Политика конфиденциальности

Что представляет собой политика конфиденциальности сайта

Без создания пакета документов, регламентирующих работу с конфиденциальной информацией, без определения перечня конфиденциальной информации, особенностей работы с ней, без указания конкретных санкций и т.п. привлечь к ответственности за разглашение конфиденциальной информации невозможно.

Итак, если Вы примите решение о разработке документов, то обязательно обратите внимание на следующее. Почти у всех компаний в документах содержится одна и та же ошибка: правила работы с персональными данными пользователей (ПДн) они называют Политикой конфиденциальности

Однако, политика конфиденциальности более широкое понятие и включает в себя работу со всей конфиденциальной информацией, в том числе, с персональными данными

Почти у всех компаний в документах содержится одна и та же ошибка: правила работы с персональными данными пользователей (ПДн) они называют Политикой конфиденциальности. Однако, политика конфиденциальности более широкое понятие и включает в себя работу со всей конфиденциальной информацией, в том числе, с персональными данными.

Таким образом, в Правилах ПДн мы прописываем то, что обязательно должно быть в силу закона, практики, рекомендаций Роскомнадзора, а в Политике конфиденциальности, помимо этого, то, что хотим защитить дополнительно. Например, различные договоры, письма с Вашими клиентами, партнерами, наработки и т.п., внутреннюю документацию.

Итак, к конфиденциальной информации организации относятся персональные данные, коммерческая тайна, техническая информация, ноу-хау и другая информация, которая не подлежит разглашению третьим лицам и оберегается организацией.

Добавление политики конфиденциальности на свой сайт

В зависимости от CMS, на которой работает ваш сайт, алгоритм добавления страницы с политикой конфиденциальности будет отличаться. Я покажу как это делать на примере сайта с CMS WordPress:

  1. 1 Переходим в раздел «Страницы» — «Все страницы» и смотрим нет ли там у нас уже готовой страницы с политикой конфиденциальности. Дело в том, что в новых версиях WordPress страница с политикой конфиденциальности создаётся автоматически, однако её содержимое нуждается в серьёзной доработке. Если такая страница есть, то удаляем весь текст, который на ней есть и вставляем тот, что мы сгенерировали при помощи онлайн-сервиса. Если такой страницы нет, то нажимаем кнопку «Добавить новую» вверху.
  2. 2 Вставляем скопированный текст и нажимаем на кнопку «Опубликовать» или «Обновить»

  3. 3 Далее вы можете вывести ссылку на эту страницу в верхнем меню, в виджете в сайдбаре или подвале сайта или в коде шаблона.
    Для вывода в виджете переходим в раздел «Внешний вид» — «Виджеты» и добавляем виджет «Текст» в ту область темы, в которой вы хотите вывести ссылку на политику конфиденциальности.
  4. 4 В виджете текст пишем текст «Политика конфиденциальности», выделяем его и нажимаем на кнопку добавления ссылки на панели инструментов. Затем вставляем ссылку на созданную нами страницу в специальное поле, нажимаем клавишу Enter на клавиатуре и кликаем на кнопку «Сохранить» в виджете.

    Или можно выбрать виджет «HTML-код» и вставить в него код ссылки:

    <a href=”#” target=”_blank”>Политика конфиденциальности</a>

    1 <ahref=”#”target=”_blank”>Политикаконфиденциальности<a>

    Где вместо символа # нужно будет вставить ссылку на вашу страницу с политикой конфиденциальности.

  5. 5 Для вывода ссылки в коде темы переходим в раздел «Внешний вид» — «Редактор тем», а затем находим там файл «Подвал (footer.php)». Далее находим тег < /body> и перед ним вставляем код:

    <div class=”politic”><a href=”#” target=”_blank”>Политика конфиденциальности</a></div>

    1 <div class=”politic”><ahref=”#”target=”_blank”>Политикаконфиденциальности<a><div>

    Здесь так же вместо # нужно вставить ссылку на политику конфиденциальности.
    После этого нажимаем на кнопку «Обновить файл»

