В статье рассказывается:
- Что такое политика конфиденциальности для сайтов
- Зачем размещать политику конфиденциальности на сайте
- Кому нужна политика конфиденциальности на сайте
- Как правильно составить текст политики конфиденциальности для сайта
- Где разместить документ политики конфиденциальности на сайте
- Как сделать политику конфиденциальности на сайте эффективной
- Кто контролирует политику конфиденциальности для сайта
-
Чек-лист: Как добиваться своих целей в переговорах с клиентамиСкачать бесплатно
Очень важная составляющая любого веб-ресурса — политика конфиденциальности сайта. Формировать свои собственные веб-площадки по всем правилам владельцы начали сравнительно недавно, хотя прошло уже больше десяти лет с тех пор, как начал действовать закон «О персональных данных». Данный правовой документ предусматривает серьезные штрафы (в отдельных случаях — до 75 000 руб.) за выявленные нарушения. Одновременно и контролирующие органы ужесточают систему проверок.
Веб-мастера в большинстве своем доводят созданные ими площадки до соответствия новым изменениям в законодательстве. Однако это не уменьшает актуальности вопроса о том, для чего необходима политика конфиденциальности, как ее грамотно составить и где расположить, потому что каждый день в Сети регистрируются все новые и новые сайты.
Что такое политика конфиденциальности для сайтов
Источник: unsplash.com
Политика конфиденциальности сайта — это документ, в котором изложены условия сбора, хранения, обработки и использования персональных данных о пользователе. Причем здесь важно исключить для недобропорядочных владельцев сайтов возможность применения собранной информации в корыстных целях. Поэтому правовую оценку составляемому документу должны давать опытные эксперты.
Не так давно политике придавалось второстепенное значение. Никто — ни хозяева площадок, ни пользователи — по большому счету даже не особо вникали в ее смысл. Теперь закон стал более строг в отношении ресурсов, запрашивающих личные сведения. Владельцы несут правовую ответственность за передачу собранных сведений в третьи руки и обязаны указывать, какие принимаются меры для исключения случаев утечки данных.
Текст политики конфиденциальности для сайта должен размещаться на первой странице, быть легко доступен для просмотра пользователем еще до момента, когда он решит зарегистрироваться.
Политика конфиденциальности для сайта касается любых персональных данных человека, будь это фамилия и имя, электронный либо почтовый адрес, номер телефона, карточки и проч. Утечка подобных сведений может стать причиной как материальных, так и моральных проблем, потому что человек оставляет свои данные с целью получить те или иные товары (услуги).
Лояльность клиента к вашему ресурсу сильно снизится, если персональными данными человека завладеют рекламные фирмы, а то и вовсе мошенники. Причем вам в таких случаях грозит судебное разбирательство и наложение административной ответственности.
Зачем размещать политику конфиденциальности на сайте
Во-первых, размещать политику конфиденциальности на сайте предписывает закон, касающийся области персональных данных (Кодекс об административных правонарушениях РФ, ст. 13, 11). В нем говорится, что к данному документу должен быть предоставлен беспрепятственный доступ (путем опубликования или иными способами). Нарушители получают предупреждение и штраф (до 30 000 руб.).
Во-вторых, хозяин сайта, пренебрегающий правовыми нормами и тенденциями, создает себе же неблагоприятную репутацию. Данный аспект носит несколько субъективный, маркетинговый характер, однако не стоит приуменьшать его значимость.
Политика конфиденциальности для веб-сайта — своеобразная визитка, которая должна быть сформирована грамотно и в индивидуальном порядке. Ни в коем случае не нужно размещать у себя чужую политику конфиденциальности. Она не обязательно может соответствовать действующим в этой области законам, даже если сайт существует уже давно. Общего шаблона для политики конфиденциальности сайта не существует.
