Политика конфиденциальности сайта

Кому нужна политика конфиденциальности на сайте и как ее разработать

Поправки к закону «О персональных данных», увеличившие штрафы за отдельные нарушения до 75 тыс. руб., взбудоражили интернет-сообщество. Хотя сам нормативный акт существует уже 12 лет, приводить свои ресурсы в соответствие с его требованиями владельцы сайтов начали только год назад — вместе со штрафами возросло и количество проверок.

Мы надеемся, что за год большинство вебмастеров уже внедрили все необходимые изменения и могут спать спокойно. Но новые ресурсы появляются каждый день, а значит вопрос остается актуальным. Разберемся, кому без политики конфиденциальности не обойтись и как реализовать ее на своем ресурсе.

Кому нужна политика конфиденциальности на сайте

Закон обязывает публиковать политику конфиденциальности только операторов персональных данных. Чтобы понять, нужен ли такой документ на вашем сайте, сначала надо разобраться, что это за данные и кто такие операторы.

Первому понятию 152-ФЗ дает такое определение:

Персональные данные — любая информация, относящаяся прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Точного перечня в законе нет, но исходя из определения, можно сделать вывод, что персональными можно считать все данные, которые относятся к конкретному человеку и позволяют его идентифицировать. Также в тексте встречаются понятия общие, специальные и биометрические данные.

С операторами все проще — это любой человек, компания или государственный орган, который собирает, хранит, обрабатывает и совершает другие действия с персональными данными. Владельца интернет-ресурса можно отнести к операторам, если на сайте есть формы заказа, комментариев, регистрации и обратной связи, в которые человек вводит имя, фамилию, электронный адрес, номер телефона и т. д.

Если при отправке комментария от пользователя требуют только имя или никнейм, политика конфиденциальности не нужна, так как по такой информации идентифицировать человека невозможно.

Как составить текст политики конфиденциальности

Утвержденной законом формы нет. Но есть перечень сведений, которые обязательно прописывать в документе.

  • На каком основании и с какой целью вы собираете персональные данные.
  • Ваши наименование, контактные данные и адрес.
  • Сведения о том, кто обрабатывает данные, если этим занимается другая компания, а также о третьих лицах, у которых есть доступ к ним.
  • Какие данные обрабатываете и из каких источников получаете, включая файлы cookie.
  • Сроки обработки и хранения персональных данных.
  • Каким образом вы соблюдаете права субъекта, предусмотренные законом «О персональных данных».
  • Информация о том, что вы передаете данные за пределы России.

Всю эту информацию можно изложить в свободной форме. Главное — чтобы документ содержал все сведения, которые требует закон, а также понятно разъяснял пользователю, что происходит с его персональными данными, как вы можете их использовать и что делаете, чтобы защитить его право на неприкосновенность частной жизни и личную тайну.

Копировать политику конфиденциальности с других сайтов не стоит. Как минимум, нужно адаптировать текст под свои условия обработки данных.

Называться на сайте документ может по-разному: политика в отношении персональных данных, политика конфиденциальности, пользовательское соглашение и т. д. Сути это не меняет и нарушением не считается.

Как оформить документ и разместить на сайте

Единственное требование законодательства в этом плане, чтобы субъекты персональных данных имели свободный и неограниченный доступ к политике конфиденциальности. В остальном владелец сайт волен сам решать, как лучше реализовать ее на сайте.

Обычно документ публикуют на отдельной странице и обеспечивают доступ в один клик с любой другой. Ссылки на политику конфиденциальности стоит разместить рядом с формами, где пользователь дает согласие на обработку. Также сноску на документы зачастую размещают в подвале или верхнем меню сайта.

Флажок «Согласие на обработку персональных данных» рядом с формами тоже обязателен. Согласно закону, собирать и обрабатывать информацию о пользователях можно только с их согласия, за исключением нескольких случаев, которые к сайтам не относятся. Более того, в случае проверки владелец ресурса должен иметь возможность доказать, что согласие было.

Соблюсти это требование на конструкторах и популярных CMS несложно — большинство разработчиков быстро среагировали и добавили такую возможность в свои продукты.

Для WordPress появились новые плагины:

  • Бесплатный — «Политика конфиденциальности для сайта. Согласие под формами Contact-Form 7».
  • Платный — Privacy Policy, цена вопроса: 700-2500 руб., в зависимости от приоритетности техподдержки и количества сайтов.

Оба плагина соответствуют требованиям 152-ФЗ и схожи по функционалу:

  • автоматически добавляют галочки к формам комментариев и тем, что созданы с помощью плагина «Контакт Форм 7»;
  • позволяют создать и настроить страницу с политикой конфиденциальности;
  • показывают оповещение об использовании cookies;
  • настроить текст для флажка согласия на обработку;
  • задать установку этой галочки по умолчанию, хотя делать этого все же не стоит — пользователь должен дать согласие, а значит отметить чекбокс сам;
  • запретить отправку формы без нее.

Есть еще старые плагины, в том числе англоязычные, с помощью которых добавляются флажки для подписки на рассылку, принятия пользовательского соглашения и т. д. Однако новые продукты разрабатывались специально для соблюдения 152-ФЗ и настроить их под эти цели будет проще.

