Конструктор политики обработки персональных данных. Работа с персональными данными – Политика конфиденциальности Цели сбора и обработки информации о Пользователях

Чтобы каждый пользователь мог вводить свои личные данные и не бояться, что ими воспользуются мошенники, действует политика конфиденциальности для сайта. В данной статье мы рассмотрим, что такое политика конфиденциальности для сайта, какие федеральные законы ее регулируют и как ее нормы применяются в повседневной жизни.

Вы узнаете:

• Что значит политика конфиденциальности для сайта.
• Нужна ли политика конфиденциальности на сайте компании.
• Как законодательно регулируется политика конфиденциальности интернет-сайта.
• Как написать политику конфиденциальности для сайта.
• Как разместить политику конфиденциальности на сайте или лендинге.

Что значит политика конфиденциальности для сайта

Политика конфиденциальности - это правовая документация, подлинность которой подтверждают эксперты. Она показывает, что владелец данного интернет-ресурса имеет право собирать, обрабатывать, использовать личную информацию юзеров, обеспечивая ее неприкосновенность. Политика конфиденциальности нужна для того, чтобы обезопасить посетителей сайта от недобросовестного использования их личных сведений хозяином ресурса в корыстных целях.

Еще несколько лет назад политика конфиденциальности для сайтов имела второстепенное значение. Многие собственники и тем более посетители ресурсов не знали, в чем ее предназначение, и, соответственно, считали ее чем-то ненужным. Сегодня российское законодательство регламентирует деятельность большей части сайтов, запрашивающих персональные данные пользователей.

В нормативных актах указано, что владельцы сайтов отвечают за передачу любой информации клиентов третьим лицам. Кроме того, собственники интернет-ресурсов обязаны указывать, какая именно защита предусмотрена против утечки сведений о посетителях.

Документ под названием «Политика конфиденциальности персональной информации» должен располагаться на первой странице сайта. Размещать его лучше так, чтобы перед регистрацией у посетителя не возникало никаких проблем с ознакомлением с ним.

Политика конфиденциальности данных касается всех личных сведений, которые клиент оставляет на сайте. Речь идет об имени, почтовом адресе, номере банковской карты, email, телефонном номере и иного рода информации. Разглашение чужих данных - достаточно серьезное действие, грозящее неприятными последствиями. Человек размещает личные сведения о себе для получения доступа к товарам или услугам, а значит, информация о нем должна быть надежно защищена.

Если мошенники или рекламные агентства получат доступ к личным данным юзеров, то смогут ими воспользоваться в корыстных интересах, а вам как владельцу ресурса люди доверять перестанут. Кроме того, разглашение конфиденциальных сведений - это статья, предусматривающая административные взыскания на основании судебного решения.

Эксперты отмечают: главный тренд в области онлайн-маркетинга - создание и оптимизация мобильной версии сайта фирмы. 59% потребителей используют мобильный интернет, чтобы найти информацию о товаре или перейти на сайт компании. Если вы не хотите потерять потенциальных клиентов, обратите внимание на мобильную версию сайта фирмы или интернет-магазина.

В статье электронного журнала «Коммерческий директор» собраны 11 универсальных советов, которые помогут оптимизировать дизайн и настройки мобильного сайта.

Нужна ли политика конфиденциальности на сайте компании

Интерес пользователя к тому или иному сайту трудно поддерживать в течение длительного времени. Как правило, посетитель находит то, что ему нужно, и покидает сайт. Обратно он возвращается в очень редких случаях. По прошествии времени он вводит в поисковике другой запрос, выходит на нужную ему информацию на аналогичном ресурсе и закрывает вкладку, покидая сайт.

Для формирования и сохранения своей аудитории собственники сайтов собирают данные обо всех посетителях, а потом время от времени в ненавязчивой форме присылают им новости и заманчивые предложения, напоминая о себе. Все оповещения зарегистрированный пользователь получает на свой email.

На сайте должен присутствовать особый пункт с разъяснениями порядка и цели сбора личной информации. Даже если для регистрации на сайте нужен лишь email, собственник ресурса все равно обязан размещать политику конфиденциальности. Как правило, на сайтах требуется оставлять только имя и email.

То, что каждый день на ваш электронный адрес поступают ненужные предложения и реклама, означает, что политика конфиденциальности какого-то сайта, где вы оставили свой email, некомпетентна или ее просто нет.

Отметим, что часть сайтов передает контактную информацию и имена посетителей смежным ресурсам, связанным с ними. Они не вправе перегружать посетителя ненужными сведениями, однако могут предлагать что-либо на основании запросов. Таков принцип действия политики конфиденциальности Google.

Если речь идет об интернет-магазине, то в данном случае пользователь не может указать только логин и email. Здесь схема более сложная, так как речь идет о финансовых операциях. В связи с этим политика конфиденциальности для сайта должна быть более строгой. Что касается лендинговых организаций, им политика конфиденциальности нужна, чтобы успешно проходить модерацию в рекламных сетях.

• Как увеличить трафик на сайт: эффективные методы и инструменты

Рассказывает практик

Как избежать проблем с хранением и применением персональных данных клиентов

Елена Денисова ,

руководитель коммерческой практики, CLIFF

Многие предприниматели считают, что между их деятельностью и обработкой персональных данных нет прямой связи, так как они просто собирают сведения о своей аудитории, чтобы знать ее. Кроме того, большой процент бизнесменов считает, что интернет-сайт - это не инструмент автоматизированной обработки. Следовательно, они не собирают личные данные пользователей и не обязаны заботиться об их неразглашении. Однако в российском законодательстве сказано, что оператор персональных данных - это как физическое, так и юридическое лицо, которое организует и обрабатывает персональную информацию и устанавливает цели ее сбора.

Чтобы избежать проблем с хранением и использованием ПД и действовать в соответствии с законом, нужно:

1. Определить порядок, объем и время получения приватной информации о ваших клиентах. Если сведений, по которым можно безошибочно идентифицировать посетителя, вы не получаете (а получаете лишь email, не предлагаете зарегистрироваться и оставить контактные данные, то есть не запрашиваете у пользователя никакой личной информации и работаете на условиях конфиденциальности), то к персональным сведениям вы отношения не имеете. Во всех других случаях нужно строго следовать законодательным нормам, касающимся сохранения конфиденциальности ПД на сайте.
2. Установить порядок получения вашей организацией согласия клиента на обработку его ПД. Физическое или юридическое лицо обязано давать согласие на обработку приватных сведений, если вы планируете проведение торговых операций и ведение любой деятельности, связанной с продвижением продукции, услуг, работ на рынке с использованием прямого контакта с человеком (с помощью смс-сообщений, телефонных звонков, email и проч.). Следует подчеркнуть, что, если возникнет спорная ситуация, оператор персональных данных, то есть ваша компания, обязан будет предоставить доказательства получения от клиента согласия на использование его личной информации. Именно поэтому нужно разработать правила, согласно которым вы будете вести сбор, обработку, хранение и уничтожение персональных данных (то есть политику конфиденциальности для сайта). Также необходимо выработать особую форму согласия на выполнение этих действий (см. материал для скачивания). Пользователь при этом может не принимать условия политики конфиденциальности, если цель обработки ПДн - выполнение пунктов соглашения, в котором он участвует, то есть если информацию использует только ваше предприятие и исключительно для оформления сделки купли-продажи с пользователем, без передачи личных данных третьим лицам.
3. Удостовериться, что в дальнейшем ваша компания сможет предъявить доказательства того, что пользователь дал согласие на обработку ПД. Недостаточно разместить на своем ресурсе политику конфиденциальности и форму согласия на обработку приватной информации. Если возникнет спорная ситуация, контролирующие органы все равно наложат на вас административное взыскание. Вы должны располагать документом с подписью пользователя, из которого будет вытекать его согласие на обработку персональной информации. Кроме того, в документе должны быть обозначены виды и цели использования ПД. Если такой бумаги у вас не будет, штрафа со стороны контролирующих инстанций не избежать. Конечно, доказательством может быть бумажная анкета, в которой расписался клиент, но для торговой деятельности в интернете это не подходит.

