Требования к содержанию политики конфиденциальности поменялись после внесения изменений от 1 сентября 2022 года в закон «О персональных данных». Они разбросаны по закону и различным письмам контролирующих органов. Мы собрали всё воедино и упаковали в подробный гайд.
Оглавление:
- Зачем нужна политика?
- Шаг 1. Укажите контакты.
- Шаг 2. Определите порядок сбора согласий.
- Шаг 3. Указываем для чего собираем данные и что с ними делаем.
- Как это прописать в политике?
- Шаг 4. Пропишите, кому вы передаете ПД пользователей.
- Шаг 5: Расскажите про права ваших пользователей.
- Шаг 6: Укажите правовое основание обработки ПД. (Не обязательно).
- Шаг 7: Определите где вы будете размещать актуальную версию политики.
Зачем нужна политика?
Политика конфиденциальности – документ, в котором вы декларируете, какие данные вы собираете, для каких целей вы их собираете и что с ними делаете.
Политика конфиденциальности нужна, если вы обрабатываете персональные данные своих пользователей. Поскольку обработка – любые действия с персональными данными, а персональными данные – любые данные о человеке, то политика конфиденциальность нужна любому сайту, у которого есть форма обратной связи, возможность приема заявок, регистрация пользователей и т.д.
Политика конфиденциальности (ссылка на неё) должна быть опубликована на вашем сайте, на каждой странице, где собираются персональные данные. Иначе вам грозит:
- штраф от 30 до 60 тыс. руб. (КоАП ч. 3 ст. 13.11);
- угроза блокировки интернет-ресурса (ст. 15.5 Федерального закона от 27.07.2006 N 149-ФЗ).
Также, если вы обрабатываете персональные данные, то вы должны уведомить об этом Роскомнадзор (далее – РКН). Подать уведомление можно через сайт РКН. После вы будете включены в реестр операторов персональных данных (ссылка).
Шаг 1. Укажите контакты.
Пользователь должен знать, кто будет обрабатывать его персональные данные. Поэтому вы обязаны указать в политике:
- К какому сайту (сервису) применяется политика;
- Кто будет обрабатывать персональные данные (кто является оператором персональных данных пользователей).
Можете разместить эти данные в любом разделе политики: в начале или в конце.
Шаг 2. Определите порядок сбора согласий.
Вы можете обрабатывать персональные данные только с согласия субъекта персональных данных. Поэтому вы должны собирать согласия перед тем, как начнете обработку данных. У вас должна быть возможность подтвердить, что определенное лицо дало вам своё согласие.
Например, на сайтах чаще всего размещают чек-бокс, без принятия которого нельзя оставить заявку, зарегистрировать на сайте. Также информация о кликах прописывается в лог-файлах сайт.
Основные требования к согласию:
- Конкретное – нельзя признать согласием молчание или бездействие субъекта;
- Информированное – субъект может ознакомиться с политикой конфиденциальности до дачи согласия;
- Сознательное – согласие должно даваться добровольно и не по принуждению;
- Предметное – субъект должен понимать цели сбора, какие персональные данные обрабатываются и перечень действий с персональными данными.
- Однозначное.
В политике надо прописать, как вы собираете эти согласия. Например, напишите, что “согласие дается путем проставления галочки при регистрации пользователя на сайте”.
Важно. Также нельзя получать согласия от несовершеннолетних. Поэтому в политике пишем, что пользователь гарантирует, что является совершеннолетним.
Шаг 3. Указываем для чего собираем данные и что с ними делаем.
Цель обработки – это то, для чего вы собираете персональные данные. Цель обязательно должна быть конкретной. Например, оказание услуг по договору, регистрация пользователя на сайте и т.д.
Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных (п.3.2. Рекомендаций Роскомнадзора).
Новые правила внесли существенные изменения связанные с целями обработки. Теперь в отношении каждой цели необходимо прописывать (пункт 2, часть 1, статья 18.1. ФЗ-152): категории субъектов персональных данных, перечень и категории обрабатываемых данных, способы и сроки обработки данных и порядок уничтожения персональных данных.
Поскольку цели должны быть конкретными и ясными, то, как правило, их может быть несколько и в отношении каждой цели нужно указывать эти данные.
1. Категории субъектов, чьи данные обрабатываются в заданной цели. Нигде не раскрывается, что означает категория субъектов. На практике сложилось, что обычно указывают какие у вас отношения сложились с данным субъектом: пользователи сайта, потенциальные клиенты, заемщики и т.д.
2. Перечень обрабатываемых данных. Просто называете список всех персональных данных, которые вы обрабатываете (ФИО, номер, адрес и т.д.).
3. Категории данных. Указываете, к какой категории относятся персональные данные (см. ниже в таблице).
4. Действия с данными – укажите, как вы будете обрабатывать данные, например можно указать следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 ФЗ “О персональных данных”).
Также необходимо указать способы обработки персональных данных. Способы обработки бывают:
- автоматизированный (данные обрабатываются на компьютере, сервере);
- неавтоматизированный (данные хранятся и обрабатываются на бумаге).
5. Сроки обработки и хранение данных – укажите, в течение какого срока вы храните персональные данные.
Также укажите где и как вы их храните.
6. Уничтожение ПД – стирание их со всех носителей навсегда.
Если персональные данные обрабатывались автоматизированным способом, уничтожить их можно путем стирания из базы данных, форматирования носителя или путем механического повреждения жестких дисков.
Если персональные данные обрабатывались неавтоматизированным способом, их можно уничтожить путем сожжения, дробления (измельчения), химического разложения.
Порядок документального оформления факта уничтожения персональных данных определяется оператором самостоятельно. Для уничтожения ПД обычно созывается специальная комиссия и по итогам ее деятельности составляется акт об уничтожении ПД.
