Политика конфиденциальности

Попробуйте UniSender бесплатно

Блочный редактор писем, готовые шаблоны email, формы подписки и автоматизация. Запускайте email-рассылки, чтобы быть на связи со своими клиентами.

Попробовать

Новые статьи у вас на почте

Как развиваться в диджитале. Актуальные каналы и инструменты, успешные кейсы, мнения экспертов.

Политика конфиденциальности

Читайте наc в Telegram

Разбираемся, что происходит в мире рассылок и digital-маркетинга. Публикуем анонсы статей, обзоры, подборки, мнения экспертов.

Смотреть канал

Политика конфиденциальности — документ, который обязаны размещать у себя на сайте все, кто собирают и обрабатывают персональные данные пользователей.

Если этого документа нет или ему не следуют, можно получить штраф или даже блокировку.

Прежде чем говорить о политике конфиденциальности, важно понять, что в этой теме есть три важных понятия: оператор, субъект и персональные данные.

Оператор — человек, индивидуальный предприниматель или компания, которые собирают личные данные пользователей.

Субъект — человек, персональные данные которого собирает оператор. То есть пользователь, который зашел на сайт и решил, например, оставить заявку.

Персональные данные — это любая информация о пользователе, которая помогает его опознать. Например:

  • фамилия и имя,
  • телефон,
  • email,
  • домашний адрес,
  • фото,
  • дата рождения,
  • ссылки на профили в соцсетях.

А политика конфиденциальности — это документ, в котором оператор рассказывает, как и зачем он использует персональные данные своих субъектов (пользователей).

Кстати, политику конфиденциальности могут называть по-разному:

  • пользовательское соглашение,
  • положение об обработке персональных данных,
  • политика обработки данных для сайта,
  • политика приватности,
  • политика защиты персональных данных,
  • privacy policy.

Политика конфиденциальности

Вот так политика конфиденциальности называется на сайте КонсультантПлюс

На сайте есть формы для сбора контактов. Например, люди регистрируются, оставляют обратную связь, подписываются на рассылку или оформляют корзину — во всех эти случаях пользователи заполняют формы и передают свои персональные данные.

На сайте используют cookies. Это маленькие текстовые файлы, в которых хранится информация о посетителе сайта и его действиях. Например, логин, пароль, язык, время посещения, просмотренные страницы. В Словаре есть подробный материал о том, что такое cookies.

Кому нужна политика конфиденциальности на сайте и как ее разработать

Разберемся, кому без политики конфиденциальности не обойтись и как реализовать ее на своем ресурсе.

Кому нужна политика конфиденциальности на сайте

Закон обязывает публиковать политику конфиденциальности только операторов персональных данных. Чтобы понять, нужен ли такой документ на вашем сайте, сначала надо разобраться, что это за данные и кто такие операторы.

Первому понятию 152-ФЗ дает такое определение:

Персональные данные — любая информация, относящаяся прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Точного перечня в законе нет, но исходя из определения, можно сделать вывод, что персональными можно считать все данные, которые относятся к конкретному человеку и позволяют его идентифицировать. Также в тексте встречаются понятия общие, специальные и биометрические данные.

Политика конфиденциальности

С операторами все проще — это любой человек, компания или государственный орган, который собирает, хранит, обрабатывает и совершает другие действия с персональными данными. Владельца интернет-ресурса можно отнести к операторам, если на сайте есть формы заказа, комментариев, регистрации и обратной связи, в которые человек вводит имя, фамилию, электронный адрес, номер телефона и т. д.

Если при отправке от пользователя требуют только имя или никнейм, политика конфиденциальности не нужна, так как по такой информации идентифицировать человека невозможно.

Разрабатываем и продвигаем сайты Подробнее

Как составить текст политики конфиденциальности

Утвержденной законом формы нет. Но есть перечень сведений, которые обязательно прописывать в документе.

  • На каком основании и с какой целью вы собираете персональные данные.
  • Ваши наименование, контактные данные и адрес.
  • Сведения о том, кто обрабатывает данные, если этим занимается другая компания, а также о третьих лицах, у которых есть доступ к ним.
  • Какие данные обрабатываете и из каких источников получаете, включая файлы cookie.
  • Сроки обработки и хранения персональных данных.
  • Каким образом вы соблюдаете права субъекта, предусмотренные законом «О персональных данных».
  • Информация о том, что вы передаете данные за пределы России.

Всю эту информацию можно изложить в свободной форме. Главное — чтобы документ содержал все сведения, которые требует закон, а также понятно разъяснял пользователю, что происходит с его персональными данными, как вы можете их использовать и что делаете, чтобы защитить его право на неприкосновенность частной жизни и личную тайну.

Копировать политику конфиденциальности с других сайтов не стоит. Как минимум, нужно адаптировать текст под свои условия обработки данных.

Называться на сайте документ может по-разному: политика в отношении персональных данных, политика конфиденциальности, пользовательское соглашение и т. д. Сути это не меняет и нарушением не считается.

