Как и кем составляется документ
Ответственность за документ о политике конфиденциальности полностью лежит на администрации онлайн ресурса.
Владелец сайта может самостоятельно составить документ либо поручить это дело профессиональным юристам.
Как практически решить этот вопрос?
- Можно взять за основу политику конфиденциальности с какого-либо авторитетного ресурса сходной тематики и направленности. После этого откорректировать текст в соответствии с местными условиями.
- Можно найти в интернете, на юридических ресурсах, типовой шаблон политики конфиденциальности, вписать реквизиты и данные собственной компании.
Как вариант, можно скачать вот такой шаблон по этой ссылке.
Здесь я разместил простенький шаблон формата docx, который подойдет для большинства сайтов.
Остается отредактировать по своим потребностям и указать данные своей организации.
Онлайн генератор
Для удобства владельцев веб-проектов существуют онлайн-сервисы, на некоторых можно подготовить документ быстро и просто, с учетом действующего законодательства, посредством заполнения предложенной формы.
Такой генератор политики конфиденциальности можно найти на сайте tools.joomlatown.net/152
Просто заполните все предложенные формы и после завершения можете скачать готовый файл.
Как создать политику конфиденциальности через генератор Tools.joomlatown.net/152/
Вам не нужно самим писать политику конфиденциальности. Достаточно перейти на данный сервис – «Tools.joomlatown.net» и указать информацию о вашем ресурсе.
Если у вас обычный сайт, то в первой категории заполняем следующие данные.
Пишете название сайта, например, Блог Александра Сонина. Далее короткое название, затем домен до http//, адрес почты, ваш город и подпись внизу. В качестве подписи можно указать инициалы имени и фамилии. После чего кликните «Далее». Если у вас коммерческий сайт, то заполняете ту же информацию, в подписи пишете ИП, ООО и так далее.
В другом окне можете скачать документ на компьютер или скопировать ссылку.
Но лучше всего, выделить текст левой кнопкой мыши, скопировать и вставить в документ Ворд. Далее нажмите в Ворде на логотип Майкрософт, затем кнопку «Сохранить как», далее PDF или XPS. После чего выберите место на компьютере и нажмите «Опубликовать». Теперь, политику конфиденциальности в формате ПДФ мы загрузим на наш хостинг.
ШАГ 2. Разработка текста
После того как вы определили, какие персональные данные собираете, можно переходить к подготовке текста.
Во-первых, в политике конфиденциальности должен быть указан перечень запрашиваемых сведений – их список у вас уже есть.
Во-вторых, в политике конфиденциальности требуется обязательно указать цели обработки персональных данных, это если юридическим языком. Иными словами, вы должны четко понимать, для чего вам нужны персональные данные. Лишней информации мы не рекомендуем собирать. Напомним, что с 1 июля опять же предусмотрена ответственность за обработку личных данных, которые «не являются необходимыми для заявленной цели обработки».
СКАЧАТЬ сводную таблицу с новыми штрафами за нарушение ФЗ «О персональных данных»
Если в отношении каких-то сведений вы даже себе не можете ответить, для чего они вам, то лучше эти сведения вообще не собирать. С другой стороны, вам нельзя упустить из текста политики конфиденциальности какую-либо цель сбора персональных данных, если она имеется де-факто.
В политике конфиденциальности обязательно требуется указать цели обработки персональных данных. Если простыми словами, то вы должны четко указать, для чего они вам нужны. Лишнюю информацию мы не советуем собирать (это касается тех материалов, цели сбора которых непонятны самому владельцу интернет-проекта). Поэтому, когда будете заполнять этот раздел политики конфиденциальности, заодно сможете прикинуть по-честному, нужны вам эти сведения или нет.
В политике конфиденциальности необходимо указать способы обработки личной информации, которые вы используете.
Что следует включать в политику конфиденциальности
В политику конфиденциальности часто включаются пункты, связанные с обработкой информации, собираемой на сайте в автоматическом режиме (IP-адрес, запросы программного обеспечения о месте, где находится пользователь, о действиях, которые он совершает на сайте и др.). Позиция Роскомнадзора такова, что эти сведения он относит к персональным данным, хотя здесь можно поспорить: все-таки аналитические сведения, на наш взгляд, не позволяют идентифицировать пользователя. Однако во избежание претензий не будет лишним включение такого раздела в политику конфиденциальности.