Уничтожение ПД производится в случае:
- предоставления пользователем сведений, подтверждающих, что ПД являются незаконно полученными или не являются необходимыми для заявленной цели обработки – в течение 7 рабочих дней со дня представления таких сведений (ч. 1 ст. 14, ч. 3 ст. 20 Закона N 152-ФЗ);
- выявления неправомерной обработки персональных данных – в течение 10 рабочих дней (ч. 3 ст. 21 Закона N 152-ФЗ);
- отзыва персональных данных Пользователем – в течение 30 дней (ч. 5 ст. 21 Закона N 152-ФЗ;
- достижения цели обработки персональных данных – в течение 30 дней (ч. 4 ст. 21 Закона N 152-ФЗ);
- истечения сроков хранения персональных данных – в течение 30 дней (ч. 4 ст. 21 Закона N 152-ФЗ).
Как это прописать в политике?
В редакции нового закона необходимо указывать всю информацию в отношении каждой цели обработки. Хорошо, когда цель обработки одна, однако, если их много, то текст начнет сильно раздуваться.
Мы видим несколько вариантов как это можно оформить.
Вариант 1 – сплошной текст
Суть в том, чтобы мы шли текстом по каждой отдельной цели, такой формат нельзя назвать удобным с точки зрения восприятия информации и понятности политики. Вид будет примерно следующий:
Цель: регистрация на сайте. Категория субъекта: пользователи сайта. Обрабатываемые данные: фамилия, имя, отчество, дата рождения, номер телефона. Категория данных: общие персональные данные. Способ обработки персональных данных: автоматизированные сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование. Срок обработки: в течение 3 лет с даты проявления последней активности на сайте. Персональные данные уничтожаются путем стирания с серверов оператора персональных данных.
Цель: оформление покупки Категория субъекта: пользователи сайта. Обрабатываемые данные: фамилия, имя, отчество, дата рождения, номер телефона, адрес доставки, платежные реквизиты. Категория данных: общие персональные данные. Способ обработки персональных данных: автоматизированные сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование. Срок обработки: в течение 3 лет с даты проявления последней активности на сайте. Персональные данные уничтожаются путем стирания с серверов оператора персональных данных.
Цель: оформление возврата товара …
Вариант 2 – таблица
Оформляем информацию представленную выше в виде таблице, где каждая строка – новая цель обработки. Такой вариант уже лучше, поскольку прочитать и понять его гораздо проще, чем предыдущие. Однако всё равно не очень удобно, т.к. много информации будет дублироваться. Примерный вид:
Вариант 3 – таблица + текст
Оформляем переменную информацию в виде таблицы, а постоянную отдельными пунктами. В нашем примере, как и у большинства компаний будут неизменны: способ и сроки хранения персональных данных и порядок их уничтожения.
И отдельными пунктами прописываем:
1. Для всех целей обработки персональных данных срок обработки персональных данных составляет 3 года с даты проявления последней активности на сайте.
2. Персональные данные уничтожаются путем стирания их с серверов оператора персональных данных.
Шаг 4. Пропишите, кому вы передаете ПД пользователей.
По общему правилу передача ПД третьим лицам запрещена. Исключения составляют:
1. Передача с согласия пользователя. То есть пользователь дает отдельное письменное согласие на передачу своих персональных данных той или иной компании.
2. Передача уполномоченным органам в соответствии с законодательством.
3. Передача персональных данных обработчикам. Обработчики – это компании, которые обрабатывают ПД по специальному документу-поручению оператора. Здесь стоит прописать список обработчиков и их контакты.
Трансграничная передача. Если вы передаете ПД пользователей заграничным компаниям, об этом стоит также написать и указать страны, в которые передаются персональные данные.
Шаг 5: Расскажите про права ваших пользователей.
По закону у пользователей есть ряд прав при обработке их ПД, лучше рассказать о них в вашей политике конфиденциальности.
Шаг 6: Укажите правовое основание обработки ПД. (Не обязательно).
Роскомнадзор рекомендует прописывать перечень документов, на основании которых вы обрабатываете ПД.
Этими документами могут быть:
- Законы, которые регулируют деятельность вашего сервиса. Для всех сайтов следует указывать ФЗ «об информации» + законы, которые регулируют именно вашу сферу деятельности. Это может быть ФЗ «о рекламе» или ФЗ «об образовании» и т.д.
- Внутренние локальные акты оператора. Для работы с ПД оператор должен создать внутренние акты, содержащие инструкции для сотрудников. Например, это может быть Политика обработки ПД. Необязательно указывать название актов, достаточно прописать, что таковые имеются.
- Договоры, заключаемые между оператором и пользователем персональных данных (если есть). Если пользователь может купить товар или получить услугу на вашем сайте, название оферты или договора также стоит здесь прописать.
- Согласия на обработку персональных данных, если вы собираете их в форме отдельных документов.
Шаг 7: Определите где вы будете размещать актуальную версию политики.
Не забудьте указать:
- Что вы вправе вносить изменения в Политику без согласия Пользователя.
- Где пользователь может ознакомиться с актуальной версией Политики? Добавить активную ссылку.
- Порядок вступления новой политики в силу.
Вы великолепны!
Подписывайтесь на наш канал @aglegal, мы пишем о новостях в мире права для ИТ-компаний, а также планируем разместить шаблон политики конфиденциальности по новым правилам.
Для консультаций можете звонить +7 (969) 704-24-56 (Герман Ященко).
Советы
Что такое политика конфиденциальности и как ее составить
Политика конфиденциальности — документ, который обязаны размещать у себя на сайте все, кто собирают и обрабатывают персональные данные пользователей.
Если этого документа нет или ему не следуют, можно получить штраф или даже блокировку.
Что такое политика конфиденциальности
Прежде чем говорить о политике конфиденциальности, важно понять, что в этой теме есть три важных понятия: оператор, субъект и персональные данные.
Оператор — человек, индивидуальный предприниматель или компания, которые собирают личные данные пользователей.