Каждый раз владелец предлагает определенную политику правоотношений, а пользователь, соглашаясь, ставит под ней свою подпись. И любой договор, даже о простой купле-продаже, носит индивидуальный характер. Что касается собираемых о клиенте данных, то тут имеются в виду не только их перечень и сроки хранения.
Характер обработки полученной информации не должен идти вразрез с заявленными целями ее сбора. Это карается штрафами в сумме от 30 000 до 50 000 рублей.
Понятно, что публикация документа о политике, даже составленного по всем правилам, не гарантирует полной безопасности данных. Необходим еще и набор мер технического, юридического, организационного характера. Но если сайт не публикует документ (либо он составлен с несоблюдением существующих норм), контролирующим органам проще будет выявить нарушения и применить санкции в отношении владельца веб-площадки.
По сути, стандартная политика конфиденциальности сайта дает пользователю разъяснения о том, как могут обрабатываться и использоваться его данные, после того как он предоставит их серверу. Человек в знак согласия с документом либо ставит галочку в специальном чекбоксе (после ознакомления), либо сразу получает уведомление о том, что начало использования сайта считается согласием с политикой.
Стоит отметить, что в последнее время закон предписывает размещать на сайте специальную форму, в которой пользователь сможет выразить явное согласие с политикой. Причина — нередкие случаи цифрового мошенничества и незаконного использования персональных данных.
Отсутствие подобной формы говорит о нелегитимности платформы и дает основания для наложения на администрацию немаленьких штрафов. То есть политика конфиденциальности должна быть обязательно разработана в индивидуальном порядке. А для согласия с ней владельцы обязаны предоставить пользователю для заполнения специальную форму.
Кому нужна политика конфиденциальности на сайте
По законодательству, размещать на веб-площадке политику конфиденциальности обязаны лишь операторы персональных данных. Кто попадает под это определение, являетесь ли вы оператором, необходим ли данный документ именно вам — тут нужно разобраться.
Персональными данными называют любые сведения, имеющие прямое или косвенное касательство к определенному или определяемому лицу. Его при этом называют субъектом персональных данных. Закон не приводит конкретного списка, но по определению становится ясно, что под персональными данными можно понимать любые сведения о человеке, с помощью которых выполнима его идентификация. При этом закон оперирует понятиями общих, специальных и биометрических персональных данных.
Источник: unsplash.com
Оператором считается человек, целая компания или государственный орган, который работает с персональными данными. А именно — занимается их сбором, хранением, обработкой и т. д. Таким образом, хозяин веб-ресурса попадает под определение «оператор», если у него на страницах есть формы, заполняя которые человек оставляет свое имя, фамилию, email, телефон. Это может происходить в момент регистрации, оформления заявки, заказа обратного звонка, написания комментария и т. д.
Политика конфиденциальности для интернет-сайта не нужна, если человек оставляет там лишь свое имя или ник, потому что по этим данным нельзя выполнить идентификацию пользователя.
Как правильно составить текст политики конфиденциальности для сайта
Хозяин сайта может составить данный документ самостоятельно или обратиться за помощью к юристам. В любом случае отвечает за политику конфиденциальности, выложенную на страницах вашего интернет-ресурса, администратор.
Источник: unsplash.com
Важно! Кто бы ни занимался составлением текста документа, в результате он не должен идти вразрез с действующими законами. Иначе ни перед одним судом он не будет иметь юридической силы. Утвержденной законом формы нет.
Но есть перечень сведений, которые обязательно прописывать в документе:
-
На каком основании и с какой целью вы собираете персональные данные.
-
Ваши наименование, контактные данные и адрес.
-
Сведения о том, кто обрабатывает данные, если этим занимается другая компания, а также о третьих лицах, у которых есть доступ к ним.
-
Какие данные обрабатываете и из каких источников их получаете, включая файлы cookie.
-
Сроки обработки и хранения персональных данных.
-
Каким образом вы соблюдаете права субъекта, предусмотренные законом «О персональных данных».
