Политика конфиденциальности для сайта: что это, пример составления

Что это такое и зачем размещать на сайте

Говоря простым языком, в «Политике конфиденциальности» администрация сайта подробно объясняет пользователю, что произойдет с его персональными данными после начала любых отношений с сервисом.

• В некоторых случаях, таких как подтверждение ознакомления и согласие с текстом, установка флажка обязательна.
• В остальных случаях просто пишется уведомление о том, что в случае начала использования сайта посетитель принимает предоставленные условия.

В последние годы в связи с увеличением случаев цифрового мошенничества и неправомерного использования информации о физических лицах закон требует размещения на сайте специальной формы, в которой пользователь явным образом соглашается с условиями обработки своих персональных данных.

Если такого пути нет, то этот ресурс нельзя считать полностью легитимным, а администрацию даже могут привлечь к ответственности и наложить большие штрафы.

Поэтому у владельцев цифровых проектов появилась новая обязательная задача — разработка собственной политики конфиденциальности, публикация и размещение формы подтверждения согласия пользователя.

5. Порядок и условия обработки персональных данных

В данном разделе Роскомнадзор рекомендует указывать перечень действий, совершаемых оператором с персональными данными субъектов, а также используемые оператором способы обработки персональных данных и сроки обработки персональных данных.

Выберите. ФЗ 152 предусматривает следующий перечень операций с персональными данными: сбор, регистрация, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Способы обработки могут включать:

а) автоматизированная обработка персональных данных

б) обработка персональных данных без использования средств автоматизации.

Согласно определению, данному в 152-ФЗ, под автоматизированной обработкой персональных данных понимается обработка персональных данных с использованием средств вычислительной техники.

Казалось бы, сюда попадают любые действия с ПД, выполняемые с помощью компьютерной техники. Но все не так просто. Проанализировано Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утвержденное постановлением Правительства РФ от 15 сентября 2008 г. N 687.

Пунктом 1 установлено, что обработка персональных данных, содержащихся в информационной системе персональных данных или извлеченных из нее (далее — персональные данные), считается осуществляемой без использования средств автоматизации (неавтоматизированных), если такие действия с персональными данными такие сведения, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии лица.

Обработка персональных данных не может быть признана осуществленной с использованием средств автоматизации только на основании того, что персональные данные содержатся в информационной системе персональных данных или были извлечены из нее (п. 2).

Иными словами, если ПДн не используются, не уточняются, не распространяются или не уничтожаются в ИСПД вашего сайта в автоматическом режиме без участия человека, вы можете смело выбирать второй способ обработки – обработку персональных данных без использования средств автоматизации.

Результатом этого простого действия станет юридический отказ от применения драконовских требований 152-ФЗ к автоматизированному обращению с ИПН в информационной системе.

Относительно сроков обработки ПДн предлагаем указывать как минимум срок договора, по которому запрашивались ПДн. К сроку действия договора можно добавить 3 года исковой давности для защиты прав в связи с его исполнением.

Роскомнадзор напоминает, что при хранении персональных данных оператор персональных данных обязан использовать базы данных, находящиеся на территории Российской Федерации, в соответствии с ч. 5 ст. 18 Федерального закона «О персональных данных». Нет необходимости отражать этот пункт в Политике, так как он связан с фактическими обстоятельствами. Хотя для формальности в Полис можно включить декларативную статью об обработке ПДн в России.

Также Роскомнадзор рекомендует уточнять условия передачи персональных данных третьим лицам. Важный момент. Обычно этот список сводится к следующим причинам передачи ПД:

• Пользователь выразил согласие на такие действия;
• Передача необходима для заключения и исполнения договоров на Сайте или с его использованием;
• По требованию суда или иного уполномоченного государственного органа в рамках установленной законодательством процедуры
• Для защиты прав и законных интересов в связи с нарушением заключенных с пользователем договоров.

В определенных пределах этот список может быть расширен за счет случаев продажи Сайта или передачи ПДн в обезличенном виде.

Кроме того, Роскомнадзор рекомендует указывать в данном разделе Политики сведения о соблюдении требований о конфиденциальности персональных данных, установленных ст. 7 Федерального закона «О персональных данных», а также сведения о принятии оператором мер, предусмотренных ч. 2 ст. 18.1, ч. 1 ст. 19 Федерального закона «О персональных данных».