Субъект — человек, персональные данные которого собирает оператор. То есть пользователь, который зашел на сайт и решил, например, оставить заявку.
Персональные данные — это любая информация о пользователе, которая помогает его опознать. Например:
- фамилия и имя,
- телефон,
- email,
- домашний адрес,
- фото,
- дата рождения,
- ссылки на профили в соцсетях.
А политика конфиденциальности — это документ, в котором оператор рассказывает, как и зачем он использует персональные данные своих субъектов (пользователей).
Кстати, политику конфиденциальности могут называть по-разному:
- пользовательское соглашение,
- положение об обработке персональных данных,
- политика обработки данных для сайта,
- политика приватности,
- политика защиты персональных данных,
- privacy policy.
Вот так политика конфиденциальности называется на сайте КонсультантПлюс
В общем, название документа может быть каким угодно. Главное, чтобы в нем были все необходимые пункты.
Когда нужна политика конфиденциальности
На сайте есть формы для сбора контактов. Например, люди регистрируются, оставляют обратную связь, подписываются на рассылку или оформляют корзину — во всех эти случаях пользователи заполняют формы и передают свои персональные данные.
На сайте используют cookies. Это маленькие текстовые файлы, в которых хранится информация о посетителе сайта и его действиях. Например, логин, пароль, язык, время посещения, просмотренные страницы. В Словаре есть подробный материал о том, что такое cookies.
Куки тоже относят к персональным данным. Так что если на сайте установлен счетчик Яндекс.Метрики или Google Analytics, то и политика конфиденциальности должна быть. Для cookies можно даже опубликовать отдельный документ.
Большинство сайтов используют инструменты сбора контактов и системы веб-аналитики, значит, политика персональных обработки данных нужна практическим всем. Интернет-магазинам, социальным сетям, образовательным платформам, сайтам с личными кабинетами. Посещаемость или возраст сайта не имеют значения.
Из чего состоит политика конфиденциальности
Суть документа — объяснить пользователю, какую информацию о нем собирают и зачем. Писать можно в свободной форме. Главное — отразить все важные пункты.
Основные пункты
Информация об операторе. Обычно это наименование, адрес и контактные данные. Эти сведения могут быть в первом пункте «Общие положения».
Основания обработки персональных данных. Это законы, договоры оператора, пользовательское соглашение — те формальности, которые дают право использовать персональную информацию пользователей. Важно указать, что считается согласием на обработку личных данных — например, поставленная галочка рядом с соответствующим текстом.
Цели сбора и обработки персональных данных. Здесь нужно доступно и исчерпывающе рассказать, зачем оператору данные. Например, интернет-магазин собирает их, чтобы сделать сайт более удобным, персонализировать контент, отправлять маркетинговые сообщения.
Это важнейший пункт. Потому что нужно не только прописать все цели с точки зрения закона, — чтобы Роскомнадзор при проверке не нашел ничего подозрительного. Но и написать понятно для пользователей, — чтобы они не увидели темных пятен и не пожаловались в тот же Роскомнадзор.
Перечень персональных данных, которые собирает оператор. Здесь обычно указывают все данные, которые посетители передают в формы на сайте (имя, почта, телефон). Или указывают информацию о поведении пользователя на сайте, которая будет содержаться в cookies (например, какой товар добавили в корзину).
Это второй по значению пункт — важно четко перечислить всю информацию, которую вы собираете. При этом не перейти границы — Роскомнадзор следит за тем, чтобы оператор не собирал больше данных, чем нужно для его работы. Например, если онлайн-школа при регистрации на сайте запрашивает домашний адрес человека — это настораживает.
Порядок и условия использования персональных данных. Объемный пункт (или даже несколько), где оператор рассказывает, как он будет обращаться с данными пользователей. То есть собирать их, обрабатывать, хранить, уничтожать. Нужно указать сроки обработки и хранения. Важно учесть все действия и написать так, чтобы у пользователей не осталось вопросов.
Безопасность данных. В этом пункте оператор объясняет, как защищает персональные данные и не допускает их утечки. Например, применяет резервное копирование и не передает третьим лицам. Здесь же можно показать, как пользователь может защитить свои персональные данные — к примеру, отозвать согласие на использование.
Дополнительные пункты
Иногда операторам недостаточно основных пунктов и нужны дополнительные. Они делают политику более понятной и исчерпывающей:
Определение терминов. Так как политика — это документ, а документы мы читаем не каждый день, в ней могут быть непонятные определения. Лучше расшифровать такие термины, как оператор, обработка персональных данных или их уничтожение.
Передача персональных данных третьим лицам. Этот пункт важен, если оператор передает личную информацию субъектов кому-то еще — например, сервисам аналитики. Чтобы успокоить пользователя, можно объяснить, что от этой передачи не будет ничего плохого. Никто не начнет одолевать навязчивыми звонками, просто сайт будет более удобным.
Трансграничная передача данных. Пункт нужен, если оператор передает данные пользователей на территорию иностранных государств. Например, когда у компании есть филиалы в нескольких странах.
Часто задаваемые вопросы. Пункт здорово прояснит все то, что потенциально беспокоит аудиторию конкретного оператора. Например, есть спортивный клуб, который собирает телефоны посетителей. Тогда в политике он может написать, что не будет постоянно звонить и предлагать купить новый абонемент.
Связь с оператором. Этим пунктом можно дополнительно позаботиться о человеке. Написать, куда он может обращаться, если возникнут вопросы по документу. Также пункт выручит, если у пользователя возникнут претензии.
Нет строго порядка, в котором нужно располагать пункты в политике конфиденциальности. Но можно ориентироваться на простую логику:
- Сначала вводные положения, которые постепенно погрузят читателя в тему.
- Потом самое важное — зачем оператор собираете данные и как с ними работает.
- И, наконец, — дополнительные положения.
