Соглашение о конфиденциальности и обработке персональных данных

Конструктор политики обработки персональных данных

Заполните поля и получите образец документа о конфиденциальности данных бесплатно

Для чего нужна политика обработки персональных данных на сайте?

Если на вашем сайте есть любая форма сбора данных — обратной связи, подписки на рассылку, регистрации или личный кабинет, это считается обработкой персональных данных. В этом случае вы обязаны получить согласие на обработку персональных данных и разместить ссылку на вашу политику в отношении обработки персональных данных, чтобы человек мог с ней ознакомиться, согласиться и только после этого сообщить вам свои данные.

Создайте образец документа с помощью конструктора, при необходимости скорректируйте, разместите текст на отдельной странице сайта и в форме приема данных поставьте ссылку на эту страницу.

Адрес сайта, на котором собираются персональные данные:

Адрес страницы, на которой расположена политика обработки персональных данных:

ФИО или название организации:

Email оператора персональных данных (владельца сайта) для связи:

Отметьте данные, которые вы собираете:

Укажите цель обработки персональных данных:

Образец политики конфиденциальности

Политика в отношении обработки персональных данных

1. Общие положения

Настоящая политика обработки персональных данных составлена в соответствии с требованиями Федерального закона от 27.07.2006. №152-ФЗ «О персональных данных» и определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных Михайлова Ивана Сергеевича (далее – Оператор).

1. Оператор ставит своей важнейшей целью и условием осуществления своей деятельности соблюдение прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
2. Настоящая политика Оператора в отношении обработки персональных данных (далее – Политика) применяется ко всей информации, которую Оператор может получить о посетителях веб-сайта https://mysite.ru .

2. Основные понятия, используемые в Политике

1. Автоматизированная обработка персональных данных – обработка персональных данных с помощью средств вычислительной техники;
2. Блокирование персональных данных – временное прекращение обработки персональных данных (за исключением случаев, если обработка необходима для уточнения персональных данных);
3. Веб-сайт – совокупность графических и информационных материалов, а также программ для ЭВМ и баз данных, обеспечивающих их доступность в сети интернет по сетевому адресу https://mysite.ru ;
4. Информационная система персональных данных — совокупность содержащихся в базах данных персональных данных, и обеспечивающих их обработку информационных технологий и технических средств;
5. Обезличивание персональных данных — действия, в результате которых невозможно определить без использования дополнительной информации принадлежность персональных данных конкретному Пользователю или иному субъекту персональных данных;
6. Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
7. Оператор – государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
8. Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому Пользователю веб-сайта https://mysite.ru ;
9. Пользователь – любой посетитель веб-сайта https://mysite.ru ;
10. Предоставление персональных данных – действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
11. Распространение персональных данных – любые действия, направленные на раскрытие персональных данных неопределенному кругу лиц (передача персональных данных) или на ознакомление с персональными данными неограниченного круга лиц, в том числе обнародование персональных данных в средствах массовой информации, размещение в информационно-телекоммуникационных сетях или предоставление доступа к персональным данным каким-либо иным способом;
12. Трансграничная передача персональных данных – передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому или иностранному юридическому лицу;
13. Уничтожение персональных данных – любые действия, в результате которых персональные данные уничтожаются безвозвратно с невозможностью дальнейшего восстановления содержания персональных данных в информационной системе персональных данных и (или) результате которых уничтожаются материальные носители персональных данных.

3. Оператор может обрабатывать следующие персональные данные Пользователя

1. Фамилия, имя, отчество;
2. Номер телефона;
3. Адрес электронной почты;
4. Также на сайте происходит сбор и обработка обезличенных данных о посетителях (в т.ч. файлов «cookie») с помощью сервисов интернет-статистики (Яндекс Метрика и Гугл Аналитика и других).
5. Вышеперечисленные данные далее по тексту Политики объединены общим понятием Персональные данные.

