Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных
Роскомнадзор предупреждает, что содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.
С учетом данных рекомендаций Роскомнадзора указываем в Политике те сведения, персонального характера, которые вы собираете с использованием Сайта.
В первую очередь указываем данные из полей онлайн-форм обратной связи, заказа, подписки и регистрации
Затем обращаем пристальное внимание на состав информации, вносимой пользователем при заполнении профиля в личном кабинете
Дополнительно указываем данные, которые запрашиваются поддержкой или отделом продаж при оформлении или обработке заявок по телефону или в местах обслуживания.
Политика конфиденциальности для лендинга
Как добавить ПК на лендинг в всплывающем окне (модальном окне). Для лендинга (подразумевается одностраничный сайт для рекламы) важно, чтобы пользователь не уходил на другие странице, поэтому мы разберем на примере создания всплывающего окна. Далее я использую фреймворк бутстрап от создателей twitter, чтобы из него взять скрипты для создания модального окна (смотрите в видео в начале статьи)
Далее я использую фреймворк бутстрап от создателей twitter, чтобы из него взять скрипты для создания модального окна (смотрите в видео в начале статьи)
Шаги для создания модального окна:
- Открыть лендинг
- Открыть документацию bootstrap (на английском)
- Найти код в (Modal) и вставить на наш лендинг.
При этом модальное окно состоит из 2 частей:
- ссылки или кнопки, которое добавляет и открывает это модальное окно;
- само модальное окно.
Один важный момент: кроме стилей bootstrap необходимо чтобы подгружался bootstrap JavaScript и JQuery. Тогда на лендинге будет корректно открываться модальное окно.
Если вы рекламируетесь Вконтакте, модератор не всегда воспринимает ссылку «Политика конфиденциальности». Поэтому в ссылке лучше написать «Политика обработки персональных данных».
Итак, что у нас должно получится
Модальное окно на лендинге, которое открывается при нажатии на ссылку ПОЛИТИКА КОНФИДЕНЦИАЛЬНОСТИ на примере моего лендинга lp.rek9.ru. Сейчас страницу я немного изменил.
Практика
Для работы с лендингом я возьму лендинг «Игры для девочек», который мы с вами создавали в прошлых уроках.
Для удобства работы откройте в браузере окна:
- вашего сервера
- вашего лендинга
- www.getbootstrap.com в меню JavaScript справа выбрать Modal
В документации bootstrap в разделе Modal спуститесь ниже и найдите Live Demo, скопируйте код под этой надписью. Откройте NotePad++ и вставьте код в новое окно. В NotePad++ в меню выберите СИНТАКСИС, H, HTML для удобства работы.
В этом коде меняем «Launch Demo Modal» на «Политика конфиденциальности». Затем меняем кнопку <botton >на ссылку <a href=»»>
Далее необходимо изменить само модальное окно. Найдите в коде ниже «Modal Title» и вместо этой надписи вставьте «Политика конфиденциальности». Вместо «Close» напишите «Закрыть». Полностью удалите код кнопки Save Change. Сохраните.
В коде с тегом <div> вместо троеточия вставляем сам текст политики конфиденциальности. Я копирую этот текст с моего сайта lp.rek9.ru со всеми стилями. Теперь наш код готов, скопируем его и перейдем в редактор файлов на сервере. Откроем файл нашего лендинга. Удостоверимся, что подключены скрипты Java JQuery. Находим эти слова в коде. Если они есть, значит наше модальное окно будет открываться.
Далее находим последний тег </div> и после него вставляем код ссылки на политику конфиденциальности. Теперь нам нужно вырезать код запуска модального окна, который начинается с <a> заканчивается </a> и вставить в то место, где мы хотим разместить ссылку о политике конфиденциальности. У меня есть внизу страницы специальная пустая колонка, куда я вставлю ссылку на политику конфиденциальности. При этом я еще добавлю тег <hr> это разделительная линия. Сохраните изменения.
Что же будет представлять собой новая Политика Конфиденциальности?