В качестве примера политики конфиденциальности для своего сайта можно взять аналогичный документ, уже составленный для иного интернет-ресурса, тематика которого перекликается с вашей. А затем внести правки, подогнав все под направленность собственной платформы.
В Интернете есть юридические площадки, где можно скачать типовой шаблон политики конфиденциальности сайта, а после — внести в него необходимые правки (под свою тематику), добавить реквизиты и данные собственной фирмы.
Более того, существуют специальные сервисы, что-то вроде генераторов политики конфиденциальности сайта, с помощью которых прямо в онлайн-режиме, заполнив предложенную форму, можно легко сформировать данный документ. Затем достаточно просто скачать его для себя. При этом все действующие законы будут соблюдены.
Источник: unsplash.com
Имейте в виду, что строгих норм по написанию политики конфиденциальности не установлено. Поэтому если делаете это сами, подойдите к вопросу с большой ответственностью. Все приводимые вами данные должны быть достоверными. Плюс важно четко излагать обязательства перед клиентами, пользующимися вашей онлайн-площадкой.
Вот перечень существующих особых требований:
-
документ должен быть составлен в официальном, деловом стиле;
-
важна четкость, доступность изложения; не допускаются грамматические ошибки;
-
следует избегать непонятных формулировок или таких, которые могут быть восприняты двояко;
-
в преимуществе краткое и лаконичное изложение;
-
не обязательно детально описывать способы и места хранения собранных данных. Для пользователя важнее меры по их неразглашению. Администратор должен излагать все в соответствии с правовой базой (а для этого необходимо приложить усилия к ее изучению) и быть уверенным в том, что каждый клиент хорошо понимает, например, права сайта, четко осознает, какие действия будут нежелательными, и т. д.
В крупных компаниях обычно есть собственный юрист, и как раз в его круг обязанностей входит составление политики конфиденциальности сайта, пользовательского соглашения и иных официальных документов. Для этого необходимо:
-
Сначала самостоятельно подготовить черновик, где прописать все пункты, которые вы считаете самыми важными и обязательными.
-
После этого четко изложите, как вы собираетесь использовать собранные сведения и каким образом пользователь может попросить уничтожить свои личные данные после того, как он покинет сайт.
-
Оговорите ситуации, в которых может произойти утечка сведений о частных лицах, а также меру своей ответственности (и в каких случаях она возникает) как хозяина и администратора платформы.
-
Проинформируйте, что произойдет с личной информацией о клиентах, если другая компания станет владельцем вашего интернет-ресурса.
-
Теперь необходимо прочесть, что получилось. Посмотреть, насколько структура вашего документа подпадает под используемый образец политики конфиденциальности сайта. Дальше — подкорректировать и разместить на своей веб-площадке.
Можно в несколько раз повысить лояльность пользователей, если стопроцентно гарантировать, что утечки или использования их личных данных не произойдет ни при каких обстоятельствах. Опытный юрист сможет грамотно изложить все необходимые пункты.
Где разместить документ политики конфиденциальности на сайте
Все, что предписывает в этом отношении закон, — субъектам персональной информации данный документ должен быть доступен всегда и без каких-либо ограничений. Все остальное предоставляется на разумение владельца сайта.
Чаще всего на каждой странице расположена ссылка на политику конфиденциальности сайта, а сам документ представляет собой отдельную страницу. Лучше всего, чтобы ссылка обязательно была рядом с предлагаемыми для заполнения формами (где у клиента спрашивают согласие на обработку личных данных). Многие эту сноску опускают в подвал или находят для нее место в верхнем меню.
Обязательно сделайте рядом с заполняемыми формами кнопку «Согласие на обработку персональных данных». Это требование законодательства. Исключения из этого правила есть, но работы с сайтами они не касаются. Причем проверка может потребовать от хозяина площадки доказательств того, что такое согласие действительно было получено.