4. Цели обработки персональных данных

1. Цель обработки персональных данных Пользователя — заключение, исполнение и прекращение гражданско-правовых договоров; предоставление доступа Пользователю к сервисам, информации и/или материалам, содержащимся на веб-сайте https://mysite.ru; уточнение деталей заказа.
2. Также Оператор имеет право направлять Пользователю уведомления о новых продуктах и услугах, специальных предложениях и различных событиях. Пользователь всегда может отказаться от получения информационных сообщений, направив Оператору письмо на адрес электронной почты policy@mysite.ru с пометкой «Отказ от уведомлениях о новых продуктах и услугах и специальных предложениях».
3. Обезличенные данные Пользователей, собираемые с помощью сервисов интернет-статистики, служат для сбора информации о действиях Пользователей на сайте, улучшения качества сайта и его содержания.

5. Правовые основания обработки персональных данных

1. Оператор обрабатывает персональные данные Пользователя только в случае их заполнения и/или отправки Пользователем самостоятельно через специальные формы, расположенные на сайте https://mysite.ru . Заполняя соответствующие формы и/или отправляя свои персональные данные Оператору, Пользователь выражает свое согласие с данной Политикой.
2. Оператор обрабатывает обезличенные данные о Пользователе в случае, если это разрешено в настройках браузера Пользователя (включено сохранение файлов «cookie» и использование технологии JavaScript).

6. Порядок сбора, хранения, передачи и других видов обработки персональных данных

Безопасность персональных данных, которые обрабатываются Оператором, обеспечивается путем реализации правовых, организационных и технических мер, необходимых для выполнения в полном объеме требований действующего законодательства в области защиты персональных данных.

1. Оператор обеспечивает сохранность персональных данных и принимает все возможные меры, исключающие доступ к персональным данным неуполномоченных лиц.
2. Персональные данные Пользователя никогда, ни при каких условиях не будут переданы третьим лицам, за исключением случаев, связанных с исполнением действующего законодательства.
3. В случае выявления неточностей в персональных данных, Пользователь может актуализировать их самостоятельно, путем направления Оператору уведомление на адрес электронной почты Оператора policy@mysite.ru с пометкой «Актуализация персональных данных».
4. Срок обработки персональных данных является неограниченным. Пользователь может в любой момент отозвать свое согласие на обработку персональных данных, направив Оператору уведомление посредством электронной почты на электронный адрес Оператора policy@mysite.ru с пометкой «Отзыв согласия на обработку персональных данных».

7. Трансграничная передача персональных данных

1. Оператор до начала осуществления трансграничной передачи персональных данных обязан убедиться в том, что иностранным государством, на территорию которого предполагается осуществлять передачу персональных данных, обеспечивается надежная защита прав субъектов персональных данных.
2. Трансграничная передача персональных данных на территории иностранных государств, не отвечающих вышеуказанным требованиям, может осуществляться только в случае наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных и/или исполнения договора, стороной которого является субъект персональных данных.

Соглашение о конфиденциальности и обработке персональных данных

Июль 2017 все же заставил владельцев сайтов изрядно понервничать. Виной тому вступившие 01 июля 2017 года в силу поправки в статью 13.11 КоАП РФ (см. Федеральный закон от 07.02.2017 № 13-ФЗ «О внесении изменений в Кодекс Российской Федерации об административных правонарушениях»), ужесточающие административную ответственность за нарушение персональных данных.

Размер штрафов для предпринимателей варьируется в диапазоне от 5 тыс. руб. до 75 тыс. руб. Последняя цифра касается организаций, допустивших обработку персональных данных, не получив письменного согласия субъекта персональных данных.

Прежде чем бить тревогу и думать, что же делать и бросаться отключать на сайте формы для обратной связи, необходимо провести диагностику собственного сайта на предмет наличия или отсутствия документов, регулирующих отношения с пользователями, в том числе по вопросу обработки оставляемых ими данных, а также оценить их содержание с точки зрения прозрачности, полноты, непротиворечивости и достаточности.

Если не знаете, как это сделать правильно, и что должна включать в себя политика конфиденциальности, предлагаем обратить внимание на ключевые моменты.

Зачем нужна Политика конфиденциальности?

Думаем, что здесь ответ очевиден. Документ, регулирующий обработку персональных данных пользователей и размещаемый на сайте, является ни чем иным как правилами игры, которые устанавливает владелец сайта в отношениях с пользователями. Цель фиксации и размещения таких правил — снизить риски из законодательства о персональных данных, при необходимости дать отпор потребительскому экстремизму.