На практике эта информация сводится к утверждению о том, что Администрация Сайта хранит Персональные данные и обеспечивает их защиту от несанкционированного доступа и распространения в соответствии с внутренними правилами и положениями.

4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

Роскомнадзор предупреждает, что содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

Принимая во внимание данные рекомендации Роскомнадзора, мы указываем в Политике, какую личную информацию вы собираете с помощью Сайта.

В первую очередь указываем данные полей онлайн-форм обратной связи, заказа, подписки и регистрации. Затем уделяем пристальное внимание составу информации, вводимой пользователем при заполнении профиля в личном кабинете.

Дополнительно указываем данные, которые запрашиваются службой поддержки или отделом продаж при заполнении или обработке запросов по телефону или в пунктах обслуживания.

3. Правовые основания обработки персональных данных

Согласно разъяснению Роскомнадзора, правовой основой обработки персональных данных является совокупность правовых актов, в соответствии с которыми и согласно которым оператор осуществляет обработку персональных данных.

При наличии указанной выше ссылки в качестве правового основания для обработки персональных данных могут быть указаны договоры, заключенные между оператором и субъектом персональных данных.

В случае обработки ПДн в иных целях в качестве основания должно быть указано отдельное согласие на обработку персональных данных.

Как принять политику конфиденциальности

1. Составьте документ

Подготовьте политику конфиденциальности в виде отдельного документа. Вы также можете включить правила обработки персональных данных в пользовательское соглашение или договор-оферту, если вы работаете по ним.

Проще всего подготовить политику конфиденциальности с помощью специальных сервисов, например, конструктора Тильда.

Пример политики конфиденциальности

Показать в документе:

— Список персональных данных. Например, имя, адрес, телефон. Не забудьте указать cookies — обезличенные данные о посетителях, собираемые Яндекс.Метрикой и Google.Analytics.

– Цели сбора и обработки. Например, исполнение договора, создание акций, продвижение товаров, улучшение сайта.

— Продолжительность. Он должен соответствовать целям.

— Меры защиты персональных данных. Например, резервное копирование.

— Какое действие считается согласием пользователя. Например, поставить бренд, создать личный кабинет, заполнить форму.

2. Опубликуйте политику конфиденциальности на сайте

Пользователь должен четко понимать, что он делает. Когда они заполняют форму или регистрируются, покажите им ссылку на политику конфиденциальности. При посещении сайта обратите внимание, что он обрабатывает файлы cookie. Обычно используют всплывающее окно с кнопкой «ОК».

Разместите документ в доступном месте. Посетители должны иметь возможность увидеть его в любое время. Политика конфиденциальности обычно скрыта в футере, чтобы ссылка не отвлекала от содержания сайта.

3. Уведомите Роскомнадзор

Владельцы сайтов, собирающих персональные данные, должны уведомить об этом Роскомнадзор. Неуведомление наказывается по ст. 19.7 КоАП РФ: ИП — в размере до 500 рублей, ООО — до 5000 рублей.

Уведомлять Роскомнадзор не нужно, только если:

1. Сами пользователи публикуют свои данные в открытом доступе. Например, они пишут свое полное имя и номер телефона на сайте объявлений.
2. Пользователи указывают только полное имя.
3. Он получает персональные данные только для исполнения конкретного договора с клиентом. Например, на сайте кинотеатра открыта онлайн-запись на платную встречу с директором. Посетитель оставляет имя, телефон и e-mail. После события эти данные удаляются.

В любом случае лучше быть уверенным: уведомление бесплатное.

Форма уведомления

4. Назначьте ответственного за хранение персональных данных

Ответственность обычно возлагается на сотрудника, который работает с данными: кадровика, оператора колл-центра, менеджера по продажам. Если вы индивидуальный предприниматель и работаете один, на себя.

5. Храните данные на серверах в России

Хранение персональных данных за пределами России запрещено согласно ст. 18 152-ФЗ. Если вы арендуете хранилище, узнайте, в какой стране находятся серверы.

Новым ИП — год Эльбы в подарок

Один год онлайн-бухгалтерии на тарифе Премиум для индивидуальных предпринимателей менее 3 месяцев

Бесплатная пробная версия

Часто используемые персональные данные

Неважно, используете ли вы эту информацию по отдельности или в комбинации; если вы каким-либо образом получаете их от пользователей, вы являетесь контролером персональных данных.