Какие документы можно изучить в качестве примера
Google нестандартно подошел к политике конфиденциальности на сайте. Он написал ее не официальным, а обычным языком, с примерами. А еще разбил цели сбора личных данных на семь пунктов и в каждом объяснил, как это помогает делать Google лучше для людей. Вот один из пунктов:
Как составить политику конфиденциальности
Есть три способа:
- Самостоятельно. Включить в документ все необходимые пункты, показать юристу (для уверенности) и опубликовать на сайте. Если мало опыта составления документов и вы вообще с ними не дружите, то, конечно, Политику лучше сразу доверить юристу — так будет спокойнее.
- По шаблону. Найти в интернете примеры политик, которые уже используют другие компании, сделать для себя что-то похожее и опубликовать на сайте.
- В конструкторе. Довериться специальному инструменту и внести нужные данные — сервис выдаст готовый документ. Останется только опубликовать его на сайте.
Для тех, кто выбирает третий способ, я нашла пять хороших и бесплатных конструкторов:
Tilda.cc — популярный конструктор с 7 полями для заполнения. В некоторых полях (например, цель обработки персональных данных) можно выбрать готовый вариант, а в некоторых — свой. Также на сайте есть образец политики.
Zyro.com — сервис позиционирует себя как сайт, где можно создать политику, которая будет соответствовать законам конфиденциальности по всему миру. Чтобы сгенерировать документ, нужно заполнить всего 3 поля. Больше подойдет тем, кто собирает мало данных.
ProfiSet.org — генератор с немного необычным интерфейсом, но вполне четкими 11 полями для заполнения. На выходе получается конкретная политика, настроенная именно для вас — описывает даже то, как пользователь может запрашивать свои данные. А еще тут можно создать политику на английском.
A-Position.ru — сервис, похожий на Tilda.cc. Здесь 6 полей, в которые нужно внести информацию. Минималистично и быстро.
Ecwid.ru — конструктор, где нужно заполнить 5 полей. Есть функция предпросмотра политики. Готовый документ, в отличие от других инструментов, можно не только скопировать, но и скачать в pdf-формате.
Где размещать политику обработки данных на сайте
Закон не определяет точного места на сайте, где должна быть Политика. На практике документ размещают прямо там, где пользователь делится своими данными или дает согласие на их сбор. Например:
Во всплывающем окне с оповещением о cookies. Специальное меню со ссылкой на политику конфиденциальности появляется внизу страницы, когда человек заходит на сайт. Пользователю остается нажать «Принимаю», «Соглашаюсь» или «ОК».
При регистрации на сайте. Человек вводит свое имя и почту, ставит галочку, что согласен на обработку персональных данных. И около этой галочки как раз и дают ссылку на политику конфиденциальности.
Ссылка на политику при регистрации на сайте Unisender
При заполнении форм на сайте. Когда нужно оставить заявку, зарегистрировать личный кабинет или дать обратную связь. В любой форме всегда уместна ссылка на политику.
В подвале сайта. Документ с названием «Политика конфиденциальности» или похожим часто размещают в футере, чтобы человек на любой странице сайта мог быстро уточнить, зачем компании его данные.
Ссылка на политику конфиденциальности в подвале сайта Unisender
Главное — разместить политику там, где пользователь делится своими данными, и сделать ссылку на документ кликабельной. Еще лучше также оставить ссылки в подвале, чтобы был доступ с любой страницы сайта.
Что будет, если на сайте нет privacy policy
Работу с персональными данными в РФ регулирует Закон №152-ФЗ «О персональных данных». Он запрещает использовать данные пользователей без их согласия, устанавливает условия обработки данных, а также определяет права субъекта и обязанности оператора. А статья 13.11 Кодекса об административных правонарушениях устанавливает ответственность за нарушение законодательства о персональных данных.
«Объединим» эти два закона и получится: если оператор не размещает на сайте политику, — или размещает, но не соблюдает, — ему грозит штраф.
Так как персональные данные чаще всего собирают компании, коротко пройдемся по штрафам для них. Вот самые частые случаи:
- Если на сайте нет политики — 30–60 тыс. рублей.
- Если на сайте есть политика, но компания не соблюдает ее условия — 60–100 тыс. рублей.
- Если компания не объясняет пользователю, как она обрабатывает его данные — 40–80 тыс. рублей.
- Если персональные данные оказались некорректными, — и пользователь просит это исправить, а компания ничего не делает, — 50–90 тыс. рублей.
Наказание может ужесточаться, если компания совершает правонарушение не в первый раз. Помимо штрафов, оператору может грозить блокировка сайта. Например, пользователь пожалуется, что на сайте нет политики, и Роскомнадзор на время проверки ограничит к нему доступ.
В Архиве решений арбитражных судов и судов общей юрисдикции по запросу «Нарушение законодательства Российской Федерации в области персональных данных» находятся 214 документов. Причем наказывают по статье 13.11 даже крупные компании. Например, летом 2021 года Twitter, Facebook* и WhatsApp оштрафовали на 36 млн рублей за отказ локализовать данные российских пользователей на территории РФ.
Штрафы для операторов-физлиц или ИП — ниже. Если, к примеру, предприниматель, который держит небольшой салон красоты в Воронеже, не опубликует на сайте политику, то получит штраф от 10 до 20 тыс. рублей.
Что в итоге
Главное при составлении политики конфиденциальности — объяснить людям, какие их данные вы собираете и зачем. Чтобы у пользователей не возникло вопросов и, как следствие, поводов обратиться в Роскомнадзор. И, конечно, важно отразить в документе всю информацию, которую требует закон.
Для спокойствия можно протестировать политику на пользователях —- предложите им прочитать, оценить и поделиться, все ли было понятно. А перед этим текст можно проверить через специальные сервисы для проверки грамотности и читабельности: «Главред», «Орфограммка» или подобные.
