2009, постановление ФАС УО от 18.03.2010 г. по делу № Ф09-1736/10-С1, определение Мосгорсуда от 14.02.2011 г. по делу № 33-2064).
В данный момент государство уделяет повышенное внимание вопросу безопасности персональных сведений граждан. В связи с этим самые известные и крупные ресурсы, такие как Vk.com, Яндекс.Директ, Google AdWords и т. д., начали серьезнее относиться к размещению на сайтах политики конфиденциальности. При ее отсутствии на лендинге данные ресурсы могут не принять рекламную кампанию или же существенно затруднить ее модерацию.
Еще недавно политика конфиденциальности для сайта (152-ФЗ) воспринималась многими участниками интернет-сообщества как пожелания, которым можно следовать или же не учитывать их, даже несмотря на законодательную основу. Тот факт, что за нарушение требований о соблюдении конфиденциальности персональных данных была предусмотрена административная ответственность (заметим, довольно скромная), никак не отразился на исполнении нормативных требований. Безукоризненно следовать правилам, связанным с безопасным хранением и использованием персональной информации, представители интернет-сообщества все равно не стали.
В итоге в июле 2017 г. закон № 152-ФЗ откорректировали и дополнили, вследствие чего административная ответственность за нарушение требований конфиденциальности ПДн ужесточилась. Сегодня за пренебрежение ими предусмотрены меры наказания.
Отметим, что политика конфиденциальности для сайта обязательна. Если ее нет, владельцы интернет-ресурса несут ответственность. Кроме того, за обработку конфиденциальных сведений клиентов без их согласия предусмотрены определенные санкции.
Если компания допускает нарушение в первый раз, на нее налагают штраф в размере 30 тыс. руб., во второй - 75 тыс. руб. Помимо этого, разрешено одновременно привлекать нарушителей к ответственности по нескольким частям ст. 13.11 Кодекса об административных правонарушениях РФ. Вывод: если бизнесмен ранее не следовал закону о соблюдении конфиденциальности ПДн, ему может грозить серьезный штраф.
Привлечение к административной ответственности за нарушение 152-ФЗ будет теперь входить в компетенцию Роскомнадзора, а не прокуратуры. Это значит, что квалификация работников Роскомнадзора будет повышаться, как и скорость проверок.
Рассказывает практик
Ильдар Багаутдинов ,
партнер, руководитель коммерческой практики компании «АНП Зенит», Казань
Сотрудники Роскомнадзора установили, что фирма «ТГЮК» разместила на сайте форму обратной связи. Однако документа о политике конфиденциальности в отношении сбора и использования персональных данных не было. На организацию наложили штраф в размере 1 тыс. руб. в соответствии со ст. 13.11 Кодекса об административных правонарушениях РФ. Но компания обратилась в суд. Как отметили ее представители, установить личность пользователя было невозможно, так как форма содержала в себе всего 3 элемента: имя, тему и текст сообщения. При этом графу «имя» посетитель мог не заполнять. Но суд не принял эти аргументы во внимание, и компании пришлось уплатить штраф (постановление Тамбовского областного суда от 04.10.2016 по делу № 4А-288).
Как избежать штрафных санкций? Если владелец размещает у себя на сайте форму обратной связи, это значит, что компания работает с персональными данными, то есть собирает сведения о гражданах. Соответственно, она обязана выполнять функции оператора ПД. Иными словами, организация должна ставить Роскомнадзор в известность о том, что она намерена заняться сбором и обработкой персональных данных, а также заручиться согласием субъекта. Кроме того, у нее на сайте обязательно должна присутствовать политика конфиденциальности, с которой пользователи могли бы без проблем знакомиться.
С 1.07.2017 г. на предприятия за отсутствие политики конфиденциальности для сайтов налагают штрафы в 30 тыс. руб.
При создании формы обратной связи на сайте позаботьтесь о наличии функции получения согласия субъекта на обработку ПД. Перед отправкой анкеты пользователь должен поставить соответствующую отметку, соглашаясь таким образом с дальнейшей обработкой приватных сведений.
Нарушения в области ПД бывают двух видов:
Политика конфиденциальности для сайта, образец которой вы всегда можете скачать в Интернете, - это внешний документ, так как в соответствии с российским законодательством доступ к нему должен быть обеспечен всем посетителям ресурса. Именно поэтому условия политики конфиденциальности прежде всего должны отвечать следующим требованиям:
Договор-оферта и страницы сайта, на которых размещена или отображается используемая персональная информация, - это также внешние документы. Разрабатывать их должны опытные специалисты, которые отлично разбираются в тонкостях составления политики конфиденциальности для сайтов.