• Эл адрес
• Телефон
• Имя, фамилия, отчество (и отдельно)
• Направление
• Дата рождения
• Фотография
• Ссылка на личный сайт и профиль в социальных сетях

Толкование расплывчатое, но согласно позиции судов и Роскомнадзора, даже куки, данные об IP-адресе, местонахождении без указания фамилии и имени являются персональными данными. В случае с LinkedIn (который был заблокирован за использование файлов cookie, информации о поведении пользователей на странице и информации о местоположении) и провайдера Скартел позиция судов и Роскомнадзора подтверждается.
Если на вашем сайте предусмотрена какая-либо форма сбора данных: комментарии, подписка на рассылку новостей, регистрация или личный кабинет, это считается обработкой персональных данных.

2. Цели сбора персональных данных

Согласно Рекомендациям, обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

Если вы не хотите регистрироваться в Роскомнадзоре и проходить последующие обязательные проверки, предлагаем связать все цели обработки ПДн с заключением и исполнением договоров.

Функцию такого соглашения может иметь Пользовательское соглашение, принятое любым пользователем в начале использования Сайта, или иное соглашение, предлагаемое владельцем Сайта.

В итоге получаем довольно стандартный набор целей:

1. Заключение договоров с пользователем на использование или использование Сайта.
2. Идентификация пользователя в рамках исполнения обязательств, вытекающих из заключенных с ним договоров.
3. Исполнение обязательств по заключенным договорам, в том числе предоставление пользователю доступа к Сайту и технической поддержки, использования пользователем функциональных возможностей Сайта.
4. Выставлять счета и возмещать остаток денежных средств в случае расторжения оплаченных договоров, заключенных с пользователем.
5. Уведомление в рамках информационного обслуживания, отгрузок и улучшения качества обслуживания по заключенным договорам, в том числе с участием третьих лиц.

Определяет условия бесплатного использования сайта Пользовательское соглашение

Готовое решение для вашего бизнесаСпециальная версия для мобильных приложений в Google Play и Apple iTunes.Лицензия на мобильное приложение
Готовое решение для вашего бизнеса

Как избежать проблем при разработке ПК?

Шаг 1. Проанализируйте объем данных, которые будут обрабатываться и храниться.

Шаг 2. Разработать положения в соответствии с законодательством РФ (если приложение будет выпущено в других странах, в соответствии с международными требованиями).

Шаг 3. Изучите требования Apple и Google, заполните положение согласно им, чтобы приложение соответствовало всем правилам.

Кроме того, можно ориентироваться и на другие положения, например, на рекомендации Роскомнадзора по составлению документа, регламентирующего сбор и обработку персональных данных.

Политика конфиденциальности должна быть ориентирована на обычного пользователя: быть лаконичной и недвусмысленной. Хотя использование технических терминов неизбежно, сложный юридический язык и мелкий шрифт недопустимы в документе.

Какие могут возникнуть проблемы при несоблюдении требований?

Законодательством Российской Федерации предусмотрена ответственность за нарушение Политики в области защиты и обращения с персональными данными, а также за неинформирование пользователя об условиях использования его персональных данных. Размер штрафа составляет до 70-100 тысяч рублей за каждое нарушение. А за несоблюдение требований GDPR придется заплатить более высокую сумму: при регулярных нарушениях можно потерять до 4% оборота компании.

Еще один вид санкций — блокировка приложений. Как правило, это происходит после проверки ПК маркетами. AppStore и Google Play диктуют свои требования политики конфиденциальности в соответствии с международным законодательством, а российские разработчики приложений соблюдают местные законы. В результате приложение блокируется за несоответствие требованиям рынка. Происходит конкуренция правовых норм; на самом деле приложение используется в России и соответствует всем ее законам, но сайты предъявляют более высокие требования, за несоблюдение которых к ним применяются санкции.

В России Роскомнадзор часто выступает инициатором блокировки сайта или приложения за злоупотребление данными. Является уполномоченным органом по защите прав держателей персональных данных; ведет учет эксплуататоров и нарушителей прав держателей персональных данных.