И еще можно обратиться к юристу, чтобы он оценил документ с точки зрения закона.
ЭКСКЛЮЗИВЫ ⚡️
Читайте только в блоге
Unisender
Поделиться
СВЕЖИЕ СТАТЬИ
Другие материалы из этой рубрики
Не пропускайте новые статьи
Подписывайтесь на соцсети
Делимся новостями и свежими статьями, рассказываем о новинках сервиса
«Честно» — авторская рассылка от редакции Unisender
Искренние письма о работе и жизни. Свежие статьи из блога. Эксклюзивные кейсы
и интервью с экспертами диджитала.
Компании стараются сделать свои сайты красивыми: изучают пользовательский опыт, пишут понятные и ёмкие тексты, подбирают цвета, строят визуальную композицию, проводят аудит работы сайта. Но есть место, где всегда непонятно. И это место — политика конфиденциальности: на неё не хватает сил/бюджета/времени. Да и зачем делать понятным документ, который всё равно никто не читает?
Мы в «Рунетлекс» решили разобраться, может ли он быть органичным с сайтом и не выбиваться из единого стиля. В этой статье расскажем, почему стоит тратить ресурсы на переработку политики, и покажем несколько способов, как превратить привычный документ в понятный.
Зачем нужна понятная политика конфиденциальности
Взгляните на фрагмент политики конфиденциальности одного из B2В-сервисов. Это типичный пример. Ни владельцу сайта, ни пользователям точно непонятно, зачем нужна такая стена текста.
Есть несколько причин сделать политику, в которой посетители смогут разобраться без юридической консультации.
Снизить риск конфликтов
Люди обычно не читают политику конфиденциальности из-за объёма и сложности. Когда же возникает необходимость изучить её, пользователь просто не может в ней разобраться. В таком случае ему проще обратиться в контролирующий орган, чем пытаться освоить документ. Политику не читают до первого недовольства — понятный текст помогает снять его и уменьшает риск возникновения конфликтных ситуаций.
Повысить лояльность к компании
Среднестатистическому человеку сложно (или даже больно) читать юридический текст политики конфиденциальности. Предоставить необходимую информацию сжато и удобно, без сложных конструкций — способ позаботиться. Когда клиенты чувствуют заботу, доверие к компании растёт — а за ним и приверженность к бренду.
Получить конкурентное преимущество
Понятная любому политика конфиденциальности точно выделит бренд на фоне конкурентов, которые относятся к ней по старинке. Поэтому максимально доступное донесение пользователю информации о том, что бренд делает с его данными и как это прекратить, вполне можно рассматривать как бизнес-задачу. Чем точнее и понятнее документ, тем меньше вопросов у клиентов.
Упростить выход на европейский рынок
В России понятная политика конфиденциальности — преимущество. Но если бизнес хочет выйти на рынок Евросоюза, то оно превращается в требование закона.
Европейский закон о персональных данных требует составить политику в отношении обработки персональных данных так, чтобы её понял любой человек. Вероятно, в скором времени такое требование появится и в российском законодательстве.
Как сделать политику конфиденциальности понятной
Упрощение
Первый способ — изложить текст документа простым языком.
Например, одно и то же можно сказать так:
Или так, как сделали мы в политике «Рунетлекс»:
Рассказать пользователю о его правах можно так:
или так:
Мы выделяем следующие механизмы упрощения:
- Исключать цитирование закона. Цель политики конфиденциальности не в цитировании Федерального закона «О персональных данных». Этот документ должен рассказать пользователю о том, как компания обрабатывает и защищает его персональные данные. Но законотворческий слог не всегда понятен пользователю, а чаще просто отпугивает от чтения.
- Разбивать текст на небольшие смысловые абзацы. Так он проще и быстрее воспринимается читателем.
- Переносить блоки текста в таблицы и делать заголовки его частью. Например, в таблице можно рассказать о целях обработки персональных данных:
- Исключать сложные термины, использовать язык целевой аудитории. У большей части пользователей нет юридического образования. Профильные термины не способствуют пониманию, лучше заменить их на более простые или убрать.
Упрощение — самый доступный способ превратить политику в понятную и привлекательную. При его использовании рекомендуем сохранять номера пунктов: без них сложно ссылаться на текст в коммуникации: например, отвечая на вопросы пользователей или проверяющего органа.
Визуализация
Следующий способ — визуализация. Его задача — изложить информацию с активным использованием визуальных образов, чтобы читателю было проще понять суть.
Google использует в своей политике короткие видео:
А вот так заботливо Сбербанк рассказывает пользователям о передаче их персональных данных третьим лицам:
Но это скорее вспомогательный способ. В большинстве случаев информацию проще донести текстом.
Главный недостаток визуализации — неоднозначность толкования визуальных образов. Поэтому не стоит превращать политику в комиксы: целевая аудитория политики умеет читать.
Слои
Способ изложить политику слоями — самый сложный из предложенных. Ведь для него понадобится сразу два текста:
- краткий — для всех;
- подробный — для юристов и Роскомнадзора.
Снова обратимся к сайту Сбербанка. На нём можем найти классическую политику…
…и дружелюбный вариант. Изучить его достаточно, чтобы понять, о чём речь.
У Роскомнадзора есть рекомендации по составлению «документа, определяющего политику оператора в отношении обработки персональных данных». Многие специалисты придерживаются этих рекомендаций и отказываются от понятного варианта.
Поэтому способ «Слои» помогает, когда одновременно:
- есть опасение, что надзорному органу не понравится понятный документ;
- хочется позаботиться о пользователе.
Важно указать, какой слой имеет приоритет. Иначе политика не только не превратится в понятную, но и может навредить компании. Ведь дружелюбный вариант не содержит всех необходимых положений, а некоторые пункты могут толковаться не так, как в классическом варианте.
Заключение
У нас нет универсальной рекомендации по выбору конкретного способа для определённой сферы бизнеса. Советуем не забывать об общей опасности — исказить смысл.