Теперь, когда вы понимаете некоторые юридические моменты и основы нового закона вцелом, ниже мы приведем несколько рекомендаций, используя которые вы сможете самостоятельно составить документ, содержащий Политику Конфиденциальности в соответствии с правилами GDPR:
- Сделайте политику конфиденциальности простой и понятной. Политика конфиденциальности должна содержать три основных элемента: она должна быть краткой и легкодоступной; она должна быть написана просто на понятном языке, который мог бы понять даже ребенок; и это должно быть бесплатно.
- Объясните, для каких целей будет использоваться собранная информация. Опишите, что вы собираетесь делать с данными после их сбора и обработки. Например, укажите, будете ли вы использовать их в маркетинговых целях или продавать третьим лицам.
- Объясните, для каких целей вы используете cookie-файлы. Если вы используете cookie-файлы для онлайн-рекламы, которые в свою очередь отслеживают интересы посетителей и их онлайн-привычки, вы должны обязательно уведомить об этом посетителей вашего сайта.
- Будьте прозрачными в отношении передачи информации третьим лицам. Четко укажите, с кем вы будете делиться данными, которые вы собираете, и с какой целью. Действительно, в рамках закона допустимо делиться информацией, которую вы собираете о пользователях с аудиторами, социальными сетями и поставщиками услуг. Но совершенно незаконным будет не оповещать об этом посетителей вашего сайта.
- Объясните права пользователей. Вы должны четко объяснить, какие права есть у посетителей вашего интернет-ресурса. Их права включают следующее:
- Они могут запросить удаление или исправление данных
- Они могут получить доступ к данным, имеющимся у компании
- Они могут запросить информацию о передаче своих данных третьим лицам
- Они должны дать согласие на использование своих данных.
Чем отличается политика конфиденциальности от соглашения
Многие задаются вопросом, чем отличается политика конфиденциальности от соглашения о пользовании сайтом. Про то, что значит первое понятие, мы разобрали выше. Это набор инструментов для защиты личных данных пользователей. Стоит упомянуть, что такое HTTPS и что именно эта аббревиатура говорит о том, что на сайте используется шифрование для повышения безопасности.
Пользовательское соглашение представляет собой взаимные обязательства для использования того или иного ресурса. В нём подробно прописывают условия работы с сайтом, его сервисами и информацией, находящейся на нём. Это документ будет защищать владельца от неправомерного использования возможностей ресурса.
Актуализация и утверждение Политики
9.1. Политика утверждается и вводится в действие руководителем Компании.
9.2. Компания имеет право вносить изменения в настоящую Политику. При внесении изменений в заголовке Политики указывается дата утверждения действующей редакции Политики.
9.3. Политика актуализируется и заново утверждается на регулярной основе – один раз в год с момента утверждения предыдущей редакции Политики.
9.4. Политика может актуализироваться и заново утверждаться ранее срока, указанного в п. 9.3 Политики, по мере внесения изменений:
9.4.1.В нормативные правовые акты в сфере персональных данных.
9.4.2.В локальные нормативные и индивидуальные акты Компании, регламентирующие организацию обработки и обеспечение безопасности персональных данных.
Порядок и условия обработки персональных данных
В данном разделе Роскомнадзор рекомендует указывать перечень действий, совершаемых оператором с персональными данными субъектов, а также используемые оператором способы обработки персональных данных и сроки обработки персональных данных.
Выбираем. ФЗ 152 предусмотрен следующий перечень операций с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Способы обработки могут включать:
а) автоматизированную обработку персональных данных
б) обработку персональных данных без использования средств автоматизации.
Согласно определению, данному в ФЗ 152, автоматизированная обработка персональных данных представляет собой обработка персональных данных с помощью средств вычислительной техники.
Казалось бы, что сюда попадают любые действия с ПДн, выполняемые с использованием вычислительной техники. Но не все так просто. Смотрим Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утверждено постановлением Правительства РФ от 15 сентября 2008 г. N 687.
В п.1 указано, что обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее – персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.
Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее (п.2).
Иными словами, если ПДн не используется, не уточняются, не распространяются и не уничтожаются в ИПДН вашего сайта в автоматическом режиме без участия человека, можно смело выбирать второй способ обработки – обработку персональных данных без использования средств автоматизации.
Результатом этого простого действия будет легальный отказ от применения драконовских требований ФЗ 152 по обработке автоматизированной обработке ПНн в информационной системе.
В отношении сроков обработки ПДн предлагаем указывать как минимум срок действия договора, во исполнение которого запрашивались ПДн. Можно добавить к сроку действия договора 3 года исковой давности на защиту прав в связи с его исполнением.
Роскомнадзор напоминает, что при осуществлении хранения персональных данных оператор персональных данных обязан использовать базы данных, находящиеся на территории Российской Федерации, в соответствии с ч. 5 ст. 18 Федерального закона “О персональных данных”. Отражать данный пункт в Политике не обязательно, поскольку он связан с фактическими обстоятельствами. Хотя для проформы можно включить в Политику декларативную статью об обработке ПДн на территории России.
Далее Роскомнадзор рекомендует указывать условия передачи персональных данных в адрес третьих лиц. Важный момент. Обычно данный перечень сводится к следующим основаниям передачи ПДн:
- Пользователь выразил свое согласие на такие действия;
- Передача требуется для заключения и исполнения договоров на или с использованием Сайта;
- По запросу суда или иного уполномоченного государственного органа в рамках установленной законодательством процедуры
- Для защиты прав и законных интересов в связи с нарушением заключенных с пользователем договоров.
В определенных пределах данный перечень можно расширить на случаи продажи Сайта или передачи ПДн в обезличенном виде.
Помимо этого Роскомнадзор рекомендует указывать в данном разделе Политики сведения о соблюдении требований конфиденциальности персональных данных, установленных ст. 7 Федерального закона «О персональных данных», а также информацию о принятии оператором мер, предусмотренных ч. 2 ст. 18.1, ч. 1 ст. 19 Федерального закона «О персональных данных».
На практике данные сведения сводятся к заявлению, что администрация Сайта осуществляет хранение Персональных данных и обеспечивает ее охрану от несанкционированного доступа и распространения в соответствии с внутренними правилами и регламентами.
Добавление политики конфиденциальности на свой сайт
В зависимости от CMS, на которой работает ваш сайт, алгоритм добавления страницы с политикой конфиденциальности будет отличаться. Я покажу как это делать на примере сайта с CMS WordPress:
- 1 Переходим в раздел «Страницы» — «Все страницы» и смотрим нет ли там у нас уже готовой страницы с политикой конфиденциальности. Дело в том, что в новых версиях WordPress страница с политикой конфиденциальности создаётся автоматически, однако её содержимое нуждается в серьёзной доработке. Если такая страница есть, то удаляем весь текст, который на ней есть и вставляем тот, что мы сгенерировали при помощи онлайн-сервиса. Если такой страницы нет, то нажимаем кнопку «Добавить новую» вверху.
2 Вставляем скопированный текст и нажимаем на кнопку «Опубликовать» или «Обновить»
- 3 Далее вы можете вывести ссылку на эту страницу в верхнем меню, в виджете в сайдбаре или подвале сайта или в коде шаблона.
Для вывода в виджете переходим в раздел «Внешний вид» — «Виджеты» и добавляем виджет «Текст» в ту область темы, в которой вы хотите вывести ссылку на политику конфиденциальности. 4 В виджете текст пишем текст «Политика конфиденциальности», выделяем его и нажимаем на кнопку добавления ссылки на панели инструментов. Затем вставляем ссылку на созданную нами страницу в специальное поле, нажимаем клавишу Enter на клавиатуре и кликаем на кнопку «Сохранить» в виджете.
Или можно выбрать виджет «HTML-код» и вставить в него код ссылки:
<a href=”#” target=”_blank”>Политика конфиденциальности</a>
1 <ahref=”#”target=”_blank”>Политикаконфиденциальности<a> Где вместо символа # нужно будет вставить ссылку на вашу страницу с политикой конфиденциальности.