Как оформить документ и разместить на сайте

Единственное требование законодательства в этом плане, чтобы субъекты персональных данных имели свободный и неограниченный доступ к политике конфиденциальности. В остальном владелец сайт волен сам решать, как лучше реализовать ее на сайте.

Обычно документ публикуют на отдельной странице и обеспечивают доступ в один клик с любой другой. Ссылки на политику конфиденциальности стоит разместить рядом с формами, где пользователь дает согласие на обработку. Также сноску на документы зачастую размещают в подвале или верхнем меню сайта.

Флажок «Согласие на обработку персональных данных» рядом с формами тоже обязателен. Согласно закону, собирать и обрабатывать информацию о пользователях можно только с их согласия, за исключением нескольких случаев, которые к сайтам не относятся. Более того, в случае проверки владелец ресурса должен иметь возможность доказать, что согласие было.

Соблюсти это требование на конструкторах и популярных CMS несложно — большинство разработчиков быстро среагировали и добавили такую возможность в свои продукты.

Для WordPress есть специальный плагин — «Политика конфиденциальности для сайта. Согласие под формами Contact-Form 7».

Он соответствует требованиям 152-ФЗ и позволяет :

  • автоматически добавлять галочки к формам комментариев и тем, что созданы с помощью плагина «Контакт Форм 7»;
  • создать и настроить страницу с политикой конфиденциальности;
  • настроить оповещение об использовании cookies;
  • настроить текст для флажка согласия на обработку;
  • задать установку этой галочки по умолчанию, хотя делать этого все же не стоит — пользователь должен дать согласие, а значит отметить чекбокс сам;
  • запретить отправку формы без нее.

Есть еще старые плагины, в том числе англоязычные, с помощью которых добавляются флажки для подписки на рассылку, принятия пользовательского соглашения и т. д. Однако новые продукты разрабатывались специально для соблюдения 152-ФЗ и настроить их под эти цели будет проще.

Напоследок еще несколько требований, о которых не стоит забывать

  • Нельзя собирать больше данных, чем нужно для достижения целей, прописанных в политике конфиденциальности.
  • Нельзя хранить и обрабатывать данные с использованием баз данных, размещенных на иностранных серверах.
  • Прежде чем начать собирать персональные данные, об этом нужно уведомить Роскомнадзор в бумажной или электронной форме. Перечень сведений есть в ст. 22 152-ФЗ.
  • Чтобы делегировать обработку персональных данных другим юридическим или физическим лицам, нужно заключить договор.
  • Оператор персональных данных обязан обеспечить их безопасность с помощью организационных, правовых и технических мер — инструктировать сотрудников, разработать локальные акты, обеспечить надежную защиту баз данных, исключающую утечку информации и доступ третьих лиц.

Народная Политика конфиденциальности

Политика конфиденциальности

По многочисленным просьбам трудящихся вебмастеров и владельцев сайтов мы опубликовали бесплатный образец Политики конфиденциальности для сайтов с формой обратной связи, подписки или заказа звонка.

Решились на такой шаг, потому что данная форма Политики не предусматривает обработку персональных данных, и в результате не предполагает большой вариативности решения. Важно помнить, что она не подходит для сайтов, на которых обрабатываются ПДн. Например, интернет-магазины и прочие сервисы, на которых помимо номера телефона или email пользователем дополнительно предоставляются иные сведения о себе, требуют большего внимания к вопросам обработки персональных данных.

Поэтому мы подумали над вариантами составления «народной» Политики конфиденциальности с обработкой ПДн. Простым шаблоном здесь не обойдешься. Взяли за основу вышедшие в 2017 году Рекомендации Роскомнадзора (далее – «Рекомендации») по составлению документа, определяющего политику оператора в отношении обработки персональных данных (далее – «Политика). Дополнили ее живыми примерами.

Смотрим, что получилось.

Пролистываем первые 2 раздела Рекомендаций в связи с их бессодержательностью В разделе 1 Роскомнадзора заявляет, что Рекомендации разработаны в целях выработки унифицированных подходов к структуре и форме Политики. Охотно верим и следуем пожеланиям ведомства для облегчения дальнейшей работы с ревизорами. В разделе 2 процитированы основные понятия из ФЗ «О персональных данных». Пропускаем за ненадобностью. При желании в Политику лучше ввести собственные термины, уточняющие легальные. В разделе 3 наконец пошли долгожданные советы по структуре и наполнению Политики. Остановимся на них подробно.

Читайте также:  Где самая горячая часть пламени

1. Общие положения Политики

В указанном разделе рекомендуется описать назначение Политики, а также включить основные понятия, используемые в ней (обработка персональных данных, оператор, субъект персональных данных, конфиденциальность персональных данных и т.д.), перечислить основные права и обязанности оператора и субъекта (ов) персональных данных.