По мнению Роскомнадзора, согласием на обработку персональных данных на сайте может являться файл электронной цифровой подписи. Кроме того, в ряде ситуаций предложения оператора о продаже товара могут быть расценены как публичная оферта. Иными словами, когда пользователь соглашается на оферту при оформлении заказа или регистрации, то он тем самым разрешает продавцу использовать свои личные данные.

По мнению судебных органов, предприятиям следует размещать на своих сайтах веб-метку, означающую, что пользователь соглашается с правилами и порядком обработки ПД (постановление ФАС СЗО от 13.12.2010 г. по делу № А56-73636/2009, постановление ФАС УО от 18.03.2010 г. по делу № Ф09-1736/10-С1, определение Мосгорсуда от 14.02.2011 г. по делу № 33-2064).

• Как создать продающий лендинг пейдж: правила разработки и типичные ошибки

Как регулируется политика конфиденциальности интернет-сайта на законодательном уровне

В данный момент государство уделяет повышенное внимание вопросу безопасности персональных сведений граждан. В связи с этим самые известные и крупные ресурсы, такие как Vk.com, Яндекс.Директ, Google AdWords и т. д., начали серьезнее относиться к размещению на сайтах политики конфиденциальности. При ее отсутствии на лендинге данные ресурсы могут не принять рекламную кампанию или же существенно затруднить ее модерацию.

Еще недавно политика конфиденциальности для сайта (152-ФЗ) воспринималась многими участниками интернет-сообщества как пожелания, которым можно следовать или же не учитывать их, даже несмотря на законодательную основу. Тот факт, что за нарушение требований о соблюдении конфиденциальности персональных данных была предусмотрена административная ответственность (заметим, довольно скромная), никак не отразился на исполнении нормативных требований. Безукоризненно следовать правилам, связанным с безопасным хранением и использованием персональной информации, представители интернет-сообщества все равно не стали.

В итоге в июле 2017 г. закон № 152-ФЗ откорректировали и дополнили, вследствие чего административная ответственность за нарушение требований конфиденциальности ПДн ужесточилась. Сегодня за пренебрежение ими предусмотрены меры наказания.

Отметим, что политика конфиденциальности для сайта обязательна. Если ее нет, владельцы интернет-ресурса несут ответственность. Кроме того, за обработку конфиденциальных сведений клиентов без их согласия предусмотрены определенные санкции.

Если компания допускает нарушение в первый раз, на нее налагают штраф в размере 30 тыс. руб., во второй - 75 тыс. руб. Помимо этого, разрешено одновременно привлекать нарушителей к ответственности по нескольким частям ст. 13.11 Кодекса об административных правонарушениях РФ. Вывод: если бизнесмен ранее не следовал закону о соблюдении конфиденциальности ПДн, ему может грозить серьезный штраф.

Привлечение к административной ответственности за нарушение 152-ФЗ будет теперь входить в компетенцию Роскомнадзора, а не прокуратуры. Это значит, что квалификация работников Роскомнадзора будет повышаться, как и скорость проверок.

Рассказывает практик

Чем может обернуться работа с персональными данными через форму обратной связи без политики конфиденциальности

Ильдар Багаутдинов ,

партнер, руководитель коммерческой практики компании «АНП Зенит», Казань

Сотрудники Роскомнадзора установили, что фирма «ТГЮК» разместила на сайте форму обратной связи. Однако документа о политике конфиденциальности в отношении сбора и использования персональных данных не было. На организацию наложили штраф в размере 1 тыс. руб. в соответствии со ст. 13.11 Кодекса об административных правонарушениях РФ. Но компания обратилась в суд. Как отметили ее представители, установить личность пользователя было невозможно, так как форма содержала в себе всего 3 элемента: имя, тему и текст сообщения. При этом графу «имя» посетитель мог не заполнять. Но суд не принял эти аргументы во внимание, и компании пришлось уплатить штраф (постановление Тамбовского областного суда от 04.10.2016 по делу № 4А-288).

Как избежать штрафных санкций? Если владелец размещает у себя на сайте форму обратной связи, это значит, что компания работает с персональными данными, то есть собирает сведения о гражданах. Соответственно, она обязана выполнять функции оператора ПД. Иными словами, организация должна ставить Роскомнадзор в известность о том, что она намерена заняться сбором и обработкой персональных данных, а также заручиться согласием субъекта. Кроме того, у нее на сайте обязательно должна присутствовать политика конфиденциальности, с которой пользователи могли бы без проблем знакомиться.

С 1.07.2017 г. на предприятия за отсутствие политики конфиденциальности для сайтов налагают штрафы в 30 тыс. руб.

При создании формы обратной связи на сайте позаботьтесь о наличии функции получения согласия субъекта на обработку ПД. Перед отправкой анкеты пользователь должен поставить соответствующую отметку, соглашаясь таким образом с дальнейшей обработкой приватных сведений.

• Защита информации в интернете: проблемы и пути их решения

Внешние и внутренние документы политики конфиденциальности для сайта

Нарушения в области ПД бывают двух видов:

1. Нарушения, выявление которых возможно на основании внешних документов, то есть официальных бумаг компании, доступ к которым есть у определенного круга сотрудников. Эти документы позволяют удаленно (без взаимодействия с оператором ПД) выявить нарушения в сфере конфиденциальности личной информации и собрать достаточную доказательную базу. Из-за некачественно составленной внешней документации по персональным данным оператор рискует столкнуться с потребительским терроризмом, атакой конкурентов или штрафными санкциями Роскомнадзора.
2. Нарушения, выявление которых возможно на основании внутренних документов компании, то есть доступных лишь ограниченному кругу лиц. Обнаружить нарушения по ним можно лишь в ходе проверки соблюдения конфиденциальности ПД, которую проводит уполномоченный орган.

Политика конфиденциальности для сайта, образец которой вы всегда можете скачать в Интернете, - это внешний документ, так как в соответствии с российским законодательством доступ к нему должен быть обеспечен всем посетителям ресурса. Именно поэтому условия политики конфиденциальности прежде всего должны отвечать следующим требованиям:

• Точное соответствие законодательным нормам, актуальность, взаимосвязь с бизнес-моделью компании, размещающей ее у себя на сайте.
• Отсутствие избыточных условий в части разработки правил. Из-за них могут возникнуть необоснованные издержки как на стадии выработки, так и в процессе поддержания актуальности норм.

Договор-оферта и страницы сайта, на которых размещена или отображается используемая персональная информация, - это также внешние документы. Разрабатывать их должны опытные специалисты, которые отлично разбираются в тонкостях составления политики конфиденциальности для сайтов.