5 Для вывода ссылки в коде темы переходим в раздел «Внешний вид» — «Редактор тем», а затем находим там файл «Подвал (footer.php)». Далее находим тег < /body> и перед ним вставляем код:
<div class=”politic”><a href=”#” target=”_blank”>Политика конфиденциальности</a></div>
1 <div class=”politic”><ahref=”#”target=”_blank”>Политикаконфиденциальности<a><div> Здесь так же вместо # нужно вставить ссылку на политику конфиденциальности.
После этого нажимаем на кнопку «Обновить файл»6 Для того чтобы блок со ссылкой лучше вписывался в дизайн вашего сайта можно дописать ему несколько CSS свойств. Для этого в разделе «Внешний вид» — «Редактор тем» находим файл «Таблица стилей (style.css)» открываем его и в самом конце вставляем код:
.politic {
background: #1677B8; /**Цвет фона блока**/
text-align:center; /**Выравнивание по центру**/
line-height:2; /**Высота строки**/
margin-top:-30px; /**Отступ сверху**/
}
.politic a {
color:#fff; /**Цвет текста ссылки**/
}1
2
3
4
5
6
7
8
9
10.politic{
background#1677B8; /**Цвет фона блока**/
text-aligncenter;/**Выравнивание по центру**/
line-height2;/**Высота строки**/
margin-top-30px;/**Отступ сверху**/
}
.politica{
color#fff; /**Цвет текста ссылки**/
}
После вставки кода нажимаем на кнопку «Обновить файл»
Есть ли разница в типах собираемой информации?
Да – политика конфиденциальности различает идентифицируемую информацию и неличные данные.
По данным Национального института стандартов и технологий, «личная информация» определяется как:
«Любая информация об индивидууме, собранная компанией, которая включает (1) любую информацию, которая может использоваться для идентификации или отслеживания личности индивида, такая как имя, номер социального страхования, дата и место рождения, девичья фамилия матери или биометрические записи; и (2) любую другую информацию, которая связана или указывает напрямую на физическое лицо, такая как медицинская, образовательная, финансовая и трудовая информация».
В то время как «неличные данные» определяются как:
«Информация, которая может соответствовать конкретному лицу, учетной записи или профилю, но недостаточна для идентификации, контакта или нахождения лица, которому такая информация относится».
Обработка обезличенных данных
Заслуживает внимания тот факт, что Роскомнадзор, как всегда, обошел вопрос обработки не менее важных для пользователей данных, которые не считаются персональными. Речь идет об информации, собираемой на сайте в автоматическом режиме: cookie, IP, сведения об устройстве и месте его расположения, и т.п.
По всей видимости, Роскомнадзор упорно не хочет раскрывать состав ПДн даже методом исключения через сведения, не относящиеся к персональным. Однако на практике в Политику конфиденциальности принято включать уведомление и порядок обработки таких данных в целях наиболее полного информирования пользователя о последствиях использования сайта.
Ниже пример такого уведомления.
Вы осознаете и принимаете возможность использования на Сайте программного обеспечения третьих лиц, в результате чего такие лица могут получать и передавать данные в обезличенном виде.К указанному программному обеспечению третьих лиц относятся системы сбора статистики посещений Google Analytics.
Состав и условия сбора обезличенных данных с использованием программного обеспечения третьих лиц определяются непосредственно их правообладателями и могут включать:
- данные браузера (тип, версия, cookie);
- данные устройства и место его положения;
- данные операционной системы (тип, версия, разрешение экрана);
- данные запроса (время, источник перехода, IP-адрес).
Полое описание условий обработки обезличенных данных можно посмотреть в образце Политики конфиденциальности, с которого мы начали свою статью.
Желаем вам успехов в разработке собственной Политики конфиденциальности в соответствии с рекомендациями Роскомнадзора и выработанными на практике подходами.