Напоследок еще несколько требований, о которых не стоит забывать

  • Нельзя собирать больше данных, чем нужно для достижения целей, прописанных в политике конфиденциальности.
  • Нельзя хранить и обрабатывать данные с использованием баз данных, размещенных на иностранных серверах.
  • Прежде чем начать собирать персональные данные, об этом нужно уведомить Роскомнадзор в бумажной или электронной форме. Перечень сведений есть в ст. 22 152-ФЗ.
  • Чтобы делегировать обработку персональных данных другим юридическим или физическим лицам, нужно заключить договор.
  • Оператор персональных данных обязан обеспечить их безопасность с помощью организационных, правовых и технических мер — инструктировать сотрудников, разработать локальные акты, обеспечить надежную защиту баз данных, исключающую утечку информации и доступ третьих лиц.

В Google и «Яндексе», соцсетях, рассылках, на видеоплатформах, у блогеров

Соблюдать нельзя нарушать: всё о Политике конфиденциальности

На главные вопросы о персональных данных пользователей вашего приложения или сайта отвечает Анастасия Булатова, юрист 65apps.
Этот материал — конспект нашей статьи на Rusbase.

Уверены, вы не раз ставили галочку рядом с фразой «Согласен с политикой конфиденциальности», не изучив документ и даже не задумываясь о том, что он в себе несет. Однако если пользователь приложения или сайта может позволить себе игнорировать существование Политики конфиденциальности и не знать о том, кто и как хранит его персональные данные, то владелец того же сайта или приложения обязан разбираться в таких вопросах.

Privacy Policy или Политика конфиденциальности (ПК) — это документ, в котором декларируется IT-продукт — приложение или сайт. Его цель — информировать пользователя о том, как компания использует его данные. ПК определяет, что относится к персональным данным пользователя, как владелец приложения или сайта их собирает, обрабатывает, хранит и кому передает.

Любая информация, которая относится к конкретному физическому лицу, позволяющая определить его.

Например, к персональным данным не относят отдельный номер телефона как набор цифр или отдельный e-mail адрес. Но если телефон связан с конкретными ФИО человека, а e-mail состоит из имени и фамилии владельца — это уже персональные данные.

Известен случай в судебной практике, когда персональными данными были признаны обезличенный id пользователя вместе со временем просмотра веб-страницы, URL, HTTP referer, User Agent и куки.

Нет, этот документ требуется для любых информационных ресурсов и IT-продуктов, которые используют персональные данные.

При наличии любой обратной связи, отслеживании и идентификации пользователя по его мобильному устройству — уже необходима ПК.

При отсутствии у приложения ПК его невозможно будет загрузить в маркет приложений AppStore и Google Play.

В 2018 году AppStore потребовал, чтобы для всех приложений была опубликована Privacy Policy, соответствующая новым требованиям. Тогда же произошла самая массовая блокировка приложений в маркете — многие правообладатели не успели обновить ПК в согласно новым правилам.

В России «Политика обработки и защиты персональных данных» регулируется федеральным законом «О защите персональных данных». В Европе есть регламентируемые требования — «General Data Protection Regulation» (GDPR); в США нет единого документа — требования различны для каждого штата..

В международном законодательстве политика конфиденциальности (Privacy Policy) заточена на конкретный продукт. То есть, для каждого нового приложения или сайта, в рамках которого будет происходить обработка персональных данных, должна быть разработана своя собственная подробная ПК.

В России же акцент делается на пользователя и предоставляемую с его стороны информацию. По сути, описывается не продукт, а то, как и какие данные будут предоставляться, обрабатываться, храниться и будут ли они передаваться третьим лицам. В отличие от зарубежного аналога, российский документ может содержать более общие формулировки, но он так же должен разрабатываться для конкретного приложения.

Если приложение будет распространяться в России и за ее пределами, оно должно соответствовать не только местным, российским, но и международным актам.

Это довольно сложно, но возможно. Если изначально пользователь дал согласие на использование одних данных, а приложение начинает требовать другие — это повод подозревать нарушение ПК.

Например, неправомерную передачу данных третьим лицам можно обнаружить, если приходит уведомление от стороннего сервиса с информацией, которая должна храниться только у определенного приложения. Но сейчас пользователи каждый день оставляют свои данные множеству сервисов — от интернет-магазинов до службы такси — поэтому отследить, кто конкретно нарушил ПК и «слил» информацию практически невозможно.

В российском законодательстве предусмотрена ответственность за нарушение Политики обработки и защиты персональных данных, а также за недоведение до пользователя условий использования его персональных данных. Размер штрафа — до 70-100 тысяч рублей за каждое нарушение. А за несоблюдение требований GDPR придется выплатить сумму побольше — можно лишиться до 4% оборота компании при регулярных нарушениях.

Читайте также  Именины в июне по церковному календарю

Другой вид санкций — блокировка приложения. Как правило, это происходит после проверки ПК со стороны маркетплейсов. AppStore и Google Play диктуют собственные требования к политике конфиденциальности — в соответствии с международным законодательством, а разработчики приложений из России руководствуются местными законами. Как итог — приложение блокируется за несоблюдение требований маркетплейса. Появляется конкуренция норм права — по факту приложение используется в России и соответствует всем ее законам, но площадки предъявляют повышенные требования, за несоблюдение которых и наказывают.

