Как пишется политика конфиденциальности

Требования к содержанию политики конфиденциальности поменялись после внесения изменений от 1 сентября 2022 года в закон «О персональных данных». Они разбросаны по закону и различным письмам контролирующих органов. Мы собрали всё воедино и упаковали в подробный гайд.

Оглавление:

Зачем нужна политика?

Политика конфиденциальности — документ, в котором вы декларируете, какие данные вы собираете, для каких целей вы их собираете и что с ними делаете.

Политика конфиденциальности нужна, если вы обрабатываете персональные данные своих пользователей. Поскольку обработка — любые действия с персональными данными, а персональными данные — любые данные о человеке, то политика конфиденциальность нужна любому сайту, у которого есть форма обратной связи, возможность приема заявок, регистрация пользователей и т.д.

Политика конфиденциальности (ссылка на неё) должна быть опубликована на вашем сайте, на каждой странице, где собираются персональные данные. Иначе вам грозит:

Также, если вы обрабатываете персональные данные, то вы должны уведомить об этом Роскомнадзор (далее — РКН). Подать уведомление можно через сайт РКН. После вы будете включены в реестр операторов персональных данных (ссылка).

Шаг 1. Укажите контакты.

Пользователь должен знать, кто будет обрабатывать его персональные данные. Поэтому вы обязаны указать в политике:

Можете разместить эти данные в любом разделе политики: в начале или в конце.

Шаг 2. Определите порядок сбора согласий.

Вы можете обрабатывать персональные данные только с согласия субъекта персональных данных. Поэтому вы должны собирать согласия перед тем, как начнете обработку данных. У вас должна быть возможность подтвердить, что определенное лицо дало вам своё согласие.

Например, на сайтах чаще всего размещают чек-бокс, без принятия которого нельзя оставить заявку, зарегистрировать на сайте. Также информация о кликах прописывается в лог-файлах сайт.

Основные требования к согласию:

В политике надо прописать, как вы собираете эти согласия. Например, напишите, что «согласие дается путем проставления галочки при регистрации пользователя на сайте».

Важно. Также нельзя получать согласия от несовершеннолетних. Поэтому в политике пишем, что пользователь гарантирует, что является совершеннолетним.

Шаг 3. Указываем для чего собираем данные и что с ними делаем.

Цель обработки — это то, для чего вы собираете персональные данные. Цель обязательно должна быть конкретной. Например, оказание услуг по договору, регистрация пользователя на сайте и т.д.

Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных (п.3.2. Рекомендаций Роскомнадзора).

Новые правила внесли существенные изменения связанные с целями обработки. Теперь в отношении каждой цели необходимо прописывать (пункт 2, часть 1, статья 18.1. ФЗ-152): категории субъектов персональных данных, перечень и категории обрабатываемых данных, способы и сроки обработки данных и порядок уничтожения персональных данных.

Поскольку цели должны быть конкретными и ясными, то, как правило, их может быть несколько и в отношении каждой цели нужно указывать эти данные.

1. Категории субъектов, чьи данные обрабатываются в заданной цели. Нигде не раскрывается, что означает категория субъектов. На практике сложилось, что обычно указывают какие у вас отношения сложились с данным субъектом: пользователи сайта, потенциальные клиенты, заемщики и т.д.

2. Перечень обрабатываемых данных. Просто называете список всех персональных данных, которые вы обрабатываете (ФИО, номер, адрес и т.д.).

3. Категории данных. Указываете, к какой категории относятся персональные данные (см. ниже в таблице).

4. Действия с данными — укажите, как вы будете обрабатывать данные, например можно указать следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 ФЗ «О персональных данных»).

Также необходимо указать способы обработки персональных данных. Способы обработки бывают:

5. Сроки обработки и хранение данных — укажите, в течение какого срока вы храните персональные данные.

Также укажите где и как вы их храните.

6. Уничтожение ПД — стирание их со всех носителей навсегда.

Если персональные данные обрабатывались автоматизированным способом, уничтожить их можно путем стирания из базы данных, форматирования носителя или путем механического повреждения жестких дисков.

Если персональные данные обрабатывались неавтоматизированным способом, их можно уничтожить путем сожжения, дробления (измельчения), химического разложения.

Порядок документального оформления факта уничтожения персональных данных определяется оператором самостоятельно. Для уничтожения ПД обычно созывается специальная комиссия и по итогам ее деятельности составляется акт об уничтожении ПД.

Уничтожение ПД производится в случае:

Как это прописать в политике?

В редакции нового закона необходимо указывать всю информацию в отношении каждой цели обработки. Хорошо, когда цель обработки одна, однако, если их много, то текст начнет сильно раздуваться.

Мы видим несколько вариантов как это можно оформить.

Вариант 1 — сплошной текст

Суть в том, чтобы мы шли текстом по каждой отдельной цели, такой формат нельзя назвать удобным с точки зрения восприятия информации и понятности политики. Вид будет примерно следующий:

Цель: регистрация на сайте. Категория субъекта: пользователи сайта. Обрабатываемые данные: фамилия, имя, отчество, дата рождения, номер телефона. Категория данных: общие персональные данные. Способ обработки персональных данных: автоматизированные сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование. Срок обработки: в течение 3 лет с даты проявления последней активности на сайте. Персональные данные уничтожаются путем стирания с серверов оператора персональных данных.

Цель: оформление покупки Категория субъекта: пользователи сайта. Обрабатываемые данные: фамилия, имя, отчество, дата рождения, номер телефона, адрес доставки, платежные реквизиты. Категория данных: общие персональные данные. Способ обработки персональных данных: автоматизированные сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование. Срок обработки: в течение 3 лет с даты проявления последней активности на сайте. Персональные данные уничтожаются путем стирания с серверов оператора персональных данных.

Цель: оформление возврата товара …

Вариант 2 — таблица

Оформляем информацию представленную выше в виде таблице, где каждая строка — новая цель обработки. Такой вариант уже лучше, поскольку прочитать и понять его гораздо проще, чем предыдущие. Однако всё равно не очень удобно, т.к. много информации будет дублироваться. Примерный вид:

Вариант 3 — таблица + текст

Оформляем переменную информацию в виде таблицы, а постоянную отдельными пунктами. В нашем примере, как и у большинства компаний будут неизменны: способ и сроки хранения персональных данных и порядок их уничтожения.

И отдельными пунктами прописываем:

1. Для всех целей обработки персональных данных срок обработки персональных данных составляет 3 года с даты проявления последней активности на сайте.

2. Персональные данные уничтожаются путем стирания их с серверов оператора персональных данных.

Шаг 4. Пропишите, кому вы передаете ПД пользователей.

