что такое политика конфиденциальности на сайте
Что такое политика конфиденциальности и для чего нужна
Что значит политика конфиденциальности
Начнём с того, что значит политика конфиденциальности и где она применяется. Обращали ли Вы при заполнении форм обратной связи, быстрых заказов и подобных скриптов внимание на небольшую приписку ниже? В ней говорилось о согласии на обработку персональных данных и о принятии политики конфиденциальности компании. Ставя галочку и продолжая работу с сайтом, пользователь выражает свою готовность передать данные.
Что происходит с личными данными дальше? Именно это регламентирует политика конфиденциальности сайта. В ней указано, как будет обработана полученная информация и что с ней будут делать. Большинство сайтов используют разные виды защиты личной информации пользователей. Например, если Вы знаете про SLL-сертификат: что это и как он защищает от потери личных данных, создание политики конфиденциальности не покажется бесполезным.
По законодательству РФ нет шаблона этого документа. Да, политика конфиденциальности – не призрачное понятие, а вполне конкретный текст. Если вы создаёте онлайн курсы СЕО продвижения и рекламируете их на собственном сайте, стоит задуматься о составлении политики. Его наличие регламентирует закон № 152-ФЗ «О персональных данных» от 27.07.2006 года.
Для чего нужна политика конфиденциальности на сайте
Рассмотрим, для чего нужна политика конфиденциальности на сайте, если её наличие установлено законодательным путём. Если сказать коротко – она нужна для получения разрешения пользователей на обработку их личных данных. Чаще всего, обработку персональных данных используют владельцы интерне-магазинов. После поступления заказа необходимо уточнить детали и передать информацию о человеке для исполнения обязательств, а для этого нужны его контакты.
Персональные данные бывают двух видов: личные и обезличенные. К первым относятся все данные, необходимые для идентификации человека. Это могут быть имя, фамилия, адрес и так далее. Ко вторым, чаще всего, относят cookie-файлы, собираемые аналитическими сервисами. В большинстве случаев вёрстка сайта предусматривает ссылку на политику конфиденциальности и в формах сбора, и в подвале ресурса.
За отсутствие документа, предусмотрены штрафные санкции для владельца сайта. В согласие с частью 3 статьи 13.11 КоАП РФ сумма для физических лиц будет составлять 700-1500 рублей. Для юридических лиц штрафы крупнее: 5000-10000 для ИП и 15000-30000 рублей для ООО. Поэтому, при создании сайта и его продвижение в сети не стоит забывать про составление этого важного документа.
Что значит изменение политики конфиденциальности
Разберём, что значит изменение политики конфиденциальности и как его регламентировать. В процессе работы сайта, могут измениться методы сбора и хранения информации. Обо всём этом владельцы сайта обязаны предупреждать пользователей. В некоторых случаях, новые способы работы с личными данными могут не понравится людям. В этом случае у них будет возможность отозвать личные данные и перестать пользоваться ресурсом.
Стоит помнить, что за отсутствие информирования об изменениях в политике сайта, так же предусматривается ответственность. Стоит знать что такое форма собственности и о прямом отношении к ней личных данных. А, как мы знаем, защита владельцев любых видов собственности, является задачей государственных органов власти.
При этом, опыт огромного числа компаний, маленьких и крупных, подтверждают, что вести работу в соответствии с законом не сложно. Поэтому, при оформлении интернет ресурсов, полезно знать, что такое лиды в продажах и как правильно получать информацию для их формирования.
Чем отличается политика конфиденциальности от соглашения
Многие задаются вопросом, чем отличается политика конфиденциальности от соглашения о пользовании сайтом. Про то, что значит первое понятие, мы разобрали выше. Это набор инструментов для защиты личных данных пользователей. Стоит упомянуть, что такое HTTPS и что именно эта аббревиатура говорит о том, что на сайте используется шифрование для повышения безопасности.
Пользовательское соглашение представляет собой взаимные обязательства для использования того или иного ресурса. В нём подробно прописывают условия работы с сайтом, его сервисами и информацией, находящейся на нём. Это документ будет защищать владельца от неправомерного использования возможностей ресурса.
Стоит отметить, что составление политики конфиденциальности очень важно. Она защищает пользователей и помогает ресурсу работать без нареканий со стороны законодательства. Рекомендуем при создании сайта не забывать про этот небольшой, но важный пункт.
Кому нужна политика конфиденциальности на сайте и как ее разработать
Поправки к закону «О персональных данных», увеличившие штрафы за отдельные нарушения до 75 тыс. руб., взбудоражили интернет-сообщество. Хотя сам нормативный акт существует уже 12 лет, приводить свои ресурсы в соответствие с его требованиями владельцы сайтов начали только год назад — вместе со штрафами возросло и количество проверок.