  6. 6 Для того чтобы блок со ссылкой лучше вписывался в дизайн вашего сайта можно дописать ему несколько CSS свойств. Для этого в разделе «Внешний вид» — «Редактор тем» находим файл «Таблица стилей (style.css)» открываем его и в самом конце вставляем код:

    .politic {
    background: #1677B8; /**Цвет фона блока**/
    text-align:center; /**Выравнивание по центру**/
    line-height:2; /**Высота строки**/
    margin-top:-30px; /**Отступ сверху**/
    }
    .politic a {
    color:#fff; /**Цвет текста ссылки**/
    }

    1
    2
    3
    4
    5
    6
    7
    8
    9
    10

    .politic{

    background#1677B8; /**Цвет фона блока**/

    text-aligncenter;/**Выравнивание по центру**/

    line-height2;/**Высота строки**/

    margin-top-30px;/**Отступ сверху**/

    }
     

    .politica{

    color#fff; /**Цвет текста ссылки**/

    }

    После вставки кода нажимаем на кнопку «Обновить файл»

Принципы и условия обработки персональных данных Пользователей

В соответствии с требованиями Закона о персональных данных условиями и принципами обработки Оператором персональных данных Пользователей являются:

  • Обработка персональных данных осуществляется с согласия Пользователя на обработку его персональных данных. Нажимая кнопку «Я прочитал и согласен с условиями» Пользователь выражает свое согласие на обработку его персональных данных Оператором в соответствии с настоящей Политикой и подтверждает, что такое согласие дано им свободно, своей волей и в своем интересе. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель Пользователя.
  • Согласие на обработку персональных данных может быть отозвано Пользователем. В случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных только при наличии оснований, предусмотренных Законом о персональных данных.
  • В случае отзыва Пользователем согласия на обработку его персональных данных Оператор обязан прекратить их обработку и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные в срок, не превышающий тридцати дней с даты поступления указанного отзыва.
  • В случае отсутствия возможности уничтожения персональных данных в течение указанного срока, указанного Оператор осуществляет блокирование таких персональных данных и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев.

Сбор и обработка персональных данных Оператором осуществляется с помощью формы сбора заявок, расположенной на сайте vk.com. Пользователь Сайта предоставляет Оператору свои персональные данные путем заполнения формы сбора заявок на Сайте. Нажимая кнопку подтверждения подписки Пользователь дает Оператору согласие на обработку предоставленных им персональных данных в соответствии с условиями настоящей Политики.

Пользователь имеет право на получение от Оператора следующей информации, касающейся обработки его персональных данных, в том числе при сборе его персональных данных (за исключением случаев, предусмотренных Законом о персональных данных):

  • подтверждение факта обработки персональных данных Оператором;
  • правовые основания и цели обработки персональных данных;
  • цели и применяемые оператором способы обработки персональных данных;
  • наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
  • обрабатываемые персональные данные, относящиеся к соответствующему Пользователю, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
  • сроки обработки персональных данных, в том числе сроки их хранения;
  • информацию об осуществленной или о предполагаемой трансграничной передаче данных;
  • иные сведения, предусмотренные федеральными законами.

Пользователь вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав. В срок, не превышающий семи рабочих дней со дня предоставления Пользователем сведений, подтверждающих, что его персональные данные, находящиеся у Оператора, являются неполными, неточными или неактуальными, Оператор обязан внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления Пользователем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Оператор обязан уничтожить такие персональные данные. Оператор обязан уведомить Пользователя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, в случае если им были переданы персональные данные этого Пользователя.

ШАГ 2. Разработка текста

После того как вы определили, какие персональные данные собираете, можно переходить к подготовке текста.

Во-первых, в политике конфиденциальности должен быть указан перечень запрашиваемых сведений – их список у вас уже есть.

Во-вторых, в политике конфиденциальности требуется обязательно указать цели обработки персональных данных, это если юридическим языком. Иными словами, вы должны четко понимать, для чего вам нужны персональные данные. Лишней информации мы не рекомендуем собирать. Напомним, что с 1 июля опять же предусмотрена ответственность за обработку личных данных, которые «не являются необходимыми для заявленной цели обработки».