По задумке авторов Рекомендаций Политика, как любой серьезный документ, должна иметь внушительные размеры, чтоб все прониклись уважением и трепетали от одного ее упоминания.

Итак, начнем с определений. Чтоб не повторять ФЗ 152, предлагаем делать отсылки к конкретным пунктам и разделам Политики, которые конкретизируют используемые понятия.

Ниже приведен пример с терминами и определениями Политики конфиденциальности для интернет-магазина.

1.1. В настоящем документе и вытекающих или связанных с ним отношениях Сторон применяются следующие термины и определения:

Персональные данные – предоставляемые субъектом персональных данных или его представителем данные, объем и состав которых указаны в п.Х.Х. Политики.

Администрация – ООО «Ромашка», ИНН ХХХ, ОГРН ХХХ, Адрес: ХХХХХ, в законном владении и/или управлении которого находится Сайт. В предусмотренных настоящей Политикой случаях Администрация выступает в качестве оператора персональных данных.

Пользователь – лицо, использующее Сайт в целях заключения и/или исполнения Договоров.

Договор – пользовательское соглашение использование Сайта, договор купли-продажи, договор поставки, договор перевозки и/или иное соглашение, предлагаемое к заключению и/или заключенное Пользователем на основании любой оферты, размещенной на Сайте.

Обработка персональных данных – действие (операция) или совокупность действий (операций) с персональными данными, перечисленные в п.Х.Х. Политики.

Сайт – автоматизированная информационная система, доступная в сети Интернет по сетевому адресу: /URL/.

1.2. В настоящей Политике используются термины и определения, предусмотренные Соглашением, а также иными заключаемыми с Пользователем Договорами, если иное не предусмотрено настоящей Политикой или не вытекает из ее существа. В иных случаях толкование применяемого в Политике термина производится в соответствии с действующим законодательством Российской Федерации, или обычаями делового оборота.

2. Цели сбора персональных данных

Согласно Рекомендациям, обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

Если нет желания вставать на учет в Роскомнадзоре и проходить последующие обязательные проверки, мы предлагаем связать все цели обработки ПДн с заключением и исполнением договоров.

Роль такого договора может выполнять Пользовательское соглашение, принимаемое всяким пользователем в начале использования Сайта, либо иное соглашение, предлагаемое владельцем Сайта.

В результате мы получаем достаточно стандартный набор целей:

  1. Заключение с пользователем договоров на использование или с использованием Сайта.
  2. Идентификация пользователя в рамках исполнения обязательств по заключенным с ним договорам.
  3. Исполнение обязательств по заключенным договорам, включая предоставление пользователю доступа к Сайту и технической поддержки, использование пользователем функциональных возможностей Сайта.
  4. Выставление счетов и возврат остатка денежных средств в случае расторжения заключенных с пользователем возмездных договоров.
  5. Нотификация в рамках информационного обслуживания, рассылок и улучшения качества обслуживания по заключенным Договорам, в том числе с привлечением третьих лиц.

3. Правовые основания обработки персональных данных

Согласно разъяснению Роскомнадзора, правовым основанием обработки персональных данных является совокупность правовых актов, во исполнение которых и в соответствии с которыми оператор осуществляет обработку персональных данных.

При наличии указанной выше связки в качестве правового основания обработки персональных данных могут быть указаны договоры, заключаемые между оператором и субъектом персональных данных.

Если ПДн обрабатываются в иных целях, в качестве основания необходимо указывать отдельное согласие на обработку персональных данных.

4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

Роскомнадзор предупреждает, что содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

С учетом данных рекомендаций Роскомнадзора указываем в Политике те сведения, персонального характера, которые вы собираете с использованием Сайта. В первую очередь приводим данные из полей онлайн-форм обратной связи, заказа, подписки и регистрации. Затем обращаем пристальное внимание на состав информации, вносимой пользователем при заполнении профиля в личном кабинете.

Дополнительно указываем данные, которые запрашиваются поддержкой или отделом продаж при оформлении или обработке заявок по телефону или в местах обслуживания.

5. Порядок и условия обработки персональных данных

В данном разделе Роскомнадзор рекомендует указывать перечень действий, совершаемых оператором с персональными данными субъектов, а также используемые оператором способы обработки персональных данных и сроки обработки персональных данных. Выбираем.

ФЗ 152 предусмотрен следующий перечень операций с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Способы обработки могут включать:

а) автоматизированную обработку персональных данных б) обработку персональных данных без использования средств автоматизации. Согласно определению, данному в ФЗ 152, автоматизированная обработка персональных данных представляет собой обработка персональных данных с помощью средств вычислительной техники. Казалось бы, что сюда попадают любые действия с ПДн, выполняемые с использованием вычислительной техники. Но не все так просто. Смотрим Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утверждено постановлением Правительства РФ от 15 сентября 2008 г. N 687. В п.1 указано, что обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее — персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека. Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее (п.2). Иными словами, если ПДн не используется, не уточняются, не распространяются и не уничтожаются в ИПДН вашего сайта в автоматическом режиме без участия человека, можно смело выбирать второй способ обработки — обработку персональных данных без использования средств автоматизации. Результатом этого простого действия будет легальный отказ от применения драконовских требований ФЗ 152 по обработке автоматизированной обработке ПНн в информационной системе.