Политика конфиденциальности для сайта прежде всего должна быть достоверной. Репутация ресурса очень пострадает, если прописанные в вашей политике конфиденциальности положения не будут выполняться. Кроме того, не исключено появление проблем с законом, в котором сказано, что за нарушение политики конфиденциальности ответственные лица должны нести наказание, в том числе уголовное.
В данный момент в России активно формируются новые законопроекты, касающиеся интернет-сферы. Однако четких требований к составлению политики конфиденциальности для сайтов пока нет. Но определенные негласные правила по ее разработке все же существуют, а именно:
При разработке политики конфиденциальности для сайта следует учитывать определенные тонкости. Остановимся на них подробнее:
В первую очередь политика конфиденциальности для сайта обязана быть максимально прозрачной. После ознакомления с документом пользователь должен полностью понимать, для чего предоставляет личную информацию, как она хранится и обрабатывается, как обеспечивается ее конфиденциальность и т. д.
Здесь нужно указать полный список сведений, которые должен предоставить пользователь, чтобы получить услуги, купить товар, ознакомиться с информацией и проч. Также необходимо обозначить данные, которые будут фиксироваться в автоматическом режиме: IP-адрес, дату и время URL-перехода и т. д.
В этой же главе посетителям обычно сообщают, для каких целей ведется сбор персональной информации (как правило, это связь с владельцем аккаунта).
Инструкция, в которой указывают, как посетитель может получить доступ к сведениям о себе, отредактировать их или удалить.
Обратите внимание: если на сайте предусмотрена функция временного хранения ПД пользователя после удаления его аккаунта, в политике конфиденциальности должно быть об этом сказано.
Эта глава актуальна, если посетители сайта могут присылать друг другу личные сообщения. В данном случае в политике конфиденциальности можно обозначить, что содержание сообщений защищено от индексации поисковиками.
Меры, которые владельцы сайта принимают, чтобы предотвратить несанкционированный доступ к информации посетителей.
На основании ст. 7 Закона «О персональных данных» № 152-ФЗ от 27.07.2006 г. разглашать и передавать персональные данные пользователя сторонним лицам без его согласия запрещено.
Исключения из этого правила обозначены в нормативно-правовых актах. Но не все граждане юридически подкованы, а потому, чтобы они доверяли сайту, следует конкретизировать ситуации, при которых сайт может выдать их ПДн:
Обратите внимание: если политика конфиденциальности включает в себя информацию о возможности передачи персональных данных для личного, коммерческого использования и в иных не предусмотренных законом целях, это ничего не значит и не освобождает владельца ресурса от ответственности за несанкционированное использование приватных сведений. За нарушение законодательства в данном вопросе его могут привлечь к ответственности, в том числе к уголовной, несмотря на заблаговременное предупреждение посетителей.
Помимо этого, при продаже сайта новый собственник в автоматическом режиме получает доступ к личной информации клиентов. В связи с этим в данной главе следует обозначить, что владельцы аккаунтов гарантированно будут оповещены о смене собственника ресурса, чтобы они могли удалить свою личную информацию, если захотят.
Здесь указывают, в каком порядке пользователям будут сообщать о поправках к политике конфиденциальности для сайта. Пример: о самых значимых изменениях пользователей можно уведомлять по email.
Строгих правил, касающихся наименования разделов в политике конфиденциальности и их количества, нет. Здесь могут быть обозначены дополнительные условия - все определяется направленностью и содержанием ресурса. Например, на сайтах часто указывают порядок получения информации от лиц, не достигших 18 лет, требования по размещению фотографий и проч.
Лучше всех в политике конфиденциальности сайтов разбираются профильные юристы. Если для успешного функционирования вашего ресурса нужно собирать данные о пользователях в большом объеме, самое разумное решение - обратиться к профессионалам. Если же ресурс простой, то используется стандартная политика конфиденциальности для сайта в форме типового документа, гарантирующего, что имя и email клиента не получат посторонние лица. Если речь идет об интернет-магазине или крупном портале, лучше подстраховаться всеми возможными вариантами, особенно если вы собираете о пользователях очень личную информацию.
Юристы разработают грамотную политику конфиденциальности для сайта, касающуюся всех областей вашей деятельности, и проконтролируют, чтобы ее положения нельзя было воспринять двусмысленно.