В большинстве конструкторов и популярных CMS это требование легко выполнимо. Такая возможность оперативно была внесена разработчиками. Если, например, говорить о политике конфиденциальности для сайта на WordPress, то тут появились следующие новые плагины:
-
«Политика конфиденциальности для сайта. Согласие под формами Contact-Form 7» — бесплатный вариант.
-
Privacy Policy — платная версия. Приоритетность поддержки и число сайтов могут быть разными, поэтому и цена колеблется от 700 до 2500 рублей.
И тот и другой плагин позволяют настроить страницу с политикой конфиденциальности сайта в рамках ФЗ-152.
Функциональные возможности в обоих случаях схожи:
-
комментарии и формы, сгенерированные через плагин «Contact-Form 7», помечаются галочками в автоматическом режиме;
-
плагины дают возможность полностью сформировать страницу с политикой;
-
сообщают о том, какие были использованы cookies;
-
есть функция настройки текстового сообщения к флажку, означающему согласие на обработку личных данных;
-
можно запрограммировать автоматическую отметку на этот флажок, но такое действие не рекомендуется. Пусть пользователь сам обозначит данный чекбокс;
-
можно установить запрет на отправку формы, если галочка у этого флажка не поставлена.
Существуют и старые плагины, позволяющие сформировать страницу с политикой конфиденциальности сайта на английском языке и добавлять флажки к таким опциям, как, например, оформление подписки на рассылку, принятие пользовательского соглашения и иные. Но проще работать с настройками новых плагинов, так как они создавались уже с учетом положений ФЗ-152.
Вот еще несколько важных требований, которые обязательно следует учитывать:
-
Нельзя пытаться получить больше сведений, чем это необходимо для изложенных в политике целей.
-
Нельзя использовать базы данных иностранных серверов для хранения и обработки собранной личной информации.
-
Владелец интернет-ресурса обязан уведомить Роскомнадзор (бумажным или электронным письмом) о том, что будет производиться сбор индивидуальных данных. Статья 22 ФЗ-152 предоставляет перечень сведений.
-
Иные физические или юридические лица могут по вашему поручению заниматься обработкой собранных вами данных, но лишь по предварительно заключенному договору.
Есть целый ряд мер правового, организационного и технического характера, которые обязан принимать оператор персональных данных, чтобы гарантировать их безопасность и невозможность утечки. Это инструктаж работников фирмы, составление специальных местных актов и иные шаги.
Источник: unsplash.com
Что касается названия принимаемого документа об условиях обработки персональных данных, то юридически он может называться как угодно: политика, оферта, соглашение. Это каждый владелец веб-ресурса выбирает на свой вкус. Можно лишь отметить, что формулировка «политика конфиденциальности» наиболее компактна и ясна пользователям, поэтому используется чаще.
Касательно размещения тоже нет четких ограничений. Можно сформировать самостоятельный документ, а можно включить положения политики конфиденциальности сайта в оферту / пользовательское соглашение. Но оно, как правило, и само по себе объемно, так как включает ряд особенностей по использованию интернет-ресурса. И добавление в него условий обработки персональных данных лишь еще больше усложнит соглашение для восприятия.
Если вы приняли решение разместить на сайте оба документа — и политику, и соглашение, обязательно проверьте, чтобы один другому не противоречил и чтобы в них не содержалось ссылок, перенаправляющих друг к другу.
Обязательно ли размещение специальной формы, где пользователь должен дать согласие на обработку персональных данных? Если это согласие совершенно ясно подразумевается политикой, то форма, разумеется, уже не нужна.
Как сделать политику конфиденциальности на сайте эффективной
По сути политика конфиденциальности схожа с соглашением, но в ней охватываются именно вопросы обработки пользовательских данных. Считается, что условия документа приняты пользователем, если он акцептовал (принял) все предложенные правила.
В качестве акцепта можно рассматривать:
-
оформление регистрации (или авторизации);
-
оставление отметок на полях страниц;
-
выполнение заданных последовательных шагов;
-
пользование функциональными возможностями площадки.