В отношении сроков обработки ПДн предлагаем указывать как минимум срок действия договора, во исполнение которого запрашивались ПДн. Можно добавить к сроку действия договора 3 года исковой давности на защиту прав в связи с его исполнением.

Роскомнадзор напоминает, что при осуществлении хранения персональных данных оператор персональных данных обязан использовать базы данных, находящиеся на территории Российской Федерации, в соответствии с ч. 5 ст. 18 Федерального закона «О персональных данных». Отражать данный пункт в Политике не обязательно, поскольку он связан с фактическими обстоятельствами. Хотя для проформы можно включить в Политику декларативную статью об обработке ПДн на территории России.

Далее Роскомнадзор рекомендует указывать условия передачи персональных данных в адрес третьих лиц. Важный момент. Обычно данный перечень сводится к следующим основаниям передачи ПДн:

  • Пользователь выразил свое согласие на такие действия;
  • Передача требуется для заключения и исполнения договоров на или с использованием Сайта;
  • По запросу суда или иного уполномоченного государственного органа в рамках установленной законодательством процедуры
  • Для защиты прав и законных интересов в связи с нарушением заключенных с пользователем договоров.

В определенных пределах данный перечень можно расширить на случаи продажи Сайта или передачи ПДн в обезличенном виде. Помимо этого Роскомнадзор рекомендует указывать в данном разделе Политики сведения о соблюдении требований конфиденциальности персональных данных, установленных ст. 7 Федерального закона «О персональных данных», а также информацию о принятии оператором мер, предусмотренных ч. 2 ст. 18.1, ч. 1 ст. 19 Федерального закона «О персональных данных». На практике данные сведения сводятся к заявлению, что администрация Сайта осуществляет хранение Персональных данных и обеспечивает ее охрану от несанкционированного доступа и распространения в соответствии с внутренними правилами и регламентами.

6. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

Роскомнадзор рекомендует включить в Политику регламент(ы) реагирования на запросы/обращения субъектов персональных данных и их представителей, уполномоченных органов по поводу неточности персональных данных, неправомерности их обработки, отзыва согласия и доступа субъекта персональных данных к своим данным, а также соответствующие формы запросов/обращений. В таких случаях обычно указывают, что пользователь вправе в любой момент самостоятельно отредактировать в своем личном кабинете предоставленную им информацию. В случае прекращения заключенного договора, пользователь вправе удалить собственный личный кабинет самостоятельно либо обратившись в службу поддержки по адресу электронной почты ХХХ@ХХХ.ХХ. При желании можно ужесточить условия регламента обработки запросов на изменение/удаление ПДн, требуя от пользователя высылать ценные письма на ваш адрес в Бобруйске. Таковы основные Рекомендации в отношении формы и содержания Политики.

Читайте также:  Браширование древесины: методы, инструмент и оборудование, щетки

7. Обработка обезличенных данных

Заслуживает внимания тот факт, что Роскомнадзор, как всегда, обошел вопрос обработки не менее важных для пользователей данных, которые не считаются персональными. Речь идет об информации, собираемой на сайте в автоматическом режиме: cookie, IP, сведения об устройстве и месте его расположения, и т.п.

По всей видимости, Роскомнадзор упорно не хочет раскрывать состав ПДн даже методом исключения через сведения, не относящиеся к персональным. Однако на практике в Политику конфиденциальности принято включать уведомление и порядок обработки таких данных в целях наиболее полного информирования пользователя о последствиях использования сайта.

Ниже пример такого уведомления.

Политика конфиденциальности — Правовые документы. Помощь

19 мая 2022 г.

Текущая версия доступна по адресу: https://yandex.ru/legal/confidential.

Настоящая политика конфиденциальности (далее — Политика) действует в отношении всей информации, включая персональные данные в понимании применимого законодательства (далее — «Персональная информация»), которую ООО «ЯНДЕКС» и/или его аффилированные лица, в том числе входящие в одну группу с ООО «ЯНДЕКС» (далее — «Яндекс»), могут получить о Вас в процессе использования Вами любых сайтов, программ, продуктов и/или сервисов Яндекса (далее вместе — «Сервисы»), информацию о которых Вы можете найти на сайтах yandex.ru, yandex.com, yandex.by, yandex.kz, yandex.com.tr, yandex.co.il и других принадлежащих Яндексу сайтах (далее вместе — «Сайты»), а также в ходе исполнения Яндексом / его аффилированными лицами любых соглашений и договоров, заключенных с Вами в связи с использованием Вами Сервисов. Яндекс может также получать Персональную информацию от своих партнеров (далее — «Партнеры»), сайты, программы, продукты или сервисы которых Вы используете (например, от рекламодателей Яндекса или служб такси), из других источников с общедоступными персональными данными. В соответствующих случаях передача Персональной информации возможна только в случаях, установленных применимым законодательством, и осуществляется на основании специальных договоров между Яндексом и каждым из Партнеров.

