Что делать, если я обрабатываю ПД у себя на сайте?
Собирая информацию о пользователях, вы можете задаться вопросом: «Как обрабатывать ПД, чтобы избежать штрафных санкций?». Сущесвтует ряд условий обработки персональных данных для сайта. Вам необходимо:
- Установить защищённый протокол передачи персональных данных на сайте (SSL-сертификат). В выборе сертификата вам поможет хостинг-провайдер: например в REG.RU базовый SSL-сертификат можно получить даже бесплатно.
- Составить политику конфиденциальности и разместить её на сайте.
- Спрашивать согласие посетителей на обработку их ПД.
- Уведомить Роскомнадзор, что вы собираете персональные данные.
На всякий случай подчеркнём, что нужно выполнить все эти шаги. Пройдёмся по каждому из пунктов.
SSL-сертификат
SSL-сертификат — стандарт безопасности для обмена данными между сайтом и пользователем. Главное преимущество SSL-сертификата — зашифрованное соединение, которое защищает трафик, не давая перехватить его и использовать оставленные на сайте персональные данные в мошеннических целях.
Критически важно перейти на протокол SSL всем сайтам, где есть информация первой и второй категории (подробнее о категориях информации можно узнать здесь). Это, например, данные банковских карт, логины и пароли от аккаунтов, формы с указанием полного имени и адреса и прочее
Политика конфиденциальности
Составляя политику конфиденциальности, обратите внимание на принципы обработки персональных данных. В ней необходимо указать следующую информацию:
- Наименование оператора обработки персональных данных. Если сайт принадлежит ИП или просто физическому лицу — указать ФИО, если юридическому лицу — название компании и ИНН.
- Адрес оператора: юридический (для юридических лиц) или фактический (для физических лиц).
- Список собираемых данных: ФИО, почта, телефон, файлы-cookies, паспортные данные и другое. Список должен быть максимально полным и подробным.
- Цель сбора данных. Обязательно укажите, для чего будут использоваться ПД. Собирайте только необходимые данные.
- Сроки обработки данных. Персональные данные после их использования по назначению подлежат удалению. Их обработка возможна только в течение ограниченного времени.
- Факт привлечения третьих лиц к обработке данных. Сюда относятся также различные партнёрские программы, например партнёрская программа REG.RU. Если вы приводите новых клиентов в другую компанию, то она является третьим лицом, которое будет обрабатывать ПД.
- Свои контактные данные. В реквизитах политики конфиденциальности укажите контакты, по которым с вами можно связаться. Такая информация будет полезна для ваших клиентов, если они захотят удалить или изменить свои персональные данные.
- Меры обеспечения безопасности данных. Расскажите клиентам, что их персональные данные хранятся на защищённых серверах, располагающихся на территории России (да, по закону хранить данные российских граждан можно только на серверах, находящихся в РФ).
Посетители вашего сайта должны иметь возможность беспрепятственно ознакомиться с политикой конфиденциальности, поэтому мы советуем разместить её в футере каждой страницы.
Согласие на обработку персональных данных
В соответствии с законом «О персональных данных» пользователь должен самостоятельно решать, предоставлять ли вам свои данные, и давать согласие на их обработку. При этом согласие на обработку персональных данных должно быть конкретным, информированным и сознательным. Сделайте чекбокс с уведомлением о том, что клиент соглашается на обработку ПД и ознакомлен с политикой конфиденциальности (не забудьте дать на неё ссылку). Посетитель сайта должен самостоятельно поставить галочку в чекбоксе, и делать это за него мы не рекомендуем.
Но есть ряд случаев, когда согласие на обработку ПД можно получить и другим способом. К ним относится, например, подписание договора, одной из сторон которого является пользователь.
Уведомление Роскомнадзора
Закон «О персональных данных» гласит, что вам необходимо уведомить Роскомнадзор о сборе и обработке персональных данных посетителей вашего сайта. Сделать это можно через специальную форму.
Но есть и исключения, когда уведомлять Роскомнадзор не обязательно. Среди них, например, обработка общедоступной информации (то есть той, которую пользователь сделал доступной для неопределённого круга лиц, например данные о себе, опубликованные на личном сайте или в открытом профиле социальной сети) или данных, включающих в себя только ФИО.
Обработка cookies
3.1. Сookies представляют собой небольшие фрагменты данных, которые веб-сайты запрашивают у браузера, используемого на компьютере или мобильном устройстве Пользователя. Сookies хранятся локально на устройстве пользователя сети Интернет. Компания собирает и обрабатывает cookies в отношении Пользователей, посещающих Сервис.