По общему правилу передача ПД третьим лицам запрещена. Исключения составляют:

1. Передача с согласия пользователя. То есть пользователь дает отдельное письменное согласие на передачу своих персональных данных той или иной компании.

2. Передача уполномоченным органам в соответствии с законодательством.

3. Передача персональных данных обработчикам. Обработчики — это компании, которые обрабатывают ПД по специальному документу-поручению оператора. Здесь стоит прописать список обработчиков и их контакты.

Трансграничная передача. Если вы передаете ПД пользователей заграничным компаниям, об этом стоит также написать и указать страны, в которые передаются персональные данные.

Шаг 5: Расскажите про права ваших пользователей.

По закону у пользователей есть ряд прав при обработке их ПД, лучше рассказать о них в вашей политике конфиденциальности.

Шаг 6: Укажите правовое основание обработки ПД. (Не обязательно).

Роскомнадзор рекомендует прописывать перечень документов, на основании которых вы обрабатываете ПД.

Этими документами могут быть:

Шаг 7: Определите где вы будете размещать актуальную версию политики.

Не забудьте указать:

Подписывайтесь на наш канал @aglegal, мы пишем о новостях в мире права для ИТ-компаний, а также планируем разместить шаблон политики конфиденциальности по новым правилам.

Для консультаций можете звонить +7 (969) 704-24-56 (Герман Ященко).

Советы

Что такое политика конфиденциальности и как ее составить

Поделиться

СВЕЖИЕ СТАТЬИ

Другие материалы из этой рубрики

Не пропускайте новые статьи

Подписывайтесь на соцсети

Делимся новостями и свежими статьями, рассказываем о новинках сервиса

«Честно» — авторская рассылка от редакции Unisender

Искренние письма о работе и жизни. Свежие статьи из блога. Эксклюзивные кейсы и интервью с экспертами диджитала.

Почему важно правильно работать с персональными данными

Персональные данные — любая информация о посетителе страницы, которая позволяет его опознать. Например, имя, возраст, телефон, электронная почта, домашний адрес, фотография. Закон 152-ФЗ запрещает собирать, хранить и обрабатывать эти данные без согласия человека.  За нарушения владельцев сайтов штрафуют по ст. 13.11 КоАП.

Штрафы для ИП и ООО:

— Нет политики конфиденциальности: для ИП — от 5000 до 10 000 рублей, для ООО — от 15 000 до 30 000 рублей.

— Владелец сайта отказался сообщить пользователю, какие данные о нём собраны и с какой целью: для ИП — от 10 000 до 15 000 рублей, для ООО — от 20 000 до 40 000 рублей;

— Владелец сайта не удалил персональные данные по требованию пользователя: для ИП — от 10 000 до 20 000 рублей, для ООО — от 25 000 до 45 000 рублей

— Персональные данные оказались у третьих лиц: для ИП — от 10 000 до 20 000 рублей, для ООО — от 25 000 до 50 000 рублей.

— Обработка персональных данных противоречит целям сбора: для ИП — от 5 000 до 10 000, для ООО — от 30 000 до 50 000 рублей.

— Персональные данные обрабатывают без согласия посетителя сайта: для ИП — от 10 000 до 20 000 рублей, для ООО — от 15 000 до 75 000 рублей.

Кто находит нарушения и как

Сайты проверяет Роскомнадзор. Самая популярная причина проверки — жалоба клиента. Плановые проверки тоже бывают, но к малому бизнесу с ними приходят редко.

Пример:

Владимир планирует семейное путешествие в Грецию. Он оставил свои контакты на сайте компании «Горящие туры». Ему перезвонили и предложили слишком дорогую путёвку, поэтому он отказался. На следующий день Владимир получил СМС: «Турция, Стамбул, 22-28 марта, 30 000 руб./чел, отель 5 звёзд, подробности на сайте». Подобные СМС доставали его до самого отпуска. Когда он вернулся из поездки, рассылка продолжилась. Он позвонил в ООО «Горящие туры» и попросил больше не писать ему. На следующий день получил очередное СМС — и не выдержал, написал жалобу в Роскомнадзор.

Роскомнадзор заблокировал сайт на время проверки. Политики конфиденциальности на сайте не обнаружилось. Владелец «Горящих туров» получил два штрафа: за отсутствие политики конфиденциальности и отказ удалить данные пользователя. Он заплатил 75 000 рублей. 

Какие термины используют в законе

Знание терминов пригодится, если будете читать нормативно-правовые акты или другие статьи по теме.

Операторы персональных данных — владельцы сайтов.

Операторы собирают, обрабатывают и хранят персональные данные. Все три действия важно прописать в политике конфиденциальности.

1. Сбор информации — получение сведений о человеке. Например, при заполнении формы.
2. Обработка информации — передача сведений. Например, курьеру сообщают номер телефона покупателя, чтобы доставить товар.
3. Хранение информации — это когда её не удаляют сразу после получения.

Что такое политика конфиденциальности

Владелец сайта берёт у каждого посетителя согласие на сбор, обработку и хранение персональных данных. Подписывать документ на бумаге — затруднительно, из-за этого сайт растеряет всех посетителей. Поэтому есть способ проще — выложить на сайт специальный документ.

В политике конфиденциальности прописывают, какую информацию и с какой целью собирают. Сообщают также, какое действие считается согласием на обработку персональных данных. Например, оформление заказа или заполнение формы — ч. 2 ст. 18.1 152-ФЗ.

Как принять политику конфиденциальности

1. Составьте документ

Подготовьте политику конфиденциальности в виде отдельного документа. Также можно включить правила обработки персональных данных в пользовательское соглашение или договор-оферту, если работаете по ним.

Проще всего подготовить политику конфиденциальности при помощи специальных сервисов — например, конструктора Тильды.

Пример политики конфиденциальности

В документе отразите:

— Перечень персональных данных. Например, имя, адрес, телефон. Не забудьте перечислить файлы cookie — обезличенные данные о посетителях, которые собирают Яндекс.Метрика и Гугл.Аналитика.

— Цели сбора и обработки. Например, исполнение договора, создание рекламных акций, продвижение товаров, улучшение сайта.

— Срок хранения. Он должен соответствовать целям.

— Меры защиты персональных данных. Например, резервное копирование.

— Какое действие считать согласием пользователя. Например, проставление галочки, создание личного кабинета, заполнение формы.

2. Опубликуйте политику конфиденциальности на сайте

Пользователю должно быть понятно, на что он соглашается. Когда он заполняет форму или регистрируется, покажите ему ссылку на политику конфиденциальности. При заходе на сайт — предупредите, что обрабатываете файлы cookie. Обычно используют всплывающее окно с кнопкой «ок».