Как лучше назвать — оферта, соглашение об обработке персональных данных или политика конфиденциальности?

С юридической точки зрения название документа, регулирующего обработку персональных данных пользователей, не имеет значения. Остальное — дело вкуса каждого владельца сайта. Со своей стороны можем выделить название «политика конфиденциальности» из-за его емкости, повсеместного использования и понятности для пользователя.

Как лучше разместить — в виде отдельного документа или сделать частью оферты/пользовательского соглашения?

Здесь также нет обязательных правил и универсального шаблона. Можно отразить необходимые положения в отдельном документе или сделать частью, например, пользовательского соглашения.

Как правило, пользовательское соглашение содержит немало особенностей использования сайта, что влияет на объем документа. Включение в пользовательское соглашение еще и положений по обработке данных будет явно перегружать документ и усложнять его восприятие пользователем.

При размещении на сайте двух отдельных документов (например, политики конфиденциальности и пользовательского соглашения) рекомендуем проверить их на отсутствие противоречий друг другу, а также на наличие ссылок друг на друга.

Нужно ли помимо Политики конфиденциальности размещать также отдельную форму согласия на обработку персональных данных?

Здесь ответ прост. Если из Политики конфиденциальности очевидно следует согласие на обработку каких данных и с какой целью дает пользователь, то отдельная форма согласия будет явно лишней.

Как заставить правила работать?

Политика конфиденциальности это та же оферта (соглашение), только по вопросам, связанным с обработкой персональных денных пользователей. Для того, чтобы пользователь считался принявшим условия обработки его данных владельцем сайта, он должен акцептовать предложенные правила (принять, согласиться).

Таким акцептом могут быть:

проставление отметок в полях,

выполнение последовательности действий,

использование функционала сайта.

Рекомендуем не привязываться и не ограничиваться описанием одной формы акцепта, а использовать и фиксировать их совокупность, например, следующим образом:

«Пользователь дает своё согласие с положениями настоящей Политики конфиденциальности нажатием кнопки “Принять Политику конфиденциальности” или “Продолжить”, проставлением соответствующей отметки в поле при Регистрации, в том числе на любом этапе такой регистрации и (или) в любой момент пользования сайтом.»

Что включать в Политику конфиденциальности (далее также Политика)?

Универсального шаблона Политики конфиденциальности нет. В любом случае при составлении Политики конфиденциальности стоит учитывать специфику работы сайта, его назначение, функциональные возможности, круг пользователей, объем оставляемых ими данных.

Анализ действующего законодательства в сфере обработки персональных данных, а также собственный опыт, позволил нам сформулировать следующие рекомендации владельцам сайтов по содержанию Политики конфиденциальности:

По желанию включаем раздел с терминами и определениями — не является обязательным. Для удобства пользователя и унификации документов на сайте можно включить соответствующий раздел с понятиями и определениями, которые являются общими как для Политики конфиденциальности, так и для Пользовательского соглашения (например, «Политика конфиденциальности», «пользователь», «сайт», «владелец сайта», «личный кабинет» и др.).

Отсутствие такого раздела в Политике конфиденциальности не связано с рисками для владельца сайта.

Выделяем общие положения, где описываем:

предмет регулирования Политики (например, «регулирет порядок обработки персональных данных пользователей, в том числе с целью обеспечения безопасности обработки персональных данных пользователей, обеспечения их прав и интересов при обработке персональных данных»).

формы акцепта пользователя с условиями Политики и обработкой данных (пример приведен в п. 5 настоящей статьи).

место разрешения споров, вытекающих из Политики, с оговоркой (например, все возможные споры по поводу настоящей Политики конфиденциальности и отношений между пользователем и Администрацией сайта будут разрешаться по нормам российского права в суде по месту нахождения Администрации сайта, если иное прямо не предусмотрено законодательством РФ).

Оговорка необходима для соблюдения действующего законодательства, а указание на место рассмотрения споров по месту нахождения владельца сайта призвано оказывать скорее превентивный эффект на пользователя.