Мы надеемся, что за год большинство вебмастеров уже внедрили все необходимые изменения и могут спать спокойно. Но новые ресурсы появляются каждый день, а значит вопрос остается актуальным. Разберемся, кому без политики конфиденциальности не обойтись и как реализовать ее на своем ресурсе.
Кому нужна политика конфиденциальности на сайте
Закон обязывает публиковать политику конфиденциальности только операторов персональных данных. Чтобы понять, нужен ли такой документ на вашем сайте, сначала надо разобраться, что это за данные и кто такие операторы.
Первому понятию 152-ФЗ дает такое определение:
Персональные данные — любая информация, относящаяся прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Точного перечня в законе нет, но исходя из определения, можно сделать вывод, что персональными можно считать все данные, которые относятся к конкретному человеку и позволяют его идентифицировать. Также в тексте встречаются понятия общие, специальные и биометрические данные.
С операторами все проще — это любой человек, компания или государственный орган, который собирает, хранит, обрабатывает и совершает другие действия с персональными данными. Владельца интернет-ресурса можно отнести к операторам, если на сайте есть формы заказа, комментариев, регистрации и обратной связи, в которые человек вводит имя, фамилию, электронный адрес, номер телефона и т. д.
Если при отправке комментария от пользователя требуют только имя или никнейм, политика конфиденциальности не нужна, так как по такой информации идентифицировать человека невозможно.
Как составить текст политики конфиденциальности
Утвержденной законом формы нет. Но есть перечень сведений, которые обязательно прописывать в документе.
Всю эту информацию можно изложить в свободной форме. Главное — чтобы документ содержал все сведения, которые требует закон, а также понятно разъяснял пользователю, что происходит с его персональными данными, как вы можете их использовать и что делаете, чтобы защитить его право на неприкосновенность частной жизни и личную тайну.
Копировать политику конфиденциальности с других сайтов не стоит. Как минимум, нужно адаптировать текст под свои условия обработки данных.
Называться на сайте документ может по-разному: политика в отношении персональных данных, политика конфиденциальности, пользовательское соглашение и т. д. Сути это не меняет и нарушением не считается.
Как оформить документ и разместить на сайте
Единственное требование законодательства в этом плане, чтобы субъекты персональных данных имели свободный и неограниченный доступ к политике конфиденциальности. В остальном владелец сайт волен сам решать, как лучше реализовать ее на сайте.
Обычно документ публикуют на отдельной странице и обеспечивают доступ в один клик с любой другой. Ссылки на политику конфиденциальности стоит разместить рядом с формами, где пользователь дает согласие на обработку. Также сноску на документы зачастую размещают в подвале или верхнем меню сайта.
Флажок «Согласие на обработку персональных данных» рядом с формами тоже обязателен. Согласно закону, собирать и обрабатывать информацию о пользователях можно только с их согласия, за исключением нескольких случаев, которые к сайтам не относятся. Более того, в случае проверки владелец ресурса должен иметь возможность доказать, что согласие было.
Соблюсти это требование на конструкторах и популярных CMS несложно — большинство разработчиков быстро среагировали и добавили такую возможность в свои продукты.
Для WordPress появились новые плагины:
Оба плагина соответствуют требованиям 152-ФЗ и схожи по функционалу:
Есть еще старые плагины, в том числе англоязычные, с помощью которых добавляются флажки для подписки на рассылку, принятия пользовательского соглашения и т. д. Однако новые продукты разрабатывались специально для соблюдения 152-ФЗ и настроить их под эти цели будет проще.
Напоследок еще несколько требований, о которых не стоит забывать
В Google и «Яндексе», соцсетях, рассылках, на видеоплатформах, у блогеров
Политика конфиденциальности на сайте: кому нужна и как оформить
Большинство сайтов содержит раздел «Политика конфиденциальности». Это незаметная ссылка, которую обычно располагают в подвале страницы. Владельцы сайтов размещают её неслучайно: они защищают себя от штрафа и блокировки Роскомнадзором. Позаботьтесь о ней тоже, если на вашем сайте есть корзина или форма обратной связи.
Почему важно правильно работать с персональными данными
Персональные данные — любая информация о посетителе страницы, которая позволяет его опознать. Например, имя, возраст, телефон, электронная почта, домашний адрес, фотография. Закон 152-ФЗ запрещает собирать, хранить и обрабатывать эти данные без согласия человека. За нарушения владельцев сайтов штрафуют по ст. 13.11 КоАП.
Штрафы для ИП и ООО:
— Нет политики конфиденциальности: для ИП — от 5000 до 10 000 рублей, для ООО — от 15 000 до 30 000 рублей.