Воспользовавшись услугами профессионала, вы обезопасите себя от возможных проблем с конфиденциальностью личных сведений пользователей. Кроме того, наличие серьезного профессионального документа (политики) на сайте обеспечит вам доверие и лояльность клиентов.
Как добавить политику конфиденциальности на лендинг во всплывающем (модальном) окне?
Рассмотрим порядок размещения политики конфиденциальности на примере создания всплывающего окна.
Вам нужно воспользоваться фреймворком Bootstrap от создателей Twitter и взять из него скрипты для создания модального окна.
Модальное окно формируется в несколько этапов:
В модальном окне 2 части:
Еще одна важная деталь: помимо стилей Bootstrap, нужно, чтобы подгружался Bootstrap JavaScript и jQuery. Тогда открытие модального окна на лендинге будет корректным.
Также следует помнить, что, если ваш ресурс рекламируется на площадке Vk.com, модератор не во всех случаях воспринимает ссылку «Политика конфиденциальности». Именно поэтому в ней лучше обозначить «Политика обработки персональных данных».
Вот что должно получиться в результате:
Чтобы вам было удобнее работать, откройте в браузере окна:
В документации Bootstrap в разделе Modal необходимо опуститься ниже и найти Live Demo, после чего скопировать код под этой надписью. Далее следует открыть NotePad++ и вставить код в новое окно. В NotePad++ в меню выберите СИНТАКСИС, H, HTML для удобства работы. В этом коде нужно поменять «Launch Demo Modal» на «Политика конфиденциальности». Далее надо изменить кнопку
После этого меняется само модальное окно. В коде ниже необходимо найти «Modal Title» и вместо этой надписи вставить «Политика конфиденциальности». Вместо «Close» напишите «Закрыть», полностью удалите код кнопки Save Change и сохраните результат.
Вместо многоточия в коде с тегом
Откройте файл лендинга, убедитесь, что скрипты Java и jQuery подключены. Затем найдите эти слова в коде. Если они есть, наше модальное окно будет открываться.
Затем найдите последний тег
Еще немаловажный момент - если вы собираете на сайте адреса электронной почты, то в политике конфиденциальности вы непременно указываете свой email. Аналогично и с номером телефона.
С сайтом все намного проще, чем с лендингом, так как создавать модальное окно не нужно. Необходимо просто взять текст политики конфиденциальности и создать отдельную страницу. Опубликуйте на ней текст и в нижней части сайта, в подвале, проставьте ссылку на страницу с политикой конфиденциальности.
В США специально не принимают ФЗ о защите персональных данных. Здесь предпочитают законы, затрагивающие отдельные области жизни. В 1988 г. законодательство запретило пунктам видеопроката публично разглашать сведения о том, какие кассеты берут клиенты. Обусловлено это было утечкой в СМИ информации о видеокассетах, которые взял напрокат Роберт Брок, кандидат в судьи ВС США. Кстати, неприличных фильмов в списке не значилось.
Большое внимание в США уделяют конфиденциальности ПД, которые передаются за рубеж. В Америке действует то же правило, что и в Европе: принимающая страна обязана обеспечивать надежную защиту личной информации.
Отметим, что общий закон о конфиденциальности ПД в Штатах не принимают в силу специфической экономической и политической культуры, так как власти поддерживают саморегуляцию бизнеса. К примеру, свободу слова в конституции гарантирует первая поправка. Право на неприкосновенность приватной жизни в законодательстве не прописано и только подразумевается. При этом отдельные штаты вправе выступать с инициативами, что они периодически и делают. С 2014 г. в Калифорнии действует определенная политика конфиденциальности для сайта. Закон, на основании которого интернет-ресурсы обязаны сообщать пользователям, отслеживаются их действия или нет, успешно применяется в стране по сей день.
С 2015 г. в США, как и в Европе, не отслеживают поведение лиц, не достигших 18 лет.
В некотором смысле принятию закона Marco Civil da Internet поспособствовал громкий скандал с Эдвардом Сноуденом. Важное место в законе отведено обеспечению конфиденциальности ПД. Жители Бразилии воспринимают вопрос защиты личной информации почти так же, как в Европе, но с некоторыми особенностями.
Вместе с Германией Бразилия продвинула в ООН первую резолюцию о защите конфиденциальной информации в интернете. В документе было обозначено, что право на конфиденциальность личной информации должно быть обеспечено как в реальной жизни, так и в Сети. Отметим, что порядок защиты как электронной, так и обычной переписки в Бразилии одинаков.