В России инициатором блокировки сайта или приложения за неправомерное использование данных часто выступает Роскомнадзор. Он является уполномоченным органом по защите прав субъектов персональных данных; ведет реестры операторов и нарушителей прав субъектов персональных данных.

Помочь выявить нарушителя могут не только специализированные органы. Любой пользователь, заметивший нарушение Политики конфиденциальности, вправе написать жалобу на правообладателя и потребовать привлечь его к ответственности. Особо внимательные и жаждущие справедливости пользователи могут писать такие заявления ежедневно — компании это будет стоить десятки тысяч рублей штрафа.

Многие крупные международные компании сталкивались со сложностями именно из-за проблем с Политикой конфиденциальности:

В 2020 году Южнокорейская комиссия по защите личной информации оштрафовала Facebook на $6,1 миллионов за нарушение закона о защите персональных данных. Как выяснилось, на протяжении 6 лет, с мая 2012 года по июнь 2018 года, соцсеть передавала другим компаниям личную информацию более 3,3 миллионов человек без их согласия. Личные данные пользователя соцсети и его друзей становились доступны третьим лицам, когда для авторизации в стороннем сервисе использовалась учетная запись Facebook.

В 2012 году Instagram обновил ПК, теперь в ней говорилось следующее: «Чтобы помочь нам с поставкой интересного платного контента, вы соглашаетесь с тем, что другие юридические лица могут платить нам за предоставление вашего имени пользователя, информации о том, что вам понравилось, фотографий и/или действий, которые вы осуществили в контексте с платным и коммерческим контентом, без какой-либо компенсации для вас».

Пользователи решили, что соцсеть будет продавать их фотографии рекламодателям, поэтому стали массово удалять аккаунты. Представителям Instagram пришлось объяснять — они лишь хотели персонализировать рекламные предложения. Они признали, что неправильная формулировка могла запутать пользователей и пообещали исправить текст.

WhatsApp: недовольство пользователей изменением Политики конфиденциальности

Согласно обновленной Политики конфиденциальности пользователи мессенджера обязаны предоставлять компании Facebook доступ к номерам телефонов, именам и фото профилей, сведениям о транзакциях, диагностическим данными из приложений и IP-адресами; Facebook также оставляла за собой право делиться данными с другими своими компаниями. На фоне этих событий выросло количество загрузок других мессенджеров: Telegram — на 91% за неделю, Signal на — 4200%. Недовольство и массовый уход пользователей заставили WhatsApp отложить обновление ПК.

Google: недостаточное информирование пользователей

Национальная комиссия по информатике и свободам Франции оштрафовала Google на 50 миллионов евро за недостаточное информирование пользователей при получении согласия на обработку и использование их данных. Комиссия утверждает, что пользователям не сообщается следующее: какие сайты имеют доступ к данным, в каком объеме они собираются и как долго хранятся. К тому же, информация разбросана по нескольким документам — из-за этого пользователям сложнее понять, что именно происходит с их данными.

Шаг 1. Проанализировать объемы данных, которые будут обрабатываться и храниться.

Шаг 2. Разработать положения в соответствии с российским законодательством (если приложение будет выходить в других странах — в соответствии с международными требованиями).

Шаг 3. Изучить требования Apple и Google, дополнить положение в соответствии с ними — так, чтобы приложение соответствовало всем правилам.

Дополнительно можно ориентироваться на другие положения — например, на рекомендации Роскомнадзора по составлению документа, регулирующего сбор и обработку персональных данных.

Политика конфиденциальности должна быть ориентирована на обычного пользователя — быть краткой и однозначно понятной. Несмотря на то, что использование технических терминов неизбежно, сложный для восприятия юридический язык и мелкий шрифт недопустимы в документе.

Вариант 1. Использовать в качестве ПК стандартный шаблон из интернета или воспользоваться конструктором ПК.

Риски : получить штраф или столкнуться с блокировкой из-за нарушения ПК. В документе из интернета, скорее всего, будет описан стандартный порядок использования персональных данных. Но нет гарантии, что в действительности конкретное приложение или сайт собирает, хранит и передает данные точно таким же образом. Конструкторы ПК так же опираются на стандартные положения и не могут учесть всех тонкостей.

Вариант 2. Скачать шаблон ПК из интернета, отдать его на доработку штатному юристу.

Риски : потратить много времени — юристу, не работающему с ПК, на изучение и доработку документа понадобится несколько недель.

Вариант 3. Обратиться к аутсорсу — найти специалиста по созданию ПК. Крупные компании-разработчики предлагают такую услугу в дополнение к разработке приложения. В этом случае описать, как и какие данные обрабатываются, получиться наиболее точно и подробно.

Риски : отсутствуют (при условии высокого качества услуг). Опытные специалисты разработают документ меньше, чем за неделю.

Недавно Apple выпустила обновление iOS 14, которое запрещает передавать личные данные владельцев устройств без их личного соглашения. Специальные ярлыки в App Store сообщают, к каким данным приложение получит доступ после установки.