порядок изменения и обновления Политики (например, «Администрация сайта оставляет за собой право изменять и (или) дополнять настоящую Политику конфиденциальности без какого-либо специального уведомления. Новая редакция Политики конфиденциальности вступает в силу с момента ее размещения на странице сайта, если иное не предусмотрено новой редакцией Политики конфиденциальности. Действующая редакция Политики конфиденциальности всегда находится на странице сайта по адресу. »).

Стоит указать, что молчание пользователя расценивается как согласие с изменениями и (или) дополнениями Политики конфиденциальности.

отсутствие доступа к данным, которые пользователь оставляет на сайтах третьих лиц. Подобное может быть связано с оплатой пользователем услуг и предоставлением своих платежных данных.

В таком случае стоит четко указать, например, следующее: «пользователь признает и подтверждает, что любые данные (в том числе, реквизиты банковских карт), прямо или косвенно связанные с оплатой услуг и сервисов, размещаются Пользователем на страницах сайтов, принадлежащих третьим лицам, не имеющим отношения к Администрации сайта; Администрация сатйа не имеет доступа к таким сведениям, не осуществляет любых действий в отношении таких данных, включая их сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в т.ч. передача), обезличивание, блокирование, уничтожение, трансграничную передачу».

Фиксируем предоставление согласия на обработку персональных данных. Это просто «must have» любой политики конфиденциальности. Обязательно указываем, что давая согласие, пользователь действует своей волей и в своем интересе. Согласие дается пользователем с момента регистрации на сайте и (или) совершения иных действий, связанных с использованием сервисов или возможностей сайта.

Указываем на цель предоставления согласия. Здесь возможны одновременно несколько вариантов:

для целей заключения с Администрацией сайта соглашения, иных договоров, прямо предусмотренных Политикой, иных соглашений, размещенных на страницах сайта, и их дальнейшего исполнения,

участия в проводимых акциях, принятия решений или совершения иных действий, порождающих юридические последствия в отношении пользователя или других лиц,

для принятия, обработки запросов;

информирования о состоянии запроса, услугах, например, посредством электронных и SMS- уведомлений;

улучшения качества работы сайта;

проведения статистических и иных исследований на основе обезличенных данных.

Ключевым является первый вариант с указанием на предоставление данных с целью заключения с Администрацией сайта соглашений и их исполнения. Этот вариант при возникновении проблем с Роскомнадзором позволит объяснить отсутствие согласия на обработку персональных данных «на бумаге», а также ненаправление владельцем сайта уведомления в Роскомнадзор.

Описываем состав персональных данных. Помним, что не все данные о пользователе являются персональными. К персональным относится такая совокупность данных, которая позволяет идентифицировать пользователя, например, ФИО и адрес места жительства.

Можно указать, что согласие распространяется на фамилию, имя, отчество, адрес, номер телефона и любую иную информацию, относящуюся к личности пользователя, доступную либо известную в любой конкретный момент времени Администрации сайта.

Указываем срок, на который предоставляется согласие. Может быть описан такой вариант — согласие дается пользователем до истечения сроков хранения соответствующей информации или документов, содержащих вышеуказанную информацию, определяемых в соответствии с законодательством РФ, после чего оно может быть отозвано пользователем путем направления соответствующего письменного уведомления Администрации не менее чем за 3 месяца до момента отзыва согласия.

Фиксируем объем возможных действий по обработке. Здесь исходим из того, что чем больше описано возможных действий с данными, тем лучше. Можно описать так: согласие предоставляется на осуществление любых действий в отношении персональных данных, которые необходимы или желаемы для достижения указанных выше целей, включая, без ограничения: сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в т.ч. передача), обезличивание, блокирование, уничтожение, трансграничную передачу персональных данных, а также осуществление любых иных действий с персональными данными пользователя с учетом действующего законодательства РФ.

Указываем способы обработки данных. Можно указать следующие: хранение, запись на электронные носители и их хранение, составление перечней. Отдельно стоит отметить, что указанный перечень способов обработки не является исчерпывающим.

Включаем право на раскрытие третьим лицам. Стоит зафиксировать право Администрации сайта по передаче данных третьим лицам для достижения указанных в Политике целей, а также согласие пользователя на подобное.