Как разработать политику конфиденциальности сайта

Политика конфиденциальности для сайта прежде всего должна быть достоверной. Репутация ресурса очень пострадает, если прописанные в вашей политике конфиденциальности положения не будут выполняться. Кроме того, не исключено появление проблем с законом, в котором сказано, что за нарушение политики конфиденциальности ответственные лица должны нести наказание, в том числе уголовное.

В данный момент в России активно формируются новые законопроекты, касающиеся интернет-сферы. Однако четких требований к составлению политики конфиденциальности для сайтов пока нет. Но определенные негласные правила по ее разработке все же существуют, а именно:

• политика конфиденциальности для сайта должна быть составлена грамотно, с соблюдением всех правил орфографии и пунктуации;
• она обязана быть написана просто и понятно для пользователей. В ней не должно содержаться фраз с двусмысленной трактовкой;
• политика конфиденциальности для сайта должна быть составлена в официально-деловом стиле;
• администратор сайта обязан отлично разбираться в вопросах разработки и применения норм политики конфиденциальности, чтобы отвечать за информацию, изложенную в ней;
• политика конфиденциальности для сайта должна содержать в себе гарантии сохранности личной информации.

Что учитывать, составляя текст политики конфиденциальности для сайта

При разработке политики конфиденциальности для сайта следует учитывать определенные тонкости. Остановимся на них подробнее:

• Сайт, который используется для обработки ПД, - это часть информационной системы персональных данных (ИСПДн). Вторым ее элементом является хостинг, на котором размещается данный ресурс.
• Политика конфиденциальности для сайта должна покрывать использование ПД сотрудников организации и применение систем обработки ПДн, не связанных с сайтом (1С, внешней электронной почты и проч.).
• У политики конфиденциальности сайта должна быть взаимосвязь по части законности обработки ПД как с соглашением, которое заключается с физлицами, так и с бизнес-моделью предприятия в целом, поскольку политика конфиденциальности - это нелокализованный документ, определяющий законность использования персональной информации.
• Необходимо предусматривать не только наличие на сайте политики конфиденциальности, но и законность обработки ПД с момента их передачи через интернет-ресурс до заключения соглашения о политике конфиденциальности сайта (акцепт оферты). Так, акцепт оферты может быть предусмотрен первым платежом за продукт (услугу), но после регистрации (передачи персональной информации) потенциальный покупатель может не внести оплату.
• Следует обеспечить программные средства для самостоятельного удаления, корректировки, уточнения и подачи жалоб посетителем, а также установить возможность их применения.
• Политика конфиденциальности для сайта определяет количество и объем дочерней документации (локальных правовых актов) интернет-фирмы. Чтобы сократить издержки, ее объем следует снизить.

• Как создать продающий блог и привлечь 290 тыс. подписчиков

Как написать политику конфиденциальности для сайта: основные разделы документа

В первую очередь политика конфиденциальности для сайта обязана быть максимально прозрачной. После ознакомления с документом пользователь должен полностью понимать, для чего предоставляет личную информацию, как она хранится и обрабатывается, как обеспечивается ее конфиденциальность и т. д.

1. Род и вид собираемых данных.

Здесь нужно указать полный список сведений, которые должен предоставить пользователь, чтобы получить услуги, купить товар, ознакомиться с информацией и проч. Также необходимо обозначить данные, которые будут фиксироваться в автоматическом режиме: IP-адрес, дату и время URL-перехода и т. д.

В этой же главе посетителям обычно сообщают, для каких целей ведется сбор персональной информации (как правило, это связь с владельцем аккаунта).

1. Управление личной информацией.

Инструкция, в которой указывают, как посетитель может получить доступ к сведениям о себе, отредактировать их или удалить.

Обратите внимание: если на сайте предусмотрена функция временного хранения ПД пользователя после удаления его аккаунта, в политике конфиденциальности должно быть об этом сказано.

1. Обмен данными между пользователями.

Эта глава актуальна, если посетители сайта могут присылать друг другу личные сообщения. В данном случае в политике конфиденциальности можно обозначить, что содержание сообщений защищено от индексации поисковиками.

1. Защита персональной информации.

Меры, которые владельцы сайта принимают, чтобы предотвратить несанкционированный доступ к информации посетителей.

1. Порядок передачи персональной информации посторонним лицам.

На основании ст. 7 Закона «О персональных данных» № 152-ФЗ от 27.07.2006 г. разглашать и передавать персональные данные пользователя сторонним лицам без его согласия запрещено.

Исключения из этого правила обозначены в нормативно-правовых актах. Но не все граждане юридически подкованы, а потому, чтобы они доверяли сайту, следует конкретизировать ситуации, при которых сайт может выдать их ПДн:

• если правоохранительные органы подали официальный запрос;
• если исполняется решение суда;
• если речь идет о препятствии мошенническим действиям;
• если имеет место защита прав пользователей и т. д.

Обратите внимание: если политика конфиденциальности включает в себя информацию о возможности передачи персональных данных для личного, коммерческого использования и в иных не предусмотренных законом целях, это ничего не значит и не освобождает владельца ресурса от ответственности за несанкционированное использование приватных сведений. За нарушение законодательства в данном вопросе его могут привлечь к ответственности, в том числе к уголовной, несмотря на заблаговременное предупреждение посетителей.

Помимо этого, при продаже сайта новый собственник в автоматическом режиме получает доступ к личной информации клиентов. В связи с этим в данной главе следует обозначить, что владельцы аккаунтов гарантированно будут оповещены о смене собственника ресурса, чтобы они могли удалить свою личную информацию, если захотят.

1. Изменения.

Здесь указывают, в каком порядке пользователям будут сообщать о поправках к политике конфиденциальности для сайта. Пример: о самых значимых изменениях пользователей можно уведомлять по email.

Строгих правил, касающихся наименования разделов в политике конфиденциальности и их количества, нет. Здесь могут быть обозначены дополнительные условия - все определяется направленностью и содержанием ресурса. Например, на сайтах часто указывают порядок получения информации от лиц, не достигших 18 лет, требования по размещению фотографий и проч.

Куда обратиться за помощью в составлении политики конфиденциальности веб-сайта

Лучше всех в политике конфиденциальности сайтов разбираются профильные юристы. Если для успешного функционирования вашего ресурса нужно собирать данные о пользователях в большом объеме, самое разумное решение - обратиться к профессионалам. Если же ресурс простой, то используется стандартная политика конфиденциальности для сайта в форме типового документа, гарантирующего, что имя и email клиента не получат посторонние лица. Если речь идет об интернет-магазине или крупном портале, лучше подстраховаться всеми возможными вариантами, особенно если вы собираете о пользователях очень личную информацию.

Юристы разработают грамотную политику конфиденциальности для сайта, касающуюся всех областей вашей деятельности, и проконтролируют, чтобы ее положения нельзя было воспринять двусмысленно.

Воспользовавшись услугами профессионала, вы обезопасите себя от возможных проблем с конфиденциальностью личных сведений пользователей. Кроме того, наличие серьезного профессионального документа (политики) на сайте обеспечит вам доверие и лояльность клиентов.

Как разместить политику конфиденциальности на сайте или лендинге

1. Политика конфиденциальности для лендинга.

Как добавить политику конфиденциальности на лендинг во всплывающем (модальном) окне?

Рассмотрим порядок размещения политики конфиденциальности на примере создания всплывающего окна.

Вам нужно воспользоваться фреймворком Bootstrap от создателей Twitter и взять из него скрипты для создания модального окна.