По следам Apple следует и Google — компания задумалась о создании аналога «ярлыка конфиденциальности» для приложений на Android. Компания ищет способ ограничить сбор и отслеживание данных в приложениях, чтобы одновременно угодить разработчикам и рекламодателям.

Политика конфиденциальности — это, прежде всего, защищенность бизнеса. Правильно составленный документ обезопасит приложение от блокировки и штрафов, а значит — от потери потребителей и прибыли. Как показывает практика, большинство проблем, связанных с ПК, можно предупредить. Поэтому перед релизом приложения лучше потратить ресурсы на качественную разработку документа у профессионалов, чем сэкономить деньги сейчас, но иметь риск в будущем потратить в десятки раз больше денег на выплату штрафов.

Тем не менее, многие компании продолжают игнорировать важность ПК. Так, к январю 2020 года было зафиксировано 160 тысяч нарушений GDPR, а общая сумма штрафов достигла 114 миллионов евро.

Идея о том, что политика конфиденциальности — это нудный, сложный для восприятия текст, легла в основу подкаста Ts&Zzz. В нем ведущий читает пользовательские соглашения и политики конфиденциальности известных организаций, чтобы помочь слушателям быстрее заснуть. «Героями» выпусков уже стали ПК Instagram, Discord, Airbnb, TikTok и WhatsApp 🙂

Зачем нужна на сайте Политика конфиденциальности и как её создать

Привет уважаемые читатели seoslim.ru! По мере развития и расширения всемирной сети, люди начали активно потреблять контент на сайтах, приобретать товары и получать разного рода услуги.

Часто администрация ресурсов требует у пользователей различные сведения о себе. Фамилия и имя, электронный адрес, номер телефона и иные реквизиты, необходимые для регистрации и оформления заказов.

Как итог, в интернете к общей базе данных глобальной сети прибавилась и приватная информация о реальных людях.

О сохранности личных данных в то время ещё мало кто заботился. Такой ситуацией конечно же начали пользоваться злоумышленники. В результате мошеннических и недобросовестных операций с оставленными на сайтах сведениями о себе люди стали попадать на фишинговые сайты, терять деньги и репутацию.

Естественно, потерпевшие ущерб граждане начали высказывать возмущение. Жаловаться администрации сервисов, писать недовольные письма в поисковые кампании.

Некоторые, потерявшие деньги пользователи, даже стали подавать судебные иски, но судебные органы поначалу оказались в недоумении, как справедливо разрешать такого рода споры.

В итоге правительство разработало и приняло закон об обработке персональных данных граждан.

На уровне конкретных взаимоотношений потребовалось документальное подтверждение, что человек ознакомлен с условиями использования сведений о нем.

Как организация собирается обрабатывать сведения о клиенте, могут или не могут полученные от пользователя персональные данные передаваться третьим сторонам.

Вот так на интернет-ресурсах появился документ, именованный «Политика конфиденциальности».

Что это такое и зачем размещать на сайте

Говоря простыми словами, в «Политике конфиденциальности» администрация сайта подробно разъясняет пользователю, что будет происходить с его личными данными после вступления в какие-либо взаимоотношения с сервисом.

  • В некоторых случаях в качестве подтверждения ознакомления и согласия с текстом требуется установить галочку в чекбоксе.
  • В других случаях просто пишется уведомление, что в случае начала пользования сайтом, посетитель соглашается с предоставленными условиями.

В последние годы, связи с участившимися случаями цифрового мошенничества и незаконного использования сведения о частных лицах, законодательство требует, чтобы на сайте была размещена специальная форма, в которой пользователь явным образом соглашается с условиями обработки его персональных данных.

Если такой формы нет – данный ресурс не сможет считаться вполне легитимным, а администрация даже может быть привлечена к ответственности и подвергнута серьезным штрафам.

Таким образом у владельцев цифровых проектов возникла новая обязательная задача – разработка собственной политики конфиденциальности, публикация и размещение формы подтверждения согласия пользователя.

Как и кем составляется документ

Ответственность за документ о политике конфиденциальности полностью лежит на администрации онлайн ресурса.

Владелец сайта может самостоятельно составить документ либо поручить это дело профессиональным юристам.

Важный момент! Хотя текст и разрабатывается в индивидуальном порядке владельцами онлайн площадок, но он должен соответствовать букве закона. В противном случае, для суда документ является ничтожным.

Как практически решить этот вопрос?

  • Можно взять за основу политику конфиденциальности с какого-либо авторитетного ресурса сходной тематики и направленности. После этого откорректировать текст в соответствии с местными условиями.
  • Можно найти в интернете, на юридических ресурсах, типовой шаблон политики конфиденциальности, вписать реквизиты и данные собственной компании.

Как вариант, можно скачать вот такой шаблон по этой ссылке.

Здесь я разместил простенький шаблон формата docx, который подойдет для большинства сайтов.

Остается отредактировать по своим потребностям и указать данные своей организации.

Онлайн генератор

Для удобства владельцев веб-проектов существуют онлайн-сервисы, на некоторых можно подготовить документ быстро и просто, с учетом действующего законодательства, посредством заполнения предложенной формы.