Определяем порядок направления юридически значимых сообщений. Для регулирования потока входящих от пользователей обращений по вопросам обработки данных стоит усложнить процедуру взаимодействия с Администрацией сайта. Сделать это можно путем определения письменной формы для таких обращений, а также способа их представления — направление на указанный на сайте почтовый адрес и/или с курьером. Дополнительно стоит указать, что в противном случае, обращения и уведомления пользователя могут остаться без рассмотрения.

Надеемся, что приведенный выше «чек-лист» будет полезным не только для составления политики конфиденциальности «с нуля», но и для осознанной проверки уже имеющегося документа с его последующей доработкой.

Помним, что правильное и должным образом проработанное документальное оформление отношений по обработке персональных данных пользователей в последующем позволит минимизировать риски и избежать привлечения к ответственности.

Политика конфиденциальности

Настоящая Политика конфиденциальности регулирует порядок обработки и использования персональных и иных данных портала https://myfin.by (далее — Myfin.by).

Целью настоящей Политики является обеспечение надлежащей защиты информации о Пользователях, в том числе их персональных данных, от несанкционированного доступа и разглашения.

Отношения, связанные со сбором, хранением, распространением и защитой информации предоставляемой Пользователем, регулируются настоящей Политикой, иными официальными документами и действующим законодательством Республики Беларусь.

Используя Сайт и Сервисы Пользователь выражает свое полное согласие с условиями настоящей Политики.

В случае несогласия Пользователя с условиями настоящей Политики использование Сайта и/или каких-либо Сервисов доступных при использовании Сайта должно быть немедленно прекращено.

1. Термины

1.1. Сайт — сайт, расположенный в сети Интернет по адресу https://myfin.by.

1.2. Пользователь — лицо использующее Сайт.

1.3. Законодательство — действующее законодательство Республики Беларусь.

1.4. Персональные данные — персональные данные Пользователя, которые Пользователь предоставляет о себе самостоятельно или в процессе использования функционала Сайта.

1.5. Данные — иные данные о Пользователе (не входящие в понятие Персональных данных).

1.6. Услуга(и) — услуги, предоставляемые Myfin.by.

2. Сбор и обработка персональных данных

2.1. Myfin.by собирает и хранит только те Персональные данные, которые необходимы для оказания Услуг Myfin.by и взаимодействия с Пользователем.

2.2. Персональные данные могут использоваться в следующих целях:

2.2.1 оказание Услуг Пользователю, в том числе в целях получения Пользователем таргетированной рекламы;

2.2.2 идентификация Пользователя;

2.2.3 взаимодействие с Пользователем;

2.2.4 направление Пользователю рекламных материалов, информации и запросов;

2.2.5 проведение статистических и иных исследований;

2.3. Myfin.by в том числе обрабатывает следующие данные:

2.3.1 фамилия, имя и отчество;

2.3.2 адрес электронной почты;

2.3.3 номер мобильного телефона;

2.3.5 данные, которые автоматически передаются Сервисам в процессе их использования с помощью установленного на устройстве Пользователя программного обеспечения, в том числе IP-адрес, информация из cookie, информация о браузере пользователя (или иной программе, с помощью которой осуществляется доступ к Сервисам), время доступа, адрес запрашиваемой страницы.

2.4. Пользователю запрещается указывать на Сайте персональные данные третьих лиц.

3. Порядок обработки персональных и иных данных

3.1. Myfin.by обязуется использовать Персональные данные в соответствии с действующим законодательством Республики Беларусь.

3.2. В отношении Персональных данных и иных Данных Пользователя сохраняется их конфиденциальность, кроме случаев, когда указанные данные являются общедоступными.

3.3. Myfin.by имеет право сохранять архивную копию Персональных данных и Данных.

3.4. Myfin.by имеет право передавать Персональные данные и Данные Пользователя без согласия Пользователя следующим лицам:

3.4.1 государственным органам, в том числе органам дознания и следствия, и органам местного самоуправления по их мотивированному запросу;

3.4.2 партнерам Myfin.by;

3.4.3 в иных случаях, прямо предусмотренных действующим законодательством РБ.

3.5. Myfin.by имеет право передавать Персональные данные и Данные третьим лицам, не указанным в п. 3.4. настоящей Политики конфиденциальности, в следующих случаях:

3.5.1 Пользователь выразил свое согласие на такие действия;

3.5.2 передача необходима в рамках использования Пользователем Сайта или оказания Услуг Пользователю;

3.5.3 передача происходит в рамках продажи или иной передачи бизнеса (полностью или в части), при этом к приобретателю переходят все обязательства по соблюдению условий настоящей Политики.