Модальное окно формируется в несколько этапов:

• открытие лендинга;
• открытие документа Bootstrap (на английском);
• поиск в документах Bootstrap кода «модальное окно» (Modal) с дальнейшим его размещением на лендинге.

В модальном окне 2 части:

• ссылка или кнопка, открывающая его;
• непосредственно модальное окно.

Еще одна важная деталь: помимо стилей Bootstrap, нужно, чтобы подгружался Bootstrap JavaScript и jQuery. Тогда открытие модального окна на лендинге будет корректным.

Также следует помнить, что, если ваш ресурс рекламируется на площадке Vk.com, модератор не во всех случаях воспринимает ссылку «Политика конфиденциальности». Именно поэтому в ней лучше обозначить «Политика обработки персональных данных».

Вот что должно получиться в результате:

Чтобы вам было удобнее работать, откройте в браузере окна:

• вашего сервера;
• вашего лендинга;
• www.getbootstrap.com (в меню JavaScript справа выбрать Modal).

В документации Bootstrap в разделе Modal необходимо опуститься ниже и найти Live Demo, после чего скопировать код под этой надписью. Далее следует открыть NotePad++ и вставить код в новое окно. В NotePad++ в меню выберите СИНТАКСИС, H, HTML для удобства работы. В этом коде нужно поменять «Launch Demo Modal» на «Политика конфиденциальности». Далее надо изменить кнопку на ссылку .

После этого меняется само модальное окно. В коде ниже необходимо найти «Modal Title» и вместо этой надписи вставить «Политика конфиденциальности». Вместо «Close» напишите «Закрыть», полностью удалите код кнопки Save Change и сохраните результат.

Вместо многоточия в коде с тегом

нужно вставить сам текст политики конфиденциальности. Вы можете скопировать его со всеми стилями с вашего интернет-ресурса. Код готов. Далее нужно его скопировать и перейти в редактор файлов на сервере.

Откройте файл лендинга, убедитесь, что скрипты Java и jQuery подключены. Затем найдите эти слова в коде. Если они есть, наше модальное окно будет открываться.

Затем найдите последний тег

и вставьте код ссылки на политику конфиденциальности. Теперь нужно вырезать код запуска модального окна, который начинается с и заканчивается , и вставить туда, где планируется разместить ссылку на политику конфиденциальности. Вы можете предусмотреть внизу страницы специальную пустую колонку и вставить ссылку туда. Добавьте

---

(разделительная линия) и сохраните изменения.

Еще немаловажный момент - если вы собираете на сайте адреса электронной почты, то в политике конфиденциальности вы непременно указываете свой email. Аналогично и с номером телефона.

1. Политика конфиденциальности для сайта

С сайтом все намного проще, чем с лендингом, так как создавать модальное окно не нужно. Необходимо просто взять текст политики конфиденциальности и создать отдельную страницу. Опубликуйте на ней текст и в нижней части сайта, в подвале, проставьте ссылку на страницу с политикой конфиденциальности.

• Лидогенерация: модели, методы и инструменты привлечения целевой аудитории

Политика конфиденциальности для сайта за рубежом

• США.

В США специально не принимают ФЗ о защите персональных данных. Здесь предпочитают законы, затрагивающие отдельные области жизни. В 1988 г. законодательство запретило пунктам видеопроката публично разглашать сведения о том, какие кассеты берут клиенты. Обусловлено это было утечкой в СМИ информации о видеокассетах, которые взял напрокат Роберт Брок, кандидат в судьи ВС США. Кстати, неприличных фильмов в списке не значилось.

Большое внимание в США уделяют конфиденциальности ПД, которые передаются за рубеж. В Америке действует то же правило, что и в Европе: принимающая страна обязана обеспечивать надежную защиту личной информации.

Отметим, что общий закон о конфиденциальности ПД в Штатах не принимают в силу специфической экономической и политической культуры, так как власти поддерживают саморегуляцию бизнеса. К примеру, свободу слова в конституции гарантирует первая поправка. Право на неприкосновенность приватной жизни в законодательстве не прописано и только подразумевается. При этом отдельные штаты вправе выступать с инициативами, что они периодически и делают. С 2014 г. в Калифорнии действует определенная политика конфиденциальности для сайта. Закон, на основании которого интернет-ресурсы обязаны сообщать пользователям, отслеживаются их действия или нет, успешно применяется в стране по сей день.

С 2015 г. в США, как и в Европе, не отслеживают поведение лиц, не достигших 18 лет.

• Южная Америка.

В некотором смысле принятию закона Marco Civil da Internet поспособствовал громкий скандал с Эдвардом Сноуденом. Важное место в законе отведено обеспечению конфиденциальности ПД. Жители Бразилии воспринимают вопрос защиты личной информации почти так же, как в Европе, но с некоторыми особенностями.

Вместе с Германией Бразилия продвинула в ООН первую резолюцию о защите конфиденциальной информации в интернете. В документе было обозначено, что право на конфиденциальность личной информации должно быть обеспечено как в реальной жизни, так и в Сети. Отметим, что порядок защиты как электронной, так и обычной переписки в Бразилии одинаков.

Если говорить о других государствах Южной Америки, то там рассмотрение законопроектов о конфиденциальности ПД занимает, как правило, несколько месяцев, а иногда даже лет.

В полной мере нормы об обеспечении конфиденциальности приватных данных в Сети выполняются лишь в Аргентине.

• Азия.

Сейчас в азиатских государствах, кроме Китая и большей части стран Ближнего Востока, действует закон о защите ПД в сети. В Индии закон об обеспечении конфиденциальности приватной информации за пределами государства теряет свою силу. Интересно, что по данным, размещенным на сайтах знакомств, можно без труда определить, какая группа крови у того или иного человека, или кто является носителем ВИЧ. У правительства при этом есть широкие полномочия для доступа к ПД, а чтобы найти номер мобильного телефона, зачастую нужно лишь забить имя пользователя в поисковую строку.

Закон о защите ПД, в том числе и в сети, был принят в 2005 г. Иностранные предприятия, офис которых расположен в Японии, должны четко объяснять цели хранения приватной информации, если она касается хотя бы 5 тыс. клиентов и сотрудников.

Жители Японии очень аккуратно относятся к вопросам, связанным с распространением приватных сведений, даже в случае природных катаклизмов (например, землетрясений) или госпитализации гражданина. Но периодически у них все же возникают серьезные проблемы с обеспечением конфиденциальности в виде крупных утечек информации и незаконных сделок по их продаже.

Интернет в последнее время развивается быстрее, чем закон. Правила, разработанные 10 лет назад, в данный момент не учитывают существования соцсетей и облачных сервисов.

В Сингапуре в 2013 г. приняли закон, аналогичный тому, что сегодня рассматривает Совет Европы. Сейчас законодательство именно этой страны можно с уверенностью назвать самым прогрессивным в Азии в части соблюдения конфиденциальности приватных сведений.

Информация об экспертах

Елена Денисова , руководитель коммерческой практики, CLIFF. Елена Денисова окончила Московский государственный открытый университет и Московский финансово-юридический университет. Специализируется в области коммерческого права, занимается решением задач, связанных с электронной коммерцией, включая судебную защиту ее субъектов. Обеспечивала юридическое сопровождение ряда стартапов в этой области. CLIFF - группа компаний, оказывающая юридические услуги широкого спектра. Основана в 1994 году. Штат - более 50 юристов. Одна из первых компаний, которая занялась работой с проектами в сфере электронной коммерции - от разработки платежных систем до создания с нуля интернет-проектов разных направлений.