В политике конфиденциальности также необходимо указать мероприятия, которые владелец ресурса осуществляет для защиты получаемых сведений — это и организационные меры, и технические. Отдельным пунктом обычно предусматривается, когда владелец веб-сайта может передавать персональные данные третьим лицам. В идеале в тексте документа четко должно быть указано, что раскрытие информации возможно только в ситуациях, оговоренных законодательством.
В соответствии с законом человек имеет право отозвать свои персональные данные, а также их уточнить. Это обязательное требование. Таким образом, согласие, полученное от гражданина на обработку личных материалов о нем, не является бессрочным. Например, на интернет-страницах вы размещаете отзывы, в которых клиенты указывают персональную информацию (возраст, семейное положение, количество детей и т. д.). Если клиент просит удалить такой отзыв, то владелец сайта обязан эти сообщения убрать, так как в противном случае будет нарушен Федеральный закон «О персональных данных».
Следующее право, которое имеет человек, — это получение доступа ко всем индивидуальным сведениям, собранным о нем. Если поступил подобный запрос, не удивляйтесь: пользователь имеет на это право, а владелец сайта, если такие сведения имеются, обязан их предоставить.
Все изменения о штрафах за нарушения требований в области обработки и хранения персональных данных отражены в ст. 13.11, которая в соответствии с Федеральным Законом № 13-ФЗ от 07.02.2017 г. «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» с 1 июля 2017 г. изложена в новой редакции.
СКАЧАТЬ текст статьи в новой редакции >>>
Порядок и условия обработки персональных данных
В данном разделе Роскомнадзор рекомендует указывать перечень действий, совершаемых оператором с персональными данными субъектов, а также используемые оператором способы обработки персональных данных и сроки обработки персональных данных.
Выбираем. ФЗ 152 предусмотрен следующий перечень операций с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Способы обработки могут включать:
а) автоматизированную обработку персональных данных
б) обработку персональных данных без использования средств автоматизации.
Согласно определению, данному в ФЗ 152, автоматизированная обработка персональных данных представляет собой обработка персональных данных с помощью средств вычислительной техники.
Казалось бы, что сюда попадают любые действия с ПДн, выполняемые с использованием вычислительной техники. Но не все так просто. Смотрим Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утверждено постановлением Правительства РФ от 15 сентября 2008 г. N 687.
В п.1 указано, что обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее — персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее (п.2).
Иными словами, если ПДн не используется, не уточняются, не распространяются и не уничтожаются в ИПДН вашего сайта в автоматическом режиме без участия человека, можно смело выбирать второй способ обработки — обработку персональных данных без использования средств автоматизации.
Результатом этого простого действия будет легальный отказ от применения драконовских требований ФЗ 152 по обработке автоматизированной обработке ПНн в информационной системе.
В отношении сроков обработки ПДн предлагаем указывать как минимум срок действия договора, во исполнение которого запрашивались ПДн. Можно добавить к сроку действия договора 3 года исковой давности на защиту прав в связи с его исполнением.
Роскомнадзор напоминает, что при осуществлении хранения персональных данных оператор персональных данных обязан использовать базы данных, находящиеся на территории Российской Федерации, в соответствии с ч. 5 ст. 18 Федерального закона «О персональных данных». Отражать данный пункт в Политике не обязательно, поскольку он связан с фактическими обстоятельствами. Хотя для проформы можно включить в Политику декларативную статью об обработке ПДн на территории России.
Далее Роскомнадзор рекомендует указывать условия передачи персональных данных в адрес третьих лиц. Важный момент. Обычно данный перечень сводится к следующим основаниям передачи ПДн:
- Пользователь выразил свое согласие на такие действия;
- Передача требуется для заключения и исполнения договоров на или с использованием Сайта;
- По запросу суда или иного уполномоченного государственного органа в рамках установленной законодательством процедуры
- Для защиты прав и законных интересов в связи с нарушением заключенных с пользователем договоров.
В определенных пределах данный перечень можно расширить на случаи продажи Сайта или передачи ПДн в обезличенном виде.
Помимо этого Роскомнадзор рекомендует указывать в данном разделе Политики сведения о соблюдении требований конфиденциальности персональных данных, установленных ст. 7 Федерального закона «О персональных данных», а также информацию о принятии оператором мер, предусмотренных ч. 2 ст. 18.1, ч. 1 ст. 19 Федерального закона «О персональных данных».
На практике данные сведения сводятся к заявлению, что администрация Сайта осуществляет хранение Персональных данных и обеспечивает ее охрану от несанкционированного доступа и распространения в соответствии с внутренними правилами и регламентами.