Читайте также  Какое значение присуще красивому тату пионы

Такой генератор политики конфиденциальности можно найти на сайте tools.joomlatown.net/152

Просто заполните все предложенные формы и после завершения можете скачать готовый файл.

Где на сайте разместить документ с Политикой конфиденциальности

По умолчанию, ссылка на документ должна быть размещена в Подвале сайта наряду с другой технической информацией.

Дополнительно «Конфиденциальность» с требованием согласиться демонстрируется пользователями перед тем, как предлагается указывать персональные данные, заполнять какие-либо формы регистрации или заказов, подписок.

В моем случае посетители, оставляя комментарий, видят ссылку на политику конфиденциальности на блоге seoslim.ru и могут с ней ознакомиться.

Также возникает вопрос, что делать если созданный по шаблону или в генераторе текст окажется с низкой уникальностью?

В этом контексте речь идет не о полезном текстовом контенте, а о юридическом документе. Важна не оригинальность, а соответствие букве Закона.

Кроме того, технические страницы и контент на сайтах принято закрывать от индексации поисковыми машинами. Так то уникальность здесь не учитывается при оценке качества ресурса.

На этом все, а ты уже позаботился о создании такой странички на сайте?

Политика конфиденциальности сайта

Июль 2017 все же заставил владельцев сайтов изрядно понервничать. Виной тому вступившие 01 июля 2017 года в силу поправки в статью 13.11 КоАП РФ (см. Федеральный закон от 07.02.2017 № «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях»), ужесточающие административную ответственность за нарушение персональных данных.

Размер штрафов для предпринимателей варьируется в диапазоне от 5 тыс. руб. до 75 тыс. руб. Последняя цифра касается организаций, допустивших обработку персональных данных, не получив письменного согласия субъекта персональных данных.

Прежде чем бить тревогу и думать, что же делать и бросаться отключать на сайте формы для обратной связи, необходимо провести диагностику собственного сайта на предмет наличия или отсутствия документов, регулирующих отношения с пользователями, в том числе по вопросу обработки оставляемых ими данных, а также оценить их содержание с точки зрения прозрачности, полноты, непротиворечивости и достаточности.

Если не знаете, как это сделать правильно, и что должна включать в себя политика конфиденциальности, предлагаем обратить внимание на ключевые моменты.

Зачем нужна Политика конфиденциальности?

Думаем, что здесь ответ очевиден. Документ, регулирующий обработку персональных данных пользователей и размещаемый на сайте, является ни чем иным как правилами игры, которые устанавливает владелец сайта в отношениях с пользователями. Цель фиксации и размещения таких правил — снизить риски из законодательства о персональных данных, при необходимости дать отпор потребительскому экстремизму.

Как лучше назвать — оферта, соглашение об обработке персональных данных или политика конфиденциальности?

С юридической точки зрения название документа, регулирующего обработку персональных данных пользователей, не имеет значения. Остальное — дело вкуса каждого владельца сайта. Со своей стороны можем выделить название «политика конфиденциальности» из-за его емкости, повсеместного использования и понятности для пользователя.

Как лучше разместить — в виде отдельного документа или сделать частью оферты/пользовательского соглашения?

Здесь также нет обязательных правил и универсального шаблона. Можно отразить необходимые положения в отдельном документе или сделать частью, например, пользовательского соглашения.

Как правило, пользовательское соглашение содержит немало особенностей использования сайта, что влияет на объем документа. Включение в пользовательское соглашение еще и положений по обработке данных будет явно перегружать документ и усложнять его восприятие пользователем.

При размещении на сайте двух отдельных документов (например, политики конфиденциальности и пользовательского соглашения) рекомендуем проверить их на отсутствие противоречий друг другу, а также на наличие ссылок друг на друга.

Нужно ли помимо Политики конфиденциальности размещать также отдельную форму согласия на обработку персональных данных?

Здесь ответ прост. Если из Политики конфиденциальности очевидно следует согласие на обработку каких данных и с какой целью дает пользователь, то отдельная форма согласия будет явно лишней.

Как заставить правила работать?

Политика конфиденциальности это та же оферта (соглашение), только по вопросам, связанным с обработкой персональных денных пользователей. Для того, чтобы пользователь считался принявшим условия обработки его данных владельцем сайта, он должен акцептовать предложенные правила (принять, согласиться).

Таким акцептом могут быть:

проставление отметок в полях,

выполнение последовательности действий,

использование функционала сайта.

Рекомендуем не привязываться и не ограничиваться описанием одной формы акцепта, а использовать и фиксировать их совокупность, например, следующим образом:

«Пользователь дает своё согласие с положениями настоящей Политики конфиденциальности нажатием кнопки «Принять Политику конфиденциальности» или «Продолжить», проставлением соответствующей отметки в поле при Регистрации, в том числе на любом этапе такой регистрации и (или) в любой момент пользования сайтом.»

Что включать в Политику конфиденциальности (далее также Политика)?

Универсального шаблона Политики конфиденциальности нет. В любом случае при составлении Политики конфиденциальности стоит учитывать специфику работы сайта, его назначение, функциональные возможности, круг пользователей, объем оставляемых ими данных.