СКАЧАТЬ сводную таблицу с новыми штрафами за нарушение ФЗ «О персональных данных»

Если в отношении каких-то сведений вы даже себе не можете ответить, для чего они вам, то лучше эти сведения вообще не собирать. С другой стороны, вам нельзя упустить из текста политики конфиденциальности какую-либо цель сбора персональных данных, если она имеется де-факто.

В политике конфиденциальности обязательно требуется указать цели обработки персональных данных. Если простыми словами, то вы должны четко указать, для чего они вам нужны. Лишнюю информацию мы не советуем собирать (это касается тех материалов, цели сбора которых непонятны самому владельцу интернет-проекта). Поэтому, когда будете заполнять этот раздел политики конфиденциальности, заодно сможете прикинуть по-честному, нужны вам эти сведения или нет.

В политике конфиденциальности необходимо указать способы обработки личной информации, которые вы используете.

Что следует включать в политику конфиденциальности

В политику конфиденциальности часто включаются пункты, связанные с обработкой информации, собираемой на сайте в автоматическом режиме (IP-адрес, запросы программного обеспечения о месте, где находится пользователь, о действиях, которые он совершает на сайте и др.). Позиция Роскомнадзора такова, что эти сведения он относит к персональным данным, хотя здесь можно поспорить: все-таки аналитические сведения, на наш взгляд, не позволяют идентифицировать пользователя. Однако во избежание претензий не будет лишним включение такого раздела в политику конфиденциальности.

В политике конфиденциальности также необходимо указать мероприятия, которые владелец ресурса осуществляет для защиты получаемых сведений — это и организационные меры, и технические. Отдельным пунктом обычно предусматривается, когда владелец веб-сайта может передавать персональные данные третьим лицам. В идеале в тексте документа четко должно быть указано, что раскрытие информации возможно только в ситуациях, оговоренных законодательством.

В соответствии с законом человек имеет право отозвать свои персональные данные, а также их уточнить. Это обязательное требование. Таким образом, согласие, полученное от гражданина на обработку личных материалов о нем, не является бессрочным. Например, на интернет-страницах вы размещаете отзывы, в которых клиенты указывают персональную информацию (возраст, семейное положение, количество детей и т. д.). Если клиент просит удалить такой отзыв, то владелец сайта обязан эти сообщения убрать, так как в противном случае будет нарушен Федеральный закон «О персональных данных».

Следующее право, которое имеет человек, — это получение доступа ко всем индивидуальным сведениям, собранным о нем. Если поступил подобный запрос, не удивляйтесь: пользователь имеет на это право, а владелец сайта, если такие сведения имеются, обязан их предоставить.

Все изменения о штрафах за нарушения требований в области обработки и хранения персональных данных отражены в ст. 13.11, которая в соответствии с Федеральным Законом № 13-ФЗ от 07.02.2017 г. «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях» с 1 июля 2017 г. изложена в новой редакции.

СКАЧАТЬ текст статьи в новой редакции >>>

Что же будет представлять собой новая Политика Конфиденциальности?

Теперь, когда вы понимаете некоторые юридические моменты и основы нового закона вцелом, ниже мы приведем несколько рекомендаций, используя которые вы сможете самостоятельно составить документ, содержащий Политику Конфиденциальности в соответствии с правилами GDPR:

  1. Сделайте политику конфиденциальности простой и понятной. Политика конфиденциальности должна содержать три основных элемента: она должна быть краткой и легкодоступной; она должна быть написана просто на понятном языке, который мог бы понять даже ребенок; и это должно быть бесплатно.
  2. Объясните, для каких целей будет использоваться собранная информация. Опишите, что вы собираетесь делать с данными после их сбора и обработки. Например, укажите, будете ли вы использовать их в маркетинговых целях или продавать третьим лицам.
  3. Объясните, для каких целей вы используете cookie-файлы. Если вы используете cookie-файлы для онлайн-рекламы, которые в свою очередь отслеживают интересы посетителей и их онлайн-привычки, вы должны обязательно уведомить об этом посетителей вашего сайта.
  4. Будьте прозрачными в отношении передачи информации третьим лицам. Четко укажите, с кем вы будете делиться данными, которые вы собираете, и с какой целью. Действительно, в рамках закона допустимо делиться информацией, которую вы собираете о пользователях с аудиторами, социальными сетями и поставщиками услуг. Но совершенно незаконным будет не оповещать об этом посетителей вашего сайта.
  5. Объясните права пользователей. Вы должны четко объяснить, какие права есть у посетителей вашего интернет-ресурса. Их права включают следующее:
  • Они могут запросить удаление или исправление данных
  • Они могут получить доступ к данным, имеющимся у компании
  • Они могут запросить информацию о передаче своих данных третьим лицам
  • Они должны дать согласие на использование своих данных.