Для чего нужна политика конфиденциальности на сайте
Рассмотрим, для чего нужна политика конфиденциальности на сайте, если её наличие установлено законодательным путём. Если сказать коротко – она нужна для получения разрешения пользователей на обработку их личных данных. Чаще всего, обработку персональных данных используют владельцы интерне-магазинов. После поступления заказа необходимо уточнить детали и передать информацию о человеке для исполнения обязательств, а для этого нужны его контакты.
Персональные данные бывают двух видов: личные и обезличенные. К первым относятся все данные, необходимые для идентификации человека. Это могут быть имя, фамилия, адрес и так далее. Ко вторым, чаще всего, относят cookie-файлы, собираемые аналитическими сервисами. В большинстве случаев вёрстка сайта предусматривает ссылку на политику конфиденциальности и в формах сбора, и в подвале ресурса.
За отсутствие документа, предусмотрены штрафные санкции для владельца сайта. В согласие с частью 3 статьи 13.11 КоАП РФ сумма для физических лиц будет составлять 700-1500 рублей. Для юридических лиц штрафы крупнее: 5000-10000 для ИП и 15000-30000 рублей для ООО
Поэтому, при создании сайта и его продвижение в сети не стоит забывать про составление этого важного документа.
Определение терминов
1.1 В настоящей Политике конфиденциальности используются следующие термины:
1.1.1. «Администрация сайта» (далее – Администрация) – уполномоченные сотрудники на управление сайтом Обзор-Топ, которые организуют и (или) осуществляют обработку персональных данных, а также определяет цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
1.1.2. «Персональные данные» — любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).
1.1.3. «Обработка персональных данных» — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
1.1.4. «Конфиденциальность персональных данных» — обязательное для соблюдения Оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.
1.1.5. «Сайт Обзор-Топ» — это совокупность связанных между собой веб-страниц, размещенных в сети Интернет по уникальному адресу (URL): https://obzor-top.ru/, а также его субдоменах.
1.1.6. «Субдомены» — это страницы или совокупность страниц, расположенные на доменах третьего уровня, принадлежащие сайту Обзор-Топ, а также другие временные страницы, внизу который указана контактная информация Администрации
1.1.5. «Пользователь сайта Обзор-Топ » (далее Пользователь) – лицо, имеющее доступ к сайту Обзор-Топ, посредством сети Интернет и использующее информацию, материалы и продукты сайта Обзор-Топ.
1.1.7. «Cookies» — небольшой фрагмент данных, отправленный веб-сервером и хранимый на компьютере пользователя, который веб-клиент или веб-браузер каждый раз пересылает веб-серверу в HTTP-запросе при попытке открыть страницу соответствующего сайта.
1.1.8. «IP-адрес» — уникальный сетевой адрес узла в компьютерной сети, через который Пользователь получает доступ на Обзор-Топ.
Где на сайте разместить документ с Политикой конфиденциальности
По умолчанию, ссылка на документ должна быть размещена в Подвале сайта наряду с другой технической информацией.
Дополнительно «Конфиденциальность» с требованием согласиться демонстрируется пользователями перед тем, как предлагается указывать персональные данные, заполнять какие-либо формы регистрации или заказов, подписок.
В моем случае посетители, оставляя комментарий, видят ссылку на политику конфиденциальности на блоге seoslim.ru и могут с ней ознакомиться.
Также возникает вопрос, что делать если созданный по шаблону или в генераторе текст окажется с низкой уникальностью?
В этом контексте речь идет не о полезном текстовом контенте, а о юридическом документе. Важна не оригинальность, а соответствие букве Закона.
Кроме того, технические страницы и контент на сайтах принято закрывать от индексации поисковыми машинами. Так то уникальность здесь не учитывается при оценке качества ресурса.
На этом все, а ты уже позаботился о создании такой странички на сайте?
Способы и сроки обработки персональной информации
5.1. Обработка персональных данных Пользователя осуществляется без ограничения срока, любым законным способом, в том числе в информационных системах персональных данных с использованием средств автоматизации или без использования таких средств.
5.2. Персональные данные Пользователя могут быть переданы уполномоченным органам государственной власти Российской Федерации только по основаниям и в порядке, установленным законодательством Российской Федерации.
5.3. При утрате или разглашении персональных данных Администрация вправе не информировать Пользователя об утрате или разглашении персональных данных.
5.4. Администрация принимает необходимые организационные и технические меры для защиты персональной информации Пользователя от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий третьих лиц.