Опубликуйте документ в доступном месте. У посетителей должна быть возможность в любой момент ознакомиться с ним. Обычно политику конфиденциальности прячут в подвал, чтобы ссылка не отвлекала от содержания сайта.

3. Уведомите Роскомнадзор

Владельцы сайтов, которые собирают персональные данные, обязаны уведомлять Роскомнадзор. За отсутствие уведомления штрафуют по ст. 19.7 КоАП РФ: ИП — на сумму до 500 рублей, ООО — до 5000 рублей.

Роскомандзор необязательно уведомлять, только если:

1. Пользователи сами выкладывают свои данные в открытый доступ. Например, пишут ФИО и телефон на площадке для объявлений.
2. Пользователи отправляют только ФИО.
3. Вы получаете персональные данные только для исполнения конкретного договора с клиентом. Например, на сайте киносалона открыта онлайн-запись на платную встречу с режиссером. Посетитель оставляет имя, телефон и электронную почту. После мероприятия эти данные удаляются.

Лучше всё равно подстраховаться: уведомление бесплатное. 

Форма уведомления

4. Назначьте ответственного за хранение персональных данных

Обычно ответственность возлагают на сотрудника, который работает с данными — кадровика, оператора колл-центра, менеджера продаж. Если вы ИП и работаете один — на самого себя.

5. Храните данные на серверах в России

Хранить персональные данные за пределами России запрещено по ст. 18 152-ФЗ. Если арендуете хранилище, узнайте, в какой стране расположены серверы.

Почему важно защищать персональные данные

Брать согласие с посетителей сайта — недостаточно. Важно не передавать сведения третьим лицам и физически защитить их от утечки. Установите пароли к компьютерам и серверам, где храните информацию. Ограничьте к ним доступ своих сотрудников без необходимости. Бумажные документы храните в сейфе.

Если персональные данные стали известны кому-то ещё — это плохо. Пострадавший имеет право пойти в суд и потребовать компенсацию за моральный вред по ст. 24 152-ФЗ.

Пример из судебной практики:

Мама Евгения взяла кредит. Рассчитаться по нему она не успела: умерла. На сына обрушились звонки от коллекторов. Он пошёл в суд и заявил, что не принимал наследство, поэтому не отвечает по долгам. Что важно для нашей темы, Евгений добавил: банк передал коллекторам номер его телефона, а он не подписывал на это согласия. Суд встал на сторону Евгения. Банк выплатил ему компенсацию за моральный вред.

Апелляционное определение Хабаровского краевого суда № 33-2412/2013

Статья актуальна на 

25.05.2022

В августе 2021 ошибки WhatsApp в составлении Privacy Policy стоили компании 225 млн EUR. А в январе 2022 года Google пришлось заплатить 90 млн EUR за нарушение процедуры согласия на использование файлов cookie. В статье IT-юристы рассказывают как избежать штрафов, блокировки IT-продуктов и составить политику конфиденциальности на сайт по требованиям GDPR, CCPA и других актов.

Что такое политика конфиденциальности?

Политика конфиденциальности — это юридическое соглашение, в котором объясняется, какую личную информацию вы собираете от посетителей веб-сайта или приложения, как ее используете и защищаете. 

Для чего нужна политика конфиденциальности?

Выделим 4 причины разработать и опубликовать документ.

Выполнить требования GDPR, CCPA и локальных законов по обработке персональных данных

Разработка политики конфиденциальности — это требование закона. Если IT-продукт охватывает аудитории разных стран, то Политика конфиденциальности должна выполнять требования законов таких регионов. В таком случае действует правило: если пользователь приходит к вам, то применяется ваш закон; если вы идете к пользователю, то применяется его закон. 

• В Калифорнии действует Калифорнийские закон о защите конфиденциальности в Интернете (CalOPPA) и закон о конфиденциальности потребителей (CCPA). Акты распространяются на компании, которые собирают личные данные жителей Калифорнии, а значит их действие выходит за пределы одного штата.
• В США —  Закон о защите конфиденциальности детей в Интернете (COPPA) .
• В Канаде — Закон о защите личной информации и электронных документов (PIPEDA).
• В ЕС — Общий регламент по защите данных (GDPR).

От того, где находится ваш потребитель, зависит по требованиям какого акта нужно разрабатывать Privacy Policy. К примеру, есть отличия между CCPA и GDPR. Защита первого распространяется на B2C сегмент, а вот второго — на B2C и B2B. 

Паблишить мобильные приложения в AppStore и Google Play

В 2018 году AppStore потребовал, чтобы все приложения опубликовали Privacy Policy. Теперь разработчики приложений для iOS должны опубликовать Политику конфиденциальности, прежде чем продукт будет отправлен на проверку в AppStore.

В Соглашении о распространении программных продуктов Google Play, с которым вы должны согласиться как разработчик, говорится, что Политика конфиденциальности требуется для всех приложений Android. Кроме этого, команда Android Security and Privacy заявила, что за 2021 год заблокировали 1,2 миллиона приложений, нарушающих конфиденциальность.

Подключить Google Analytics, Google Ads, собирать данные с помощью файлов Cookie, использовать инструменты ремаркетинга

Google Analytics включили в свой Terms of Service требование про обязательное размещение Политики конфиденциальности. Сервис хранит файлы cookie на компьютере пользователя и c их помощью собирают данные, но для таких действий нужно получить разрешение.

Google Ads требует сообщить юзерам, что IT-решение использует ремаркетинг для рекламы продукта или услуги, и пользователь может от нее отказаться.

Twitter Lead Generation Card требует ввести URL-адрес вашей Политики, чтобы воспользоваться услугами. Такое же условие у Facebook. Когда вы используете API Facebook, вы запрашиваете личные данные пользователей. Поэтому Facebook требует, чтобы вы предоставили Политику конфиденциальности и гарантировали соблюдение законов.

В 2020 году активисты обнаружили, что Zoom для iOS отправляет аналитические данные в Facebook, даже если у пользователей нет учетной записи в социальной сети. Но в политики конфиденциальности не было ни слова об этом. После огласки, сервис для видеоконференций провели обновление и прекратили обмен информацией.

Подключить платежную систему для интернет-платежей

Системы эквайринга требуют, чтобы сайт или приложение уведомляли пользователей о передаче платежным системам персональных данных. Поэтому для подключения PayPal, Stripe, Apple Pay, Google Pay и других платежных систем придется разрабатывать Privacy Policy. Для оплаты в приложениях, интернет-магазинах и других IT-продуктах нужно уведомить пользователей какую финансовую информацию вы собираете и куда уходят платежные данные.