— Владелец сайта отказался сообщить пользователю, какие данные о нём собраны и с какой целью: для ИП — от 10 000 до 15 000 рублей, для ООО — от 20 000 до 40 000 рублей;
— Владелец сайта не удалил персональные данные по требованию пользователя: для ИП — от 10 000 до 20 000 рублей, для ООО — от 25 000 до 45 000 рублей
— Персональные данные оказались у третьих лиц: для ИП — от 10 000 до 20 000 рублей, для ООО — от 25 000 до 50 000 рублей.
— Обработка персональных данных противоречит целям сбора: для ИП — от 5 000 до 10 000, для ООО — от 30 000 до 50 000 рублей.
— Персональные данные обрабатывают без согласия посетителя сайта: для ИП — от 10 000 до 20 000 рублей, для ООО — от 15 000 до 75 000 рублей.
Кто находит нарушения и как
Сайты проверяет Роскомнадзор. Самая популярная причина проверки — жалоба клиента. Плановые проверки тоже бывают, но к малому бизнесу с ними приходят редко.
Владимир планирует семейное путешествие в Грецию. Он оставил свои контакты на сайте компании «Горящие туры». Ему перезвонили и предложили слишком дорогую путёвку, поэтому он отказался. На следующий день Владимир получил СМС: «Турция, Стамбул, 22-28 марта, 30 000 руб./чел, отель 5 звёзд, подробности на сайте». Подобные СМС доставали его до самого отпуска. Когда он вернулся из поездки, рассылка продолжилась. Он позвонил в ООО «Горящие туры» и попросил больше не писать ему. На следующий день получил очередное СМС — и не выдержал, написал жалобу в Роскомнадзор.
Роскомнадзор заблокировал сайт на время проверки. Политики конфиденциальности на сайте не обнаружилось. Владелец «Горящих туров» получил два штрафа: за отсутствие политики конфиденциальности и отказ удалить данные пользователя. Он заплатил 75 000 рублей.
Какие термины используют в законе
Знание терминов пригодится, если будете читать нормативно-правовые акты или другие статьи по теме.
Операторы персональных данных — владельцы сайтов.
Операторы собирают, обрабатывают и хранят персональные данные. Все три действия важно прописать в политике конфиденциальности.
Что такое политика конфиденциальности
Владелец сайта берёт у каждого посетителя согласие на сбор, обработку и хранение персональных данных. Подписывать документ на бумаге — затруднительно, из-за этого сайт растеряет всех посетителей. Поэтому есть способ проще — выложить на сайт специальный документ.
В политике конфиденциальности прописывают, какую информацию и с какой целью собирают. Сообщают также, какое действие считается согласием на обработку персональных данных. Например, оформление заказа или заполнение формы — ч. 2 ст. 18.1 152-ФЗ.
Как принять политику конфиденциальности
1. Составьте документ
Подготовьте политику конфиденциальности в виде отдельного документа. Также можно включить правила обработки персональных данных в пользовательское соглашение или договор-оферту, если работаете по ним.
Проще всего подготовить политику конфиденциальности при помощи специальных сервисов — например, конструктора Тильды.
В документе отразите:
— Перечень персональных данных. Например, имя, адрес, телефон. Не забудьте перечислить файлы cookie — обезличенные данные о посетителях, которые собирают Яндекс.Метрика и Гугл.Аналитика.
— Цели сбора и обработки. Например, исполнение договора, создание рекламных акций, продвижение товаров, улучшение сайта.
— Срок хранения. Он должен соответствовать целям.
— Меры защиты персональных данных. Например, резервное копирование.
— Какое действие считать согласием пользователя. Например, проставление галочки, создание личного кабинета, заполнение формы.
2. Опубликуйте политику конфиденциальности на сайте
Пользователю должно быть понятно, на что он соглашается. Когда он заполняет форму или регистрируется, покажите ему ссылку на политику конфиденциальности. При заходе на сайт — предупредите, что обрабатываете файлы cookie. Обычно используют всплывающее окно с кнопкой «ок».
Опубликуйте документ в доступном месте. У посетителей должна быть возможность в любой момент ознакомиться с ним. Обычно политику конфиденциальности прячут в подвал, чтобы ссылка не отвлекала от содержания сайта.
3. Уведомите Роскомнадзор
Владельцы сайтов, которые собирают персональные данные, обязаны уведомлять Роскомнадзор. За отсутствие уведомления штрафуют по ст. 19.7 КоАП РФ: ИП — на сумму до 500 рублей, ООО — до 5000 рублей.
Роскомандзор необязательно уведомлять, только если:
Лучше всё равно подстраховаться: уведомление бесплатное.
4. Назначьте ответственного за хранение персональных данных
Обычно ответственность возлагают на сотрудника, который работает с данными — кадровика, оператора колл-центра, менеджера продаж. Если вы ИП и работаете один — на самого себя.