5.5. Администрация совместно с Пользователем принимает все необходимые меры по предотвращению убытков или иных отрицательных последствий, вызванных утратой или разглашением персональных данных Пользователя.
Ответственность сторон
7.1. Администрация, не исполнившая свои обязательства, несёт ответственность за убытки, понесённые Пользователем в связи с неправомерным использованием персональных данных, в соответствии с законодательством Российской Федерации, за исключением случаев, предусмотренных п.п. 5.2. и 7.2. настоящей Политики Конфиденциальности.
7.2. В случае утраты или разглашения Конфиденциальной информации Администрация не несёт ответственность, если данная конфиденциальная информация: 7.2.1. Стала публичным достоянием до её утраты или разглашения. 7.2.2. Была получена от третьей стороны до момента её получения Администрацией Ресурса. 7.2.3. Была разглашена с согласия Пользователя.
7.3. Пользователь несет полную ответственность за соблюдение требований законодательства РФ, в том числе законов о рекламе, о защите авторских и смежных прав, об охране товарных знаков и знаков обслуживания, но не ограничиваясь перечисленным, включая полную ответственность за содержание и форму материалов.
7.4. Пользователь признает, что ответственность за любую информацию (в том числе, но не ограничиваясь: файлы с данными, тексты и т. д.), к которой он может иметь доступ как к части сайта Обзор-Топ, несет лицо, предоставившее такую информацию.
7.5. Пользователь соглашается, что информация, предоставленная ему как часть сайта Обзор-Топ, может являться объектом интеллектуальной собственности, права на который защищены и принадлежат другим Пользователям, партнерам или рекламодателям, которые размещают такую информацию на сайте Обзор-Топ. Пользователь не вправе вносить изменения, передавать в аренду, передавать на условиях займа, продавать, распространять или создавать производные работы на основе такого Содержания (полностью или в части), за исключением случаев, когда такие действия были письменно прямо разрешены собственниками такого Содержания в соответствии с условиями отдельного соглашения.
7.6. В отношение текстовых материалов (статей, публикаций, находящихся в свободном публичном доступе на сайте Обзор-Топ) допускается их распространение при условии, что будет дана ссылка на Обзор-Топ.
7.7. Администрация не несет ответственности перед Пользователем за любой убыток или ущерб, понесенный Пользователем в результате удаления, сбоя или невозможности сохранения какого-либо Содержания и иных коммуникационных данных, содержащихся на сайте Обзор-Топ или передаваемых через него.
7.8. Администрация не несет ответственности за любые прямые или косвенные убытки, произошедшие из-за: использования либо невозможности использования сайта, либо отдельных сервисов; несанкционированного доступа к коммуникациям Пользователя; заявления или поведение любого третьего лица на сайте.
7.9. Администрация не несет ответственность за какую-либо информацию, размещенную пользователем на сайте Обзор-Топ, включая, но не ограничиваясь: информацию, защищенную авторским правом, без прямого согласия владельца авторского права.
2. Персональная информация пользователя
2.1. В рамках настоящей Политики под Персональной информацией Пользователя понимается информация, которую пользователь самостоятельно и добровольно предоставляет о себе при просмотре Сайта, при публикации сообщения или в ином процессе при использовании Сайта.
2.2. Состав персональной информации:
2.2.1. Имя.
2.2.3. Фамилия.
2.2.4. Отчество.
2.2.5. Серия и номер водительского удостоверения.
2.2.6. Серия и номер свидетельства о регистрации транспортного средства.
2.2.6.1. Государственный регистрационный номер транспортного средства.
2.2.7. Идентификационный номер налогоплательщика — ИНН.
2.2.8. Страховой номер индивидуального лицевого счета — СНИЛС.
2.2.9. Серия и номер паспорта.
2.3. Администрация сайта не проверяет достоверность информации, предоставленной Пользователем.
2.4. Обработка данных осуществляется только с согласия пользователя.
Какие проблемы могут возникнуть при несоблюдении требований
В российском законодательстве предусмотрена ответственность за нарушение политики обработки и защиты персональных данных, а также за недоведение до пользователя условий использования его персональных данных. Размер штрафа — до 70-100 тыс. рублей за каждое нарушение. За несоблюдение требований GDPR придется выплатить сумму побольше: можно лишиться до 4% оборота компании при регулярных нарушениях.
Другой вид санкций — блокировка приложения. Как правило, это происходит после проверки ПК со стороны маркетплейсов. AppStore и Google Play диктуют собственные требования к политике конфиденциальности в соответствии с международным законодательством, а разработчики приложений из России руководствуются местными законами.