В Сервисе Компании используются следующие типы файлов cookies:
• строго необходимые файлы cookies / технические файлы cookies: эти файлы cookies необходимы для работы сайта и предоставления Пользователю Сервисов; кроме всего прочего, они позволяют Компании идентифицировать аппаратное и программное обеспечение Пользователя, включая тип браузера;
• статистические / аналитические файлы cookies: эти файлы cookies позволяют распознавать пользователей, подсчитывать их количество и собирать информацию, такую как произведенные операции на сайтах, включая информацию о посещенных веб-страницах и контенте, который получает Пользователь;
• технические файлы cookies: эти файлы cookies собирают информацию о том, как пользователи взаимодействуют с сайтом, что позволяет выявлять ошибки и тестировать новые функции для повышения производительности Сервиса;
• функциональные файлы cookies: эти файлы cookies позволяют предоставлять определенные функции, чтобы облегчить использование сайтов, например, сохраняя предпочтения (такие как язык и местоположение);
• (сторонние) файлы отслеживания / рекламные файлы cookies: эти файлы cookies собирают информацию об источниках трафика, посещенных страницах и рекламе, отображенной у Пользователя. Они позволяют отображать рекламу, которая может заинтересовать Пользователя, на основе анализа информации, собранной о Пользователе. Они также используются в статистических и исследовательских целях.
3.2. Сookies обрабатываются Компанией исключительно с целью, которая указана в пункте 4.2 настоящей Политики, на условиях и в порядке, определенных настоящей Политикой, в частности на основании данных, полученных с помощью файлов cookies, Компания разрабатывает наиболее полезный функционал для Сервиса, доступный Пользователю, проводит статистические исследования, исправляет ошибки в Сервисе и тестирует новые функции для повышения производительности Сервиса, персонализирует и показывает наиболее релевантную для Пользователя информацию.
3.3. Информация, собранная с помощью файлов cookies, размещенных на устройстве Пользователя, может быть передана и доступна Компании и/или третьим лицам, указанным в пункте 4.4 настоящей Политики, а также компании, которая является владельцем сервиса веб-аналитики Яндекс.Метрика и/или другим аналогичным сервисам.
Сроки обработки Персональных данных
7.1. Обработка Персональных данных, предоставляемых Пользователем на Сайте, осуществляется в срок с момента публикации сообщения на Сайте и до удаления этого сообщения или до момента отзыва согласия, направленного Пользователем в адрес ООПД. Обработка Персональных данных, предоставляемых при Регистрации на Сайте или при заполнения Личного кабинета на Сайте, осуществляется с даты заполнения соответствующей формы на Сайте и до удаления Личного кабинета с Сайта.
7.2. Если иное не предусмотрено другими пунктами настоящей Политики конфиденциальности, то обработка Персональных данных осуществляется до получения ООПД от Пользователя запроса на уничтожение его Персональных данных или до достижения цели обработки Персональных данных.
7.3. Условием прекращения обработки Персональных данных может также являться истечение срока действия согласия или отзыв согласия Пользователя на обработку его Персональных данных, а также выявление неправомерной обработки Персональных данных.
7.4.
Срок обработки Персональных данных, полученных при оказании Услуг, составляет 1 год или до получения ООПД от Пользователя запроса на уничтожение его Персональных данных.
Ⅲ. Ограничение ответственности
1. Разработчик делает все возможное для соблюдения настоящей политики конфиденциальности, однако не может гарантировать сохранность информации в случае воздействия факторов, находящихся вне его влияния, результатом действия которых станет раскрытие информации. Вся размещенная на сайтах planado.ru и planadoapp.com информация представлена по принципу «как есть» без каких-либо гарантий. Разработчик не несет ответственности за неблагоприятные последствия, а также за любые убытки, причиненные вследствие ограничения доступа к сайту URL или вследствие посещения сайта и использования размещенной на нем информации.
2. Пользователь понимает и соглашается с тем, что:
2.1. Пользователь использует Сервис исключительно на свой риск. Сервис предоставляется без гарантии качества и по мере наличия. В наибольшей степени, допускаемой применимым законодательством, Разработчик отказывается от всех гарантий и условий в отношении оказываемых услуг, явных или подразумеваемых, включая, без ограничений, подразумеваемые гарантии и условия пригодности для конкретной цели и ненарушения прав третьих лиц.
2.2. Разработчик не гарантирует, что:
- настоящий Сервис удовлетворяет всем требованиям Пользователя;
- работа Сервиса будет бесперебойной, своевременной, безопасной и безошибочной;
- все ошибки в программном обеспечении или Сервисе будут исправлены.