Лучше всего применять все перечисленные формы акцепта в совокупности, а не выбирать какую-то одну. Это может выглядеть так: «Пользователь соглашается с условиями данной Политики, если нажимает кнопку «Принять» или «Продолжить», либо когда оставляет отметку в специальном поле в момент регистрации (на любом из этапов регистрации) и/или в момент выполнения любых действий на сайте».
Сформулируйте общие положения. В них оговаривается следующее:
-
что именно регулирует Политика (это может быть «порядок работы с личными данными, гарантирующий безопасность обработки этих данных, а также соблюдение прав и интересов пользователя при выполнении обработки»);
-
установленный пользовательский акцепт;
-
место разрешения возможных разногласий в рамках Политики. Здесь необходимо сделать оговорку о том, что все разногласия, возникшие между пользователем и владельцем веб-ресурса, разрешаются в судебном порядке. Дело должен рассматривать суд по месту нахождения администрации сайта (если в законе на это нет иных указаний). Внесение данной оговорки предписывается законом. А разрешение споров именно по месту пребывания администратора сайта упоминается для пользователя больше в качестве превентивной меры;
-
правила внесения изменений и дополнений в политику конфиденциальности сайта. Для примера: «Любые изменения и дополнения в настоящую Политику администрация может вносить, не уведомляя об этом пользователя. Измененный документ вступает в силу в момент его публикации на страницах сайта (если иные условия не прописаны в новом варианте Политики). Актуальный вариант Политики всегда доступен для просмотра по ссылке…» Упомяните, что если пользователь никак не реагирует на внесенные изменения, автоматически считается, что он с ними согласен;
-
отсутствие возможности оперировать данными, которые пользователь сам предоставил иным веб-ресурсам, принадлежащим третьим лицам. Это бывает необходимо при проведении платежей. Тогда следует сделать, к примеру, такую оговорку: «Пользователь согласен с тем, что он самостоятельно размещает свои платежные банковские данные (среди них и номера карт) на сайтах, принадлежащих третьим лицам. И это никак не взаимосвязано с администрацией данного сайта, у которой доступ к вышеуказанным сведениям отсутствует. То есть у владельца сайта нет возможности собирать эти сведения, накапливать, хранить, обновлять, передавать, блокировать, обезличивать, аннулировать, переправлять их за границу РФ и т. д.
Теперь необходимо зафиксировать, что пользователь согласился предоставлять свои личные данные для обработки. Это как раз то, зачем нужна политика конфиденциальности сайта. Здесь важно подчеркнуть, что человек действует по собственной воле и в своих интересах. Моментом выражения согласия считается оформление регистрации или использование функционала данной веб-площадки.
Далее следует изложить, для чего необходимо согласие. Целей может быть несколько:
-
для заключения прямо оговоренных политикой конфиденциальности (а также тех, что размещены на сайте) договоров, соглашений и возможности последующего их исполнения;
-
для принятия решений по участию в акционных мероприятиях или иных действиях, которые предполагают возникновение юридических последствий, касающихся пользователя и третьих лиц;
-
для возможности принимать и обрабатывать запросы;
-
для донесения до пользователя информации о стадии обработки запроса, к примеру, через электронный почтовый ящик или простой смс-кой;
-
чтобы лучше понимать, по каким направлениям в работе требуются улучшения;
-
чтобы использовать обезличенные данные для ведения статистического анализа.
Основной здесь — первый пункт, где целью обозначено заключение дополнительных соглашений и договоров с администрацией. Если вы изначально пропишете это в политике конфиденциальности сайта, вам не придется в случае чего объяснять Роскомнадзору, почему нет бумажного согласия на обработку личных данных и почему в тот же Роскомнадзор не было отправлено специальное уведомление.