Избежать этого очень просто: перед выбором того или иного способа нужно подумать о его применимости к вашему документу, а после — использовать аккуратно. Юридический язык придуман для точности, излишнее упрощение, визуализация или изложение слоями может негативно сказаться на толковании.
Также при разработке любого документа необходимо выделять целевую аудиторию, которой адресован текст, и главную цель документа. У политики конфиденциальности ЦА — это пользователи (физические лица), а цель — информировать пользователя о том, как компания использует его персональные данные. Понятная политика всегда учитывает это.
Помните, если вам удалось сделать документ привлекательнее, пользователь оценит вашу заботу и ответит лояльностью.
Как составить Политику конфиденциальности
По многочисленным просьбам трудящихся вебмастеров и владельцев сайтов мы опубликовали бесплатный образец Политики конфиденциальности для сайтов с формой обратной связи, подписки или заказа звонка.
Решились на такой шаг, потому что данная форма Политики не предусматривает обработку персональных данных, и в результате не предполагает большой вариативности решения. Важно помнить, что она не подходит для сайтов, на которых обрабатываются ПДн. Например, интернет-магазины и прочие сервисы, на которых помимо номера телефона или email пользователем дополнительно предоставляются иные сведения о себе, требуют большего внимания к вопросам обработки персональных данных.
Поэтому мы подумали над вариантами составления «народной» Политики конфиденциальности. Простым шаблоном здесь не обойдешься. Взяли за основу вышедшие в 2017 году Рекомендации Роскомнадзора (далее – «Рекомендации») по составлению документа, определяющего политику оператора в отношении обработки персональных данных (далее – «Политика). Дополнили ее живыми примерами.
Смотрим, что получилось.
Готовое решение для вашего бизнеса
Снимает ответственность за персональные данные
Пролистываем первые 2 раздела Рекомендаций в связи с их бессодержательностью
В разделе 1 Роскомнадзора заявляет, что Рекомендации разработаны в целях выработки унифицированных подходов к структуре и форме Политики. Охотно верим и следуем пожеланиям ведомства для облегчения дальнейшей работы с ревизорами.
В разделе 2 процитированы основные понятия из ФЗ «О персональных данных». Пропускаем за ненадобностью. При желании в Политику лучше ввести собственные термины, уточняющие легальные.
В разделе 3 наконец пошли долгожданные советы по структуре и наполнению Политики. Остановимся на них подробно.
1. Общие положения Политики
В указанном разделе рекомендуется описать назначение Политики, а также включить основные понятия, используемые в ней (обработка персональных данных, оператор, субъект персональных данных, конфиденциальность персональных данных и т.д.), перечислить основные права и обязанности оператора и субъекта (ов) персональных данных.
По задумке авторов Рекомендаций Политика, как любой серьезный документ, должна иметь внушительные размеры, чтоб все прониклись уважением и трепетали от одного ее упоминания.
Итак, начнем с определений. Чтоб не повторять ФЗ 152, предлагаем делать отсылки к конкретным пунктам и разделам Политики, которые конкретизируют используемые понятия. Ниже приведен пример с терминами и определениями Политики конфиденциальности для интернет-магазина.
1.1. В настоящем документе и вытекающих или связанных с ним отношениях Сторон применяются следующие термины и определения:
Персональные данные – предоставляемые субъектом персональных данных или его представителем данные, объем и состав которых указаны в п.Х.Х. Политики.
Администрация – ООО «Ромашка», ИНН ХХХ, ОГРН ХХХ, Адрес: ХХХХХ, в законном владении и/или управлении которого находится Сайт. В предусмотренных настоящей Политикой случаях Администрация выступает в качестве оператора персональных данных.
Пользователь – лицо, использующее Сайт в целях заключения и/или исполнения Договоров.
Договор – пользовательское соглашение использование Сайта, договор купли-продажи, договор поставки, договор перевозки и/или иное соглашение, предлагаемое к заключению и/или заключенное Пользователем на основании любой оферты, размещенной на Сайте.
Обработка персональных данных – действие (операция) или совокупность действий (операций) с персональными данными, перечисленные в п.Х.Х. Политики.
Сайт – автоматизированная информационная система, доступная в сети Интернет по сетевому адресу: /URL/.
1.2. В настоящей Политике используются термины и определения, предусмотренные Соглашением, а также иными заключаемыми с Пользователем Договорами, если иное не предусмотрено настоящей Политикой или не вытекает из ее существа. В иных случаях толкование применяемого в Политике термина производится в соответствии с действующим законодательством Российской Федерации, или обычаями делового оборота.
2. Цели сбора персональных данных
Согласно Рекомендациям, обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.
Если нет желания вставать на учет в Роскомнадзоре и проходить последующие обязательные проверки, мы предлагаем связать все цели обработки ПДн с заключением и исполнением договоров.
Роль такого договора может иметь Пользовательское соглашение, принимаемое всяким пользователем в начале использования Сайта, либо иное соглашение, предлагаемое владельцем Сайта.
В результате мы получаем достаточно стандартный набор целей:
- Заключение с пользователем договоров на использование или с использованием Сайта.
- Идентификация пользователя в рамках исполнения обязательств по заключенным с ним договорам.
- Исполнение обязательств по заключенным договорам, включая предоставление пользователю доступа к Сайту и технической поддержки, использование пользователем функциональных возможностей Сайта.
- Выставление счетов и возврат остатка денежных средств в случае расторжения заключенных с пользователем возмездных договоров.
- Нотификация в рамках информационного обслуживания, рассылок и улучшения качества обслуживания по заключенным Договорам, в том числе с привлечением третьих лиц.
3. Правовые основания обработки персональных данных
Согласно разъяснению Роскомнадзора, правовым основанием обработки персональных данных является совокупность правовых актов, во исполнение которых и в соответствии с которыми оператор осуществляет обработку персональных данных.