Порядок и условия обработки персональных данных

В данном разделе Роскомнадзор рекомендует указывать перечень действий, совершаемых оператором с персональными данными субъектов, а также используемые оператором способы обработки персональных данных и сроки обработки персональных данных.

Выбираем. ФЗ 152 предусмотрен следующий перечень операций с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Способы обработки могут включать:

а) автоматизированную обработку персональных данных

б) обработку персональных данных без использования средств автоматизации.

Согласно определению, данному в ФЗ 152, автоматизированная обработка персональных данных представляет собой обработка персональных данных с помощью средств вычислительной техники.

Казалось бы, что сюда попадают любые действия с ПДн, выполняемые с использованием вычислительной техники. Но не все так просто. Смотрим Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утверждено постановлением Правительства РФ от 15 сентября 2008 г. N 687.

В п.1 указано, что обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее – персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.

Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее (п.2).

Иными словами, если ПДн не используется, не уточняются, не распространяются и не уничтожаются в ИПДН вашего сайта в автоматическом режиме без участия человека, можно смело выбирать второй способ обработки – обработку персональных данных без использования средств автоматизации.

Результатом этого простого действия будет легальный отказ от применения драконовских требований ФЗ 152 по обработке автоматизированной обработке ПНн в информационной системе.

В отношении сроков обработки ПДн предлагаем указывать как минимум срок действия договора, во исполнение которого запрашивались ПДн. Можно добавить к сроку действия договора 3 года исковой давности на защиту прав в связи с его исполнением.

Роскомнадзор напоминает, что при осуществлении хранения персональных данных оператор персональных данных обязан использовать базы данных, находящиеся на территории Российской Федерации, в соответствии с ч. 5 ст. 18 Федерального закона “О персональных данных”. Отражать данный пункт в Политике не обязательно, поскольку он связан с фактическими обстоятельствами. Хотя для проформы можно включить в Политику декларативную статью об обработке ПДн на территории России.

Далее Роскомнадзор рекомендует указывать условия передачи персональных данных в адрес третьих лиц. Важный момент. Обычно данный перечень сводится к следующим основаниям передачи ПДн:

  • Пользователь выразил свое согласие на такие действия;
  • Передача требуется для заключения и исполнения договоров на или с использованием Сайта;
  • По запросу суда или иного уполномоченного государственного органа в рамках установленной законодательством процедуры
  • Для защиты прав и законных интересов в связи с нарушением заключенных с пользователем договоров.

В определенных пределах данный перечень можно расширить на случаи продажи Сайта или передачи ПДн в обезличенном виде.

Помимо этого Роскомнадзор рекомендует указывать в данном разделе Политики сведения о соблюдении требований конфиденциальности персональных данных, установленных ст. 7 Федерального закона «О персональных данных», а также информацию о принятии оператором мер, предусмотренных ч. 2 ст. 18.1, ч. 1 ст. 19 Федерального закона «О персональных данных».

На практике данные сведения сводятся к заявлению, что администрация Сайта осуществляет хранение Персональных данных и обеспечивает ее охрану от несанкционированного доступа и распространения в соответствии с внутренними правилами и регламентами.

Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

Роскомнадзор предупреждает, что содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

С учетом данных рекомендаций Роскомнадзора указываем в Политике те сведения, персонального характера, которые вы собираете с использованием Сайта.