Теперь вы знаете зачем нужна политика конфиденциальности на сайте и в мобильном приложении. Дальше расскажем как владельцам IT-продуктам составить документ.

Пункты, которые нужно добавить в Privacy Policy

Ниже найдете основные вопросы, на которые стоит ответить в Политике конфиденциальности.

Какие данные вы собираете и обрабатываете?

В первую очередь дайте определение персональным данным. А дальше фиксируйте отдельные категории данных в зависимости от типа продукта. 

Персональные данные — это любая информация, которая прямо или косвенно относится к конкретному пользователю.

IT-юристы Stalirov&Co разрабатывали Политику для биржи фриланса Youwex и прописали, что платформа собирает данные:

• о заказчиках: имя, фамилия, электронный адрес и пароль.
• о фрилансерах: имя, фамилия, электронный адрес, пароль, почтовый индекс, страна, знание языка, образование, опыт работы. Кроме этого фрилансер предоставляет подтверждающие документы, добавляет фото, видео и презентации.
• о результатах обслуживания: отзывы, комментарии, обращения в службу поддержки, жалобы, претензии и содержание сообщений.
• о транзакциях: кредитная/дебетовая карта.

Еще один продукт, с которым работали IT-юристы  —  SmartWatch Sync & Bluetooth notifier. Это приложение для синхронизации часов с Android-устройством. Перечень личной информации для этого IT-решения отличается от Youwex, и включает данные:

• учетной записи Google;
• идентификатор устройства;
• модель устройства;
• адрес электронной почты, имя, фамилия, местоположение;
• платежные данные. 

Какие цели сбора и обработки данных?

Цели должны быть конкретными, законными и отчетливыми. 

Для мобильной игры Island 211 IT-юристы прописали такие цели:

• регистрация в игре;
• демонстрация рекламного контента;
• проведение взаиморасчетов между игроками;
• выведение денежных средств;
• оказание клиентской поддержки и другие цели.

Цели для Youwex отличаются. Платформа собирает и обрабатывает данные, чтобы:

• помочь пользователям найти профиль фрилансера, бронировать и проводить онлайн сессии;
• проверить право на предоставление услуг в выбранном разделе и направлении, и поддерживать сервисы на высоком профессиональном уровне;
• выполнить требования законодательства в сфере финансов и бухгалтерского учета, подтвердить транзакции между заказчиком и фрилансером;
• предотвратить мошенническую деятельность на платформе и помочь управлять профилями пользователей.

Кому можно передавать собранные данные?

IT-продукт может делиться информацией с поставщиками дополнительных услуг: платежными системами, службами доставки, социальными сетями. А также с партнерами, судами, правоохранительными и государственными органам и другим лицам.  Главное требование — раскрытие информации третьи лицам в объеме необходимом для выполнения запроса.

Какие сторонние сервисы использует IT-продукт?

Предупредите пользователей о том, что к их персональным данным получают доступ посторонние сервисы. Например, приложение SmartWatch использует систему Flurry —  платформу аналитики мобильных приложений. Все действия и клики пользователя внутри продукта, записываются и обрабатываются. Кроме этого SmartWatch  использует AdMob  для упрощения получения дохода благодаря рекламе, и Firebase для аналитики.

Дополнительно приложениям нужно получать согласие на доступ к системным настройкам телефона: местоположение и вибрация, фоновая работа, открытие сетевых ссылок, функции покупок, хранение данных во внешних хранилищах. Кроме перечня, нужно описать цель доступа. Например, приложению SmartWatch нужен доступ к местоположению для поиска устройств Bluetooth в радиусе действия.

Еще один кейс IT-юристов — Hypelitix. Это веб-сервис, который предоставляет общедоступные данные профилей Instagram: метаданные постов, IGTV и историй профиля. Для распознавания текста на изображениях и видео в  Instagram сервис использует Google Cloud Vision.

Задача автора Политики конфиденциальности информировать пользователя о посторонних сервисах и, по возможности, закрепить ссылки на их публичные документы. Это правило распространяется и на платежные системы.

Файлы Cookie

Сперва дайте определение Сookie.

Это фрагмент данных, который сервер отправляет в веб-браузер пользователя. Cookie применяется для аналитики, продуктивности и в рекламных целях. 

IT-юристы готовили Политику конфиденциальности для интернет-магазина SnekerStudio. В документ внесли подробное описание видов Cookie, время и цель их хранения. Например, basket_id хранится 4 года для функционирования Корзины на сайте. Google DoubleClick применяет IDE в рекламных целях, и собирает информацию о том, как юзер использует веб-сайт. Время хранения — 1 год. Facebook использует _fbp  и fr cookie для доставки релевантной рекламы. Время хранения — 2 месяца.

Нарушение правил GDPR o Cookie файлах приводит к штрафам. В январе 2022 года французский орган по защите данных (CNIL) наложил на Google LLC 90 млн EUR штрафа. Все потому, что на YouTube легко принять файлы cookie, а отказаться от них сложнее. CNIL отметил, что для отказа от файлов cookie YouTube требуется, чтобы пользователь сделал несколько кликов, а для принятия — всего один клик. Но отказ от использования Cookie должен быть таким же простым, как и согласие, а Google нарушили такое требования GDPR.

Важно получить явное согласие от пользователя на использование Cookie файлов и предоставить возможность отозвать такое решение. 

Рассылка рекламы

Отдельный пункт Политики конфиденциальности стоит посвятить рассылке маркетинговых материалов. Обозначьте, что можете использовать данные для внутреннего маркетинга, доставки электронных писем, в том числе с помощью почтовых рассылок, SMS и текстовых сообщений. Но у пользователя должна быть возможность отказаться от рассылки. Это обязательное требование GDPR и СCPA.

В июле 2020 года Управление по защите данных Италии наложило штраф в размере 17 млн EUR на телекоммуникационную компанию Wind за ее незаконную деятельность в области прямого маркетинга. Компания рассылала итальянцам рекламу без их согласия. Но отказаться от нее клиенты не смогли из-за того, что указаны неверные контактные данные.

Такой же кейс был у гиганта финансовых услуг BBVA. Испанский DPA наложил на компанию 5 млн EUR штрафа за отправку SMS-сообщений без согласия потребителей.

Какие меры безопасности предпринимает веб-сайт или приложение?

Сайты и приложения внедряют физические, электронные и процедурные меры безопасности для защиты персональных данных. Статья 32 GDPR предлагает такие меры безопасности:

• анонимизация;
• шифрование;
• целостность и постоянная конфиденциальность;
• устойчивость систем и сервисов обработки;
• способность своевременно восстановить доступ;
• тестирование эффективности.