Пожалуйста, обратите внимание, что использование любого из Сайтов и/или Сервисов может регулироваться дополнительными условиями, которые могут вносить в настоящую Политику изменения и/или дополнения, и/или иметь специальные условия в отношении персональной информации, размещенные в соответствующих разделах документов для таких Сайтов /или Сервисов.

Для обеспечения использования Вами Сайтов и Сервисов Ваша Персональная информация собирается и используется Яндексом, в том числе включая общество с ограниченной ответственностью «ЯНДЕКС», юридическое лицо, созданное по законодательству Российской Федерации и зарегистрированное по адресу: 119021, Россия, Москва, ул. Льва Толстого, д. 16 (ООО «ЯНДЕКС»), или его аффилированным лицом, предоставляющим соответствующий Сервис в иных юрисдикциях. С информацией о том, какое лицо предоставляет тот или иной Сервис, Вы можете ознакомиться в условиях использования соответствующего Сервиса.

Для пользователей (за исключением пользователей сервисов Yango, Yandex.

Taxi, Deli), находящихся на территории Европейской экономической зоны (ЕЭЗ) или Швейцарии, Яндекс представлен на территории ЕЭЗ и Швейцарии компанией Global DC Oy, юридическим лицом, созданным по законодательству Финляндии, зарегистрированным по адресу: Морееникату 6, 04600 Мянтсяля, Финляндия (Moreenikatu 6, 04600 Mäntsälä, Suomi).

Для пользователей, находящихся на территории Израиля, Яндекс представлен на территории компаниями Yandex.Go Israel Ltd, юридическим лицом, созданным по законодательству Израиля, зарегистрированным по адресу: 148 Menachem Begin St., Tel Aviv, Israel 6492104, Yango.Taxi Ltd.

, юридическим лицом, созданным по законодательству Израиля, зарегистрированным по адресу: 148 Menachem Begin St., Tel Aviv, Israel 6492104, и Yango Market Israel Ltd.

, юридическим лицом, созданным по законодательству Израиля, зарегистрированным по адресу: 114 Yigal Alon, Tel Aviv, Israel 6744320.

Защита Вашей Персональной информации и Вашей конфиденциальности чрезвычайно важны для Яндекса. Поэтому при использовании Вами Сайтов и Сервисов Яндекс защищает и обрабатывает Вашу Персональную информацию в строгом соответствии с применимым законодательством.

  • Следуя нашим обязанностям защищать Вашу Персональную информацию, в этой Политике мы хотели бы наиболее прозрачно проинформировать Вас о следующих моментах:
  • (a) зачем и как Яндекс собирает и использует («обрабатывает») Вашу Персональную информацию, когда Вы используете Сайты и/или Сервисы;
  • (b) какова роль и обязанности Яндекса как юридического лица, принимающего решение о том, зачем и как обрабатывать Вашу Персональную информацию;
  • (c) какие инструменты Вы можете использовать для сокращения объема собираемой Яндексом Персональной информации о Вас;
  • (d) каковы Ваши права в рамках проводимой обработки Персональной информации.

Персональная информация, собранная в процессе работы Сайтов и/или предоставления Сервисов, а также в процессе использования сайтов, программ, продуктов или сервисов Партнеров, может различаться в зависимости от того, используете Вы для доступа к ним Вашу учетную запись или нет.

В тех случаях, когда Вы осуществляете вход в свою учетную запись, Персональная информация, собранная о Вас Яндексом во время использования Вами Сайтов и Сервисов, может быть сопоставлена и связана с другой Персональной информацией, собранной Яндексом в рамках использования Вами Вашей учетной записи (например, данные о Вашей личности, контактные данные, возраст и пол, если они были предоставлены Яндексу). Яндекс не проверяет предоставленную Вами Персональную информацию за исключением случаев, предусмотренных пользовательским соглашением или условиями использования отдельных Сервисов, и не может судить о ее достоверности, а также о том, обладаете ли вы достаточной правоспособностью для предоставления Вашей Персональной информации. Тем не менее Яндекс исходит из того, что Вы предоставляете достоверную и достаточную Персональную информацию, а также своевременно обновляете ее.