При наличии указанной выше связки в качестве правового основания обработки персональных данных могут быть указаны договоры, заключаемые между оператором и субъектом персональных данных.
Если ПДн обрабатываются в иных целях, в качестве основания необходимо указывать отдельное согласие на обработку персональных данных.
4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
Роскомнадзор предупреждает, что содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
С учетом данных рекомендаций Роскомнадзора указываем в Политике те сведения, персонального характера, которые вы собираете с использованием Сайта.
В первую очередь указываем данные из полей онлайн-форм обратной связи, заказа, подписки и регистрации. Затем обращаем пристальное внимание на состав информации, вносимой пользователем при заполнении профиля в личном кабинете.
Дополнительно указываем данные, которые запрашиваются поддержкой или отделом продаж при оформлении или обработке заявок по телефону или в местах обслуживания.
5. Порядок и условия обработки персональных данных
В данном разделе Роскомнадзор рекомендует указывать перечень действий, совершаемых оператором с персональными данными субъектов, а также используемые оператором способы обработки персональных данных и сроки обработки персональных данных.
Выбираем. ФЗ 152 предусмотрен следующий перечень операций с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Способы обработки могут включать:
а) автоматизированную обработку персональных данных
б) обработку персональных данных без использования средств автоматизации.
Согласно определению, данному в ФЗ 152, автоматизированная обработка персональных данных представляет собой обработка персональных данных с помощью средств вычислительной техники.
Казалось бы, что сюда попадают любые действия с ПДн, выполняемые с использованием вычислительной техники. Но не все так просто. Смотрим Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утверждено постановлением Правительства РФ от 15 сентября 2008 г. N 687.
В п.1 указано, что обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее – персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее (п.2).
Иными словами, если ПДн не используется, не уточняются, не распространяются и не уничтожаются в ИПДН вашего сайта в автоматическом режиме без участия человека, можно смело выбирать второй способ обработки – обработку персональных данных без использования средств автоматизации.
Результатом этого простого действия будет легальный отказ от применения драконовских требований ФЗ 152 по обработке автоматизированной обработке ПНн в информационной системе.
В отношении сроков обработки ПДн предлагаем указывать как минимум срок действия договора, во исполнение которого запрашивались ПДн. Можно добавить к сроку действия договора 3 года исковой давности на защиту прав в связи с его исполнением.
Роскомнадзор напоминает, что при осуществлении хранения персональных данных оператор персональных данных обязан использовать базы данных, находящиеся на территории Российской Федерации, в соответствии с ч. 5 ст. 18 Федерального закона “О персональных данных”. Отражать данный пункт в Политике не обязательно, поскольку он связан с фактическими обстоятельствами. Хотя для проформы можно включить в Политику декларативную статью об обработке ПДн на территории России.
Далее Роскомнадзор рекомендует указывать условия передачи персональных данных в адрес третьих лиц. Важный момент. Обычно данный перечень сводится к следующим основаниям передачи ПДн:
- Пользователь выразил свое согласие на такие действия;
- Передача требуется для заключения и исполнения договоров на или с использованием Сайта;
- По запросу суда или иного уполномоченного государственного органа в рамках установленной законодательством процедуры
- Для защиты прав и законных интересов в связи с нарушением заключенных с пользователем договоров.
В определенных пределах данный перечень можно расширить на случаи продажи Сайта или передачи ПДн в обезличенном виде.
Помимо этого Роскомнадзор рекомендует указывать в данном разделе Политики сведения о соблюдении требований конфиденциальности персональных данных, установленных ст. 7 Федерального закона «О персональных данных», а также информацию о принятии оператором мер, предусмотренных ч. 2 ст. 18.1, ч. 1 ст. 19 Федерального закона «О персональных данных».
На практике данные сведения сводятся к заявлению, что администрация Сайта осуществляет хранение Персональных данных и обеспечивает ее охрану от несанкционированного доступа и распространения в соответствии с внутренними правилами и регламентами.
6. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным
Роскомнадзор рекомендует включить в Политику регламент(ы) реагирования на запросы/обращения субъектов персональных данных и их представителей, уполномоченных органов по поводу неточности персональных данных, неправомерности их обработки, отзыва согласия и доступа субъекта персональных данных к своим данным, а также соответствующие формы запросов/обращений.
В таких случаях обычно указывают, что пользователь вправе в любой момент самостоятельно отредактировать в своем личном кабинете предоставленную им информацию. В случае прекращения заключенного договора, пользователь вправе удалить собственный личный кабинет самостоятельно либо обратившись в службу поддержки по адресу электронной почты ХХХ@ХХХ.ХХ.
При желании можно ужесточить условия регламента обработки запросов на изменение/удаление ПДн, требуя от пользователя высылать ценные письма на ваш адрес в Бобруйске.
Таковы основные Рекомендации в отношении формы и содержания Политики.
7. Обработка обезличенных данных
Заслуживает внимания тот факт, что Роскомнадзор, как всегда, обошел вопрос обработки не менее важных для пользователей данных, которые не считаются персональными. Речь идет об информации, собираемой на сайте в автоматическом режиме: cookie, IP, сведения об устройстве и месте его расположения, и т.п.
По всей видимости, Роскомнадзор упорно не хочет раскрывать состав ПДн даже методом исключения через сведения, не относящиеся к персональным. Однако на практике в Политику конфиденциальности принято включать уведомление и порядок обработки таких данных в целях наиболее полного информирования пользователя о последствиях использования сайта.
Ниже пример такого уведомления.
Вы осознаете и принимаете возможность использования на Сайте программного обеспечения третьих лиц, в результате чего такие лица могут получать и передавать данные в обезличенном виде.
К указанному программному обеспечению третьих лиц относятся системы сбора статистики посещений Google Analytics.