Далее следует описать, что непосредственно будет входить в состав личных данных. Под ними подразумеваются индивидуальные сведения о пользователе, по которым можно идентифицировать человека, то есть его имя, фамилия, точный домашний адрес и проч.
Вы можете расписать подробно, что согласие пользователя касается имени, отчества, фамилии, почтового адреса, телефона и другой личной информации, которая будет доступна администрации веб-ресурса в любой момент времени.
Необходимо указать срок, в течение которого действует согласие. Например, оно может быть ограничено временем хранения личной информации или документов, в которых она содержится (предусмотренных рамками российского законодательства). По окончании данного срока пользователь может направить администрации письменное уведомление о желании отозвать свое согласие. Это делается не позднее чем за три месяца до момента отзыва.
Далее следует изложить перечень возможных действий по обработке собранных данных. В политике конфиденциальности сайта лучше всего сразу постараться описать как можно больше вариантов. Это может звучать так: пользователь изъявляет согласие на обработку и использование предоставленных личных данных для достижения перечисленных выше целей.
То есть разрешает сбор информации, ее накопление и систематизацию, хранение, корректирование, передачу, обезличивание, аннулирование, блокирование, переправление через границу РФ. Сюда же входит любое иное использование личной информации, не нарушающее законов РФ.
Также необходимо оговорить и способы обработки информации. Например, хранение, формирование списков, создание записей на электронных носителях. Имейте в виду, что это далеко не полный ряд возможных способов обработки.
Дальше оговаривается право на передачу сведений третьим лицам. Следует указать, что пользователь дает на это согласие, а администрация имеет такое право, если подобная передача необходима для выполнения целей, заявленных в политике конфиденциальности.
Необходимо установить порядок отправки сообщений юридического характера. Имеет смысл сделать процедуру взаимодействия с администраторами не самой простой, чтобы в какой-то мере регулировать поток пользовательских обращений. Например, принять за обязательное условие отправку обращений лишь в письменном виде на физический почтовый адрес, указанный на сайте (или через курьерскую службу). Упомянуть, что при невыполнении данного условия обращения рассматриваться не будут.
Перечисленные выше рекомендации будут полезным подспорьем не только для изначального создания политики конфиденциальности нового сайта, но и для внесения необходимых корректировок в уже действующий документ.
Практика показывает, что в действительности онлайн-пользователи крайне редко тратят время на то, чтобы открывать и уж тем более изучать политику конфиденциальности сайта. Но следует понимать, что любые возможные разногласия регулируются именно этим документом, поэтому не следует приуменьшать его значимость.
Не будет лишним кроме политики опубликовать еще и примерно такой дисклеймер:
«Приступая к использованию нашего сайта, вы автоматически соглашаетесь с тем, что администрация будет обрабатывать cookie-файлы и ваши личные данные. Имеется в виду местоположение; тип, версия и язык используемой операционной системы (и браузера тоже); место, откуда пользователь зашел на сайт (другой сайт или рекламное объявление); его ip-адрес; тип устройства, с которого выполнен вход, и разрешение экрана; на какие страницы заходит человек и какими конкретно кнопками пользуется. Покиньте сайт, если для вас обработка перечисленных данных нежелательна и вы не можете дать на нее согласие».
Осуществлять контроль над тем, разработана ли и опубликована ли Политика на сайте компании (либо ИП), может Роскомнадзор (ФЗ-152, ст. 18.1, ч. 4). Предоставлять по первому запросу подтверждение о принятии и публикации в свободном доступе этого документа — обязанность администратора.
Кто контролирует политику конфиденциальности для сайта
Контроль находится в ведении территориальных органов Роскомнадзора. В течение года планируются и выполняются сотни проверок. Можно привести большой список (и он еще останется неполным) организаций и структур, в которых обнаруживаются нарушения закона в отношении условий обработки персональных данных.