3.6. Myfin.by осуществляет автоматизированную обработку Персональных данных и Данных.

Форма согласия потенциальных клиентов Заказчика на обработку их персональных данных

Оформляя настоящую заявку на банковский продукт ЗАО «МТБанк», Вы как потенциальный клиент ЗАО «МТБанк» (далее – Клиент), даете согласие:

1.1. На обработку своих персональных данных, включая сбор, систематизацию, накопление, хранение, обработку, уточнение (обновление, изменение), сопоставление, использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение, трансграничную передачу персональных данных, а также осуществление любых иных действий с персональными данными с учетом действующего законодательства, в том числе на передачу персональных данных Клиента и сведений о заключаемом договоре на банковский продукт ЗАО «МТБанк» (далее – Договор), его условиях и исполнении обязательств Клиентом по нему третьим лицам, привлекаемым Банком для:

• выполнения звонков Клиенту,
• направления рекламных предложений ЗАО «МТБанк», а также выполнения иных не противоправных действий, направленных на исполнение Клиентом обязательств по Договору и/или оценку вероятности их исполнения (включая оценку правоспособности и кредитоспособности Клиента).

1.2. На получение рекламных предложений от ЗАО «МТБанк».

1.3. На обработку информации, указанной выше и переданной третьим лицам, а также информации о Клиенте (включая персональные данные), имеющейся в распоряжении третьих лиц, и получение Банком информации о Клиенте от третьих лиц с правом ее дальнейшей обработки согласно п.1.1. настоящего согласия.

1.4. На осуществление аудиозаписи телефонных переговоров, и на использование данных материалов в качестве доказательств в случае возникновения спора.

Настоящее согласие действует до момента его отзыва Клиентом путем направления соответствующего письменного уведомления ЗАО «МТБанк» по следующему адресу электронной почты: consent@mtbank.by

4. Защита персональных данных

4.1. Myfin.by осуществляет надлежащую защиту Персональных и иных данных в соответствии с Законодательством и принимает необходимые и достаточные организационные и технические меры для защиты Персональных данных.

4.2. Применяемые меры защиты в том числе позволяют защитить Персональные данные от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий с ними третьих лиц.

5. Иные положения

5.1. К настоящей Политике конфиденциальности и отношениям между Пользователем и Myfin.by, возникающим в связи с применением Политики конфиденциальности, подлежит применению право Республики Беларусь.

5.2. Все возможные споры, вытекающие из настоящего Соглашения, подлежат разрешению в соответствии с действующим законодательством по месту регистрации Myfin.by.

Перед обращением в суд Пользователь должен соблюсти обязательный досудебный порядок и направить Myfin.by соответствующую претензию в письменном виде. Срок ответа на претензию составляет 30 (тридцать) рабочих дней.

5.3. Если по тем или иным причинам одно или несколько положений Политики конфиденциальности будут признаны недействительными или не имеющими юридической силы, это не оказывает влияния на действительность или применимость остальных положений Политики конфиденциальности.

Кому нужна политика конфиденциальности на сайте и как ее разработать

Время чтения: 6 минут Нет времени читать? Нет времени?

Поправки к закону «О персональных данных», увеличившие штрафы за отдельные нарушения до 75 тыс. руб., взбудоражили интернет-сообщество. Хотя сам нормативный акт существует уже 12 лет, приводить свои ресурсы в соответствие с его требованиями владельцы сайтов начали только год назад — вместе со штрафами возросло и количество проверок.

Мы надеемся, что за год большинство вебмастеров уже внедрили все необходимые изменения и могут спать спокойно. Но новые ресурсы появляются каждый день, а значит вопрос остается актуальным. Разберемся, кому без политики конфиденциальности не обойтись и как реализовать ее на своем ресурсе.

Кому нужна политика конфиденциальности на сайте

Закон обязывает публиковать политику конфиденциальности только операторов персональных данных. Чтобы понять, нужен ли такой документ на вашем сайте, сначала надо разобраться, что это за данные и кто такие операторы.