Выявить преступника могут помочь не только специализированные учреждения. Любой пользователь, заметивший нарушение Политики конфиденциальности, имеет право подать жалобу на правообладателя и привлечь его к ответственности. Пользователи, особо внимательные и жаждущие справедливости, могут писать такие заявления ежедневно; это обойдется компании в десятки тысяч рублей штрафов.

6. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

Роскомнадзор рекомендует включить в Политику регламент(ы) реагирования на запросы/обращения субъектов персональных данных и их представителей, уполномоченных органов относительно недостоверности персональных данных, неправомерности их обработки, отзыва согласия и доступа субъекта персональных данных к своим данным, а также к соответствующим формам заявок/ресурсов.

В таких случаях обычно указывается, что пользователь имеет право самостоятельно редактировать предоставленную им информацию в личном кабинете в любое время. В случае расторжения заключенного договора пользователь вправе удалить свой личный кабинет самостоятельно или обратившись в службу поддержки по адресу электронной почты XXX@XXX.XX.

При желании можно ужесточить правила обработки запросов на изменение/удаление ПД, требуя от пользователя отправки ценных писем на его адрес в г. Бобруйске.

Таковы основные Рекомендации относительно формы и содержания Политики.

А что делают крупные игроки?

Недавно Apple выпустила обновление iOS 14, которое запрещает передачу личных данных владельцев устройств без их личного согласия. Специальные ярлыки в App Store сообщают, к каким данным приложение будет иметь доступ после установки.

Google идет по стопам Apple: компания думает над созданием аналога «метки конфиденциальности» для Android-приложений. Компания ищет способ ограничить сбор и отслеживание данных в приложении, чтобы одновременно угодить разработчикам и рекламодателям.

Что еще может пойти не так?

Многие крупные международные компании столкнулись с трудностями именно из-за проблем с Политикой конфиденциальности:

Купить Отключить рекламу

Facebook: Взлом ПК

В 2020 году Комиссия по защите личной информации Южной Кореи оштрафовала Facebook на 6,1 миллиона долларов за нарушение законов о конфиденциальности. Как выяснилось, за 6 лет, с мая 2012 года по июнь 2018 года, социальная сеть передала личную информацию более 3,3 млн человек другим компаниям без их согласия. Персональные данные пользователя социальной сети и его друзей стали доступны третьим лицам при использовании учетной записи Facebook для авторизации в стороннем сервисе.

Инстаграм: неправильная формулировка

В 2012 году Instagram обновил ПК, чтобы сказать: «Чтобы помочь нам предоставлять привлекательный платный контент, вы соглашаетесь с тем, что другие лица могут платить нам за предоставление вашего имени пользователя, отметок «Нравится», фотографий и/или действий, которые вы предприняли в контексте платного контента коммерческий контент без какой-либо компенсации вам».

Пользователи решили, что соцсеть будет продавать их фотографии рекламодателям, поэтому начали массово удалять аккаунты. Представителям Instagram пришлось объяснять: они просто хотели персонализировать рекламные предложения. Они признали, что некорректная формулировка может запутать пользователей, и пообещали исправить текст.

WhatsApp: недовольство пользователей изменением политики конфиденциальности

В соответствии с обновленной Политикой конфиденциальности пользователи Messenger должны предоставить Facebook доступ к номерам телефонов, именам профилей и фотографиям, информации о транзакциях, данным диагностики приложений и IP-адресам; Facebook также оставил за собой право делиться данными с другими своими компаниями. На фоне этих событий увеличилось количество загрузок из других мессенджеров: Telegram — на 91% за неделю, Signal — на 4200%. Недовольство и исход пользователей вынудили WhatsApp отложить обновление ПК.

Google: недостаточно информирует пользователей

Национальная комиссия по информатике и свободам Франции оштрафовала Google на 50 млн евро за недостаточное информирование пользователей при получении согласия на обработку и использование их данных. Комиссия утверждает, что пользователям не сообщают, какие сайты имеют доступ к данным, сколько данных собирается и как долго они хранятся. Кроме того, информация разбросана по нескольким документам, что затрудняет понимание пользователями того, что именно происходит с их данными.