В первую очередь указываем данные из полей онлайн-форм обратной связи, заказа, подписки и регистрации

Затем обращаем пристальное внимание на состав информации, вносимой пользователем при заполнении профиля в личном кабинете

Дополнительно указываем данные, которые запрашиваются поддержкой или отделом продаж при оформлении или обработке заявок по телефону или в местах обслуживания.

Права и обязанности сторон

6.1. Пользователь вправе:

6.1.1. Принимать свободное решение о предоставлении своих персональных данных, необходимых для использования сайта Prostymi-slovami.ru, и давать согласие на их обработку.

6.1.2. Обновить, дополнить предоставленную информацию о персональных данных в случае изменения данной информации.

6.2. Администрация обязана:

6.2.1. Использовать полученную информацию исключительно для целей, указанных в п. 4 настоящей Политики конфиденциальности.

6.2.2. Обеспечить хранение конфиденциальной информации в тайне, не разглашать без предварительного письменного разрешения Пользователя, а также не осуществлять продажу, обмен, опубликование, либо разглашение иными возможными способами переданных персональных данных Пользователя, за исключением п.п. 5.2. настоящей Политики Конфиденциальности.

6.2.3

Принимать меры предосторожности для защиты конфиденциальности персональных данных Пользователя согласно порядку, обычно используемого для защиты такого рода информации в существующем деловом обороте

6.2.4. Осуществить блокирование персональных данных, относящихся к соответствующему Пользователю, с момента обращения или запроса Пользователя, или его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных на период проверки, в случае выявления недостоверных персональных данных или неправомерных действий.

Политика конфиденциальности это что?

Итак, перед тем, как представить Вам образец политики конфиденциальности для сайта, лендинга, хочу немного рассказать, что это такое. Ведь статью будут читать и новички, которые даже не слышали об этом, и те, кто слышал, но не знает что это. Для начала напомню, что в конце каждой подписной страницы (лендинга), продающей страницы в самом низу написано мелкими буквами «Политика конфиденциальности», либо «Пользовательское соглашение».

Думаю, Вы такую запись видели много раз, но вряд ли читали. Итак, политика конфиденциальности это юридический документ, который регламентирует право владельца блога, лендинга, сайта на сбор, хранение и обработку личных данных посетителей. Например, при сборе личных данных подписчиков.

Почему пользовательское соглашение для сайта, политика конфиденциальности так важны для нас? Всё дело в Федеральном законе № 152-ФЗ «О персональных данных» от 27 июля 2006 года. То есть если мы собираем персональные данные наших подписчиков, продаем им товары, то мы обязаны выполнять вышеуказанный федеральный закон.

Можно сказать, зачем мне это надо, я и так смогу вести свой блог. С одной стороны так, но с другой стороны все крупные представители рекламы и бизнеса в Интернете обязаны соблюдать закон. Их государство постоянно проверяет. По этой причине, невозможно будет разместить рекламу, например, Вконтакте, в Яндекс Директ, если у вас нет юридического документа, по имени пользовательское соглашение для сайта или политика конфиденциальности.

При покупке рекламы на подобных ресурсах, Вы просто не сможете пройти модерацию, Вы не сможете рекламировать свои инфопродукты, партнерские программы и так далее. Если сайт представляет юридическое лицо, то политика конфиденциальности для сайта (пользовательское соглашение) составляется юристами, а затем проходит экспертизу в сертифицированных органах. Кстати, это стоит определенных денег.

Как видим, политика конфиденциальности это серьёзный документ. Он обязательно у Вас должен быть, если Вы собираете подписчиков, если вы продаете товары и услуги. Я не юрист, но знаю, что пользовательское соглашение сайта, немного отличается от политики конфиденциальности.

В пользовательском соглашении для сайта прописываются условия продажи товара, условия возврата товара, авторское право, разрешение споров, защита персональных данных и условия предоставления услуг. Если Вы собираете только подписчиков, то Вам будет вполне достаточно гарантировать сохранность персональных данных, то есть иметь политику конфиденциальности лендинга (сайта). Итак, мы с Вами в этом вопросе разобрались, а теперь рассмотрим, где взять образец политики конфиденциальности для сайта?

Поделитесь в социальных сетях:FacebookXВКонтакте
Напишите комментарий