Это государственные и местные органы власти; финансовые, страховые, коллекторные компании; учреждения здравоохранения и образования разных уровней (среднего, высшего, начального общего образования); многопрофильные центры по оказанию государственных и муниципальных услуг; службы ЖКХ; компании, реализующие товары и услуги в сети Интернет; мобильные операторы.
Именно отсутствие политики конфиденциальности на сайте либо непредоставление к ней свободного доступа — самое частое нарушение (по официальным сведениям, предоставленным Роскомнадзором).
Причиной штрафов может стать еще и отсутствие согласия пользователя на обработку его личных данных (либо согласие есть, но оно получено не так, как полагается по закону). Кроме того, серьезным нарушением является сбор cookie-файлов и информации о пользователе без его ведома. Нельзя оставлять без ответа вопросы пользователей (либо отвечать в некорректном формате) касательно обработки персональных данных. За это тоже полагается штраф.
В рамках постановления Европейского союза (679 от 2016 года) с 25 мая 2018 года начал действовать так называемый Общий регламент по защите данных, то есть GDPR (General Data Protection Regulation). В связи с этим российским компаниям, сайтами которых пользуются жители стран — участников ЕС, пришлось решать ряд процедурных вопросов. Теперь политика конфиденциальности должна соответствовать положениям GDPR, плюс необходима адаптация интерфейса веб-площадки под пользователей из Евросоюза. Обязательны, например, такие требования: у человека должна быть возможность без обращения к администратору удалить информацию о себе с сайта, отменить подписку на рассылки. Если пользователю еще не исполнилось 16 лет, согласие на работу с его личными данными следует запрашивать у родителей. Обязательное условие для операторов, не имеющих регистрации в ЕС, — иметь представительство (либо назначить, если не было) в любой из стран Евросоюза.
Источник: unsplash.com
Совершенно очевидно, что вопросам, касающимся сбора и обработки личных сведений о пользователях в сети Интернет, во всем мире придается огромное значение.
Случаев наложения серьезных штрафов органами Роскомнадзора в России множество. К примеру, «Тамбовская Городская Юридическая Компания» как раз и была оштрафована за то, что политики конфиденциальности на сайте не было, а вот форма обратной связи была. Или вот еще пример: строительная компания в г. Астрахани форму для заполнения со строчками «имя» и «фамилия» разместила, а вот про политику конфиденциальности «забыла». Это стало причиной наложения штрафа. Подобных ситуаций огромное множество.
Следует понимать, что проверяющие органы легко обнаружат и иные нарушения, раз уж владелец сайта не удосужился разместить на своей площадке политику конфиденциальности и его за это оштрафовали. А вот наличие грамотно составленного документа представит вас в глазах Роскомнадзора как добросовестного владельца сайта. Тогда, скорее всего, иные проверки обойдут вас стороной и будут направлены на явных нарушителей.
Вообще технической стороной вопроса при составлении политики конфиденциальности сайта должны заниматься сотрудники сервиса информационной безопасности и юристы. Это касается вообще любых документов компании, затрагивающих вопрос сбора и обработки персональных данных пользователей.
Чтобы грамотно сформулировать и разместить у себя на сайте политику конфиденциальности в 2019 году, примите к сведению несколько полезных рекомендаций:
-
В документе обязательно должна быть информация о том, какие конкретно сведения о частных лицах подвергнутся обработке, как конкретно это будет происходить. Также следует оговорить случаи, когда собранные данные могут быть переданы третьим лицам, с указанием цели такой передачи.
-
В законе используется следующая формулировка: «Политика в отношении обработки персональных данных». Поэтому хорошо, если вы и в своем документе пропишете именно такое название. Но это не обязательное требование. Что гораздо важнее названия — это обязательное предоставление постоянного беспрепятственного доступа пользователей к политике конфиденциальности.