2.3. Загрузка какого-либо материала с помощью настоящего Сервиса осуществляется по усмотрению Пользователя на его страх и риск, и Пользователь несет полную ответственность за любой ущерб, нанесенный его компьютеру или другому устройству, или потерю данных в результате загрузки или использования любого такого материала.
2.4. Никакие сведения или информация, как устная, так и письменная, полученная Пользователем от Сервиса или с помощью настоящего Сервиса, не создают никаких гарантий, кроме прямо указанных в настоящей Политике конфиденциальности.
2.5. Пользователь понимает и соглашается, что Разработчик, а также его должностные лица, сотрудники, агенты и правопреемники не несут перед Пользователями никакой ответственности за какие-либо прямые, косвенные, особые, случайные, последующие убытки и убытки, определяемые особыми обстоятельствами дела или присуждаемые в качестве наказания, включая среди прочего упущенную выгоду, утрату репутации, возможности использования данных или страхового покрытия и другие нематериальные убытки (даже если Разработчик был предупрежден о возможности таких убытков), возникшие в результате:
- использования или невозможности использования Сервиса;
- затрат на приобретение заменяющих услуг, потребность в которых возникла в результате получения данных, информации или услуг либо получения сообщений или выполнения транзакций с помощью или в рамках Сервиса;
- несанкционированного доступа, повреждения, изменения или потери содержимого, данных или переданных Пользователем материалов;
- заявлений или действий третьих лиц, осуществленных в рамках Сервиса или с его помощью, или третьих лиц, предоставляющих какие-либо услуги в связи с работой Сервиса;
- действий или бездействия Разработчика на основании учетных данных Пользователя, внесенных в них изменений и уведомлений, полученных под аккаунтом Пользователя;
- неспособности Пользователя обеспечить конфиденциальность паролей и прав доступа к его учетным данным;
- действий или бездействия третьих лиц при использовании Сервиса или интеграции с ним или предложении продуктов;
- каких-либо рекламных материалов или приобретения или использования Пользователем рекламируемых продуктов или услуг, или иных сторонних продуктов или услуг;
- любых других обстоятельств, связанных с Сервисом.
Подробные требования к содержанию согласия
Согласие должно включать в себя следующую информацию:
1) Фамилия, имя, отчество (при наличии) субъекта персональных данных.
2) Контактная информация (номер телефона, адрес электронной почты или почтовый адрес субъекта персональных данных)
3) Сведения об операторе персональных данных
Если оператором является юридическое лицо, то указывается: наименование, ИНН, ОГРН, а также адрес, указанный в ЕГРЮЛ
Если оператором является физическое лицо, то указывается: фамилия, имя, отчество (при наличии), место жительства или место пребывания.
Если оператором является индивидуальный предприниматель, то указывается: фамилия, имя, отчество (при наличии), ИНН, ОГРНИП. Адрес указывать не надо, как это следует из приказа, что странно. Я рекомендую указывать и адрес ИП.
4) Сведения об информационных ресурсах оператора, посредством которых будет осуществляться предоставление доступа неограниченному кругу лиц и иные действия с персональными данными субъекта персональных данных
5) Цель (цели) обработки персональных данных
Формулировки цели или целей обработки персональных данных должны соответствовать положениям законодательства Российской Федерации, устанавливающим функции, полномочия и обязанности оператора, и (или) документов, определяющих политику оператора в отношении обработки персональных данных, локальных актов по вопросам обработки персональных данных.
6) Категории и перечень персональных данных, на обработку которых дается согласие субъекта персональных данных
Заполнение соответствующего поля осуществляется применительно к конкретному субъекту персональных данных по следующему образцу:
- общие персональные данные (фамилия, имя, отчество (при наличии), год, месяц, дата рождения, место рождения, адрес, семейное положение, социальное положение, имущественное положение, образование, профессия, доходы, другая информация, относящаяся к субъекту персональных данных);
- специальные категории персональных данных (расовая, национальная принадлежности, политические взгляды, религиозные или философские убеждения, состояния здоровья, интимной жизни, сведения о судимости);
- биометрические персональные данные (ДНК, радужная оболочка глаз, дактилоскопическая информация, цветное цифровое фотографическое изображение лица, голос, фотоизображение рисунка вен ладони, полученного в диапазоне, близком к инфракрасному, и иные сведения).
Указание специальных категорий персональных данных и биометрических персональных данных допускается в случае предварительного получения оператором, осуществляющим обработку персональных данных, согласия на обработку персональных данных в соответствии с требованиями статей 9, 10, 11 Федерального закона от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
7) Категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты, а также перечень устанавливаемых условий и запретов
Указанное поле заполняется по желанию субъекта персональных данных без ограничений со стороны оператора, осуществляющего обработку персональных данных.