  1. Яндекс может собирать следующие категории Персональной информации о Вас во время использования Вами Сайтов и Сервисов:
  2. (i) Персональная информация, предоставленная Вами при регистрации (создании учетной записи), такая как Ваше имя, номер телефона, адрес и возраст;
  3. (ii) электронные данные (HTTP-заголовки, IP-адрес, файлы cookie, веб-маяки/пиксельные теги, данные об идентификаторе браузера, информация об аппаратном и программном обеспечении, данные сети wi-fi);
  4. (iii) дата и время осуществления доступа к Сайтам и/или Сервисам;
  5. (iv) информация о Вашей активности во время использования Сайтов и/или Сервисов (например, история поисковых запросов, данные о покупках в Сервисах, данные о посещенных организациях, лайки и предпочтения, адреса электронной почты тех, с кем Вы ведете переписку, данные телефонной книги, информация о взаимодействии с другими пользователями, а также файлы и контент, хранящиеся в системах Яндекса);
  6. (v) информация о геолокации;
  7. (vi) иная информация о Вас, необходимая для обработки в соответствии с условиями, регулирующими использование конкретных Сайтов или Сервисов Яндекса;
  8. (vii) информация о Вас, которую мы получаем от наших Партнеров в соответствии с условиями соглашений, заключенных между Вами и соответствующим Партнером, и соглашений, заключенных между Яндексом и Партнером;
  9. (viii) данные Ваших платежных карт, иная платежная информация, предоставленная Вами, а также полученная от Партнеров или иных лиц, участвующих в проведении платежной операции с использованием Сайтов или Сервисов Яндекса и/или в связи с оказанием Яндексом платных услуг.

Также Яндекс использует файлы cookie и веб-маяки (включая пиксельные теги) для сбора Персональной информации и связывания такой личной информации с Вашим устройством и веб-браузером (см. раздел 11 настоящей Политики).

Яндекс не собирает целенаправленно чувствительную персональную информацию (такую как расовое происхождение, политические взгляды, информация о здоровье и биометрические данные), за исключением случаев, предусмотренных пользовательскими соглашениями отдельных Сервисов.

Тем не менее Вы можете самостоятельно предоставить их Яндексу, и в таком случае Яндекс будет обрабатывать их в рамках предоставления Вам Сервисов (например, если Вы задаете поисковые запросы, относящиеся к Вашему здоровью).

При этом Вы должны принимать во внимание, что Яндекс не может запросить Ваше согласие на такую обработку, поскольку не осведомлен заранее о потенциально чувствительном характере Персональной информации, которую Вы можете предоставить Яндексу.

Яндекс не собирает данные с целью составления «портрета» пользователя в той степени, при которой это может существенно повлиять на Ваши права и свободы в соответствии с применимым законодательством.

  • Яндекс не вправе обрабатывать Вашу Персональную информацию без достаточных на то правовых оснований. Поэтому Яндекс обрабатывает Вашу Персональную информацию только в том случае, если:
  • (i) обработка необходима для выполнения договоров между Вами и Яндексом, таких как Пользовательское соглашение сервисов Яндекса (https://yandex.ru/legal/rules) и условия предоставления отдельных Сервисов Яндекса, что также включает обеспечение работы Сайтов и Сервисов (например, предоставление Вам результатов поиска по Вашим поисковым запросам);
  • (ii) обработка необходима для соблюдения установленных законодательством обязательств;

(iii) когда это предусмотрено применимым законодательством, обработка необходима для обеспечения законных интересов Яндекса в случае, если такая обработка не оказывает существенного влияния на Ваши интересы, Ваши фундаментальные права и свободы. Обратите внимание, что при обработке Вашей персональной информации на указанном основании, Яндекс всегда будет стремиться поддерживать баланс между своими законными интересами и защитой Вашей конфиденциальности.

  1. Яндекс обрабатывает Вашу Персональную информацию для обеспечения своих законных интересов, например, в следующих случаях:
  2. (a) чтобы лучше понимать, как Вы взаимодействуете с нашими Сайтами и/или Сервисами;
  3. (b) чтобы совершенствовать, менять, персонализировать или иным образом улучшать Сайты и Сервисы в интересах всех пользователей;
Читайте также:  Неполярный электролитический конденсатор маркировка

(c) чтобы предлагать Вам другие продукты и сервисы Яндекса или других компаний, которые, по нашему мнению, могут Вас заинтересовать (т. е. показывать Вам рекламу, учитывающую Ваши интересы);

(iv) для конкретных целей либо в соответствии с требованием применимого законодательства мы можем запросить Ваше отдельное согласие на обработку Вашей Персональной информации. Для юрисдикций, где согласие признается отдельным правовым основанием, начало использования вами Сайтов и/или Сервисов Яндекс выражает Ваше согласие с такой обработкой.

Настоящим мы информируем Вас, а Вы подтверждаете, что у Вас нет никаких обязательств по предоставлению нам какой-либо Персональной информации при использовании Вами Сайтов или Услуг, и такое предоставление основано исключительно на Вашей свободной воле.

Вместе с тем Вы осознаете, что без предоставления Персональной информации мы не сможем предоставить Вам возможность воспользоваться Сервисами, а использование Вами Сайтов будет ограничено.