Приведем пример нарушений. Аудитория Zoom увеличилась с 10 миллионов ежедневных пользователей в декабре 2019 года до 300 миллионов ежедневных пользователей в апреле 2020 года. Вместе с этим методы безопасности программы подверглись тщательной проверке. Эксперты обнаружили ряд нарушений. 

🔸В марте 2020 году исследователь Джонатан Лейтшу обнаружил в Zoom для Mac тривиальную удаленную уязвимость 0day, которая позволяет любому вредоносному ПО включать камеру без разрешения пользователя.

🔸Позже The New York Times сообщил, что Zoom использовал функцию интеллектуального анализа данных, которая сопоставляла имена и адреса электронной почты пользователей Zoom с их профилями LinkedIn без ведома пользователей. Такие действия нарушают правила GDPR об анонимности. В ответ на критику, Zoom навсегда удалил эту функцию. 

🔸И одна из последних проблем — микрофон Mac моu оставаться включенным и слушать, даже после окончания собрания Zoom.

Такие ситуации демонстрируют, что Zoom не предпринимает достаточные меры безопасности, чтобы соответствовать требованиям ст. 32 GDPR.

Где и как долго хранятся персональные данные?

Каждый IT-продукт самостоятельно определяет место и время хранения личной информации юзеров. Например биржа фриланса Youwex обязуется удалить данные платформы в течение 180 дней с момента удаления профиля. 

Интернет-магазин SnekerStudio хранит данные все время существования личного кабинета. 

Срок хранения у SmartWatch зависит от цели сбора данных. Например, данные регистрации учетной записи хранятся в маркетинговых целях пока приложение установлено на телефоне. 

Как получить доступ, обновить или удалить данные?

Чтобы политика конфиденциальности соответствовала GDPR, опишите как пользователь может получить доступ, просмотреть, обновить, исправить и удалить любые личные данные. Алгоритм действий должен быть простым. Например, отправить запрос на адрес электронной почты. 

Вот как это сделали разработчики Youwex.

Пользователь может войти в свой профиль и изменить информацию о себе в той степени, в которой это позволяет система. Также он имеет право подать запрос на изменение информации о себе по электронной почте: support@youwex.com. Если он хочет подать запрос на удаление персональных данных в соответствии с требованиями GDPR, ему необходимо отправить сообщение на эл. почту support@youwex.com. При подаче запроса по электронной почте пользователя попросят предоставить информацию, для идентификации и проверки. 

2 дополнительные рекомендации для политики конфиденциальности

Размещайте Политику конфиденциальности в доступном месте

Pew Research Center опросили 4272 американца. Только 9% из них полностью читают политику конфиденциальности, прежде чем согласиться с ней. Около 36% сказали, что никогда не читают документ. Несмотря на неутешительную статистику, документ должен быть легкодоступным. К тому же это требование GDPR и CalOPPA. Пользовательские привычки демонстрируют, что регистрационная форма или футер сайта идеальные места для ссылки на Политику и получения согласия.

Пишите Политику конфиденциальности понятным для пользователя языком

Журналист Kevin Litman-Navarro изучил 150 политик конфиденциальности. С помощью сервиса Lexile он проверил насколько легко понять документы. По стандартам сервиса врачи и юристы должны понимать материал с оценкой 1440. К удивлению журналиста, многие политики превышают этот стандарт. Вам может показаться, что это второстепенный вопрос. Но даже контролирующие органы обращают внимание на критерий доступности. DPA Ирландии в деле WhatsApp заявило, что мессенджер не выполнил требования о легкодоступности политики. Компания должна использовать язык, понятный для пользователей. Это и другие нарушения стоили WhatsApp 225 млн EUR. 

Предлагаем не повторять ошибок мировых гигантов: делать текст политики понятным, выбирать удобное форматирование и внедрять функциональную навигацию.

Привет!

Команда VERSUS.legal продолжает публиковать статьи о правовых вопросах геймдева. В прошлый раз вы могли прочитать о множестве юридических подсказок для игровых разработчиков. А сегодня мы начинаем серию материалов о базовых документах, которые могут понадобиться на релизе вашей игры. В первой статье расскажем об одном из самых распространенных соглашений в индустрии – о политике конфиденциальности или Privacy Policy.

Без privacy policy сейчас не может обойтись, пожалуй, ни одно приложение. Так или иначе собирают персональные данные почти все. Если в вашей игра есть регистрация, встроенные покупки, аналитика использования в любом виде (в частности, логи ошибок) – то есть если клиент игры отправляет обратно разработчику любую информацию – то вам нужен такой документ. Его размещения в публичном доступе требуют как и законы многих стран (правда, иногда их требования к содержанию политики разнятся), так и правила App Store (начиная с 8 декабря 2020 года) и Google Play. По ссылкам вы можете ознакомиться с детальным перечнем функционала, который требует политику конфиденциальности.

Что будет, если у меня нет такой политики?

Вы можете быть признаны нарушающими закон и правила маркетплейса.

Штрафы за отсутствие опубликованной политики разнятся в зависимости от страны. Например, в России штраф составит от 15 000 рублей для юридических лиц. По правилам GDPR он может составить куда больше, вплоть до 20 миллионов евро. Но на практике самый большой штраф на сегодня составил 1800 евро – в Испании была оштрафована компания Solo Embrague за отсутствие политики конфиденциальности и баннера cookie на главной странице корпоративного сайта.

Что касается санкций от маркетплейсов, то они могут быть весомее, вплоть до удаления приложения. Например, Google присылает сообщения “Warning of Google Play Developer policy violation: Action Required Policy issue” («Предупреждение о нарушении политики Google Play Developer: Необходимо принять меры»).

Выглядят они примерно так:

Могу ли я сделать стандартную политику в одном из автоматических генераторов документов?

Можете, но не факт, что этот документ будет корректно составлен.

Недавно группа исследователей, в состав которой вошли специалисты из Университета Северной Каролины, Университета Иллинойса и IBM Research, изучила 11 430 политик конфиденциальности, случайно выбранных приложений из Google Play. Оказалось, что многие из изученных приложений использовали онлайн-сервисы для автоматического создания политик конфиденциальности. В таких политиках встречались противоречащие друг другу утверждения, они часто были частью стандартных шаблонов. Так, в 59 политиках текст был очень похож и основывался на 3 шаблонах, которые изначально были неверно составлены.

Поэтому если вы хотите быть уверенными, что все делаете правильно, лучше подготовить свою политику. С учетом ваших реальных процессов по сбору и передаче данных пользователей.

На каком языке должна быть составлена политика?