Если говорить о других государствах Южной Америки, то там рассмотрение законопроектов о конфиденциальности ПД занимает, как правило, несколько месяцев, а иногда даже лет.
В полной мере нормы об обеспечении конфиденциальности приватных данных в Сети выполняются лишь в Аргентине.
Сейчас в азиатских государствах, кроме Китая и большей части стран Ближнего Востока, действует закон о защите ПД в сети. В Индии закон об обеспечении конфиденциальности приватной информации за пределами государства теряет свою силу. Интересно, что по данным, размещенным на сайтах знакомств, можно без труда определить, какая группа крови у того или иного человека, или кто является носителем ВИЧ. У правительства при этом есть широкие полномочия для доступа к ПД, а чтобы найти номер мобильного телефона, зачастую нужно лишь забить имя пользователя в поисковую строку.
Закон о защите ПД, в том числе и в сети, был принят в 2005 г. Иностранные предприятия, офис которых расположен в Японии, должны четко объяснять цели хранения приватной информации, если она касается хотя бы 5 тыс. клиентов и сотрудников.
Жители Японии очень аккуратно относятся к вопросам, связанным с распространением приватных сведений, даже в случае природных катаклизмов (например, землетрясений) или госпитализации гражданина. Но периодически у них все же возникают серьезные проблемы с обеспечением конфиденциальности в виде крупных утечек информации и незаконных сделок по их продаже.
Интернет в последнее время развивается быстрее, чем закон. Правила, разработанные 10 лет назад, в данный момент не учитывают существования соцсетей и облачных сервисов.
В Сингапуре в 2013 г. приняли закон, аналогичный тому, что сегодня рассматривает Совет Европы. Сейчас законодательство именно этой страны можно с уверенностью назвать самым прогрессивным в Азии в части соблюдения конфиденциальности приватных сведений.
Елена Денисова , руководитель коммерческой практики, CLIFF. Елена Денисова окончила Московский государственный открытый университет и Московский финансово-юридический университет. Специализируется в области коммерческого права, занимается решением задач, связанных с электронной коммерцией, включая судебную защиту ее субъектов. Обеспечивала юридическое сопровождение ряда стартапов в этой области. CLIFF - группа компаний, оказывающая юридические услуги широкого спектра. Основана в 1994 году. Штат - более 50 юристов. Одна из первых компаний, которая занялась работой с проектами в сфере электронной коммерции - от разработки платежных систем до создания с нуля интернет-проектов разных направлений.
Ильдар Багаутдинов , Партнер, руководитель коммерческой практики компании «АНП Зенит», Казань. Ильдар Багаутдинов окончил Казанский (Приволжский) федеральный университет по специальности «юриспруденция». Опыт работы в юриспруденции - семь лет. Специализируется на ведении сложных судебных споров в сфере строительства и корпоративного права. Спикер форума «Третейское разбирательство в строительной отрасли». ООО «АНП Зенит». Сфера деятельности: юридические услуги в области налогового права. Численность персонала: 17. Годовой оборот: 58 млн руб. (за 2015 год). Количество выигранных налоговых споров: 97% (за 2015 год). Сумма оспоренных начислений: 5 млрд руб. (за 2010-2016 годы).
Маргарита Ледовских
Рада приветствовать вас на нашем сайте. Меня зовут Маргарита Ледовских, я медиаюрист. 19 лет я работаю в сфере информационного права, из них 6 лет руковожу проектом "Право в сети".
Поиск по сайту
Оказываем услуги по регистрации сайтов в качестве СМИ
Подготовительный этап Во-первых, нужно время на подготовительные действия. Пишу об этом, поскольку иногда не учитывают эти моменты. Учредителям- физическим лицам как минимум нужно посетить банк и нотариуса, чтобы сделать нотариальные копии документов. Вы скажете, что можно оплатить через онлайн-банк, не выходя из дома, и это чистейшая правда, но даже в этом случае надо идти в […]
Подготовим документы для вашего сайта
Когда заказчик после того, как вы оказали ему услугу, подписал акт, у вас на руках есть документальное подтверждение выполнения обязательств. И если вдруг заказчик начнет отказываться от того, что принял результат работы, вы сможете снять все вопросы этим документом. Но в случае дистанционных услуг, таких как онлайн-образование или консультации по скайпу акты не подписываются. При […]
Часть 3
Соблюдение юридических требований к политике конфиденциальностиА нужна ли вам политика конфиденциальности? Вы собираете личную информацию о клиентах, будь то операции по работе с вебсайтом или страницей в социальных сетях? Тогда вы должны составить и соблюдать политику конфиденциальности. Иными словами, это будут ваши условия сбора, использования, передачи и защиты данных третьих лиц. Бюро по защите прав потребителей описывает важность конфиденциальности и политики на своем сайте . Администрация по делам малого бизнеса США также признает важность конфиденциальности и неприкосновенности частной жизни, о чем написано на сайте этой организации .