Ильдар Багаутдинов , Партнер, руководитель коммерческой практики компании «АНП Зенит», Казань. Ильдар Багаутдинов окончил Казанский (Приволжский) федеральный университет по специальности «юриспруденция». Опыт работы в юриспруденции - семь лет. Специализируется на ведении сложных судебных споров в сфере строительства и корпоративного права. Спикер форума «Третейское разбирательство в строительной отрасли». ООО «АНП Зенит». Сфера деятельности: юридические услуги в области налогового права. Численность персонала: 17. Годовой оборот: 58 млн руб. (за 2015 год). Количество выигранных налоговых споров: 97% (за 2015 год). Сумма оспоренных начислений: 5 млрд руб. (за 2010-2016 годы).

Политика конфиденциальности - как сделать правильно?

Июль 2017 все же заставил владельцев сайтов изрядно понервничать. Виной тому вступившие 01 июля 2017 года в силу поправки в статью 13.11 КоАП РФ (см. Федеральный закон от 07.02.2017 № 13-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях»), ужесточающие административную ответственность за нарушение порядка обработки персональных данных.

Размер штрафов для предпринимателей варьируется в диапазоне от 5 тыс. руб. до 75 тыс. руб. Последняя цифра касается организаций, допустивших обработку персональных данных, например, без письменного согласия субъекта персональных данных.

Прежде чем бить тревогу и думать, что же делать и бросаться отключать на сайте формы для обратной связи, необходимо провести диагностику собственного сайта на предмет наличия или отсутствия документов, регулирующих отношения с пользователями, в том числе по вопросу обработки оставляемых ими данных, а также оценить их содержание с точки зрения прозрачности, полноты, непротиворечивости и достаточности.

Если не знаете, как это сделать правильно, и что должна включать в себя политика конфиденциальности, предлагаем обратить внимание на следующие ключевые моменты.

1. Зачем нужна Политика конфиденциальности?

Думаем, что здесь ответ очевиден. Документ, регулирующий обработку персональных данных пользователей и размещаемый на сайте, является ни чем иным как правилами игры, которые устанавливает владелец сайта в отношениях с пользователями. Цель фиксации и размещения таких правил - снизить риски из законодательства о персональных данных, при необходимости дать отпор потребительскому экстремизму.

2. Как лучше назвать - оферта, соглашение об обработке персональных данных или политика конфиденциальности?

С юридической точки зрения название документа, регулирующего обработку персональных данных пользователей, не имеет значения. Остальное - дело вкуса каждого владельца сайта. Со своей стороны можем выделить название «политика конфиденциальности» из-за его емкости, повсеместного использования и понятности для пользователя.

3. Как лучше разместить - в виде отдельного документа или сделать частью оферты/пользовательского соглашения?

Здесь также нет обязательных правил и универсального шаблона. Можно отразить необходимые положения в отдельном документе или сделать частью, например, пользовательского соглашения.

Как правило, пользовательское соглашение содержит немало особенностей использования сайта, что влияет на объем документа. Включение в пользовательское соглашение еще и положений по обработке данных будет явно перегружать документ и усложнять его восприятие пользователем.

При размещении на сайте двух отдельных документов (например, политики конфиденциальности и пользовательского соглашения) рекомендуем проверить их на непротиворечивость друг другу, а также на наличие ссылок друг на друга.

4. Нужно ли помимо Политики конфиденциальности размещать также отдельную форму согласия на обработку персональных данных?

Здесь ответ прост. Если из Политики конфиденциальности очевидно следует согласие на обработку каких данных и с какой целью дает пользователь, то отдельная форма согласия будет лишней.

5. Как заставить правила работать?

Политика конфиденциальности это та же оферта (соглашение), только по вопросам, связанным с обработкой персональных денных пользователей. Для того, чтобы пользователь считался принявшим условия обработки его данных владельцем сайта, он должен акцептовать предложенные правила (принять, согласиться).

Таким акцептом могут быть:

б) проставление отметок в полях,

в) выполнение последовательности действий,

г) использование функционала сайта.

«Пользователь дает своё согласие с положениями настоящей Политики конфиденциальности нажатием кнопки «Принять Политику конфиденциальности» или «Продолжить», проставлением соответствующей отметки в поле при Регистрации, в том числе на любом этапе такой регистрации и (или) в любой момент пользования сайтом.»

6. Что включать в Политику конфиденциальности (далее также Политика)?

Универсального шаблона Политики конфиденциальности нет. В любом случае при составлении Политики конфиденциальности стоит учитывать специфику работы сайта, его назначение, функциональные возможности, круг пользователей, объем оставляемых ими данных.

Анализ действующего законодательства в сфере обработки персональных данных, а также собственный опыт, позволил нам сформулировать следующие рекомендации владельцам сайтов по содержанию Политики конфиденциальности:

а) по желанию включаем раздел с терминами и определениями - не является обязательным. Для удобства пользователя и унификации документов на сайте можно включить соответствующий раздел с понятиями и определениями, которые являются общими как для Политики конфиденциальности, так и для Пользовательского соглашения (например, «Политика конфиденциальности», «пользователь», «сайт», «владелец сайта», «личный кабинет» и др.).

Отсутствие такого раздела в Политике конфиденциальности не связано с рисками для владельца сайта.

б) выделяем общие положения, где описываем:

• предмет регулирования Политики (например, «регулирет порядок обработки персональных данных пользователей, в том числе с целью обеспечения безопасности обработки персональных данных пользователей, обеспечения их прав и интересов при обработке персональных данных» ).
• формы акцепта пользователя с условиями Политики и обработкой данных (пример приведен в п. 5 настоящей статьи).
• место разрешения споров, вытекающих из Политики, с оговоркой (например, все возможные споры по поводу настоящей Политики конфиденциальности и отношений между пользователем и Администрацией сайта будут разрешаться по нормам российского права в суде по месту нахождения Администрации сайта, если иное прямо не предусмотрено законодательством РФ ).

Оговорка необходима для соблюдения действующего законодательства, а указание на место рассмотрения споров по месту нахождения владельца сайта призвано оказывать скорее превентивный эффект на пользователя.

• порядок изменения и обновления Политики (например, «Администрация сайта оставляет за собой право изменять и (или) дополнять настоящую Политику конфиденциальности без какого-либо специального уведомления. Новая редакция Политики конфиденциальности вступает в силу с момента ее размещения на странице сайта, если иное не предусмотрено новой редакцией Политики конфиденциальности. Действующая редакция Политики конфиденциальности всегда находится на странице сайта по адресу...» ).

Стоит указать, что молчание пользователя расценивается как согласие с изменениями и (или) дополнениями Политики конфиденциальности.

• отсутствие доступа к данным, которые пользователь оставляет на сайтах третьих лиц. Подобное может быть связано с оплатой пользователем услуг и предоставлением своих платежных данных.

В таком случае стоит четко указать, например, следующее: «пользователь признает и подтверждает, что любые данные (в том числе, реквизиты банковских карт), прямо или косвенно связанные с оплатой услуг и сервисов, размещаются Пользователем на страницах сайтов, принадлежащих третьим лицам, не имеющим отношения к Администрации сайта; Администрация сатйа не имеет доступа к таким сведениям, не осуществляет любых действий в отношении таких данных, включая их сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в т.ч. передача), обезличивание, блокирование, уничтожение, трансграничную передачу».