Основная ее версия, конечно, на английском. Но здесь нужно учесть, что у некоторых стран особые требования в законах. Например, в Польше закон о польском языке обязывает предоставлять информацию субъекту данных именно на нем. Поэтому все уведомления о конфиденциальности, адресованные пользователю, тоже должны быть на польском. В целом, такое же правило и в российском законе о защите прав потребителей. Он требует, чтобы информация для потребителей была на русском языке. И Польша с Россией тут не исключение, такие законы есть еще у нескольких десятков стран.

Но на практике мы не знакомы со случаями привлечения к ответственности за отсутствие перевода.

Каким требованиям должна соответствовать политика?

Это самый сложный и интересный момент. Дело в том, что законы разных стран и правила маркетплейсов не всегда совпадают друг с другом. Но приложения, как правило, работают глобально и направлены на аудиторию многих стран мира (особенно если они на английском языке). Это фактически означает, что, имея одно приложение или игру, вы попадаете под действие многих региональных правил одновременно. Поэтому при подготовке документа необходимо выбрать самые строгие правила из возможных и следовать им.

Как правило, в политике необходимо прописать:

Но это только базовые положения. Обязательно изучите региональные требования стран, на которые вы делаете основную ставку по продажам.

Законы каких стран мне вероятнее всего надо учесть?

Стоит обратить внимание на европейское законодательство (GDPR и ePrivacy Directive (так называемый “Cookie Law”) и законы штата Калифорния (Закон Калифорнии о защите конфиденциальности в Интернете (CalOPPA) и Закон штата Калифорния о конфиденциальности потребителей (CCPA).

Например, калифорнийские законы дополнительно просят включить в политику конфиденциальности заявление о том, как будут обрабатываются запросы субъектов персональных данных с просьбой перестать их отслеживать. А также положение о том, как оператор будет уведомлять пользователей об изменениях к политике конфиденциальности. Кроме того, в соответствии с CCPA пользователи должны быть проинформированы о возможности продажи их данных.

Меняется ли что-то, если мое приложение направлено на детскую аудиторию?

Да, если ваше приложение собирает, использует или раскрывает личную информацию о детях младше 13 лет. К таким действиям применяются особые правила, например, американский Закон о защите конфиденциальности детей в Интернете (COPPA).

Вы должны уведомить родителей пользователей и получить их поддающееся проверке (!) согласие перед тем как собирать, использовать или раскрывать информацию. И, конечно, должны обеспечивать безопасность собранной информации. Это также необходимо отразить в политике конфиденциальности.

Я подготовил политику конфиденциальности, что дальше?

Вы должны разместить подробную политику конфиденциальности в двух местах: на странице приложения в сторе и внутри вашего приложения – например, если в нем есть функция регистрации.

Для страницы приложения магазины требуют именно ссылку на залитую политику, а не сам ее текст. В идеале privacy policy можно разместить на вашем сайте – причем в легкодоступном пользователем месте, например, в футере. Но если его нет, можно загрузить документ в отдельный репозиторий, например, на GitHub, и дать ссылку на него.

Также рекомендуем добавить ссылку на политику конфиденциальности в тексте согласия на обработку данных (если оно у вас есть). И обязательно следить за ее актуальностью.

В целом, если у вас нет возможности обратиться к юристу, мы бы рекомендовали не пользоваться генераторами документов, а вместо этого:

Если у вас есть опыт работы с privacy policy – обязательно поделитесь в комментариях! А в следующем материале мы поговорим об EULA, то есть о пользовательском соглашении.

Как составить Политику конфиденциальности

По многочисленным просьбам трудящихся вебмастеров и владельцев сайтов мы опубликовали бесплатный образец Политики конфиденциальности для сайтов с формой обратной связи, подписки или заказа звонка.

Решились на такой шаг, потому что данная форма Политики не предусматривает обработку персональных данных, и в результате не предполагает большой вариативности решения. Важно помнить, что она не подходит для сайтов, на которых обрабатываются ПДн. Например, интернет-магазины и прочие сервисы, на которых помимо номера телефона или email пользователем дополнительно предоставляются иные сведения о себе, требуют большего внимания к вопросам обработки персональных данных.

Поэтому мы подумали над вариантами составления «народной» Политики конфиденциальности. Простым шаблоном здесь не обойдешься. Взяли за основу вышедшие в 2017 году Рекомендации Роскомнадзора (далее – «Рекомендации») по составлению документа, определяющего политику оператора в отношении обработки персональных данных (далее – «Политика). Дополнили ее живыми примерами.

Смотрим, что получилось.

Пролистываем первые 2 раздела Рекомендаций в связи с их бессодержательностью

В разделе 1 Роскомнадзора заявляет, что Рекомендации разработаны в целях выработки унифицированных подходов к структуре и форме Политики. Охотно верим и следуем пожеланиям ведомства для облегчения дальнейшей работы с ревизорами.

В разделе 2 процитированы основные понятия из ФЗ «О персональных данных». Пропускаем за ненадобностью. При желании в Политику лучше ввести собственные термины, уточняющие легальные.

В разделе 3 наконец пошли долгожданные советы по структуре и наполнению Политики. Остановимся на них подробно.

1. Общие положения Политики

В указанном разделе рекомендуется описать назначение Политики, а также включить основные понятия, используемые в ней (обработка персональных данных, оператор, субъект персональных данных, конфиденциальность персональных данных и т.д.), перечислить основные права и обязанности оператора и субъекта (ов) персональных данных.

По задумке авторов Рекомендаций Политика, как любой серьезный документ, должна иметь внушительные размеры, чтоб все прониклись уважением и трепетали от одного ее упоминания.

Итак, начнем с определений. Чтоб не повторять ФЗ 152, предлагаем делать отсылки к конкретным пунктам и разделам Политики, которые конкретизируют используемые понятия. Ниже приведен пример с терминами и определениями Политики конфиденциальности для интернет-магазина.

1.1. В настоящем документе и вытекающих или связанных с ним отношениях Сторон применяются следующие термины и определения:

Персональные данные – предоставляемые субъектом персональных данных или его представителем данные, объем и состав которых указаны в п.Х.Х. Политики.

Администрация – ООО «Ромашка», ИНН ХХХ, ОГРН ХХХ, Адрес: ХХХХХ, в законном владении и/или управлении которого находится Сайт. В предусмотренных настоящей Политикой случаях Администрация выступает в качестве оператора персональных данных.

Пользователь – лицо, использующее Сайт в целях заключения и/или исполнения Договоров.

Договор – пользовательское соглашение использование Сайта, договор купли-продажи, договор поставки, договор перевозки и/или иное соглашение, предлагаемое к заключению и/или заключенное Пользователем на основании любой оферты, размещенной на Сайте.