Изучите типы пунктов в политике конфиденциальности. Политика конфиденциальности содержит ряд различных положений. Она включают их, но не ограничена этими положениями:
Убедитесь, что вы не обещаете такого, что не можете выполнить. Очень часто люди серьезно ошибаются, используя фразу вроде "Мы не предоставляем вашу личную информацию третьим лицам". Увы, сделки купли-продажи и интернет-операции как таковые не оставляют возможности избежать обмена этой информацией. Например, банк-посредник, обрабатывающий платежи кредитной карты клиента, должен иметь хоть некоторую часть информации о клиенте. Подобные заявления могут дорого вам стоить, поэтому важно, чтобы политика конфиденциальности была изучена профессиональным юристом.
По многочисленным просьбам трудящихся вебмастеров и владельцев сайтов мы опубликовали бесплатный образец Политики конфиденциальности для сайтов с формой обратной связи, подписки или заказа звонка.
Решились на такой шаг, потому что данная форма Политики не предусматривает обработку персональных данных, и в результате не предполагает большой вариативности решения. Важно помнить, что она не подходит для сайтов, на которых обрабатываются ПДн. Например, интернет-магазины и прочие сервисы, на которых помимо номера телефона или email пользователем дополнительно предоставляются иные сведения о себе, требуют большего внимания к вопросам обработки персональных данных.
Поэтому мы подумали над вариантами составления «народной» Политики конфиденциальности. Простым шаблоном здесь не обойдешься. Взяли за основу вышедшие в 2017 году Рекомендации Роскомнадзора (далее - «Рекомендации») по составлению документа, определяющего политику оператора в отношении обработки персональных данных (далее - «Политика). Дополнили ее живыми примерами.
Смотрим, что получилось.
В разделе 2 процитированы основные понятия из ФЗ «О персональных данных». Пропускаем за ненадобностью. При желании в Политику лучше ввести собственные термины, уточняющие легальные.
В разделе 3 наконец пошли долгожданные советы по структуре и наполнению Политики. Остановимся на них подробно.
В указанном разделе рекомендуется описать назначение Политики, а также включить основные понятия, используемые в ней (обработка персональных данных, оператор, субъект персональных данных, конфиденциальность персональных данных и т.д.), перечислить основные права и обязанности оператора и субъекта (ов) персональных данных.
Итак, начнем с определений. Чтоб не повторять ФЗ 152, предлагаем делать отсылки к конкретным пунктам и разделам Политики, которые конкретизируют используемые понятия. Ниже приведен пример с терминами и определениями Политики конфиденциальности для интернет-магазина.
1.1. В настоящем документе и вытекающих или связанных с ним отношениях Сторон применяются следующие термины и определения:
Персональные данные - предоставляемые субъектом персональных данных или его представителем данные, объем и состав которых указаны в п.Х.Х. Политики.
Администрация - ООО «Ромашка», ИНН ХХХ, ОГРН ХХХ, Адрес: ХХХХХ, в законном владении и/или управлении которого находится Сайт. В предусмотренных настоящей Политикой случаях Администрация выступает в качестве оператора персональных данных.
Пользователь - лицо, использующее Сайт в целях заключения и/или исполнения Договоров.
Согласно разъяснению Роскомнадзора, правовым основанием обработки персональных данных является совокупность правовых актов, во исполнение которых и в соответствии с которыми оператор осуществляет обработку персональных данных.
При наличии указанной выше связки в качестве правового основания обработки персональных данных могут быть указаны договоры, заключаемые между оператором и субъектом персональных данных.
Если ПДн обрабатываются в иных целях, в качестве основания необходимо указывать отдельное согласие на обработку персональных данных.
Роскомнадзор предупреждает, что содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
В первую очередь указываем данные из полей онлайн-форм обратной связи, заказа, подписки и регистрации. Затем обращаем пристальное внимание на состав информации, вносимой пользователем при заполнении профиля в личном кабинете.
Дополнительно указываем данные, которые запрашиваются поддержкой или отделом продаж при оформлении или обработке заявок по телефону или в местах обслуживания.