-
Обязательно должен быть выражен в явной форме тот момент, когда пользователь дает свое согласие на обработку собственных личных данных. Это важный юридический нюанс, который означает полное принятие (акцепт) пользователем представленного документа. Согласие можно получить по-разному. Например, отправить (после того как человек уже оставил какие-то сведения о себе) на электронный почтовый ящик специальную ссылку. Кликнув по ней, пользователь выполнит подтверждение. Либо через мобильный телефон выслать код, по которому можно подтвердить свои данные.
-
Следует перечислить существующие правовые документы, на основании которых владельцы веб-ресурсов выполняют сбор и обработку сведений о частных лицах. Имеются в виду законы и акты к ним, в которых оговариваются условия деятельности организаций, работающих с персональными данными пользователей. Это, в частности, Трудовой кодекс РФ, президентский указ № 188 от 06.03.97, а также ФЗ-149 от 27.07.2006.
-
Закон запрещает сбор и обработку персональных данных, если цели, с которыми это делается, не совпадают с теми, что были заявлены изначально (либо цели и вовсе не были оговорены).
-
Хорошо, если в политике конфиденциальности сайта четко перечислены те категории личных данных, которые вы не будете ни запрашивать, ни обрабатывать. Это может быть национальность, расовая принадлежность, политические убеждения, исповедуемая человеком религия, его философские взгляды, вопросы, касающиеся интимной жизни.
Документ должен включать в себя раздел «Порядок и условия обработки персональных данных». В нем необходимо перечислить все действия, которые ваша компания будет совершать с собранными сведениями о частных лицах. А также сроки, в течение которых эти действия будут выполняться. И, разумеется, способы, которыми вы будете пользоваться в процессе обработки. Это может быть непосредственно сбор информации, ее систематизация, запись, накапливание и хранение. Также сюда относится уточнение собранных сведений, внесение дополнений и изменений, их использование, извлечение, распространение и предоставление к ним доступа. Плюс блокирование, обезличивание, полное удаление либо уничтожение личной информации. Когда составляете политику конфиденциальности для собственного сайта, перечисляйте именно те действия, которые будет совершать ваша компания. Хотя чаще практикуется указание всех возможных способов работы с личными данными пользователя.
Разные способы сбора личной информации имеют неодинаковые правовые последствия. Поэтому обязательно необходимо указывать тот способ, которым собираетесь пользоваться вы. Это может быть автоматизированный сбор сведений и неавтоматизированный. Во втором случае все действия выполняются вручную. А в первом — при помощи средств вычислительной техники.
Сроки обработки данных в отношении каждой из категорий субъектов должны быть четко определены и разграничены.
Считается, что наступила дата прекращения срока обработки индивидуальных данных, если произошло одно из событий, перечисленных ниже:
-
изначально заявленные цели сбора и обработки информации уже достигнуты;
-
закончился срок, на который субъект давал свое согласие для обработки его личных данных. Либо человек отозвал это согласие ранее оговоренного срока;
-
было выявлено, что какой-то из способов обработки персональных данных оказался неправомерным;
-
компания прекратила свою деятельность.
Здесь приведено много рекомендаций, но и они не являются в полной мере исчерпывающими. Вообще подходить к составлению политики конфиденциальности для сайта всегда необходимо скрупулезно и поэтапно. Сначала — структурировать непосредственно процесс обработки собранных данных (тут необходимо участие специалиста по информационной безопасности).
Затем — проработать и сформировать текст документа, где конкретно прописать все действия, которые будут выполняться с личными сведениями, собранными о пользователях. И после этого — опубликовать документ и начать выполнять обработку данных в соответствии с прописанными в нем положениями. В перечень действий, выполняемых в отношении собранной о пользователе информации, входит и резервное копирование, и ответ на обращения, и реагирование на возможные разногласия.
Лучше всего привлечь к написанию политики конфиденциальности юристов, специализирующихся в области IT-права. Потому что результатом самостоятельного составления данного документа могут оказаться штрафы со стороны Роскомнадзора, суммы которых нередко гораздо выше затрат на оплату услуг профессионалов.