в) фиксируем предоставление согласия на обработку персональных данных. Это просто «must have » любой политики конфиденциальности. Обязательно указываем, что давая согласие, пользователь действует своей волей и в своем интересе. Согласие дается пользователем с момента регистрации на сайте и (или) совершения иных действий, связанных с использованием сервисов или возможностей сайта.

г) указываем на цель предоставления согласия. Здесь возможны одновременно несколько вариантов:

• для целей заключения с Администрацией сайта соглашения, иных договоров, прямо предусмотренных Политикой, иных соглашений, размещенных на страницах сайта, и их дальнейшего исполнения,
• участия в проводимых акциях, принятия решений или совершения иных действий, порождающих юридические последствия в отношении пользователя или других лиц,
• для принятия, обработки запросов;
• информирования о состоянии запроса, услугах, например, посредством электронных и SMS- уведомлений;
• улучшения качества работы сайта;
• проведения статистических и иных исследований на основе обезличенных данных.

Ключевым является первый вариант с указанием на предоставление данных с целью заключения с Администрацией сайта соглашений и их исполнения. Этот вариант при возникновении проблем с Роскомнадзором позволит объяснить отсутствие согласия на обработку персональных данных «на бумаге», а также ненаправление владельцем сайта уведомления в Роскомнадзор.

д) описываем состав персональных данных. Помним, что не все данные о пользователе являются персональными. К персональным относится такая совокупность данных, которая позволяет идентифицировать пользователя, например, ФИО и адрес места жительства.

Можно указать, что согласие распространяется на фамилию, имя, отчество, адрес, номер телефона и любую иную информацию, относящуюся к личности пользователя, доступную либо известную в любой конкретный момент времени Администрации сайта.

е) указываем срок, на который предоставляется согласие. Может быть описан такой вариант - согласие дается пользователем до истечения сроков хранения соответствующей информации или документов, содержащих вышеуказанную информацию, определяемых в соответствии с законодательством РФ, после чего оно может быть отозвано пользователем путем направления соответствующего письменного уведомления Администрации не менее чем за 3 месяца до момента отзыва согласия.

ж) фиксируем объем возможных действий по обработке. Здесь исходим из того, что чем больше описано возможных действий с данными, тем лучше.Можно описать так: согласие предоставляется на осуществление любых действий в отношении персональных данных, которые необходимы или желаемы для достижения указанных выше целей, включая, без ограничения: сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в т.ч. передача), обезличивание, блокирование, уничтожение, трансграничную передачу персональных данных, а также осуществление любых иных действий с персональными данными пользователя с учетом действующего законодательства РФ.

з) указываем способы обработки данных. Можно указать следующие: хранение, запись на электронные носители и их хранение, составление перечней. Отдельно стоит отметить, что указанный перечень способов обработки не является исчерпывающим.

и) включаем право на раскрытие третьим лицам. Стоит зафиксировать право Администрации сайта по передаче данных третьим лицам для достижения указанных в Политике целей, а также согласие пользователя на подобное.

к) определяем порядок направления юридически значимых сообщений. Для регулирования потока входящих от пользователей обращений по вопросам обработки данных стоит усложнить процедуру взаимодействия с Администрацией сайта. Сделать это можно путем определения письменной формы для таких обращений, а также способа их представления - направление на указанный на сайте почтовый адрес и/или с курьером. Дополнительно стоит указать, что в противном случае, обращения и уведомления пользователя могут остаться без рассмотрения.

Настоящая Политика конфиденциальности (далее — Политика) является приложением к Пользовательскому соглашению и определяет порядок обработки и защиты персональной информации о Пользователях, которую Общество с ограниченной ответственностью «Манн, Иванов и Фербер» (далее — «Администрация»), может получить во время использования ими Cервиса Администрации (далее — Сервисы).

Перед использованием Сервиса, пользователям следует ознакомиться с условиями настоящей Политики конфиденциальности.

1. Общие положения

1.1. Использование Сервиса в любой форме означает безоговорочное согласие Пользователя с условиями настоящей Политики конфиденциальности и указанными в ней условиями обработки его персональной информации. В случае несогласия с условиями Политики конфиденциальности Пользователь должен воздержаться от использования Сервиса.

1.2. Политика конфиденциальности (в том числе любая из ее частей) может быть изменена Администрацией без какого-либо специального уведомления и без выплаты какой-либо компенсации в связи с этим. Новая редакция Политики конфиденциальности вступает в силу с момента ее размещения на сайте Администрации.

1.3. Принимая условия настоящей Политики, Пользователь выражает свое согласие на обработку Администрацией данных о Пользователе в целях, предусмотренных настоящей Политикой, а также на передачу данных о Пользователе третьим лицам в случаях, перечисленных в настоящей Политике.

Указанное согласие может быть отозвано Пользователем только при условии письменного уведомления им Администрации не менее чем за 180 дней до предполагаемой даты прекращения использования данных Администрацией.

Использование Сервиса с помощью веб-браузера, который принимает данные из cookies, означает выражение согласия Пользователя с тем, что Администрация может собирать и обрабатывать данные из cookies в целях, предусмотренных настоящей Политикой, а также на передачу данных из cookies третьим лицам в случаях, перечисленных в настоящей Политике.

Отключение и/или блокировка Пользователем опции веб-браузера по приему данных из cookies означает запрет на сбор и обработку Администрацией данных из cookies в соответствии с условиями настоящей Политики конфиденциальности.

1.4. По общему правилу Администрация не проверяет достоверность предоставляемой Пользователями персональной информации. Вместе с тем в случаях, предусмотренных Пользовательским соглашением, Пользователь обязан предоставить подтверждение достоверности предоставленной им персональной информации о себе.

2. Состав информации о Пользователях, которую получает и обрабатывает Администрация

2.1.Настоящая Политика распространяется на следующие виды персональной информации:

2.1.1. Персональная информация, размещаемая Пользователями, в т.ч. о себе самостоятельно при заполнении формы отправки сообщения, иная персональная информация, доступ к которой Пользователь предоставляет Администрации через веб-сайты или сервисы третьих лиц, или персональная информация, размещаемая Пользователями в процессе использования Сервиса. К персональной информации, полученной таким образом, могут относиться, в частности, фамилия, имя, номер телефона, адрес электронной почты Пользователя, адрес для доставки заказа. Иная информация предоставляется Пользователем на его усмотрение.

Запрещается предоставление Пользователем персональных данных третьих лиц без полученного от третьих лиц разрешения на такое распространение либо, если такие персональные данные третьих лиц не были получены самим Пользователем из общедоступных источников информации.

2.1.2. Настоящая Политика распространяет свое действие так же на кандидатов на имеющиеся вакансии Администрации, наряду с иными Пользователями. Кандидаты на вакансии, отправляя резюме Администрации с помощью Сервиса, либо по электронной почте, с целью прохождения собеседования и дальнейшего трудоустройства, выражают таким образом согласие на обработку следующих персональных данных: фамилия, имя, отчество, дата рождения, гражданство, город проживания, контакты (телефон, адрес электронной почты), места работы и даты работы, а также иных данных, указанных кандидатами на вакансии в резюме.

2.1.3. Продавец гарантирует Покупателю сохранение конфиденциальности следующей персональной информации о Покупателе:

— информация о карте пользователя (последние 4 цифры);

— сведения о покупках и заказах.

Указанная информация передается Продавцом третьим лицам исключительно с целью осуществления оплаты заказа платежной системой; иные случаи передачи указанной информации третьим лицам не допускаются.