Анализ действующего законодательства в сфере обработки персональных данных, а также собственный опыт, позволил нам сформулировать следующие рекомендации владельцам сайтов по содержанию Политики конфиденциальности:

По желанию включаем раздел с терминами и определениями — не является обязательным. Для удобства пользователя и унификации документов на сайте можно включить соответствующий раздел с понятиями и определениями, которые являются общими как для Политики конфиденциальности, так и для Пользовательского соглашения (например, «Политика конфиденциальности», «пользователь», «сайт», «владелец сайта», «личный кабинет» и др.).

Отсутствие такого раздела в Политике конфиденциальности не связано с рисками для владельца сайта.

Выделяем общие положения, где описываем:

предмет регулирования Политики (например, «регулирет порядок обработки персональных данных пользователей, в том числе с целью обеспечения безопасности обработки персональных данных пользователей, обеспечения их прав и интересов при обработке персональных данных»).

формы акцепта пользователя с условиями Политики и обработкой данных (пример приведен в п. 5 настоящей статьи).

место разрешения споров, вытекающих из Политики, с оговоркой (например, все возможные споры по поводу настоящей Политики конфиденциальности и отношений между пользователем и Администрацией сайта будут разрешаться по нормам российского права в суде по месту нахождения Администрации сайта, если иное прямо не предусмотрено законодательством РФ).

Оговорка необходима для соблюдения действующего законодательства, а указание на место рассмотрения споров по месту нахождения владельца сайта призвано оказывать скорее превентивный эффект на пользователя.

порядок изменения и обновления Политики (например, «Администрация сайта оставляет за собой право изменять и (или) дополнять настоящую Политику конфиденциальности без какого-либо специального уведомления. Новая редакция Политики конфиденциальности вступает в силу с момента ее размещения на странице сайта, если иное не предусмотрено новой редакцией Политики конфиденциальности. Действующая редакция Политики конфиденциальности всегда находится на странице сайта по адресу. »).

Стоит указать, что молчание пользователя расценивается как согласие с изменениями и (или) дополнениями Политики конфиденциальности.

отсутствие доступа к данным, которые пользователь оставляет на сайтах третьих лиц. Подобное может быть связано с оплатой пользователем услуг и предоставлением своих платежных данных.

В таком случае стоит четко указать, например, следующее: «пользователь признает и подтверждает, что любые данные (в том числе, реквизиты банковских карт), прямо или косвенно связанные с оплатой услуг и сервисов, размещаются Пользователем на страницах сайтов, принадлежащих третьим лицам, не имеющим отношения к Администрации сайта; Администрация сатйа не имеет доступа к таким сведениям, не осуществляет любых действий в отношении таких данных, включая их сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в т.ч. передача), обезличивание, блокирование, уничтожение, трансграничную передачу».

Фиксируем предоставление согласия на обработку персональных данных. Это просто «must have» любой политики конфиденциальности. Обязательно указываем, что давая согласие, пользователь действует своей волей и в своем интересе. Согласие дается пользователем с момента регистрации на сайте и (или) совершения иных действий, связанных с использованием сервисов или возможностей сайта.

Указываем на цель предоставления согласия. Здесь возможны одновременно несколько вариантов:

для целей заключения с Администрацией сайта соглашения, иных договоров, прямо предусмотренных Политикой, иных соглашений, размещенных на страницах сайта, и их дальнейшего исполнения,

участия в проводимых акциях, принятия решений или совершения иных действий, порождающих юридические последствия в отношении пользователя или других лиц,

для принятия, обработки запросов;

информирования о состоянии запроса, услугах, например, посредством электронных и SMS- уведомлений;

улучшения качества работы сайта;

проведения статистических и иных исследований на основе обезличенных данных.

Ключевым является первый вариант с указанием на предоставление данных с целью заключения с Администрацией сайта соглашений и их исполнения. Этот вариант при возникновении проблем с Роскомнадзором позволит объяснить отсутствие согласия на обработку персональных данных «на бумаге», а также ненаправление владельцем сайта уведомления в Роскомнадзор.

Описываем состав персональных данных. Помним, что не все данные о пользователе являются персональными. К персональным относится такая совокупность данных, которая позволяет идентифицировать пользователя, например, ФИО и адрес места жительства.

Можно указать, что согласие распространяется на фамилию, имя, отчество, адрес, номер телефона и любую иную информацию, относящуюся к личности пользователя, доступную либо известную в любой конкретный момент времени Администрации сайта.

Указываем срок, на который предоставляется согласие. Может быть описан такой вариант — согласие дается пользователем до истечения сроков хранения соответствующей информации или документов, содержащих вышеуказанную информацию, определяемых в соответствии с законодательством РФ, после чего оно может быть отозвано пользователем путем направления соответствующего письменного уведомления Администрации не менее чем за 3 месяца до момента отзыва согласия.

Фиксируем объем возможных действий по обработке. Здесь исходим из того, что чем больше описано возможных действий с данными, тем лучше. Можно описать так: согласие предоставляется на осуществление любых действий в отношении персональных данных, которые необходимы или желаемы для достижения указанных выше целей, включая, без ограничения: сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в т.ч. передача), обезличивание, блокирование, уничтожение, трансграничную передачу персональных данных, а также осуществление любых иных действий с персональными данными пользователя с учетом действующего законодательства РФ.