Условия и запреты предполагают ограничение или запрет осуществления оператором действий по распространению и (или) предоставлению персональных данных неограниченному или определенному кругу лиц соответственно.
Дополнительно в Согласии могут быть указаны условия, при которых полученные персональные данные могут передаваться оператором, осуществляющим обработку персональных данных, только по его внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников, либо с использованием информационно-телекоммуникационных сетей, либо без передачи полученных персональных данных.
8) Условия, при которых персональные данные могут передавать только по внутренней сети, обеспечивающей доступ к информации лишь для строго определенных сотрудников
9) Срок действия согласия
Должен быть отражен конкретный срок его действия: определенный период времени или дата окончания срока действия.
Не допускается указание на автоматическую пролонгацию срока действия Согласия, а также определение срока его действия путем установления бессрочного статуса или указания на событие, неизбежность наступления которого возможно в долгосрочной перспективе.
Ваши права
Вы не обязаны соглашаться на передачу нам и/или третьим лицам Ваших данных.
В случае Вашего отказа предоставить нам и/или третьим лицам Ваши данные, Вы не можете использовать Приложения, которые требует предоставления с Вашей стороны определенных данных.
При обработке Ваших данных в соответствии с настоящей Политикой, Вы имеете право отозвать согласие в любое время, не затрагивая правомерность обработки, выполненную до такого отзыва согласия.
Если у Вас есть вопросы, требования или пожелания, связанные с обработкой Ваших данных в соответствии с настоящей Политикой, Вы можете связаться с нами, используя контактную информацию из раздела 1.1. Политики.
Общие положения политики
1.1. Настоящая Политика является неотъемлемой частью Публичной оферты (далее – «Оферта»), размещенной и/или доступной в сети Интернет по адресу: http://_______ источник, а также иных заключаемых с Пользователем договоров, когда это прямо предусмотрено их условиями.
Пользователь должен быть ознакомлен с условиями использования его персональных данных до начала их обработки. Согласие пользователя на обработку его персональных данных должно быть конкретным, информированным и сознательным
Важно знать! В связи с этим Публичная оферта или Пользовательское соглашение, с которым пользователь знакомится при регистрации на сайте, должно содержать ссылку на Политику конфиденциальности. Однако, как показывает практика, надзорный орган при осуществлении проверки по вопросам соблюдения законодательства о персональных данных не проводит регистрацию на сайте
Обычно в протоколе осмотра отражается непосредственно процесс оформления заказа, в ходе которого на сайте заполняется форма с указанием персональных данных. В таком случае пользователю, как правило, не предлагается повторно ознакомиться с правилами обработки его персональных данных.
Поэтому необходимо обеспечить возможность ознакомления пользователя с Политикой конфиденциальности иным способом из любого раздела сайта в любой момент в после регистрации. Для этого ссылку на Политику конфиденциальности желательно разместить в подвале сайта.
Готовое решение для вашего бизнеса
Пакет документов для сайта
Документы для популярных моделей интернет-сервисов. Гарантия ограничения ответственности и налоговой чистоты.
Ознакомиться с решением
1.2. Заключая Соглашение вы свободно, своей волей и в своих интересах даете письменное согласие на следующие способы обработки своих персональных данных:
Здесь излагается конкретный перечень необходимых в рамках вашего сервиса способов обработки персональных данных пользователя. К таким способам, в частности, могут относиться: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Политика конфиденциальности это что?
Итак, перед тем, как представить Вам образец политики конфиденциальности для сайта, лендинга, хочу немного рассказать, что это такое. Ведь статью будут читать и новички, которые даже не слышали об этом, и те, кто слышал, но не знает что это. Для начала напомню, что в конце каждой подписной страницы (лендинга), продающей страницы в самом низу написано мелкими буквами «Политика конфиденциальности», либо «Пользовательское соглашение».
Думаю, Вы такую запись видели много раз, но вряд ли читали. Итак, политика конфиденциальности это юридический документ, который регламентирует право владельца блога, лендинга, сайта на сбор, хранение и обработку личных данных посетителей. Например, при сборе личных данных подписчиков.
Почему пользовательское соглашение для сайта, политика конфиденциальности так важны для нас? Всё дело в Федеральном законе № 152-ФЗ «О персональных данных» от 27 июля 2006 года. То есть если мы собираем персональные данные наших подписчиков, продаем им товары, то мы обязаны выполнять вышеуказанный федеральный закон.