Что еще нужно сделать, если вы — юрлицо

Выше мы упомянули основные требования, которые Роскомнадзор предъявляет ко всем сайтам, независимо от того, физическое это лицо или юридическое. Ниже приведены еще несколько групп требований, которым дополнительно должны соответствовать юридические лица. Что еще делать компаниям:
1 Назначить руководителей и разработать пакет внутренних документов, регламентирующих обращение и защиту персональных данных

Грамотно регламентировать взаимодействие с физическими лицами, государственными органами и контрагентами. Это означает, что вам нужно:

1. Подписывать с работниками обязательства о соблюдении конфиденциальности, давать свое согласие на обработку персональных данных и под роспись знакомить их с внутренними документами по персональным данным.
2. Со всеми остальными лицами подписывайте согласие на обработку персональных данных или добавляйте пункты об обработке персональных данных в заключаемые вами договоры.
3. Заключать запросы на обработку персональных данных, если вы передаете данные физических лиц кому-либо (например, рекламным агентствам).
4. Ответы на запросы физических лиц относительно обработки их персональных данных не должны оставаться без внимания, как это часто делается.

3Защитить персональные данные техническими и организационными мерами: антивирусные системы, брандмауэры, ограничение прав доступа. Все это подробно расписано в приказе ФСТЭК №21. В зависимости от требований проверить компанию могут разные органы: Роскомнадзор, ФСТЭК и ФСБ России. Самые редкие случаи проверки для частных организаций – это проверка технической защиты персональных данных, этим занимается ФСБ в небольшом количестве.
ФСТЭКФедеральная служба по техническому и экспортному контролю Основной риск — это Роскомнадзор, который проводит тысячи проверок в год.

Кто регулирует соблюдение Политики конфиденциальности?

В России «Политика в области защиты и обработки персональных данных» регулируется Федеральным законом «О защите персональных данных». В Европе действуют регулируемые требования: Общий регламент по защите данных (GDPR); Единого документа в США нет, требования для каждого штата разные..

В международном праве политика конфиденциальности (Privacy Policy) адаптирована к конкретному продукту. То есть для каждого нового приложения или сайта, в рамках которого будут обрабатываться персональные данные, должен разрабатываться свой детальный ПК.

В России упор делается на пользователя и предоставляемую им информацию. На самом деле описывается не продукт, а то, как и какие данные будут предоставляться, обрабатываться, храниться и будут ли они переданы третьим лицам. В отличие от зарубежного аналога, российский документ может содержать более общие формулировки, но он также должен разрабатываться под конкретное приложение.

Если приложение будет распространяться в России и за рубежом, оно должно соответствовать не только местным, российским, но и международным нормам.

Какая информация должна быть в соглашении об обработке персональных данных

Согласно части 4 ст. 9 Закона 152-ФЗ «О персональных данных» договор должен содержать следующую информацию:

• имя или фамилия, имя, отчество и адрес оператора, получившего согласие субъекта персональных данных;
• цель обработки персональных данных;
• перечень персональных данных, на обработку которых дано согласие субъекта персональных данных;
• имя или фамилия, имя, отчество и адрес лица, осуществляющего обработку персональных данных по поручению оператора, если обработка возложена на такое лицо;
• перечень действий с персональными данными, на совершение которых дается согласие, обзор используемых оператором способов обработки персональных данных;
• срок, в течение которого действует согласие субъекта персональных данных, а также порядок его отзыва, если иное не установлено федеральным законом;

Также необходимо предоставить информацию о том, каким образом лицо может отозвать свое согласие на обработку персональных данных (ч. 2 ст. 9 152-ФЗ «О персональных данных»).
3Разместить на сайте в открытом доступе (например, в футере сайта) ссылку на документ: политика организации в отношении обработки персональных данных на сайте Пример политики организации в отношении обработки персональных данных на сайт4Показать всех новых пользователей сайта, который собирает пользовательские метаданные (файлы cookie, данные об IP-адресе и местоположении) для работы сайта, и если вы не хотите, чтобы эти данные обрабатывались, вы должны покинуть сайт.

В Тильде блок предупреждений находится в категории «Другое» под номером T6575. Подать уведомление о включении организации в реестр операторов персональных данных Роскомнадзора; можно через сайт.

Вы не можете подать уведомление, если:

• обрабатывать только данные сотрудников и только для выполнения требований трудового законодательства (без передачи данных в банки, например, оформление зарплатного проекта)
• обрабатывать данные путем заключения договора с каждым клиентом и сотрудником, а не передавать данные третьим лицам
• обрабатывать персональные данные только на бумаге.

Другие исключения, когда уведомление в Роскомнадзор подавать нельзя, содержатся в абзаце втором статьи 22 Закона 152-ФЗ.
Подтверждать статус оператора в Роскомнадзоре не нужно. Вы или ваша компания уже являетесь операторами, если у них есть доступ к персональным данным.

Как пользователь может понять, что ПК нарушается?

Это достаточно сложно, но возможно. Если пользователь изначально дал согласие на использование одних данных, а приложение начинает требовать другие, это повод заподозрить нарушение ПК.

{ «osnovaUnitId»: null, «url»: «https://booster.osnova.io/a/relevant?site=vc&v=2», «place»: «between_input_blocks», «site»: «vc», » конфигурация»: {«режимы»:{«externalLink»:{«buttonLabels»:«u0423u0437u043du0430u0442u044c»,»u0427u0438u0442u0430u0442u044c»,» «,» u041fu043eu043bu0443u0447u0438u0442u044c»,»u0421u043au0430u0447u0430u0442u044c»,»u041fu0435u0440u0435u043 » }, «deviceList»:{«рабочий стол»:»u0414u0435u0441u043au0442u043eu043f»,»смартфон»}} }

Например, несанкционированная передача данных третьим лицам может быть обнаружена, если от стороннего сервиса получено уведомление с информацией, которая должна храниться только конкретным приложением. Но теперь каждый день пользователи оставляют свои данные на самых разных сервисах, от интернет-магазинов до служб такси, что делает практически невозможным отследить, кто конкретно взломал ПК и «слил» информацию.

Можно ли обойтись без разработки Политики конфиденциальности?

Если у приложения нет ПК, его нельзя будет загрузить в маркет приложений AppStore и Google Play.

В 2018 году AppStore требовал публикации Политики конфиденциальности для всех приложений, отвечающих новым требованиям. При этом произошла самая массовая блокировка приложений на рынке: многие правообладатели не успели обновить свои ПК по новым правилам.

Как и кем составляется документ

Ответственность за документ политики конфиденциальности полностью лежит на администрации интернет-ресурса.

Владелец сайта может самостоятельно составить документ или доверить это дело профессиональным юристам.

Важная точка! Хотя текст разрабатывается владельцами интернет-сайтов индивидуально, он должен соответствовать букве закона. В противном случае документ является ничтожным для суда.

Как практически решить этот вопрос?

• Вы можете ознакомиться с политикой конфиденциальности любого авторизованного ресурса схожей тематики и направленности. После этого откорректируйте текст в соответствии с местными условиями.
• Вы можете найти в Интернете, на юридических ресурсах типовой шаблон политики конфиденциальности, ввести свои реквизиты и данные компании.

Кроме того, вы можете скачать этот шаблон с эта ссылка.

Здесь я разместил простой шаблон формата docx, который подходит для большинства сайтов.

Осталось отредактировать под свои нужды и указать данные своей организации.

Онлайн генератор

Для удобства владельцев веб-проектов существуют онлайн-сервисы, в некоторых из которых можно быстро и легко подготовить документ с учетом действующего законодательства, заполнив предложенную форму.

Указанный генератор политики конфиденциальности можно найти по адресу tools.joomlatown.net/152

Просто заполните все предложенные формы, а заполнив, вы сможете скачать готовый файл.

Я не обрабатываю персональные данные, а только собираю

Хранение и сбор также включены в определение переработки. Даже если вы соберете данные и через пару минут удалите их, это будет считаться обработкой персональных данных. Определение Закона 152-ФЗ «О персональных данных»: Обработка персональных данных — любое действие (операция) или совокупность действий (операций) осуществляемые с использованием автоматизированных средств или без использования таких средств с персональными данными, включая сбор, регистрацию, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование , удаление, уничтожение персональных данных.

Что делать с участком Необходимо убедиться, что участок соответствует требованиям 152-ФЗ. Эти требования распространяются на всех: частных лиц и компании. Убедитесь, что вы выполняете следующие условия:1 Хостинг и база данных с личными данными должны находиться в России. На это прямо указывают данные проверок Роскомнадзора (опять же LinkedIn) и Закон № 242-ФЗ, которым предусмотрена регистрация, хранение, обновление и извлечение персональных данных граждан РФ с использованием баз данных в России с сентября 1, 2015.
Это касается иностранных компаний с юридическим лицом в России и без него, а также российских компаний, использующих иностранных хостинг-провайдеров, дата-центры и облачные платформы. Все осложняется тем, что требования Роскомнадзора не совсем понятны, приходится догадываться самому.
Если вы не понимаете, где хранить данные и что делать, обратитесь с запросом в Роскомнадзор или Минкомсвязь. И, возможно, у вашего хостинг-провайдера есть готовые решения на этот случай. 2 Под каждой формой сбора данных, в том числе по электронной почте, разместить текст «Нажимая на кнопку, вы даете согласие на обработку своих персональных данных». Текст должен содержать ссылку на документ — Пользовательское соглашение, соглашение или согласие на обработку персональных данных. Текст самого документа можно разместить на отдельной странице. В Тильде в каждом блоке с формой сбора данных

Политика конфиденциальности сайта: Введение

Ваша политика конфиденциальности должна начинаться с введения, в котором подробно описывается, для чего она предназначена.

В нем также должно быть подробно описано, какую информацию читатель узнает, прочитав ее. Вставьте название вашего сервиса или веб-сайта там, где вы видите «(веб-сайт)» в тексте.

Вы можете начать с введения на основе этого шаблона политики конфиденциальности:

«Здесь, на веб-сайте, мы очень серьезно относимся к конфиденциальности. (Веб-сайт), как правило, не собирает вашу личную информацию, если вы не решите предоставить эту информацию нам. Когда вы решаете предоставить нам свою личную информацию, вы даете (веб-сайту) свое разрешение на использование этой информации в целях, указанных в настоящей политике конфиденциальности. Если вы решите не предоставлять нам эту информацию, это может ограничить функции и услуги, которые вы можете использовать на этом веб-сайте.

Как правило, запрашиваемая (веб-сайтом) информация будет использоваться для предоставления вам функций или услуг веб-сайта, таких как комментарии, поддержка или предоставление будущего контента, который больше соответствует вашим интересам. Будет подробно описано предполагаемое использование (веб-сайт) этой информации, как эта информация собирается, меры безопасности (веб-сайт), реализованные для защиты этой информации, и как предоставить или отозвать согласие на сбор и использование этой информации в Уведомлении о политике конфиденциальности» настоящей политики конфиденциальности ».

С введением в пути, пришло время составить раздел «Уведомления о конфиденциальности» вашей политики конфиденциальности.

Она нужна только тем сервисам, которые работают с кредитными картами и паспортными данными?

Нет, этот документ является обязательным для любого информационного ресурса и компьютерных продуктов, использующих персональные данные.

Если на вашем мобильном устройстве есть какая-либо обратная связь с пользователем, отслеживание и идентификация, ПК уже необходим.

Что относится к персональным данным?

Любая информация, относящаяся к конкретному физическому лицу, позволяющая его идентифицировать.

Например, персональные данные не включают один номер телефона, например набор номеров или один адрес электронной почты. Но если телефон связан с ФИО конкретного человека, а электронная почта состоит из имени и фамилии владельца, это уже личная информация.

В судебной практике известен случай, когда анонимизированный идентификатор пользователя был признан персональными данными наряду со временем просмотра веб-страницы, URL-адресом, HTTP-реферером, пользовательским агентом и файлами cookie.

Как подойти к созданию ПК?

Вариант 1. Используйте стандартный интернет-шаблон, такой как ПК, или воспользуйтесь конструктором ПК.

Риски: штраф или бан из-за нарушения ПК. Скорее всего, интернет-документ описывает стандартный порядок использования персональных данных. Но нет никакой гарантии, что на самом деле то или иное приложение или сайт точно так же собирает, хранит и передает данные. Разработчики ПК также полагаются на стандартные макеты и не могут учесть все тонкости.

Вариант 2. Скачать шаблон ПК из интернета, отдать на рассмотрение штатному юристу.

Риски: потратить много времени: юристу, не работающему с ПК, потребуется несколько недель на изучение и доработку документа.

Вариант 3. Перейти на аутсорсинг — найти специалиста по созданию ПК. Крупные компании-разработчики предлагают эту услугу в дополнение к разработке приложений. В этом случае описание того, как и какие данные обрабатываются, будет наиболее точным и подробным.

Риски: отсутствуют (при условии высокого качества услуг). Опытные специалисты разработают документ менее чем за неделю.