5. Храните данные на серверах в России
Хранить персональные данные за пределами России запрещено по ст. 18 152-ФЗ. Если арендуете хранилище, узнайте, в какой стране расположены серверы.
Новым ИП — год Эльбы в подарок
Год онлайн-бухгалтерии на тарифе Премиум для ИП младше 3 месяцев
Почему важно защищать персональные данные
Брать согласие с посетителей сайта — недостаточно. Важно не передавать сведения третьим лицам и физически защитить их от утечки. Установите пароли к компьютерам и серверам, где храните информацию. Ограничьте к ним доступ своих сотрудников без необходимости. Бумажные документы храните в сейфе.
Если персональные данные стали известны кому-то ещё — это плохо. Пострадавший имеет право пойти в суд и потребовать компенсацию за моральный вред по ст. 24 152-ФЗ.
Пример из судебной практики:
Мама Евгения взяла кредит. Рассчитаться по нему она не успела: умерла. На сына обрушились звонки от коллекторов. Он пошёл в суд и заявил, что не принимал наследство, поэтому не отвечает по долгам. Что важно для нашей темы, Евгений добавил: банк передал коллекторам номер его телефона, а он не подписывал на это согласия. Суд встал на сторону Евгения. Банк выплатил ему компенсацию за моральный вред.
Статья актуальна на 02.02.2021
Получайте новости и обновления Эльбы
Подписываясь на рассылку, вы соглашаетесь на обработку персональных данных и получение информационных сообщений от компании СКБ Контур
Политика конфиденциальности для сайта: как правильно составить и разместить документ
Из этого материала вы узнаете:
Очень важная составляющая любого веб-ресурса — политика конфиденциальности сайта. Формировать свои собственные веб-площадки по всем правилам владельцы начали сравнительно недавно, хотя прошло уже больше десяти лет с тех пор, как начал действовать закон «О персональных данных». Данный правовой документ предусматривает серьезные штрафы (в отдельных случаях — до 75 000 руб.) за выявленные нарушения. Одновременно и контролирующие органы ужесточают систему проверок.
Веб-мастера в большинстве своем доводят созданные ими площадки до соответствия новым изменениям в законодательстве. Однако это не уменьшает актуальности вопроса о том, для чего необходима политика конфиденциальности, как ее грамотно составить и где расположить, потому что каждый день в Сети регистрируются все новые и новые сайты.
Что такое политика конфиденциальности для сайтов
Политика конфиденциальности сайта — это документ, в котором изложены условия сбора, хранения, обработки и использования персональных данных о пользователе. Причем здесь важно исключить для недобропорядочных владельцев сайтов возможность применения собранной информации в корыстных целях. Поэтому правовую оценку составляемому документу должны давать опытные эксперты.
Не так давно политике придавалось второстепенное значение. Никто — ни хозяева площадок, ни пользователи — по большому счету даже не особо вникали в ее смысл. Теперь закон стал более строг в отношении ресурсов, запрашивающих личные сведения. Владельцы несут правовую ответственность за передачу собранных сведений в третьи руки и обязаны указывать, какие принимаются меры для исключения случаев утечки данных.
Текст политики конфиденциальности для сайта должен размещаться на первой странице, быть легко доступен для просмотра пользователем еще до момента, когда он решит зарегистрироваться.
Политика конфиденциальности для сайта касается любых персональных данных человека, будь это фамилия и имя, электронный либо почтовый адрес, номер телефона, карточки и проч. Утечка подобных сведений может стать причиной как материальных, так и моральных проблем, потому что человек оставляет свои данные с целью получить те или иные товары (услуги).
Лояльность клиента к вашему ресурсу сильно снизится, если персональными данными человека завладеют рекламные фирмы, а то и вовсе мошенники. Причем вам в таких случаях грозит судебное разбирательство и наложение административной ответственности.
Зачем размещать политику конфиденциальности на сайте
Во-первых, размещать политику конфиденциальности на сайте предписывает закон, касающийся области персональных данных (Кодекс об административных правонарушениях РФ, ст. 13, 11). В нем говорится, что к данному документу должен быть предоставлен беспрепятственный доступ (путем опубликования или иными способами). Нарушители получают предупреждение и штраф (до 30 000 руб.).