2.1.4. Данные, автоматически передаваемые Сервису в процессе их использования с помощью установленного на устройстве Пользователя программного обеспечения, в т.ч. IP-адрес, индивидуальный сетевой номер устройства (MAC-адрес, ID устройства), электронный серийный номер (IMEI, MEID), данные из cookies, информация о браузере, операционной системе, времени доступа, поисковых запросах Пользователя.

2.1.5. Данные, дополнительно предоставляемые Пользователями по запросу Администрации в целях выполнения обязательств Администрации перед Пользователями в отношении использования Сервиса.

2.1.6. Иная информация о Пользователях, сбор и/или обработка которой установлены пользовательским соглашением Администрации.

3. Цели сбора и обработки информации о Пользователях

3.1. Администрация осуществляет сбор и обработку только той информации о Пользователях, в т.ч. их персональных данных, которая необходима для выполнения обязательств Администрации по предоставлению Сервиса, ответа на вопрос, заданный Пользователем при отправке сообщения с помощью Сервиса, а также исполнения обязательств, предусмотренных пользовательским соглашением.

3.2. Администрация может использовать персональную информацию Пользователей для целей:

3.2.1. идентификации стороны в рамках договоров между Пользователем и Администрацией.

3.2.2.предоставления Пользователям услуг с использованием Сервиса и для выполнения своих обязательств перед ними, в т.ч. уточнения данных платежа, обработки заказов и запросов и дальнейшего совершенствования Сервиса, разработки новых сервисов и услуг.

3.2.3. информирования Пользователей о появлении новых материалов на Сайте, направления запросов, касающихся использования Сервиса, обратной связи с Пользователем.

3.2.4. выполнения маркетинговых задач, проведения статистических и иных исследований на основе обезличенных данных,

3.2.5. информирования Пользователя посредством электронных рассылок. Предоставляя свои данные, Пользователь соглашается на получение сообщений рекламно-информационного характера и сервисных сообщений (рассылку).

3.3. Целями обработки персональных данных кандидатов на вакансии являются:

— Обеспечение соблюдения требований законодательства РФ.
— Решение вопросов трудоустройства, оформление и регулирование трудовых отношений.
— Отражение информации в кадровых документах.
— Иные цели обработки ПД могут быть утверждены приказом Оператора.

3.4. Мобильные приложения могут собирать анонимные данные о местоположении пользователя, для того чтобы обеспечить более корректную работу с выбором способа платежа. Мобильные приложения могут собирать анонимную статистику использования.

3.5. Настоящим Пользователь выражает свое согласие на передачу персональной информации о нем партнерам Администрации, третьим лицам в целях, предусмотренных п. 3.2 настоящей Политики конфиденциальности.

3.6. При необходимости использовать персональную информацию о Пользователе в целях, не предусмотренных настоящей Политикой, Администрация запрашивает согласие Пользователя на такие действия.

4. Обработка информации о Пользователях

4.1. Персональная информация о Пользователях хранится в соответствии с действующим законодательством.

4.2. Персональная информация о Пользователях не передается третьим лицам, за исключением следующих случаев:

4.2.1. Пользователь выразил согласие на такие действия.

4.2.2. Передача необходима в целях обеспечения функционирования Сервиса и/или его отдельных функциональных возможностей.

4.2.3. Передача предусмотрена применимым правом.

4.2.4. В целях обеспечения возможности защиты прав и законных интересов Администрации и/или третьих лиц в случаях, когда Пользователь нарушает условия пользовательского соглашения.

4.2.5. Если Администрация примет участие в слиянии, приобретении или любой другой форме продажи части или всех своих активов. При этом к приобретателю активов Администрации переходят все обязательства по соблюдению условий настоящей Политики.

4.3. Пользователь настоящим уведомлен и соглашается, что Администрация может получать персональные данные третьих лиц, которые предоставляются Пользователем при использовании Сервиса и использовать их для реализации отдельных функций Сервиса, при условии, что Пользователь гарантирует наличие согласия третьих лиц, данные о которых предоставляются Пользователем при использовании Сервиса, на обработку Администрацией, в целях, предусмотренных настоящей Политикой, а также на передачу таких данных в случаях, перечисленных в настоящей Политике.

4.4. Кроме того, Пользователь настоящим уведомлен и соглашается, что Администрация может получать статистические обезличенные (без привязки к Пользователю) данные о действиях Пользователя при использовании Сервиса.

4.5. Пользователи вправе по запросу получать от Администрации информацию, касающуюся обработки их персональных данных.

5. Меры по защите информации о Пользователях

5.1. Администрация принимает все необходимые и достаточные организационные и технические меры для защиты персональной информации о Пользователях от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, распространения персональной информации, а также от иных неправомерных действий с ней. К этим мерам относятся, в частности, внутренняя проверка процессов сбора, хранения и обработки данных и мер безопасности, включая меры по обеспечению физической безопасности данных для предотвращения неавторизированного доступа к персональной информации.

5.2. При обработке персональных данных Пользователей Администрация руководствуется Федеральным законом «О персональных данных» от 27.07.2006 г. № 152-ФЗ.

6. Заключительные положения

6.1. Настоящая Политика, отношения между Пользователем и Администрацией, возникающие в связи с применением настоящей Политики, а также вопросы, не урегулированные настоящей Политикой, регулируются действующим законодательством Российской Федерации.

По многочисленным просьбам трудящихся вебмастеров и владельцев сайтов мы опубликовали бесплатный образец Политики конфиденциальности для сайтов с формой обратной связи, подписки или заказа звонка.

Решились на такой шаг, потому что данная форма Политики не предусматривает обработку персональных данных, и в результате не предполагает большой вариативности решения. Важно помнить, что она не подходит для сайтов, на которых обрабатываются ПДн. Например, интернет-магазины и прочие сервисы, на которых помимо номера телефона или email пользователем дополнительно предоставляются иные сведения о себе, требуют большего внимания к вопросам обработки персональных данных.

Поэтому мы подумали над вариантами составления «народной» Политики конфиденциальности. Простым шаблоном здесь не обойдешься. Взяли за основу вышедшие в 2017 году Рекомендации Роскомнадзора (далее - «Рекомендации») по составлению документа, определяющего политику оператора в отношении обработки персональных данных (далее - «Политика). Дополнили ее живыми примерами.

Смотрим, что получилось.

В разделе 2 процитированы основные понятия из ФЗ «О персональных данных». Пропускаем за ненадобностью. При желании в Политику лучше ввести собственные термины, уточняющие легальные.

В разделе 3 наконец пошли долгожданные советы по структуре и наполнению Политики. Остановимся на них подробно.

1. Общие положения Политики

В указанном разделе рекомендуется описать назначение Политики, а также включить основные понятия, используемые в ней (обработка персональных данных, оператор, субъект персональных данных, конфиденциальность персональных данных и т.д.), перечислить основные права и обязанности оператора и субъекта (ов) персональных данных.

Итак, начнем с определений. Чтоб не повторять ФЗ 152, предлагаем делать отсылки к конкретным пунктам и разделам Политики, которые конкретизируют используемые понятия. Ниже приведен пример с терминами и определениями Политики конфиденциальности для интернет-магазина.

1.1. В настоящем документе и вытекающих или связанных с ним отношениях Сторон применяются следующие термины и определения:

Персональные данные - предоставляемые субъектом персональных данных или его представителем данные, объем и состав которых указаны в п.Х.Х. Политики.