Выбираем. ФЗ 152 предусмотрен следующий перечень операций с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Способы обработки могут включать:
а) автоматизированную обработку персональных данных
б) обработку персональных данных без использования средств автоматизации.
Согласно определению, данному в ФЗ 152, автоматизированная обработка персональных данных представляет собой обработка персональных данных с помощью средств вычислительной техники.
Казалось бы, что сюда попадают любые действия с ПДн, выполняемые с использованием вычислительной техники. Но не все так просто. Смотрим Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утверждено постановлением Правительства РФ от 15 сентября 2008 г. N 687.
В п.1 указано, что обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее - персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее (п.2).
Иными словами, если ПДн не используется, не уточняются, не распространяются и не уничтожаются в ИПДН вашего сайта в автоматическом режиме без участия человека, можно смело выбирать второй способ обработки - обработку персональных данных без использования средств автоматизации.
Результатом этого простого действия будет легальный отказ от применения драконовских требований ФЗ 152 по обработке автоматизированной обработке ПНн в информационной системе.
В отношении сроков обработки ПДн предлагаем указывать как минимум срок действия договора, во исполнение которого запрашивались ПДн. Можно добавить к сроку действия договора 3 года исковой давности на защиту прав в связи с его исполнением.
Роскомнадзор напоминает, что при осуществлении хранения персональных данных оператор персональных данных обязан использовать базы данных, находящиеся на территории Российской Федерации, в соответствии с ч. 5 ст. 18 Федерального закона "О персональных данных". Отражать данный пункт в Политике не обязательно, поскольку он связан с фактическими обстоятельствами. Хотя для проформы можно включить в Политику декларативную статью об обработке ПДн на территории России.
В определенных пределах данный перечень можно расширить на случаи продажи Сайта или передачи ПДн в обезличенном виде.
Помимо этого Роскомнадзор рекомендует указывать в данном разделе Политики сведения о соблюдении требований конфиденциальности персональных данных, установленных ст. 7 Федерального закона «О персональных данных», а также информацию о принятии оператором мер, предусмотренных ч. 2 ст. 18.1, ч. 1 ст. 19 Федерального закона «О персональных данных».
На практике данные сведения сводятся к заявлению, что администрация Сайта осуществляет хранение Персональных данных и обеспечивает ее охрану от несанкционированного доступа и распространения в соответствии с внутренними правилами и регламентами.
Роскомнадзор рекомендует включить в Политику регламент(ы) реагирования на запросы/обращения субъектов персональных данных и их представителей, уполномоченных органов по поводу неточности персональных данных, неправомерности их обработки, отзыва согласия и доступа субъекта персональных данных к своим данным, а также соответствующие формы запросов/обращений.
В таких случаях обычно указывают, что пользователь вправе в любой момент самостоятельно отредактировать в своем личном кабинете предоставленную им информацию. В случае прекращения заключенного договора, пользователь вправе удалить собственный личный кабинет самостоятельно либо обратившись в службу поддержки по адресу электронной почты ХХХ@ХХХ.ХХ.
При желании можно ужесточить условия регламента обработки запросов на изменение/удаление ПДн, требуя от пользователя высылать ценные письма на ваш адрес в Бобруйске.
Заслуживает внимания тот факт, что Роскомнадзор, как всегда, обошел вопрос обработки не менее важных для пользователей данных, которые не считаются персональными. Речь идет об информации, собираемой на сайте в автоматическом режиме: cookie, IP, сведения об устройстве и месте его расположения, и т.п.
По всей видимости, Роскомнадзор упорно не хочет раскрывать состав ПДн даже методом исключения через сведения, не относящиеся к персональным. Однако на практике в Политику конфиденциальности принято включать уведомление и порядок обработки таких данных в целях наиболее полного информирования пользователя о последствиях использования сайта.
Ниже пример такого уведомления.
Вы осознаете и принимаете возможность использования на Сайте программного обеспечения третьих лиц, в результате чего такие лица могут получать и передавать данные в обезличенном виде.
К указанному программному обеспечению третьих лиц относятся системы сбора статистики посещений Google Analytics.
Состав и условия сбора обезличенных данных с использованием программного обеспечения третьих лиц определяются непосредственно их правообладателями и могут включать:
Полое описание условий обработки обезличенных данных можно посмотреть в образце Политики конфиденциальности, с которого мы начали свою статью.
Желаем вам успехов в разработке собственной Политики конфиденциальности в соответствии с рекомендациями Роскомнадзора и выработанными на практике подходами.