Во-вторых, хозяин сайта, пренебрегающий правовыми нормами и тенденциями, создает себе же неблагоприятную репутацию. Данный аспект носит несколько субъективный, маркетинговый характер, однако не стоит приуменьшать его значимость. Политика конфиденциальности для веб-сайта — своеобразная визитка, которая должна быть сформирована грамотно и в индивидуальном порядке. Ни в коем случае не нужно размещать у себя чужую политику конфиденциальности. Она не обязательно может соответствовать действующим в этой области законам, даже если сайт существует уже давно. Общего шаблона для политики конфиденциальности сайта не существует. Каждый раз владелец предлагает определенную политику правоотношений, а пользователь, соглашаясь, ставит под ней свою подпись. И любой договор, даже о простой купле-продаже, носит индивидуальный характер. Что касается собираемых о клиенте данных, то тут имеются в виду не только их перечень и сроки хранения. Характер обработки полученной информации не должен идти вразрез с заявленными целями ее сбора. Это карается штрафами в сумме от 30 000 до 50 000 рублей. Понятно, что публикация документа о политике, даже составленного по всем правилам, не гарантирует полной безопасности данных. Необходим еще и набор мер технического, юридического, организационного характера. Но если сайт не публикует документ (либо он составлен с несоблюдением существующих норм), контролирующим органам проще будет выявить нарушения и применить санкции в отношении владельца веб-площадки.
По сути, стандартная политика конфиденциальности сайта дает пользователю разъяснения о том, как могут обрабатываться и использоваться его данные, после того как он предоставит их серверу. Человек в знак согласия с документом либо ставит галочку в специальном чекбоксе (после ознакомления), либо сразу получает уведомление о том, что начало использования сайта считается согласием с политикой.
Стоит отметить, что в последнее время закон предписывает размещать на сайте специальную форму, в которой пользователь сможет выразить явное согласие с политикой. Причина — нередкие случаи цифрового мошенничества и незаконного использования персональных данных. Отсутствие подобной формы говорит о нелегитимности платформы и дает основания для наложения на администрацию немаленьких штрафов. То есть политика конфиденциальности должна быть обязательно разработана в индивидуальном порядке. А для согласия с ней владельцы обязаны предоставить пользователю для заполнения специальную форму.
Кому нужна политика конфиденциальности на сайте
По законодательству, размещать на веб-площадке политику конфиденциальности обязаны лишь операторы персональных данных. Кто попадает под это определение, являетесь ли вы оператором, необходим ли данный документ именно вам — тут нужно разобраться.
Персональными данными называют любые сведения, имеющие прямое или косвенное касательство к определенному или определяемому лицу. Его при этом называют субъектом персональных данных. Закон не приводит конкретного списка, но по определению становится ясно, что под персональными данными можно понимать любые сведения о человеке, с помощью которых выполнима его идентификация. При этом закон оперирует понятиями общих, специальных и биометрических персональных данных.
Оператором считается человек, целая компания или государственный орган, который работает с персональными данными. А именно — занимается их сбором, хранением, обработкой и т. д. Таким образом, хозяин веб-ресурса попадает под определение «оператор», если у него на страницах есть формы, заполняя которые человек оставляет свое имя, фамилию, email, телефон. Это может происходить в момент регистрации, оформления заявки, заказа обратного звонка, написания комментария и т. д.
Политика конфиденциальности для интернет-сайта не нужна, если человек оставляет там лишь свое имя или ник, потому что по этим данным нельзя выполнить идентификацию пользователя.
Как правильно составить текст политики конфиденциальности для сайта
Хозяин сайта может составить данный документ самостоятельно или обратиться за помощью к юристам. В любом случае отвечает за политику конфиденциальности, выложенную на страницах вашего интернет-ресурса, администратор.
Важно! Кто бы ни занимался составлением текста документа, в результате он не должен идти вразрез с действующими законами. Иначе ни перед одним судом он не будет иметь юридической силы. Утвержденной законом формы нет.
Но есть перечень сведений, которые обязательно прописывать в документе:
В качестве примера политики конфиденциальности для своего сайта можно взять аналогичный документ, уже составленный для иного интернет-ресурса, тематика которого перекликается с вашей. А затем внести правки, подогнав все под направленность собственной платформы.
В Интернете есть юридические площадки, где можно скачать типовой шаблон политики конфиденциальности сайта, а после — внести в него необходимые правки (под свою тематику), добавить реквизиты и данные собственной фирмы.
Рекомендуемые статьи по данной теме:
Более того, существуют специальные сервисы, что-то вроде генераторов политики конфиденциальности сайта, с помощью которых прямо в онлайн-режиме, заполнив предложенную форму, можно легко сформировать данный документ. Затем достаточно просто скачать его для себя. При этом все действующие законы будут соблюдены.
Имейте в виду, что строгих норм по написанию политики конфиденциальности не установлено. Поэтому если делаете это сами, подойдите к вопросу с большой ответственностью. Все приводимые вами данные должны быть достоверными. Плюс важно четко излагать обязательства перед клиентами, пользующимися вашей онлайн-площадкой.