Читайте также  Пасьянс из прошлого

Указываем способы обработки данных. Можно указать следующие: хранение, запись на электронные носители и их хранение, составление перечней. Отдельно стоит отметить, что указанный перечень способов обработки не является исчерпывающим.

Включаем право на раскрытие третьим лицам. Стоит зафиксировать право Администрации сайта по передаче данных третьим лицам для достижения указанных в Политике целей, а также согласие пользователя на подобное.

Определяем порядок направления юридически значимых сообщений. Для регулирования потока входящих от пользователей обращений по вопросам обработки данных стоит усложнить процедуру взаимодействия с Администрацией сайта. Сделать это можно путем определения письменной формы для таких обращений, а также способа их представления — направление на указанный на сайте почтовый адрес и/или с курьером. Дополнительно стоит указать, что в противном случае, обращения и уведомления пользователя могут остаться без рассмотрения.

Надеемся, что приведенный выше «чек-лист» будет полезным не только для составления политики конфиденциальности «с нуля», но и для осознанной проверки уже имеющегося документа с его последующей доработкой.

Помним, что правильное и должным образом проработанное документальное оформление отношений по обработке персональных данных пользователей в последующем позволит минимизировать риски и избежать привлечения к ответственности.

Ищете исполнителя для реализации проекта?

Проведите конкурс среди участников CMS Magazine

Узнайте цены и сроки уже завтра. Это бесплатно и займет ≈5 минут.

Примеры политики конфиденциальности для интернет-магазина

Политика конфиденциальности для интернет магазина не только важна, но также обязательна, ведь деятельность e-commerce сопряжена с обработкой массивов персональных данных клиентов.

Чтобы сделать покупку в интернет-магазине, вам необходимо оставить хотя бы минимальные данные о себе. Это может быть телефон для связи в случае ускоренного заказа и расширенный перечень информации в случае регистрации:

  • ФИО;
  • Телефон;
  • Электронная почта;
  • Адрес доставки.

Сбором персональных данных занимаются не только торговые площадки, но это самый актуальный и показательный пример. Составлением и размещением правильной политики обработки персональных данных озабочены очень многие владельцы интернет магазинов.

Что такое политика конфиденциальности и зачем она нужна

Для сбора информации о посетителе сайта:

  • При регистрации;
  • Размещении заказа;
  • Подписки на рассылки;

владелец ресурса обязан разъяснить посетителю все возможные варианты и последствия сбора и использования его личной информации.

Это обязывает делать Закон 152-ФЗ «О персональных данных».

Согласно закона, если оператор осуществляет сбор персональных данных, то он обязан обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных .

Таким документом является политика конфиденциальности. В ней описывается то, в каком порядке посетитель предоставляет согласие на обработку своих данных, методы и цели их обработки, порядок обеспечения безопасности и конфиденциальности данных.

В частности, в политике конфиденциальности могут быть перечислены виды обезличенной информации, получаемые оператором. Это могут быть данные геолокации, cookie, IP и так далее.

Грамотно составленная политика конфиденциальности позволяет избежать получения письменного согласия владельца данных и регистрации как оператора персональных данных.

Более того, с июля 2017 года внесены изменения в ст. 13.11 КоАП, в связи с чем изменилось наказание за неисполнение требований закона.

Для чего нужна политика конфиденциальности

Политика обработки персональных данных в интернет-магазине необходима для получения разрешения пользователей на использование их личной информации. Эта практика — часть работы владельцев интернет-магазинов, так как процесс покупки товаров связан с передачей конфиденциальных данных. При поступлении заказа происходит передача контактной информации для обработки заказа. Обрабатываются персональные сведения:

  • личные — имена, фамилии, адреса;
  • обезличенные — cookie-файлы, которые собираются сайтами.

Действительно ли политика конфиденциальности обязательна

Получение согласия от пользователей — настоятельная рекомендация многих специалистов, и лучше ей не пренебрегать. Тем не менее, в случае, если вы не обзавелись подобным документом, у вас есть аргументы в свою защиту.

Для начала, стоит выяснить, какая именно информация относится к персональным данным. Ни один правовой акт не даёт точного ответа на этот вопрос.

Во многих прецедентах одни и те же данные определялись как персональные и не определялись. В связи с этим необходимо быть осторожными и бдительными.

Вместе с тем, правильно составленный договор об оказании услуг и политика конфиденциальности способны вывести вас из-под удара. Далеко не всегда требуется согласие пользователя на обработку его данных. Так, ООО «В Контакте», представляющее известную социальную сеть, не зарегистрировано в реестре операторов Роскомнадзора.

Если же вы не защитили себя должным образом, то штраф в случае неуведомления РКН для юридических лиц составит до 5 000 рублей.

Что касается самого документа, то его наличие на сайте обязательно, если вы владелец сайта. Аналог политики конфиденциальности — Положение об обработке персональных данных — также желательно составить работодателям и предпринимателям, оказывающим услуги физическим лицам.