Администрация - ООО «Ромашка», ИНН ХХХ, ОГРН ХХХ, Адрес: ХХХХХ, в законном владении и/или управлении которого находится Сайт. В предусмотренных настоящей Политикой случаях Администрация выступает в качестве оператора персональных данных.

Пользователь - лицо, использующее Сайт в целях заключения и/или исполнения Договоров.

3. Правовые основания обработки персональных данных

Согласно разъяснению Роскомнадзора, правовым основанием обработки персональных данных является совокупность правовых актов, во исполнение которых и в соответствии с которыми оператор осуществляет обработку персональных данных.

При наличии указанной выше связки в качестве правового основания обработки персональных данных могут быть указаны договоры, заключаемые между оператором и субъектом персональных данных.

Если ПДн обрабатываются в иных целях, в качестве основания необходимо указывать отдельное согласие на обработку персональных данных.

4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

Роскомнадзор предупреждает, что содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

В первую очередь указываем данные из полей онлайн-форм обратной связи, заказа, подписки и регистрации. Затем обращаем пристальное внимание на состав информации, вносимой пользователем при заполнении профиля в личном кабинете.

Дополнительно указываем данные, которые запрашиваются поддержкой или отделом продаж при оформлении или обработке заявок по телефону или в местах обслуживания.

5. Порядок и условия обработки персональных данных

Выбираем. ФЗ 152 предусмотрен следующий перечень операций с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Способы обработки могут включать:

а) автоматизированную обработку персональных данных

б) обработку персональных данных без использования средств автоматизации.

Согласно определению, данному в ФЗ 152, автоматизированная обработка персональных данных представляет собой обработка персональных данных с помощью средств вычислительной техники.

Казалось бы, что сюда попадают любые действия с ПДн, выполняемые с использованием вычислительной техники. Но не все так просто. Смотрим Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утверждено постановлением Правительства РФ от 15 сентября 2008 г. N 687.

В п.1 указано, что обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее - персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.

Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее (п.2).

Иными словами, если ПДн не используется, не уточняются, не распространяются и не уничтожаются в ИПДН вашего сайта в автоматическом режиме без участия человека, можно смело выбирать второй способ обработки - обработку персональных данных без использования средств автоматизации.

Результатом этого простого действия будет легальный отказ от применения драконовских требований ФЗ 152 по обработке автоматизированной обработке ПНн в информационной системе.

В отношении сроков обработки ПДн предлагаем указывать как минимум срок действия договора, во исполнение которого запрашивались ПДн. Можно добавить к сроку действия договора 3 года исковой давности на защиту прав в связи с его исполнением.

Роскомнадзор напоминает, что при осуществлении хранения персональных данных оператор персональных данных обязан использовать базы данных, находящиеся на территории Российской Федерации, в соответствии с ч. 5 ст. 18 Федерального закона "О персональных данных". Отражать данный пункт в Политике не обязательно, поскольку он связан с фактическими обстоятельствами. Хотя для проформы можно включить в Политику декларативную статью об обработке ПДн на территории России.

• Пользователь выразил свое согласие на такие действия;
• Передача требуется для заключения и исполнения договоров на или с использованием Сайта;
• По запросу суда или иного уполномоченного государственного органа в рамках установленной законодательством процедуры
• Для защиты прав и законных интересов в связи с нарушением заключенных с пользователем договоров.

В определенных пределах данный перечень можно расширить на случаи продажи Сайта или передачи ПДн в обезличенном виде.

Помимо этого Роскомнадзор рекомендует указывать в данном разделе Политики сведения о соблюдении требований конфиденциальности персональных данных, установленных ст. 7 Федерального закона «О персональных данных», а также информацию о принятии оператором мер, предусмотренных ч. 2 ст. 18.1, ч. 1 ст. 19 Федерального закона «О персональных данных».

На практике данные сведения сводятся к заявлению, что администрация Сайта осуществляет хранение Персональных данных и обеспечивает ее охрану от несанкционированного доступа и распространения в соответствии с внутренними правилами и регламентами.

6. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

Роскомнадзор рекомендует включить в Политику регламент(ы) реагирования на запросы/обращения субъектов персональных данных и их представителей, уполномоченных органов по поводу неточности персональных данных, неправомерности их обработки, отзыва согласия и доступа субъекта персональных данных к своим данным, а также соответствующие формы запросов/обращений.

В таких случаях обычно указывают, что пользователь вправе в любой момент самостоятельно отредактировать в своем личном кабинете предоставленную им информацию. В случае прекращения заключенного договора, пользователь вправе удалить собственный личный кабинет самостоятельно либо обратившись в службу поддержки по адресу электронной почты ХХХ@ХХХ.ХХ.

При желании можно ужесточить условия регламента обработки запросов на изменение/удаление ПДн, требуя от пользователя высылать ценные письма на ваш адрес в Бобруйске.

7. Обработка обезличенных данных

Заслуживает внимания тот факт, что Роскомнадзор, как всегда, обошел вопрос обработки не менее важных для пользователей данных, которые не считаются персональными. Речь идет об информации, собираемой на сайте в автоматическом режиме: cookie, IP, сведения об устройстве и месте его расположения, и т.п.

По всей видимости, Роскомнадзор упорно не хочет раскрывать состав ПДн даже методом исключения через сведения, не относящиеся к персональным. Однако на практике в Политику конфиденциальности принято включать уведомление и порядок обработки таких данных в целях наиболее полного информирования пользователя о последствиях использования сайта.

Ниже пример такого уведомления.

Вы осознаете и принимаете возможность использования на Сайте программного обеспечения третьих лиц, в результате чего такие лица могут получать и передавать данные в обезличенном виде.
К указанному программному обеспечению третьих лиц относятся системы сбора статистики посещений Google Analytics.

Состав и условия сбора обезличенных данных с использованием программного обеспечения третьих лиц определяются непосредственно их правообладателями и могут включать:

• данные браузера (тип, версия, cookie);
• данные устройства и место его положения;
• данные операционной системы (тип, версия, разрешение экрана);
• данные запроса (время, источник перехода, IP-адрес).

Полое описание условий обработки обезличенных данных можно посмотреть в образце Политики конфиденциальности, с которого мы начали свою статью.

Желаем вам успехов в разработке собственной Политики конфиденциальности в соответствии с рекомендациями Роскомнадзора и выработанными на практике подходами.

Маргарита Ледовских

Рада приветствовать вас на нашем сайте. Меня зовут Маргарита Ледовских, я медиаюрист. 19 лет я работаю в сфере информационного права, из них 6 лет руковожу проектом "Право в сети".

Поиск по сайту

Оказываем услуги по регистрации сайтов в качестве СМИ

Подготовительный этап Во-первых, нужно время на подготовительные действия. Пишу об этом, поскольку иногда не учитывают эти моменты. Учредителям- физическим лицам как минимум нужно посетить банк и нотариуса, чтобы сделать нотариальные копии документов. Вы скажете, что можно оплатить через онлайн-банк, не выходя из дома, и это чистейшая правда, но даже в этом случае надо идти в […]

Подготовим документы для вашего сайта

Когда заказчик после того, как вы оказали ему услугу, подписал акт, у вас на руках есть документальное подтверждение выполнения обязательств. И если вдруг заказчик начнет отказываться от того, что принял результат работы, вы сможете снять все вопросы этим документом. Но в случае дистанционных услуг, таких как онлайн-образование или консультации по скайпу акты не подписываются. При […]