Можно сказать, зачем мне это надо, я и так смогу вести свой блог. С одной стороны так, но с другой стороны все крупные представители рекламы и бизнеса в Интернете обязаны соблюдать закон. Их государство постоянно проверяет. По этой причине, невозможно будет разместить рекламу, например, Вконтакте, в Яндекс Директ, если у вас нет юридического документа, по имени пользовательское соглашение для сайта или политика конфиденциальности.
При покупке рекламы на подобных ресурсах, Вы просто не сможете пройти модерацию, Вы не сможете рекламировать свои инфопродукты, партнерские программы и так далее. Если сайт представляет юридическое лицо, то политика конфиденциальности для сайта (пользовательское соглашение) составляется юристами, а затем проходит экспертизу в сертифицированных органах. Кстати, это стоит определенных денег.
Как видим, политика конфиденциальности это серьёзный документ. Он обязательно у Вас должен быть, если Вы собираете подписчиков, если вы продаете товары и услуги. Я не юрист, но знаю, что пользовательское соглашение сайта, немного отличается от политики конфиденциальности.
В пользовательском соглашении для сайта прописываются условия продажи товара, условия возврата товара, авторское право, разрешение споров, защита персональных данных и условия предоставления услуг. Если Вы собираете только подписчиков, то Вам будет вполне достаточно гарантировать сохранность персональных данных, то есть иметь политику конфиденциальности лендинга (сайта). Итак, мы с Вами в этом вопросе разобрались, а теперь рассмотрим, где взять образец политики конфиденциальности для сайта?
Порядок и условия обработки персональных данных
В данном разделе Роскомнадзор рекомендует указывать перечень действий, совершаемых оператором с персональными данными субъектов, а также используемые оператором способы обработки персональных данных и сроки обработки персональных данных.
Выбираем. ФЗ 152 предусмотрен следующий перечень операций с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Способы обработки могут включать:
а) автоматизированную обработку персональных данных
б) обработку персональных данных без использования средств автоматизации.
Согласно определению, данному в ФЗ 152, автоматизированная обработка персональных данных представляет собой обработка персональных данных с помощью средств вычислительной техники.
Казалось бы, что сюда попадают любые действия с ПДн, выполняемые с использованием вычислительной техники. Но не все так просто. Смотрим Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утверждено постановлением Правительства РФ от 15 сентября 2008 г. N 687.
В п.1 указано, что обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее — персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее (п.2).
Иными словами, если ПДн не используется, не уточняются, не распространяются и не уничтожаются в ИПДН вашего сайта в автоматическом режиме без участия человека, можно смело выбирать второй способ обработки — обработку персональных данных без использования средств автоматизации.
Результатом этого простого действия будет легальный отказ от применения драконовских требований ФЗ 152 по обработке автоматизированной обработке ПНн в информационной системе.
В отношении сроков обработки ПДн предлагаем указывать как минимум срок действия договора, во исполнение которого запрашивались ПДн. Можно добавить к сроку действия договора 3 года исковой давности на защиту прав в связи с его исполнением.
Роскомнадзор напоминает, что при осуществлении хранения персональных данных оператор персональных данных обязан использовать базы данных, находящиеся на территории Российской Федерации, в соответствии с ч. 5 ст. 18 Федерального закона «О персональных данных». Отражать данный пункт в Политике не обязательно, поскольку он связан с фактическими обстоятельствами. Хотя для проформы можно включить в Политику декларативную статью об обработке ПДн на территории России.
Далее Роскомнадзор рекомендует указывать условия передачи персональных данных в адрес третьих лиц. Важный момент. Обычно данный перечень сводится к следующим основаниям передачи ПДн:
- Пользователь выразил свое согласие на такие действия;
- Передача требуется для заключения и исполнения договоров на или с использованием Сайта;
- По запросу суда или иного уполномоченного государственного органа в рамках установленной законодательством процедуры
- Для защиты прав и законных интересов в связи с нарушением заключенных с пользователем договоров.
В определенных пределах данный перечень можно расширить на случаи продажи Сайта или передачи ПДн в обезличенном виде.
Помимо этого Роскомнадзор рекомендует указывать в данном разделе Политики сведения о соблюдении требований конфиденциальности персональных данных, установленных ст. 7 Федерального закона «О персональных данных», а также информацию о принятии оператором мер, предусмотренных ч. 2 ст. 18.1, ч. 1 ст. 19 Федерального закона «О персональных данных».
На практике данные сведения сводятся к заявлению, что администрация Сайта осуществляет хранение Персональных данных и обеспечивает ее охрану от несанкционированного доступа и распространения в соответствии с внутренними правилами и регламентами.