Вот перечень существующих особых требований:
В крупных компаниях обычно есть собственный юрист, и как раз в его круг обязанностей входит составление политики конфиденциальности сайта, пользовательского соглашения и иных официальных документов. Для этого необходимо:
Можно в несколько раз повысить лояльность пользователей, если стопроцентно гарантировать, что утечки или использования их личных данных не произойдет ни при каких обстоятельствах. Опытный юрист сможет грамотно изложить все необходимые пункты.
Где разместить документ политики конфиденциальности на сайте
Все, что предписывает в этом отношении закон, — субъектам персональной информации данный документ должен быть доступен всегда и без каких-либо ограничений. Все остальное предоставляется на разумение владельца сайта.
Чаще всего на каждой странице расположена ссылка на политику конфиденциальности сайта, а сам документ представляет собой отдельную страницу. Лучше всего, чтобы ссылка обязательно была рядом с предлагаемыми для заполнения формами (где у клиента спрашивают согласие на обработку личных данных). Многие эту сноску опускают в подвал или находят для нее место в верхнем меню.
Обязательно сделайте рядом с заполняемыми формами кнопку «Согласие на обработку персональных данных». Это требование законодательства. Исключения из этого правила есть, но работы с сайтами они не касаются. Причем проверка может потребовать от хозяина площадки доказательств того, что такое согласие действительно было получено.
В большинстве конструкторов и популярных CMS это требование легко выполнимо. Такая возможность оперативно была внесена разработчиками. Если, например, говорить о политике конфиденциальности для сайта на WordPress, то тут появились следующие новые плагины:
И тот и другой плагин позволяют настроить страницу с политикой конфиденциальности сайта в рамках ФЗ-152.
Функциональные возможности в обоих случаях схожи:
Существуют и старые плагины, позволяющие сформировать страницу с политикой конфиденциальности сайта на английском языке и добавлять флажки к таким опциям, как, например, оформление подписки на рассылку, принятие пользовательского соглашения и иные. Но проще работать с настройками новых плагинов, так как они создавались уже с учетом положений ФЗ-152.
Вот еще несколько важных требований, которые обязательно следует учитывать:
Есть целый ряд мер правового, организационного и технического характера, которые обязан принимать оператор персональных данных, чтобы гарантировать их безопасность и невозможность утечки. Это инструктаж работников фирмы, составление специальных местных актов и иные шаги.
Что касается названия принимаемого документа об условиях обработки персональных данных, то юридически он может называться как угодно: политика, оферта, соглашение. Это каждый владелец веб-ресурса выбирает на свой вкус. Можно лишь отметить, что формулировка «политика конфиденциальности» наиболее компактна и ясна пользователям, поэтому используется чаще.
Касательно размещения тоже нет четких ограничений. Можно сформировать самостоятельный документ, а можно включить положения политики конфиденциальности сайта в оферту / пользовательское соглашение. Но оно, как правило, и само по себе объемно, так как включает ряд особенностей по использованию интернет-ресурса. И добавление в него условий обработки персональных данных лишь еще больше усложнит соглашение для восприятия. Если вы приняли решение разместить на сайте оба документа — и политику, и соглашение, обязательно проверьте, чтобы один другому не противоречил и чтобы в них не содержалось ссылок, перенаправляющих друг к другу.
Обязательно ли размещение специальной формы, где пользователь должен дать согласие на обработку персональных данных? Если это согласие совершенно ясно подразумевается политикой, то форма, разумеется, уже не нужна.
Как сделать политику конфиденциальности на сайте эффективной
По сути политика конфиденциальности схожа с соглашением, но в ней охватываются именно вопросы обработки пользовательских данных. Считается, что условия документа приняты пользователем, если он акцептовал (принял) все предложенные правила.
В качестве акцепта можно рассматривать:
Лучше всего применять все перечисленные формы акцепта в совокупности, а не выбирать какую-то одну. Это может выглядеть так: «Пользователь соглашается с условиями данной Политики, если нажимает кнопку «Принять» или «Продолжить», либо когда оставляет отметку в специальном поле в момент регистрации (на любом из этапов регистрации) и/или в момент выполнения любых действий на сайте».
Сформулируйте общие положения. В них оговаривается следующее:
Теперь необходимо зафиксировать, что пользователь согласился предоставлять свои личные данные для обработки. Это как раз то, зачем нужна политика конфиденциальности сайта. Здесь важно подчеркнуть, что человек действует по собственной воле и в своих интересах. Моментом выражения согласия считается оформление регистрации или использование функционала данной веб-площадки.
Далее следует изложить, для чего необходимо согласие. Целей может быть несколько:
Основной здесь — первый пункт, где целью обозначено заключение дополнительных соглашений и договоров с администрацией. Если вы изначально пропишете это в политике конфиденциальности сайта, вам не придется в случае чего объяснять Роскомнадзору, почему нет бумажного согласия на обработку личных данных и почему в тот же Роскомнадзор не было отправлено специальное уведомление.