Состав и условия сбора обезличенных данных с использованием программного обеспечения третьих лиц определяются непосредственно их правообладателями и могут включать:
- данные браузера (тип, версия, cookie);
- данные устройства и место его положения;
- данные операционной системы (тип, версия, разрешение экрана);
- данные запроса (время, источник перехода, IP-адрес).
Полое описание условий обработки обезличенных данных можно посмотреть в образце Политики конфиденциальности, с которого мы начали свою статью.
Желаем вам успехов в разработке собственной Политики конфиденциальности в соответствии с рекомендациями Роскомнадзора и выработанными на практике подходами.
Образец Политики конфиденциальности для ознакомления
Персональные данные Документ для сайта
Разберемся, кому без политики конфиденциальности не обойтись и как реализовать ее на своем ресурсе.
Кому нужна политика конфиденциальности на сайте
Закон обязывает публиковать политику конфиденциальности только операторов персональных данных. Чтобы понять, нужен ли такой документ на вашем сайте, сначала надо разобраться, что это за данные и кто такие операторы.
Первому понятию 152-ФЗ дает такое определение:
Персональные данные — любая информация, относящаяся прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Точного перечня в законе нет, но исходя из определения, можно сделать вывод, что персональными можно считать все данные, которые относятся к конкретному человеку и позволяют его идентифицировать. Также в тексте встречаются понятия общие, специальные и биометрические данные.
С операторами все проще — это любой человек, компания или государственный орган, который собирает, хранит, обрабатывает и совершает другие действия с персональными данными. Владельца интернет-ресурса можно отнести к операторам, если на сайте есть формы заказа, комментариев, регистрации и обратной связи, в которые человек вводит имя, фамилию, электронный адрес, номер телефона и т. д.
Если при отправке комментария от пользователя требуют только имя или никнейм, политика конфиденциальности не нужна, так как по такой информации идентифицировать человека невозможно.
Гарантированно приведем клиентов
на ваш новый лендинг
Подробнее
Как составить текст политики конфиденциальности
Утвержденной законом формы нет. Но есть перечень сведений, которые обязательно прописывать в документе.
- На каком основании и с какой целью вы собираете персональные данные.
- Ваши наименование, контактные данные и адрес.
- Сведения о том, кто обрабатывает данные, если этим занимается другая компания, а также о третьих лицах, у которых есть доступ к ним.
- Какие данные обрабатываете и из каких источников получаете, включая файлы cookie.
- Сроки обработки и хранения персональных данных.
- Каким образом вы соблюдаете права субъекта, предусмотренные законом «О персональных данных».
- Информация о том, что вы передаете данные за пределы России.
Всю эту информацию можно изложить в свободной форме. Главное — чтобы документ содержал все сведения, которые требует закон, а также понятно разъяснял пользователю, что происходит с его персональными данными, как вы можете их использовать и что делаете, чтобы защитить его право на неприкосновенность частной жизни и личную тайну.
Копировать политику конфиденциальности с других сайтов не стоит. Как минимум, нужно адаптировать текст под свои условия обработки данных.
Называться на сайте документ может по-разному: политика в отношении персональных данных, политика конфиденциальности, пользовательское соглашение и т. д. Сути это не меняет и нарушением не считается.
Как оформить документ и разместить на сайте
Единственное требование законодательства в этом плане, чтобы субъекты персональных данных имели свободный и неограниченный доступ к политике конфиденциальности. В остальном владелец сайт волен сам решать, как лучше реализовать ее на сайте.
Обычно документ публикуют на отдельной странице и обеспечивают доступ в один клик с любой другой. Ссылки на политику конфиденциальности стоит разместить рядом с формами, где пользователь дает согласие на обработку. Также сноску на документы зачастую размещают в подвале или верхнем меню сайта.
Флажок «Согласие на обработку персональных данных» рядом с формами тоже обязателен. Согласно закону, собирать и обрабатывать информацию о пользователях можно только с их согласия, за исключением нескольких случаев, которые к сайтам не относятся. Более того, в случае проверки владелец ресурса должен иметь возможность доказать, что согласие было.
Соблюсти это требование на конструкторах и популярных CMS несложно — большинство разработчиков быстро среагировали и добавили такую возможность в свои продукты.
Для WordPress есть специальный плагин — «Политика конфиденциальности для сайта. Согласие под формами Contact-Form 7».
Он соответствует требованиям 152-ФЗ и позволяет :
- автоматически добавлять галочки к формам комментариев и тем, что созданы с помощью плагина «Контакт Форм 7»;
- создать и настроить страницу с политикой конфиденциальности;
- настроить оповещение об использовании cookies;
- настроить текст для флажка согласия на обработку;
- задать установку этой галочки по умолчанию, хотя делать этого все же не стоит — пользователь должен дать согласие, а значит отметить чекбокс сам;
- запретить отправку формы без нее.
Есть еще старые плагины, в том числе англоязычные, с помощью которых добавляются флажки для подписки на рассылку, принятия пользовательского соглашения и т. д. Однако новые продукты разрабатывались специально для соблюдения 152-ФЗ и настроить их под эти цели будет проще.
Напоследок еще несколько требований, о которых не стоит забывать
- Нельзя собирать больше данных, чем нужно для достижения целей, прописанных в политике конфиденциальности.
- Нельзя хранить и обрабатывать данные с использованием баз данных, размещенных на иностранных серверах.
- Прежде чем начать собирать персональные данные, об этом нужно уведомить Роскомнадзор в бумажной или электронной форме. Перечень сведений есть в ст. 22 152-ФЗ.
- Чтобы делегировать обработку персональных данных другим юридическим или физическим лицам, нужно заключить договор.
- Оператор персональных данных обязан обеспечить их безопасность с помощью организационных, правовых и технических мер — инструктировать сотрудников, разработать локальные акты, обеспечить надежную защиту баз данных, исключающую утечку информации и доступ третьих лиц.