Как и кем составляется

Владелец сайта может составить документ самостоятельно или обратиться за помощью к юристам. Составление политики конфиденциальности осложняется тем, что не существует единой утвержденной законом нормы. Формирование документа основывается только на рекомендациях Роскомнадзора. Согласно им, политики конфиденциальности должна включать в себя:

  • основания и цель сбора персональных сведений;
  • название организации и контактные данные;
  • информация о компании, занимающейся сбором и обработкой, сведения о доступе третьих лиц;
  • сведения о том, какая информация будет обработана;
  • сроки обработки и хранения.

Пример политики конфиденциальности

В нашем случае мы зашили основные положения о работе с данными регистрирующегося лица в Согласие на обработку персональных данных . Помимо него в форме регистрации предусмотрен Договор-оферта и Пользовательское соглашение, что немаловажно наряду с политикой конфиденциальности.

Наш документ состоит из главных пунктов, предусмотренных законодательством:

  • Порядок предоставления согласия пользователем;
  • Данные юридического лица;
  • Перечень персональных данных;
  • Цель обработки персональных данных;
  • Основание для обработки персональных данных;
  • Совершаемые с данными действия;
  • Порядок передачи данных третьим лицам;
  • Порядок обработки и хранения данных;
  • Порядок отзыва персональных данных.

В каких еще случаях нужна политика конфиденциальности

Политика конфиденциальности публикуется только у операторов персональных данных. Это могут быть физические лица, компании или государственные организации, которые занимаются сбором, хранением, обработкой конфиденциальной информации.

Если для работы на сайте пользователю необходимо только оставить имя или указать никнейм, политика конфиденциальности не нужна. В данном случае информация никак не поможет в идентификации личности человека.

Генераторы политики конфиденциальности

Генераторы — это специальные сервисы, формирующие документ об обработке персональных данных в соответствии с заданными пользователем параметрами. С их помощью может быть составлена политика конфиденциальности для интернет-магазина. Популярные сервисы:

  • artbashlykov.ru. Этот сайт обучает продажам методами интернет-маркетинга. Помимо обучающих материалов содержит стандартный генератор политики конфиденциальности, формирующий одинаковые для всех условия обработки данных.

  • tilda.cc. Конструктор для создания сайтов, включающий в себя конструктор профильного документа. Имеет более расширенные возможности при создании политики конфиденциальности.

Юридические ошибки интернет-магазина

Частые ошибки в юридической деятельности интернет-магазинов:

  • отсутствие юридического оформления договоров с поставщиками;
  • использование при описании товаров чужих фотографий;
  • отсутствие информации о доставке.

Отсутствие на сайте политики конфиденциальности

Все клиенты, заполняющие форму для покупки товаров в интернет-магазинах, передают сайту свои персональные данные, что регламентируется ФЗ «О персональных данных». Поэтому любой владелец ресурса, как оператор данных, должен соблюдать требования, прописанные в законе.

Оператор обязуется предоставлять всем пользователям информацию в открытом доступе, касающуюся сведений о политике обработки данных. За нарушение закона предусматривается штраф, в редких случаях компаниям удается отделаться предупреждением.

Отсутствие в оферте полной информации о товаре и продавце

Продавец перед заключением сделки должен проинформировать покупателя о свойствах товара, особенностях продажи. В число таких сведений должны входить:

  • характеристики товара;
  • полное название продавца с указанием организационно-правовой формы;
  • адрес продавца;
  • место, где был изготовлен продукт;
  • стоимость товара, правила оплаты;
  • сведения о доставке;
  • информация о сроках годности и гарантиях.

Следует указать состояние продаваемого товара. Например, важно отметить, находился ли он ранее в употреблении, проводился ли ремонт или продукт продается новым.

Отсутствие на сайте необходимой информации о рекламодателе

Эта проблема характерна для продажи продуктов через интернет-магазина от различных поставщиков. ФЗ «О рекламе» указывает на то, что покупатели перед заключением сделки должны получить следующую информацию:

  • наименование организации, регистрационный номер юр.лица;
  • данные ИП, регистрационный номер физ.лица в качестве ИП.

Обратите внимание на то, что рекламой не будет считаться информация о продаваемых товарах, размещенная с целью информирования посетителей. При указании отметок о проведении акций, мероприятий не нужно указывать информацию о рекламодателе, так как это сведения информационного характера.

Штрафы за несоблюдение политики конфиденциальности

КоАП РФ предусматривает штрафы для владельцев интернет-магазинов, не размещающих политику конфиденциальности. За ее отсутствие выписываются следующие штрафы:

  • для физических лиц — до 1 500 рублей;
  • для ИП — до 10 000 рублей;
  • для ООО — до 30 000 рублей.

Иногда Роскомнадзор принимает решение о блокировке ресурса до момента, пока нарушение не будет устранено. Разместить документ владелец сайта может оперативно, а дожидаться разблокировки придется длительное время. Поэтому при запуске сайта важно предусмотреть это.

Заключение

Политика конфиденциальности обязательна для всех операторов персональных данных. Ее необходимо размещать для того, чтобы обезопасить себя от санкций. Она направлена на информирование пользователей об условиях работы на сайте, что необходимо в случаях предоставления персональных данных. Составить документ можно самостоятельно, с помощью онлайн-генераторов или посредством консультации с юристом.