Яндекс всегда обрабатывает Вашу Персональную информацию в определенных целях и только ту Персональную информацию, которая имеет отношение к достижению таких целей. В частности, мы обрабатываем Вашу Персональную информацию для следующих целей:

(i) предоставление Вам доступа к Сайтам и/или Сервисам (в т. ч. предоставление результатов поиска в ответ на Ваши поисковые запросы с учетом Ваших предпочтений, истории поиска и другой Персональной информации о Вас, доступной Яндексу);

  • (ii) предоставление доступа к Вашей учетной записи, включая электронный почтовый ящик Яндекса и хранилище файлов, если Вы зарегистрированы в соответствующих Сервисах;
  • (iii) осуществление связи с Вами для направления Вам уведомлений, запросов и информации, относящейся к работе Сайтов и Сервисов, выполнения соглашений с Вами и обработки Ваших запросов и заявок;
  • (iv) персонализация рекламы и предложений с учетом Ваших предпочтений, истории поиска и другой Персональной информации о Вас, доступной Яндексу;
  • (v) повышение удобства использования Сайтов и Сервисов, в том числе для показа наиболее релевантных результатов поиска и предоставления более персонализированных Сайтов и Сервисов, а также для улучшения других продуктов, приложений и Сервисов Яндекса;
  • (vi) создание новых продуктов, утилит и предложений Яндекса;
  • (vii) защита Ваших прав и прав Яндекса;
  • (viii) сбор, обработка и представление статистических данных, больших данных и других исследований;
  • (ix) выявление угроз безопасности для Сайтов и Сервисов, пользователей, Яндекса и/или третьих лиц, в том числе проверка Вашей благонадежности при заключении договоров с использованием Сайтов и Сервисов;
  • (x) организация приема Ваших платежей, осуществления Вами оплаты товаров и услуг с использованием Сайтов и Сервисов.

Политика конфиденциальности

Большинство сайтов содержит раздел «Политика конфиденциальности». Это незаметная ссылка, которую обычно располагают в подвале страницы. Владельцы сайтов размещают её неслучайно: они защищают себя от штрафа и блокировки Роскомнадзором. Позаботьтесь о ней тоже, если на вашем сайте есть корзина или форма обратной связи.  

Персональные данные — любая информация о посетителе страницы, которая позволяет его опознать. Например, имя, возраст, телефон, электронная почта, домашний адрес, фотография. Закон 152-ФЗ запрещает собирать, хранить и обрабатывать эти данные без согласия человека.  За нарушения владельцев сайтов штрафуют по ст. 13.11 КоАП.

Штрафы для ИП и ООО:

  • — Нет политики конфиденциальности: для ИП — от 5000 до 10 000 рублей, для ООО — от 15 000 до 30 000 рублей.
  • — Владелец сайта отказался сообщить пользователю, какие данные о нём собраны и с какой целью: для ИП — от 10 000 до 15 000 рублей, для ООО — от 20 000 до 40 000 рублей;
  • — Владелец сайта не удалил персональные данные по требованию пользователя: для ИП — от 10 000 до 20 000 рублей, для ООО — от 25 000 до 45 000 рублей
  • — Персональные данные оказались у третьих лиц: для ИП — от 10 000 до 20 000 рублей, для ООО — от 25 000 до 50 000 рублей.
  • — Обработка персональных данных противоречит целям сбора: для ИП — от 5 000 до 10 000, для ООО — от 30 000 до 50 000 рублей.
  • — Персональные данные обрабатывают без согласия посетителя сайта: для ИП — от 10 000 до 20 000 рублей, для ООО — от 15 000 до 75 000 рублей.

Кто находит нарушения и как

Сайты проверяет Роскомнадзор. Самая популярная причина проверки — жалоба клиента. Плановые проверки тоже бывают, но к малому бизнесу с ними приходят редко.

Пример:

Владимир планирует семейное путешествие в Грецию. Он оставил свои контакты на сайте компании «Горящие туры». Ему перезвонили и предложили слишком дорогую путёвку, поэтому он отказался. На следующий день Владимир получил СМС: «Турция, Стамбул, 22-28 марта, 30 000 руб.

/чел, отель 5 звёзд, подробности на сайте». Подобные СМС доставали его до самого отпуска. Когда он вернулся из поездки, рассылка продолжилась. Он позвонил в ООО «Горящие туры» и попросил больше не писать ему.

На следующий день получил очередное СМС — и не выдержал, написал жалобу в Роскомнадзор.

Роскомнадзор заблокировал сайт на время проверки. Политики конфиденциальности на сайте не обнаружилось. Владелец «Горящих туров» получил два штрафа: за отсутствие политики конфиденциальности и отказ удалить данные пользователя. Он заплатил 75 000 рублей. 

  1. Какие термины используют в законе
  2. Знание терминов пригодится, если будете читать нормативно-правовые акты или другие статьи по теме.
  3. Операторы персональных данных — владельцы сайтов.

Операторы собирают, обрабатывают и хранят персональные данные. Все три действия важно прописать в политике конфиденциальности.