Обработка персональных данных – действие (операция) или совокупность действий (операций) с персональными данными, перечисленные в п.Х.Х. Политики.

Сайт – автоматизированная информационная система, доступная в сети Интернет по сетевому адресу: /URL/.

1.2. В настоящей Политике используются термины и определения, предусмотренные Соглашением, а также иными заключаемыми с Пользователем Договорами, если иное не предусмотрено настоящей Политикой или не вытекает из ее существа. В иных случаях толкование применяемого в Политике термина производится в соответствии с действующим законодательством Российской Федерации, или обычаями делового оборота.

2. Цели сбора персональных данных

Согласно Рекомендациям, обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

Если нет желания вставать на учет в Роскомнадзоре и проходить последующие обязательные проверки, мы предлагаем связать все цели обработки ПДн с заключением и исполнением договоров.

Роль такого договора может иметь Пользовательское соглашение, принимаемое всяким пользователем в начале использования Сайта, либо иное соглашение, предлагаемое владельцем Сайта.

В результате мы получаем достаточно стандартный набор целей:

1. Заключение с пользователем договоров на использование или с использованием Сайта.
2. Идентификация пользователя в рамках исполнения обязательств по заключенным с ним договорам.
3. Исполнение обязательств по заключенным договорам, включая предоставление пользователю доступа к Сайту и технической поддержки, использование пользователем функциональных возможностей Сайта.
4. Выставление счетов и возврат остатка денежных средств в случае расторжения заключенных с пользователем возмездных договоров.
5. Нотификация в рамках информационного обслуживания, рассылок и улучшения качества обслуживания по заключенным Договорам, в том числе с привлечением третьих лиц.

3. Правовые основания обработки персональных данных

Согласно разъяснению Роскомнадзора, правовым основанием обработки персональных данных является совокупность правовых актов, во исполнение которых и в соответствии с которыми оператор осуществляет обработку персональных данных.

При наличии указанной выше связки в качестве правового основания обработки персональных данных могут быть указаны договоры, заключаемые между оператором и субъектом персональных данных.

Если ПДн обрабатываются в иных целях, в качестве основания необходимо указывать отдельное согласие на обработку персональных данных.

4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

Роскомнадзор предупреждает, что содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

С учетом данных рекомендаций Роскомнадзора указываем в Политике те сведения, персонального характера, которые вы собираете с использованием Сайта.

В первую очередь указываем данные из полей онлайн-форм обратной связи, заказа, подписки и регистрации. Затем обращаем пристальное внимание на состав информации, вносимой пользователем при заполнении профиля в личном кабинете.

Дополнительно указываем данные, которые запрашиваются поддержкой или отделом продаж при оформлении или обработке заявок по телефону или в местах обслуживания.

5. Порядок и условия обработки персональных данных

В данном разделе Роскомнадзор рекомендует указывать перечень действий, совершаемых оператором с персональными данными субъектов, а также используемые оператором способы обработки персональных данных и сроки обработки персональных данных.

Выбираем. ФЗ 152 предусмотрен следующий перечень операций с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Способы обработки могут включать:

а) автоматизированную обработку персональных данных

б) обработку персональных данных без использования средств автоматизации.

Согласно определению, данному в ФЗ 152, автоматизированная обработка персональных данных представляет собой обработка персональных данных с помощью средств вычислительной техники.

Казалось бы, что сюда попадают любые действия с ПДн, выполняемые с использованием вычислительной техники. Но не все так просто. Смотрим Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утверждено постановлением Правительства РФ от 15 сентября 2008 г. N 687.

В п.1 указано, что обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее — персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.

Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее (п.2).

Иными словами, если ПДн не используется, не уточняются, не распространяются и не уничтожаются в ИПДН вашего сайта в автоматическом режиме без участия человека, можно смело выбирать второй способ обработки — обработку персональных данных без использования средств автоматизации.

Результатом этого простого действия будет легальный отказ от применения драконовских требований ФЗ 152 по обработке автоматизированной обработке ПНн в информационной системе.

В отношении сроков обработки ПДн предлагаем указывать как минимум срок действия договора, во исполнение которого запрашивались ПДн. Можно добавить к сроку действия договора 3 года исковой давности на защиту прав в связи с его исполнением.

Роскомнадзор напоминает, что при осуществлении хранения персональных данных оператор персональных данных обязан использовать базы данных, находящиеся на территории Российской Федерации, в соответствии с ч. 5 ст. 18 Федерального закона «О персональных данных». Отражать данный пункт в Политике не обязательно, поскольку он связан с фактическими обстоятельствами. Хотя для проформы можно включить в Политику декларативную статью об обработке ПДн на территории России.

Далее Роскомнадзор рекомендует указывать условия передачи персональных данных в адрес третьих лиц. Важный момент. Обычно данный перечень сводится к следующим основаниям передачи ПДн:

• Пользователь выразил свое согласие на такие действия;
• Передача требуется для заключения и исполнения договоров на или с использованием Сайта;
• По запросу суда или иного уполномоченного государственного органа в рамках установленной законодательством процедуры
• Для защиты прав и законных интересов в связи с нарушением заключенных с пользователем договоров.

В определенных пределах данный перечень можно расширить на случаи продажи Сайта или передачи ПДн в обезличенном виде.

Помимо этого Роскомнадзор рекомендует указывать в данном разделе Политики сведения о соблюдении требований конфиденциальности персональных данных, установленных ст. 7 Федерального закона «О персональных данных», а также информацию о принятии оператором мер, предусмотренных ч. 2 ст. 18.1, ч. 1 ст. 19 Федерального закона «О персональных данных».

На практике данные сведения сводятся к заявлению, что администрация Сайта осуществляет хранение Персональных данных и обеспечивает ее охрану от несанкционированного доступа и распространения в соответствии с внутренними правилами и регламентами.

6. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

Роскомнадзор рекомендует включить в Политику регламент(ы) реагирования на запросы/обращения субъектов персональных данных и их представителей, уполномоченных органов по поводу неточности персональных данных, неправомерности их обработки, отзыва согласия и доступа субъекта персональных данных к своим данным, а также соответствующие формы запросов/обращений.

В таких случаях обычно указывают, что пользователь вправе в любой момент самостоятельно отредактировать в своем личном кабинете предоставленную им информацию. В случае прекращения заключенного договора, пользователь вправе удалить собственный личный кабинет самостоятельно либо обратившись в службу поддержки по адресу электронной почты ХХХ@ХХХ.ХХ.