Далее следует описать, что непосредственно будет входить в состав личных данных. Под ними подразумеваются индивидуальные сведения о пользователе, по которым можно идентифицировать человека, то есть его имя, фамилия, точный домашний адрес и проч.
Вы можете расписать подробно, что согласие пользователя касается имени, отчества, фамилии, почтового адреса, телефона и другой личной информации, которая будет доступна администрации веб-ресурса в любой момент времени.
Необходимо указать срок, в течение которого действует согласие. Например, оно может быть ограничено временем хранения личной информации или документов, в которых она содержится (предусмотренных рамками российского законодательства). По окончании данного срока пользователь может направить администрации письменное уведомление о желании отозвать свое согласие. Это делается не позднее чем за три месяца до момента отзыва.
Далее следует изложить перечень возможных действий по обработке собранных данных. В политике конфиденциальности сайта лучше всего сразу постараться описать как можно больше вариантов. Это может звучать так: пользователь изъявляет согласие на обработку и использование предоставленных личных данных для достижения перечисленных выше целей. То есть разрешает сбор информации, ее накопление и систематизацию, хранение, корректирование, передачу, обезличивание, аннулирование, блокирование, переправление через границу РФ. Сюда же входит любое иное использование личной информации, не нарушающее законов РФ.
Также необходимо оговорить и способы обработки информации. Например, хранение, формирование списков, создание записей на электронных носителях. Имейте в виду, что это далеко не полный ряд возможных способов обработки.
Дальше оговаривается право на передачу сведений третьим лицам. Следует указать, что пользователь дает на это согласие, а администрация имеет такое право, если подобная передача необходима для выполнения целей, заявленных в политике конфиденциальности.
Необходимо установить порядок отправки сообщений юридического характера. Имеет смысл сделать процедуру взаимодействия с администраторами не самой простой, чтобы в какой-то мере регулировать поток пользовательских обращений. Например, принять за обязательное условие отправку обращений лишь в письменном виде на физический почтовый адрес, указанный на сайте (или через курьерскую службу). Упомянуть, что при невыполнении данного условия обращения рассматриваться не будут.
Перечисленные выше рекомендации будут полезным подспорьем не только для изначального создания политики конфиденциальности нового сайта, но и для внесения необходимых корректировок в уже действующий документ.
Практика показывает, что в действительности онлайн-пользователи крайне редко тратят время на то, чтобы открывать и уж тем более изучать политику конфиденциальности сайта. Но следует понимать, что любые возможные разногласия регулируются именно этим документом, поэтому не следует приуменьшать его значимость.
Не будет лишним кроме политики опубликовать еще и примерно такой дисклеймер:
«Приступая к использованию нашего сайта, вы автоматически соглашаетесь с тем, что администрация будет обрабатывать cookie-файлы и ваши личные данные. Имеется в виду местоположение; тип, версия и язык используемой операционной системы (и браузера тоже); место, откуда пользователь зашел на сайт (другой сайт или рекламное объявление); его ip-адрес; тип устройства, с которого выполнен вход, и разрешение экрана; на какие страницы заходит человек и какими конкретно кнопками пользуется. Покиньте сайт, если для вас обработка перечисленных данных нежелательна и вы не можете дать на нее согласие».
Осуществлять контроль над тем, разработана ли и опубликована ли Политика на сайте компании (либо ИП), может Роскомнадзор (ФЗ-152, ст. 18.1, ч. 4). Предоставлять по первому запросу подтверждение о принятии и публикации в свободном доступе этого документа — обязанность администратора.
Кто контролирует политику конфиденциальности для сайта
Контроль находится в ведении территориальных органов Роскомнадзора. В течение года планируются и выполняются сотни проверок. Можно привести большой список (и он еще останется неполным) организаций и структур, в которых обнаруживаются нарушения закона в отношении условий обработки персональных данных. Это государственные и местные органы власти; финансовые, страховые, коллекторные компании; учреждения здравоохранения и образования разных уровней (среднего, высшего, начального общего образования); многопрофильные центры по оказанию государственных и муниципальных услуг; службы ЖКХ; компании, реализующие товары и услуги в сети Интернет; мобильные операторы. Именно отсутствие политики конфиденциальности на сайте либо непредоставление к ней свободного доступа — самое частое нарушение (по официальным сведениям, предоставленным Роскомнадзором).
Причиной штрафов может стать еще и отсутствие согласия пользователя на обработку его личных данных (либо согласие есть, но оно получено не так, как полагается по закону). Кроме того, серьезным нарушением является сбор cookie-файлов и информации о пользователе без его ведома. Нельзя оставлять без ответа вопросы пользователей (либо отвечать в некорректном формате) касательно обработки персональных данных. За это тоже полагается штраф.