Первому понятию 152-ФЗ дает такое определение:

Персональные данные — любая информация, относящаяся прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Точного перечня в законе нет, но исходя из определения, можно сделать вывод, что персональными можно считать все данные, которые относятся к конкретному человеку и позволяют его идентифицировать. Также в тексте встречаются понятия общие, специальные и биометрические данные.

С операторами все проще — это любой человек, компания или государственный орган, который собирает, хранит, обрабатывает и совершает другие действия с персональными данными. Владельца интернет-ресурса можно отнести к операторам, если на сайте есть формы заказа, комментариев, регистрации и обратной связи, в которые человек вводит имя, фамилию, электронный адрес, номер телефона и т. д.

Если при отправке комментария от пользователя требуют только имя или никнейм, политика конфиденциальности не нужна, так как по такой информации идентифицировать человека невозможно.

Как составить текст политики конфиденциальности

Утвержденной законом формы нет. Но есть перечень сведений, которые обязательно прописывать в документе.

• На каком основании и с какой целью вы собираете персональные данные.
• Ваши наименование, контактные данные и адрес.
• Сведения о том, кто обрабатывает данные, если этим занимается другая компания, а также о третьих лицах, у которых есть доступ к ним.
• Какие данные обрабатываете и из каких источников получаете, включая файлы cookie.
• Сроки обработки и хранения персональных данных.
• Каким образом вы соблюдаете права субъекта, предусмотренные законом «О персональных данных».
• Информация о том, что вы передаете данные за пределы России.

Всю эту информацию можно изложить в свободной форме. Главное — чтобы документ содержал все сведения, которые требует закон, а также понятно разъяснял пользователю, что происходит с его персональными данными, как вы можете их использовать и что делаете, чтобы защитить его право на неприкосновенность частной жизни и личную тайну.

Копировать политику конфиденциальности с других сайтов не стоит. Как минимум, нужно адаптировать текст под свои условия обработки данных.

Называться на сайте документ может по-разному: политика в отношении персональных данных, политика конфиденциальности, пользовательское соглашение и т. д. Сути это не меняет и нарушением не считается.

Как оформить документ и разместить на сайте

Единственное требование законодательства в этом плане, чтобы субъекты персональных данных имели свободный и неограниченный доступ к политике конфиденциальности. В остальном владелец сайт волен сам решать, как лучше реализовать ее на сайте.

Обычно документ публикуют на отдельной странице и обеспечивают доступ в один клик с любой другой. Ссылки на политику конфиденциальности стоит разместить рядом с формами, где пользователь дает согласие на обработку. Также сноску на документы зачастую размещают в подвале или верхнем меню сайта.

Флажок «Согласие на обработку персональных данных» рядом с формами тоже обязателен. Согласно закону, собирать и обрабатывать информацию о пользователях можно только с их согласия, за исключением нескольких случаев, которые к сайтам не относятся. Более того, в случае проверки владелец ресурса должен иметь возможность доказать, что согласие было.

Соблюсти это требование на конструкторах и популярных CMS несложно — большинство разработчиков быстро среагировали и добавили такую возможность в свои продукты.

Для WordPress появились новые плагины:

• Бесплатный — «Политика конфиденциальности для сайта. Согласие под формами Contact-Form 7».
• Платный — Privacy Policy, цена вопроса: 700-2500 руб., в зависимости от приоритетности техподдержки и количества сайтов.

Оба плагина соответствуют требованиям 152-ФЗ и схожи по функционалу:

• автоматически добавляют галочки к формам комментариев и тем, что созданы с помощью плагина «Контакт Форм 7»;
• позволяют создать и настроить страницу с политикой конфиденциальности;
• показывают оповещение об использовании cookies;
• настроить текст для флажка согласия на обработку;
• задать установку этой галочки по умолчанию, хотя делать этого все же не стоит — пользователь должен дать согласие, а значит отметить чекбокс сам;
• запретить отправку формы без нее.

Есть еще старые плагины, в том числе англоязычные, с помощью которых добавляются флажки для подписки на рассылку, принятия пользовательского соглашения и т. д. Однако новые продукты разрабатывались специально для соблюдения 152-ФЗ и настроить их под эти цели будет проще.