Каждый пользователь должен знать, как собираются его персональные данные, с какой целью, как долго они будут храниться и когда они удалятся. Именно поэтому на сайте компании должна быть размещена политика обработки персональных данных.
В этой статье рассматриваем политику обработки персональных данных для сайта и рассказываем, какие положения необходимо в нее включить.
%%type:widget, id:privacy, name:quiz%%
Оглавление
- Краткий ликбез: зачем нужна политика обработки персональных данных
- Общие положения политики обработки персональных данных
- Правовые основания обработки персональных данных
- Цели обработки персональных данных
- Объем и категории персональных данных, категории субъектов персональных данных
- Порядок и условия обработки персональных данных для сайта
- Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным
Краткий ликбез: зачем нужна политика обработки персональных данных
Вы обязаны получить согласие на обработку персональных данных от пользователя и разместить ссылку на вашу политику в отношении обработки персональных данных, чтобы человек мог с ней ознакомиться, согласиться и только после этого сообщить вам свои данные. Следование Политике должно обеспечить конфиденциальность и безопасность обрабатываемых персональных данных.
Эта обязанность возлагается в случае, если у вас есть хотя бы одна форма сбора данных:
- Рассылка;
- Подписка;
- Регистрация на сайте и так далее.
Далее рассмотрим, как составить политику и что она обычно в себе содержит.
Общие положения политики обработки персональных данных
В этом разделе нужно описать назначение политики и привести основные понятия, используемые в ней:
- Обработка персональных данных;
- Объект персональных данных;
- Субъект персональных данных и так далее.
Нельзя забывать про подробное описание основных прав и обязанностей организации и субъектов персональных данных.
Не нужно изобретать велосипед. Вся необходимая информация указана в Федеральном законе:
- Термины берите из ст. 3 Закона;
- Права и обязанности можно найти в 3 и 4 главах Закона.
Например, из ст. 3 Закона вы можете позаимствовать такие определения, как:
- персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
- обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
- распространение персональных данных - действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
- предоставление персональных данных - действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
- уничтожение персональных данных - действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
- обезличивание персональных данных - действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных и так далее.
Правовые основания обработки персональных данных
В этом разделе нужно указать нормативно-правовые акты и иные документы, в соответствии с которыми и во исполнение которых сайт собирает и обрабатывает персональные данные.
Такими документами/актами могут быть:
- Законы и подзаконные акты, регулирующие отношения, связанные с деятельностью организации в области обработки ПД (Закон от 27.07.2006 № 149-ФЗ; Указ Президента от 06.03.97 № 188);
- Учредительные документы;
- Согласие субъекта персональных данных на обработку персональных данных и так далее.
В том числе можно указать то, каким способом и в какой момент пользователь сайта дает согласие на обработку персональных данных.
Выглядеть это может примерно так:
Оператор обрабатывает Персональные данные Пользователя только в случае их заполнения и/или отправки Пользователем самостоятельно через специальные формы, расположенные на Веб-сайте. Заполняя соответствующие формы и/или отправляя свои Персональные данные Оператору, Пользователь выражает свое согласие с данной Политикой.
Оператор обрабатывает обезличенные данные о Пользователе в случае, если
это разрешено в настройках браузера Пользователя (включено сохранение файлов «cookie» и использование технологии JavaScript).
%%type:widget, id:privacy, name:quiz%%
Цели обработки персональных данных
Цель обработки персональных данных обязательно должна быть указана в политике, размещенной на сайте. В противном случае сбор персональных данных будет считаться незаконным.
В Законе отображены следующие "принципцы", которыми вы должны руководствоваться при подготовке политики обработки персональных данных для сайта:
- Обработка персональных данных должна осуществляться на законной и справедливой основе;
- Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных;
- Не допускается объединение баз данных, содержащих персональные данные, обработка которых осуществляется в целях, несовместимых между собой;
- Обработке подлежат только персональные данные, которые отвечают целям их обработки;
- Содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки;
- При обработке персональных данных должны быть обеспечены точность персональных данных, их достаточность, а в необходимых случаях и актуальность по отношению к целям обработки персональных данных. Оператор должен принимать необходимые меры либо обеспечивать их принятие по удалению или уточнению неполных или неточных данных;
- Хранение персональных данных должно осуществляться в форме, позволяющей определить субъекта персональных данных, не дольше, чем этого требуют цели обработки персональных данных, если срок хранения персональных данных не установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных. Обрабатываемые персональные данные подлежат уничтожению либо обезличиванию по достижении целей обработки или в случае утраты необходимости в достижении этих целей.