  1. Сбор информации — получение сведений о человеке. Например, при заполнении формы.
  2. Обработка информации — передача сведений. Например, курьеру сообщают номер телефона покупателя, чтобы доставить товар.
  3. Хранение информации — это когда её не удаляют сразу после получения.

Что такое политика конфиденциальности

Владелец сайта берёт у каждого посетителя согласие на сбор, обработку и хранение персональных данных. Подписывать документ на бумаге — затруднительно, из-за этого сайт растеряет всех посетителей. Поэтому есть способ проще — выложить на сайт специальный документ.

В политике конфиденциальности прописывают, какую информацию и с какой целью собирают. Сообщают также, какое действие считается согласием на обработку персональных данных. Например, оформление заказа или заполнение формы — ч. 2 ст. 18.1 152-ФЗ.

Как принять политику конфиденциальности

1. Составьте документ

Подготовьте политику конфиденциальности в виде отдельного документа. Также можно включить правила обработки персональных данных в пользовательское соглашение или договор-оферту, если работаете по ним.

  • Проще всего подготовить политику конфиденциальности при помощи специальных сервисов — например, конструктора Тильды.
  • Пример политики конфиденциальности
  • В документе отразите:

— Перечень персональных данных. Например, имя, адрес, телефон. Не забудьте перечислить файлы cookie — обезличенные данные о посетителях, которые собирают Яндекс.Метрика и Гугл.Аналитика.

— Цели сбора и обработки. Например, исполнение договора, создание рекламных акций, продвижение товаров, улучшение сайта.

— Срок хранения. Он должен соответствовать целям.

— Меры защиты персональных данных. Например, резервное копирование.

— Какое действие считать согласием пользователя. Например, проставление галочки, создание личного кабинета, заполнение формы.

2. Опубликуйте политику конфиденциальности на сайте

Пользователю должно быть понятно, на что он соглашается. Когда он заполняет форму или регистрируется, покажите ему ссылку на политику конфиденциальности. При заходе на сайт — предупредите, что обрабатываете файлы cookie. Обычно используют всплывающее окно с кнопкой «ок».

Опубликуйте документ в доступном месте. У посетителей должна быть возможность в любой момент ознакомиться с ним. Обычно политику конфиденциальности прячут в подвал, чтобы ссылка не отвлекала от содержания сайта.

3. Уведомите Роскомнадзор

Владельцы сайтов, которые собирают персональные данные, обязаны уведомлять Роскомнадзор. За отсутствие уведомления штрафуют по ст. 19.7 КоАП РФ: ИП — на сумму до 500 рублей, ООО — до 5000 рублей.

Роскомандзор необязательно уведомлять, только если:

  1. Пользователи сами выкладывают свои данные в открытый доступ. Например, пишут ФИО и телефон на площадке для объявлений.
  2. Пользователи отправляют только ФИО.
  3. Вы получаете персональные данные только для исполнения конкретного договора с клиентом. Например, на сайте киносалона открыта онлайн-запись на платную встречу с режиссером. Посетитель оставляет имя, телефон и электронную почту. После мероприятия эти данные удаляются.

Лучше всё равно подстраховаться: уведомление бесплатное. 

Форма уведомления

4. Назначьте ответственного за хранение персональных данных

Обычно ответственность возлагают на сотрудника, который работает с данными — кадровика, оператора колл-центра, менеджера продаж. Если вы ИП и работаете один — на самого себя.

5. Храните данные на серверах в России

Хранить персональные данные за пределами России запрещено по ст. 18 152-ФЗ. Если арендуете хранилище, узнайте, в какой стране расположены серверы.

????

Новым ИП — год Эльбы в подарок

Год онлайн-бухгалтерии на тарифе Премиум для ИП младше 3 месяцев

Попробовать бесплатно

Почему важно защищать персональные данные

Брать согласие с посетителей сайта — недостаточно. Важно не передавать сведения третьим лицам и физически защитить их от утечки. Установите пароли к компьютерам и серверам, где храните информацию. Ограничьте к ним доступ своих сотрудников без необходимости. Бумажные документы храните в сейфе.

Если персональные данные стали известны кому-то ещё — это плохо. Пострадавший имеет право пойти в суд и потребовать компенсацию за моральный вред по ст. 24 152-ФЗ.

Пример из судебной практики:

Мама Евгения взяла кредит. Рассчитаться по нему она не успела: умерла. На сына обрушились звонки от коллекторов. Он пошёл в суд и заявил, что не принимал наследство, поэтому не отвечает по долгам.

Что важно для нашей темы, Евгений добавил: банк передал коллекторам номер его телефона, а он не подписывал на это согласия. Суд встал на сторону Евгения. Банк выплатил ему компенсацию за моральный вред.

Апелляционное определение Хабаровского краевого суда № 33-2412/2013

Статья актуальна на  25.05.2022

Ссылка на основную публикацию
Для любых предложений по сайту: [email protected]