Как итог приложение блокируется за несоблюдение требований маркетплейса. Появляется конкуренция норм права: по факту приложение используется в России и соответствует всем ее законам, но площадки предъявляют повышенные требования, за несоблюдение которых и наказывают.
В России инициатором блокировки сайта или приложения за неправомерное использование данных часто выступает Роскомнадзор. Он является уполномоченным органом по защите прав субъектов персональных данных, ведет реестры операторов и нарушителей прав субъектов персональных данных.
Помочь выявить нарушителя могут не только специализированные органы. Любой пользователь, заметивший нарушение политики конфиденциальности, вправе написать жалобу на правообладателя и потребовать привлечь его к ответственности. Особо внимательные и жаждущие справедливости пользователи могут писать такие заявления ежедневно — компании это будет стоить десятки тысяч рублей штрафа.
Что еще может пойти не так
Многие крупные международные компании сталкивались со сложностями именно из-за проблем с политикой конфиденциальности.
Facebook: несоблюдение ПК
В 2020 году Южнокорейская комиссия по защите личной информации оштрафовала Facebook на $6,1 млн за нарушение закона о защите персональных данных. Как выяснилось, на протяжении шести лет, с мая 2012 года по июнь 2018 года, соцсеть передавала другим компаниям личную информацию более 3,3 млн человек без их согласия. Личные данные пользователя соцсети и его друзей становились доступны третьим лицам, когда для авторизации в стороннем сервисе использовалась учетная запись Facebook.
Instagram: неверная формулировка
Пользователи решили, что соцсеть будет продавать их фотографии рекламодателям, поэтому стали массово удалять аккаунты. Представителям Instagram пришлось объяснять: они лишь хотели персонализировать рекламные предложения. Они признали, что неправильная формулировка могла запутать пользователей и пообещали исправить текст.
WhatsApp: недовольство пользователей изменением политики конфиденциальности
Согласно обновленной политики конфиденциальности пользователи мессенджера обязаны предоставлять компании Facebook доступ к номерам телефонов, именам и фото профилей, сведениям о транзакциях, диагностическим данным из приложений и IP-адресами.
Facebook также оставляла за собой право делиться данными с другими своими компаниями. На фоне этих событий выросло количество загрузок других мессенджеров: Telegram — на 91% за неделю, Signal на — 4200%. Недовольство и массовый уход пользователей заставили WhatsApp отложить обновление ПК.
Google: недостаточное информирование пользователей
Национальная комиссия по информатике и свободам Франции оштрафовала Google на €50 млн за недостаточное информирование пользователей при получении согласия на обработку и использование их данных. Комиссия утверждает, что пользователям не сообщается следующее: какие сайты имеют доступ к данным, в каком объеме они собираются и как долго хранятся. К тому же информация разбросана по нескольким документам: из-за этого пользователям сложнее понять, что именно происходит с их данными.
ШАГ 1. Что нужно сделать перед подготовкой политики конфиденциальности
Перед началом работы над документом необходимо провести ревизию сайта и определить, в каких случаях и какие персональные данные вы собираете на сайте и с его помощью. На сайте может размещаться закрытый раздел для регистрации, в котором часто необходимо ввести имя и фамилию, электронную почту, телефон. В личном профиле, который человек должен или может заполнять после регистрации, также могут требоваться какие-то данные (должность, дата рождения и др.). Может запрашиваться даже фотография. Изображение человека также относится к личной информации. Если на сайте продаются товары или услуги, то в форме заказа также обычно требуется указывать сведения, которые могут быть квалифицированы как персональные. Есть судебные решения, где к такой информации относят только адрес электронной почты, которую вводят в форме обратной связи на сайте.
После тщательного анализа на выходе у вас должен получиться список всех персональных данных, которые вы обрабатываете. Он вам понадобится не только для составления текста политики конфиденциальности, но и для других документов, которые требуются для соблюдения порядка обработки индивидуальных сведений: согласия на обработку персональных данных, уведомления в Роскомнадзор и др
Обратите внимание, что потенциально вы можете собирать и обрабатывать персональные сведения не только через сайт, а, к примеру, путем заполнения клиентами распечатанных анкет. Это особенно актуально для юридических лиц, у которых работа через веб-сайт – всего лишь одно из направлений деятельности
В этом случае к решению вопроса надо подойти более масштабно и составить список всех персональных данных, которые обрабатывает организация.