Сформулировать цели обработки, указанные в этом разделе политики, можно основываясь на направлениях деятельности организации и анализа нормативных актов, их регулирующих.
Рассмотрим на примере
Цель обработки Персональных данных Пользователя — предоставление доступа Пользователю к сервисам, информации и/или материалам, содержащимся на Веб-сайте.
Также Оператор имеет право направлять Пользователю уведомления о новых продуктах и услугах, специальных предложениях и различных событиях. Пользователь всегда может отказаться от получения информационных сообщений, направив Оператору письмо на адрес электронной почты ______ с пометкой «Отказ от уведомлениях о новых продуктах и услугах и специальных предложениях».
Объем и категории персональных данных, категории субъектов персональных данных
В политике нужно прямо перечислить категории субъектов, чьи персональные данные вы собираете и обрабатываете.
Формулировка может быть следующая:
Общество собирает и хранит персональные данные ____, а также персональные данные других субъектов персональных данных, полученные от контрагентов, необходимые для оказания услуги, исполнения соглашения или договора, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.
Второй вариант оформления этого раздела:
Оператор может обрабатывать следующие Персональные данные Пользователей:
- Фамилия, имя, отчество;
- Номер телефона;
- Адрес электронной почты.
Также на Веб-сайте происходит сбор и обработка обезличенных данных о Пользователях (в том числе файлов «cookie») с помощью сервисов Интернетстатистики (включая сервисы Яндекс.Метрика и Google Аналитика).
Как обезоспасить себя от признания Роскомнадзором объема обрабатываемых данных избыточным?
Необходимо прямо прописать, какие персональные данные организация не будет обрабатывать. Чаще всего указывают, что «в организации не собираются и не обрабатываются специальные категории персональных данных, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни».
Порядок и условия обработки персональных данных для сайта
В этом разделе рекомендуется перечислить:
- Действия, которые организация будет совершать с персональными данными;
- Способы, используемые для их обработки;
- Сроки обработки персональных данных.
Рассмотрим каждый пункт более подробно.
Действия, которые организация будет совершать с персональными данными
К таким действиям Закон относит: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение.
Способы, используемые для обработки персональных данных
Существует два вида:
- Атоматизированный (с использованием средств вычислительной техники);
- Неавтоматизированным (только вручную).
В политике нужно указать применяемый способ. Необязательно выбирать какой-то один, можно выбрать оба.
Сроки обработки персональных данных
Это период от начала обработки персональных данных до ее окончания.
Если изначально вы указали разные виды субъектов, то в политике лучше разграничить начало течения срока обработки персональных данных применительно к каждой категории.
Срок обработки не всегда может быть ограничен каким-либо периодом времени/наступлением события. В том числе, вы вправе указать, что персональные данные обрабатываются бессрочно, но с возможностью по первому требованию клиента прекратить их хранение и обработку.
Выглядеть этот раздел может примерно таким образом:
Срок обработки Персональных данных является неограниченным. Пользователь может в любой момент отозвать свое согласие на обработку Персональных данных, направив Оператору уведомление посредством электронной почты на электронный адрес Оператора ______ с пометкой «Отзыв согласия на обработку персональных данных».
Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным
В Законе указано, что в случае неточности персональных данных или неправомерности их обработки оператор должен актуализировать информацию или прекратить обработку персональных данных.
По этой причине в политике нужно указать, что организация обязана внести изменения, уничтожить или блокировать персональные данные, если субъект предоставит сведения о том, что данные устарели, недостоверны или получены незаконно.
Грамотно подготовленный документ играет важную роль для организаций, поскольку персональные данные пользователей довольно серьезно охраняются государством, в том числе, по причине участившихся случаев "утечки/сливов" таких данных. Чтобы политика соответствовала законодательству и полностью отражала специфику вашей компании и в дальнейшем не поступало жалоб от пользователей сайта или представителей власти, вы можете доверить подготовку политики нашему юристу. Вам поможет наше решение «Подготовим документы для сайта»: нужно ответить на несколько вопросов, а система определит, какие документы для сайта вам необходимы и предложит помощь юриста. А главное — все это можно сделать не выходя из дома.
%%type:compensation, id:privacy%%
Отстаивайте свои права с DestraLegal. Это просто 💙