В рамках постановления Европейского союза (679 от 2016 года) с 25 мая 2018 года начал действовать так называемый Общий регламент по защите данных, то есть GDPR (General Data Protection Regulation). В связи с этим российским компаниям, сайтами которых пользуются жители стран — участников ЕС, пришлось решать ряд процедурных вопросов. Теперь политика конфиденциальности должна соответствовать положениям GDPR, плюс необходима адаптация интерфейса веб-площадки под пользователей из Евросоюза. Обязательны, например, такие требования: у человека должна быть возможность без обращения к администратору удалить информацию о себе с сайта, отменить подписку на рассылки. Если пользователю еще не исполнилось 16 лет, согласие на работу с его личными данными следует запрашивать у родителей. Обязательное условие для операторов, не имеющих регистрации в ЕС, — иметь представительство (либо назначить, если не было) в любой из стран Евросоюза.
Совершенно очевидно, что вопросам, касающимся сбора и обработки личных сведений о пользователях в сети Интернет, во всем мире придается огромное значение.
Случаев наложения серьезных штрафов органами Роскомнадзора в России множество. К примеру, «Тамбовская Городская Юридическая Компания» как раз и была оштрафована за то, что политики конфиденциальности на сайте не было, а вот форма обратной связи была. Или вот еще пример: строительная компания в г. Астрахани форму для заполнения со строчками «имя» и «фамилия» разместила, а вот про политику конфиденциальности «забыла». Это стало причиной наложения штрафа. Подобных ситуаций огромное множество. Следует понимать, что проверяющие органы легко обнаружат и иные нарушения, раз уж владелец сайта не удосужился разместить на своей площадке политику конфиденциальности и его за это оштрафовали. А вот наличие грамотно составленного документа представит вас в глазах Роскомнадзора как добросовестного владельца сайта. Тогда, скорее всего, иные проверки обойдут вас стороной и будут направлены на явных нарушителей.
Вообще технической стороной вопроса при составлении политики конфиденциальности сайта должны заниматься сотрудники сервиса информационной безопасности и юристы. Это касается вообще любых документов компании, затрагивающих вопрос сбора и обработки персональных данных пользователей.
Чтобы грамотно сформулировать и разместить у себя на сайте политику конфиденциальности в 2019 году, примите к сведению несколько полезных рекомендаций:
Документ должен включать в себя раздел «Порядок и условия обработки персональных данных». В нем необходимо перечислить все действия, которые ваша компания будет совершать с собранными сведениями о частных лицах. А также сроки, в течение которых эти действия будут выполняться. И, разумеется, способы, которыми вы будете пользоваться в процессе обработки. Это может быть непосредственно сбор информации, ее систематизация, запись, накапливание и хранение. Также сюда относится уточнение собранных сведений, внесение дополнений и изменений, их использование, извлечение, распространение и предоставление к ним доступа. Плюс блокирование, обезличивание, полное удаление либо уничтожение личной информации. Когда составляете политику конфиденциальности для собственного сайта, перечисляйте именно те действия, которые будет совершать ваша компания. Хотя чаще практикуется указание всех возможных способов работы с личными данными пользователя.
Разные способы сбора личной информации имеют неодинаковые правовые последствия. Поэтому обязательно необходимо указывать тот способ, которым собираетесь пользоваться вы. Это может быть автоматизированный сбор сведений и неавтоматизированный. Во втором случае все действия выполняются вручную. А в первом — при помощи средств вычислительной техники.
Сроки обработки данных в отношении каждой из категорий субъектов должны быть четко определены и разграничены.
Считается, что наступила дата прекращения срока обработки индивидуальных данных, если произошло одно из событий, перечисленных ниже:
Здесь приведено много рекомендаций, но и они не являются в полной мере исчерпывающими. Вообще подходить к составлению политики конфиденциальности для сайта всегда необходимо скрупулезно и поэтапно. Сначала — структурировать непосредственно процесс обработки собранных данных (тут необходимо участие специалиста по информационной безопасности). Затем — проработать и сформировать текст документа, где конкретно прописать все действия, которые будут выполняться с личными сведениями, собранными о пользователях. И после этого — опубликовать документ и начать выполнять обработку данных в соответствии с прописанными в нем положениями. В перечень действий, выполняемых в отношении собранной о пользователе информации, входит и резервное копирование, и ответ на обращения, и реагирование на возможные разногласия.
Лучше всего привлечь к написанию политики конфиденциальности юристов, специализирующихся в области IT-права. Потому что результатом самостоятельного составления данного документа могут оказаться штрафы со стороны Роскомнадзора, суммы которых нередко гораздо выше затрат на оплату услуг профессионалов.