При желании можно ужесточить условия регламента обработки запросов на изменение/удаление ПДн, требуя от пользователя высылать ценные письма на ваш адрес в Бобруйске.

Таковы основные Рекомендации в отношении формы и содержания Политики.

7. Обработка обезличенных данных

Заслуживает внимания тот факт, что Роскомнадзор, как всегда, обошел вопрос обработки не менее важных для пользователей данных, которые не считаются персональными. Речь идет об информации, собираемой на сайте в автоматическом режиме: cookie, IP, сведения об устройстве и месте его расположения, и т.п.

По всей видимости, Роскомнадзор упорно не хочет раскрывать состав ПДн даже методом исключения через сведения, не относящиеся к персональным. Однако на практике в Политику конфиденциальности принято включать уведомление и порядок обработки таких данных в целях наиболее полного информирования пользователя о последствиях использования сайта.

Ниже пример такого уведомления.

Вы осознаете и принимаете возможность использования на Сайте программного обеспечения третьих лиц, в результате чего такие лица могут получать и передавать данные в обезличенном виде.
К указанному программному обеспечению третьих лиц относятся системы сбора статистики посещений Google Analytics.

Состав и условия сбора обезличенных данных с использованием программного обеспечения третьих лиц определяются непосредственно их правообладателями и могут включать:

• данные браузера (тип, версия, cookie);
• данные устройства и место его положения;
• данные операционной системы (тип, версия, разрешение экрана);
• данные запроса (время, источник перехода, IP-адрес).

Полое описание условий обработки обезличенных данных можно посмотреть в образце Политики конфиденциальности, с которого мы начали свою статью.

Желаем вам успехов в разработке собственной Политики конфиденциальности в соответствии с рекомендациями Роскомнадзора и выработанными на практике подходами.

Персональные данные Документ для сайта

Как разработать политику конфиденциальности персональных данных

Для соблюдения требований Закона о защите персональных данных в организации существует политика конфиденциальности персональных данных, в соответствии с которой сотрудники осуществляют работу. Рассказываем, как составить документ и где его разместить.

Кто и зачем разрабатывает политику обработки персданных

Федеральный закон от 27.07.2006 № 152-ФЗ требует наличия в организациях документа, закрепляющего правила, способы и цели сбора и обработки персданных.

Роскомнадзор — это ведомство, которое следит за соблюдением положений закона № 152. Ведомство составило рекомендации по разработке положения о персональных данных (ПД).

Каждая компания получает ПД от работников, клиентов, контрагентов и пр. граждан, поэтому организациям необходимо иметь правила работы с ПД внутри предприятия.

Разработку положения о ПД поручают юристу или лицу, ответственному за работу с ПД на предприятии.

Документ доводят со сведения сотрудников, работающих с ПД, при наличии сайта организации с формой для сбора ПД — размещают на сайте. Необходимо обеспечить доступ граждан к политике, именно для этого документ хранят в открытом доступе в офисах или на информационных стендах.

Для сведения: как уведомить РКН об обработке персональных данных

Как разработать политику обработки персданных

Роскомнадзор рекомендует включить в документ шесть блоков.

1. Вводная часть

В этом разделе указывают, для чего организация осуществляет сбор ПД. В блок включают термины, которые встречаются по тексту, перечисляют права и обязанности оператора и субъекта ПД.

2. Цели сбора данных

В соответствии со ст. 5 ФЗ № 152 оператору необходимо определить цели сбора и обработки ПД. Их формируют с учетом:

• положений локальных нормативных актов;
• специфики деятельности организации;
• требований бизнес-процессов;
• особенностей программного обеспечения на предприятии.

3. Основания работы с ПД

Правовое регулирование работы с данными осуществляет не только ФЗ № 152, в положение необходимо включить в качестве правовой основы:

• уставные документы;
• локальные нормативные акты (должностные инструкции, регламенты доступа к информации и пр.);
• договоры, на основании которых происходит взаимодействие оператора и субъекта;
• согласия субъектов на доступ к данным и пр.

4. Перечень, объем данных и категории субъектов

Объем обрабатываемой информации необходимо сопоставить с целями. Значение должно соответствовать целям: для связи с клиентом в целях оформления заявки достаточно номера телефона и имени, не следует запрашивать паспортные данные, прописку и пр.

Категории субъектов перечисляют в зависимости от целей получения данных:

• сотрудники;
• клиенты;
• кандидаты на вакантные должности;
• контрагенты и пр.

Объем и цели указывают для каждой категории субъектов.

5. Порядок работы с ПД

В этом разделе указывают перечень действий, которые ответственный работник совершает при получении и работе с информацией. Эту информацию допустимо взять из должностной инструкции или положения о работе с ПД в организации.

Необходимо детально прописать цепочку действий сотрудника от запроса информации до прекращения работы с данными.

Включите раздел с требованиями к хранению полученной информации и условиями передачи третьим лицам.

6. Обновление, уничтожение ПД и порядок доступа к информации

Ст. 21 ФЗ № 152 требует актуализации информации в случае неточностей или ее изменения.

ПД необходимо уничтожить при достижении цели обработки, в случае отзыва субъекта ПД согласия на обработку.

Роскомнадзор рекомендует включить в документ порядок реагирования на запросы и обращения субъектов ПД по вопросу уточнения данных, неправомерности их обработки, отзыва согласия и доступа к своим данным.

Пример политики обработки персональных данных

Вот образец документа:

Надо знать: как оформить согласие на обработку персданных

Политику необходимо утвердить приказом руководителя:

ООО «______________________»

ИНН ________________________

Приказ № ____________

г. ________________________

«____» _____________ 2022 г.

Об утверждении политики конфиденциальности персональных данных

В целях соблюдения законодательства Российской Федерации о защите персональных данных

ПРИКАЗЫВАЮ:

1. Утвердить и ввести в действие с «___» __________ 2022 г. политику конфиденциальности персональных данных в ООО «_________».
2. Разместить экземпляр документа в общедоступном для сотрудников организации месте.
3. Разместить текст документа на сайте организации.

Директор ООО «______________»

__________________ (подпись) / _____________ (ФИО)

Ознакомлены:

_________________

_________________

Читайте также:

• как разработать положение о персональных данных сотрудников;
• как составить журнал учета персональных данных.

Вам в помощь образцы, бланки для скачивания

Челозерцева Александра
Юрист по корпоративным вопросам.

В 2017 году окончила НФИ КемГУ по специальности «юриспруденция». Начала работу помощником арбитражного управляющего (банкротство). Спустя 1,5 года перешла в администрацию бизнес-центра на должность руководителя юр. отдела. Сопровождаю бизнес.

Все статьи автора

Вам может быть интересно: