Политика конфиденциальности персональных данных

Политика конфиденциальности персональных данных

Политика конфиденциальности персональных данных
СОДЕРЖАНИЕ
0
13 марта 2020

Пример политики конфиденциальности

В нашем случае мы зашили основные положения о работе с данными регистрирующегося лица в Согласие на обработку персональных данных

Помимо него в форме регистрации предусмотрен Договор-оферта и Пользовательское соглашение, что немаловажно наряду с политикой конфиденциальности

Наш документ состоит из главных пунктов, предусмотренных законодательством:

  • Порядок предоставления согласия пользователем;
  • Данные юридического лица;
  • Перечень персональных данных;
  • Цель обработки персональных данных;
  • Основание для обработки персональных данных;
  • Совершаемые с данными действия;
  • Порядок передачи данных третьим лицам;
  • Порядок обработки и хранения данных;
  • Порядок отзыва персональных данных.

Сквозная аналитика

 от 990 рублей в месяц

  • Автоматически собирайте данные с рекламных площадок, сервисов и CRM в удобные отчеты
  • Анализируйте воронку продаж от показов до ROI
  • Настройте интеграции c CRM и другими сервисами: более 50 готовых решений
  • Оптимизируйте свой маркетинг с помощью подробных отчетов: дашборды, графики, диаграммы
  • Кастомизируйте таблицы, добавляйте свои метрики. Стройте отчеты моментально за любые периоды

Узнать подробнее

Запомнить

  • персональные данные — это любая информация, по которой можно прямо или косвенно определить человека;
  • если вы собираете персональные данные — нужно разместить на сайте политику конфиденциальности и уведомить Роскомнадзор;
  • у людей надо брать согласие на обработку персональных данных — разместите под формой ввода данных соответствующую строку с чекбоксом и ссылкой на политику;
  • все персональные данные надо хранить только на российских серверах;
  • специальные и биометрические персональные данные можно собирать только по письменному согласию;
  • Роскомнадзор может прийти за каждым.

2 БЕЗОПАСНОСТЬ

2.1. Администрация использует современные технологии обеспечения конфиденциальности персональных данных, а также данных, полученных из регистрационных онлайн-форм, оставляемых Пользователями, с целью обеспечения максимальной защиты информации.
2.2. Доступ к личной информации Пользователя осуществляется через систему авторизации с логином и паролем. Пользователь обязуется самостоятельно обеспечить сохранность авторизационных данных, ни под каким предлогом не разглашать их третьим лицам. Любые изменения личной информации, внесенные посредством авторизационных данных, будут считаться осуществленными лично Пользователем.

Соглашение о конфиденциальности и обработке персональных данных

Настоящее Соглашение о конфиденциальности и защите персональных данных (далее — Соглашение) регулирует отношения по обработке (сбор, накопление, хранение, уточнение, использование, передачу, блокирование, уничтожение) Администрацией сайта «ukol.expert» (далее — Администрация), персональных данных любого юридического лица, или физического лица, которые зарегистрировались на сайте, заполнило форму комментирования, форму обратной связи с администрацией или подписку на рассылку новостей.

Предоставив свои персональные данные, Пользователь подтверждает, что прочитал и выразил полное согласие с условиями Соглашения без какого-либо изменения или дополнения, а также разрешил Администрации обработку своих персональных данных.

1 ИСТОЧНИКИ ИНФОРМАЦИИ

1.1. Администрации доступна информация, получаемая следующими способами:
– информация, предоставляемая Пользователями при:
а) регистрации Пользователя на Сайте,
б) в рамках мероприятий, проводимых Администрацией (опросах, заявках, формах
обратной связи),
в) путем внесения записей Пользователем в регистрационную онлайн-форму при подаче заявки на участие в мероприятии;
– при переписке Администрации с Пользователями посредством электронной почты;
– техническая информация — данные об интернет-провайдере Пользователя, IP-адресе, характеристиках используемого ПК и программного обеспечения, данные о загруженных и выгруженных на Сайт файлах и т.п.;
– статистические данные о предпочтениях отдельно взятого Пользователя (тематика просмотренных страниц).
1.2. Конфиденциальной в понимании настоящего соглашения может быть признана лишь информация, хранящаяся в базе данных Сайта в зашифрованном виде и доступная для просмотра исключительно Администрации.
1.3. Информация о лице, добровольно размещенная им в общих разделах Сайта при заполнении регистрационных онлайн-форм и доступная любому другому Пользователю Сайта, или информация, которая может быть свободно получена из других общедоступных источников, не является конфиденциальной.

Какие персональные данные лучше не собирать

Выше мы говорили об общих персональных данных. Но ещё закон выделяет специальные и биометрические ПД. Это те, что касаются:

  • расовой и национальной принадлежности;
  • политических взглядов, религиозных или философских убеждений;
  • состояния здоровья, интимной жизни и других физиологических и биологических особенностей человека.

Сюда же относятся отпечатки пальцев и фотографии. Да, лучше не требовать от довольного клиента прикрепить к отзыву фото. Он может сделать это только по собственному желанию.

Все эти данные требуют при сборе согласия на обработку в письменной форме. Человек должен лично написать согласие и поставить свою подпись. Чекбокс с галочкой уже не подойдёт.

Если продвигаете сайт клиники или другого медучреждения — не делайте ничего без согласования со штатными юристами.

Кому нужна политика конфиденциальности?

Выходит, даже если у вас на сайте есть обратный звонок, вы автоматические становитесь оператором персональных данных. И данные, накопленные на вашем сайте, должны обрабатываться по 152-ФЗ.

1. Документ о Политике конфиденциальности

В тексте должны быть следующие пункты:

каким образом и для каких целей собираются персональные данные;
как могут использоваться эти данные;
что происходит с куки-файлами;
как данные предоставляются другим организациям;
Важное замечание. Не забывайте заключать соглашение на согласие на обработку персональных данных на сайте со сторонними компаниями, с которыми вы сотрудничаете (служба доставки, банк, хостер и т

д.), об обеспечении безопасности персональных данных. В соглашении должно быть указано, какие персональные данные компания обрабатывает, в каких целях и какие действия с ними выполняет, как должна их защищать.

сколько хранятся данные и как обеспечивается их защита;
что не будет происходить с персональными данными;
контактные данные организации и изменения в Политику конфиденциальности.

В конце текста про политику конфиденциальности добавьте рабочий адрес электронной почты, куда пользователь может обратиться с просьбой удаления, изменения или блокировки данных. Сотрудникам необходимо ежедневно проверять письма, чтобы не пропустить ни один запрос.

Требования к Политике конфиденциальности, чтобы она также помогла вам соблюдать GDPR (если среди ваших клиентов есть клиенты из Европы), можно почитать тут.

2. Ссылка на документ о Политике конфиденциальности с главной страницы

Это нужно для того, чтобы любой пользователь и проверяющий орган увидел, что документ находится в свободном доступе, и его легко найти. Как правило, достаточно разместить общую ссылку в подвале сайта. Например так:

Или так:

3. Надпись или «галочка», которая подтверждает согласие пользователя на обработку персональных данных

Обязательна под каждой формой на сайте.

Согласие пользователя на обработку персональных данных на сайте «МВидео».

4. Дисклеймер

Это всплывающее сообщение-предупреждение, что на сайте собираются статистические данные. Те самые куки-файлы, информация о геопозиции и поведенческие, о которых мы говорили выше.

Наличие дисклеймера четко не регламентировано, но многие юристы советуют его установить. Чтобы не испугать посетителей сайта, лучше делать его незаметным, настраивать показ окна только новым пользователям и скрывать его от повторных заходов.

А вот дисклеймер сайта Jacobs:

И даже у Сбербанка есть дисклеймер:

И еще важные моменты по 152-ФЗ:

  1. Уточните, где физически находится хостинг сайта

    Эту информацию вам предоставят специалисты технической поддержки сайта. По новым правилам, хостинг должен располагаться на территории Российской Федерации, чтобы данные хранились в нашей стране. Если базы данных находятся за границей, переезжайте на другой хостинг.

  2. Зарегистрируйте себя в Роскомнадзоре в качестве оператора, работающего с персональными данными

    Это можно сделать на сайте Роскомнадзора, заполнив форму уведомления. Но предварительно нужно подготовить пакет документов. Далее форму нужно распечатать и отнести в территориальный орган Роскомнадзора. Когда мы ведем подготовку сайтов наших клиентов по ФЗ-152, в тарифе 100% защита даем подробную инструкцию о том, как подать заявку в РКН и предоставляем чек-лист обязательных документов.

  3. Не забывайте о биометрических и персональных данных специальных категорий

    Если, конечно, ваша деятельность требует такой информации от клиента. Согласите пользователя сайта должно оставляться в письменной форме и только.

Немного теории: персональные данные и что о них надо знать

Персональные данные (ПД) — это любая информация, по которой можно прямо или косвенно определить человека:

  • ФИО;
  • дата рождения;
  • телефон;
  • адрес;
  • электронная почта;
  • ИНН;
  • фотографии;
  • сведения о работе;
  • ссылки на аккаунты в соцсетях или личный сайт;
  • метрики сайта (ip-адрес, геотеги, cookies и т.д.);
  • и очень многое другое.

Проблема вот в чём: в самом законе нет точного и исчерпывающего объяснения, что и при каких условиях считать персональными данными.

Персональные данные — почти всегда совокупность нескольких разных данных о человеке.

Но есть исключения. Например, номер телефона. Обычно SIM-карты в салонах связи продают по паспорту, а паспортные данные вносят в базу. А значит, если у вас есть доступ к базе оператора — теоретически вы можете установить личность человека по одному только номеру.

Закон не может регламентировать каждую мелочь и каждый частный случай. Приходится руководствоваться здравым смыслом. Если вы абсолютно уверены, что нельзя установить личность человека по данным, которые собираете на сайте — хорошо. Если не уверены — лучше сразу считайте, что всё-таки собираете персональные данные.

А здесь обязательно нужно указать и имя, и адрес почты. Это уже персональные данные:

Если сайт собирает персональные данные — его владелец считается оператором персональных данных. Операторами могут быть и юридические, и физические лица.

Что такое политика конфиденциальности и зачем она нужна

Для сбора информации о посетителе сайта:

  • При регистрации;
  • Размещении заказа;
  • Подписки на рассылки;

владелец ресурса обязан разъяснить посетителю все возможные варианты и последствия сбора и использования его личной информации.

Это обязывает делать Закон 152-ФЗ «О персональных данных».

Согласно закона, если оператор осуществляет сбор персональных данных, то он обязан обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных.

Таким документом является политика конфиденциальности. В ней описывается то, в каком порядке посетитель предоставляет согласие на обработку своих данных, методы и цели их обработки, порядок обеспечения безопасности и конфиденциальности данных.

В частности, в политике конфиденциальности могут быть перечислены виды обезличенной информации, получаемые оператором. Это могут быть данные геолокации, cookie, IP и так далее.

Грамотно составленная политика конфиденциальности позволяет избежать получения письменного согласия владельца данных и регистрации как оператора персональных данных.

Более того, с июля 2017 года внесены изменения в ст. 13.11 КоАП, в связи с чем изменилось наказание за неисполнение требований закона.

3 ИСПОЛЬЗОВАНИЕ ИНФОРМАЦИИ

3.1. Администрация осуществляет обработку только той информации, которую Пользователь предоставляет добровольно.
3.2. Администрация имеет право на обработку персональной информации о Пользователе, полученной согласно п.1.1.
3.3. Персональной информацией Пользователя, полученной согласно п.1.1., является:
– электронный адрес, контактная информация;
– IP-адрес Пользователя;
– информация, которая может быть получена с файлов cookies;
– любая другая информацию, которую Пользователь оставил о себе при заполнении регистрационных онлайн-форм на Сайте.
3.4. Администрация обрабатывает персональную информацию Пользователя для:
– предоставления услуг;
– разрешения споров и затруднительных ситуаций;
– других целей, о которых Администрация дает знать Пользователю, запрашивая частную информацию.
3.5. Администрация может использовать персональные данные Пользователя с целью рассылки сообщений технического и административного характера, новостей.
3.6. Администрация использует технологии отслеживания (файлы cookies) для сбора таких персональных данных, как тип браузера или операционная система, ссылочная страница, путь на Сайте, домен интернет-провайдера и т.п., в целях получения общей информации о том, как Сайт используется Пользователями. Файлы cookies позволяют совершенствовать данный Сайт в соответствии с требованиями его Пользователей.
3.7. Администрация сохраняет всю информацию, собранную с использованием файлов cookies, в формате, не предполагающем идентификации личности. Информация, получаемая через файлы cookies, не может быть раскрыта третьим лицам. Эта информация не будет несанкционированно передаваться третьим лицам.
3.8. Информация, собранная о Пользователе, не подлежит разглашению третьим лицам, кроме случаев, предусмотренных законодательством Украины.

Действительно ли политика конфиденциальности обязательна

Получение согласия от пользователей — настоятельная рекомендация многих специалистов, и лучше ей не пренебрегать. Тем не менее, в случае, если вы не обзавелись подобным документом, у вас есть аргументы в свою защиту.

Для начала, стоит выяснить, какая именно информация относится к персональным данным. Ни один правовой акт не даёт точного ответа на этот вопрос.

Во многих прецедентах одни и те же данные определялись как персональные и не определялись. В связи с этим необходимо быть осторожными и бдительными.

Вместе с тем, правильно составленный договор об оказании услуг и политика конфиденциальности способны вывести вас из-под удара. Далеко не всегда требуется согласие пользователя на обработку его данных. Так, ООО «В Контакте», представляющее известную социальную сеть, не зарегистрировано в реестре операторов Роскомнадзора.

Если же вы не защитили себя должным образом, то штраф в случае неуведомления РКН для юридических лиц составит до 5 000 рублей.

Что касается самого документа, то его наличие на сайте обязательно, если вы владелец сайта. Аналог политики конфиденциальности — Положение об обработке персональных данных — также желательно составить работодателям и предпринимателям, оказывающим услуги физическим лицам.

Обязательство о неразглашении персональных данных: образец, советы юриста

Время чтения 5 минутСпросить юриста быстрее. Это бесплатно! Размер шрифта: A+ | A−

​Обязательство о неразглашении персональных данных (далее – ПД) дают работники всех организаций, в чьем распоряжении находятся такие данные. Доступ к ПД предоставляет руководство, в его задачи входит обеспечение их конфиденциальности.

Персональные данные находятся под государственной защитой. В связи с этим работодатели принимают различные меры для предотвращения их утечки. Наиболее действенной мерой считается обязательство о неразглашении, поскольку оно предполагает наступление ответственности за нарушение.

Вопросы обеспечения сохранности конфиденциальных сведений регулирует Федеральный Закон ФЗ № 152 от 27.06.2006 «О персональных данных» (ст. 7). Само существование этой статьи не дает права руководству компаний по умолчанию требовать от работников сохранения в секрете ПД. Данное  требование должно быть обличено в форму письменного обязательства.

Лица, имеющие доступ к персональным данным, должны понимать, что имеют дело именно с конфиденциальной информацией. Работодателю следует официально проинформировать их о том, какие именно сведения входят в данное понятие. Только после такого уведомления на работника возлагается ответственность за разглашение.

При возникновении спорных ситуаций рассматриваемый документ доказывает тот факт, что работник действительно знал о том, что любая передача данных третьим лицам запрещена. Также обязательство позволит руководству компании защитить свои интересы в суде. 

Кто обязан подписывать обязательство о неразглашении

Вопрос сохранности персональных данных особенно актуален в таких профессиональных областях, как:

  • медицина;
  • банковское обслуживание;
  • работа правоохранительных структур и правозащитных организаций;
  • подбор персонала;
  • бухгалтерия;
  • торговля.

Этот список не является исчерпывающим. При необходимости любая компания независимо от специфики деятельности может потребовать от своих сотрудников подписать такое обязательство.

Форма составления

В целом никаких определенных требований к составлению рассматриваемого документа закон не предъявляет. За исключением формы. Обязательство о неразглашении ПД должно быть составлено только в письменном виде. Несоблюдение этого требования влечет его недействительность.

должно ясно отражать суть – запрет разглашения конфиденциальной информации. Для этого в обязательстве указываются следующие сведения:

  1. наименование организации-работодателя;
  2. ФИО работника, его должность и реквизиты паспорта;
  3. перечень информации, подпадающей под понятие персональных данных (фамилии, имена, адреса, контактные телефоны и т.п.);
  4. перечень информации, не имеющей характера конфиденциальной;
  5. согласие сотрудника с привлечением к ответственности в случае разглашения указанной информации;
  6. срок соблюдения обязательства (он может распространяться не только на время работы, но и на определенный период после увольнения);
  7. перечень действий, которые будут являться нарушением (устное разглашение третьим лицам, публикация в СМИ и сети «Интернет», перепечатывание, копирование и т.п.);
  8. непосредственное обязательство сохранять ее в тайне и принимать все необходимые меры для недопущения передачи данных в распоряжение третьих лиц;
  9. дата и подпись сотрудника.

Скачать образец приказа о неразглашении персональных данных

Скачать образец соглашения о нераспространении персональных данных

Ответственность за нарушение

Работник, нарушивший обязательство, привлекается к дисциплинарной, административной, гражданско-правовой или уголовной ответственности.

Так дисциплинарное взыскание налагается на лиц, по неосторожности допустивших утечку персональных данных в общий доступ. В этом случае нарушителя ждет предупреждение, выговор или увольнение с работы

Если передача ПД совершена умышленно, работник должен компенсировать возникшие в результате убытки. Это может быть не только имущественный, но и моральный ущерб. Вопрос о взыскании компенсации решается в судебном порядке.

Лица, намеренно собиравшие сведения посредством различных незаконных способов (шантажа, подкупа, угроз), разглашавшие или иным образом использующие ПД в корыстных целях, привлекаются к уголовной ответственности в виде штрафа до 1500000 рублей, лишения свободы до 7 лет или принудительных работ до 5 лет.

Административная ответственность предусмотрена ст. 13.14 КоАП. Согласно ее требованиям штрафные санкции для физического лица составляют 500-1000 рублей, для организации – 4000-5000 рублей.

Как получить согласие посетителей на сбор данных

При сборе ПД нужно брать согласие посетителя на обработку персональных данных. Учтите вот что:

  • согласие на обработку ПД должно быть «конкретным, информированным и сознательным» — выраженным в явном виде;
  • ссылка на политику конфиденциальности — обязательно;
  • чек-бокс с галочкой — обязательно.

Выполнение всех этих условий послужит доказательством, что человек добровольно и осознанно согласился на обработку своих ПД. Это выглядит примерно так:

Имя, фамилия, почта и марка автомобиля — это ПД. Если вы просите у человека эти данные при подписке на рассылку (или в другом случае) — он должен подтвердить согласие галочкой в чекбоксе

Обратите внимание на чёткость формулировки. Галочка в чекбоксе не проставляется автоматически — посетитель должен сделать это сам. Можно сделать совсем хардкорный вариант, но это не обязательно:

Можно сделать совсем хардкорный вариант, но это не обязательно:

Такую форму заполнят только самые упорные и заинтересованные

Если вы собираете cookies, геотеги, ip и другие данные для систем аналитики — на сайте желательно вывесить дисклеймер. Это уведомление, которое всплывает при заходе на сайт. В дисклеймере кратко укажите:

  • какие данные вы собираете;
  • зачем они нужны;
  • просьбу покинуть сайт, если эти условия не устраивают посетителя.

Всё честно: можно остаться или уйти

Комментировать
0
Комментариев нет, будьте первым кто его оставит

;) :| :x :twisted: :sad: :roll: :oops: :o :mrgreen: :idea: :evil: :cry: :cool: :arrow: :P :D :???: :?: :-) :!: 8O

Это интересно

Бензиновые пилы «байкал» Без рубрики
0 комментариев

Карьерные самосвалы белаз 7540 Без рубрики
0 комментариев