Скачать Политику конфиденциальности
Образец Политики конфиденциальности для ознакомления
Принципы и условия обработки персональных данных Пользователей
В соответствии с требованиями Закона о персональных данных условиями и принципами обработки Оператором персональных данных Пользователей являются:
- Обработка персональных данных осуществляется с согласия Пользователя на обработку его персональных данных. Нажимая кнопку «Я прочитал и согласен с условиями» Пользователь выражает свое согласие на обработку его персональных данных Оператором в соответствии с настоящей Политикой и подтверждает, что такое согласие дано им свободно, своей волей и в своем интересе. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель Пользователя.
- Согласие на обработку персональных данных может быть отозвано Пользователем. В случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных только при наличии оснований, предусмотренных Законом о персональных данных.
- В случае отзыва Пользователем согласия на обработку его персональных данных Оператор обязан прекратить их обработку и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные в срок, не превышающий тридцати дней с даты поступления указанного отзыва.
- В случае отсутствия возможности уничтожения персональных данных в течение указанного срока, указанного Оператор осуществляет блокирование таких персональных данных и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев.
Сбор и обработка персональных данных Оператором осуществляется с помощью формы сбора заявок, расположенной на сайте vk.com. Пользователь Сайта предоставляет Оператору свои персональные данные путем заполнения формы сбора заявок на Сайте. Нажимая кнопку подтверждения подписки Пользователь дает Оператору согласие на обработку предоставленных им персональных данных в соответствии с условиями настоящей Политики.
Пользователь имеет право на получение от Оператора следующей информации, касающейся обработки его персональных данных, в том числе при сборе его персональных данных (за исключением случаев, предусмотренных Законом о персональных данных):
- подтверждение факта обработки персональных данных Оператором;
- правовые основания и цели обработки персональных данных;
- цели и применяемые оператором способы обработки персональных данных;
- наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
- обрабатываемые персональные данные, относящиеся к соответствующему Пользователю, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
- сроки обработки персональных данных, в том числе сроки их хранения;
- информацию об осуществленной или о предполагаемой трансграничной передаче данных;
- иные сведения, предусмотренные федеральными законами.
Пользователь вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав. В срок, не превышающий семи рабочих дней со дня предоставления Пользователем сведений, подтверждающих, что его персональные данные, находящиеся у Оператора, являются неполными, неточными или неактуальными, Оператор обязан внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления Пользователем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Оператор обязан уничтожить такие персональные данные. Оператор обязан уведомить Пользователя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, в случае если им были переданы персональные данные этого Пользователя.
ШАГ 1. Что нужно сделать перед подготовкой политики конфиденциальности
Перед началом работы над документом необходимо провести ревизию сайта и определить, в каких случаях и какие персональные данные вы собираете на сайте и с его помощью. На сайте может размещаться закрытый раздел для регистрации, в котором часто необходимо ввести имя и фамилию, электронную почту, телефон. В личном профиле, который человек должен или может заполнять после регистрации, также могут требоваться какие-то данные (должность, дата рождения и др.). Может запрашиваться даже фотография. Изображение человека также относится к личной информации. Если на сайте продаются товары или услуги, то в форме заказа также обычно требуется указывать сведения, которые могут быть квалифицированы как персональные. Есть судебные решения, где к такой информации относят только адрес электронной почты, которую вводят в форме обратной связи на сайте.
После тщательного анализа на выходе у вас должен получиться список всех персональных данных, которые вы обрабатываете. Он вам понадобится не только для составления текста политики конфиденциальности, но и для других документов, которые требуются для соблюдения порядка обработки индивидуальных сведений: согласия на обработку персональных данных, уведомления в Роскомнадзор и др
Обратите внимание, что потенциально вы можете собирать и обрабатывать персональные сведения не только через сайт, а, к примеру, путем заполнения клиентами распечатанных анкет. Это особенно актуально для юридических лиц, у которых работа через веб-сайт – всего лишь одно из направлений деятельности
В этом случае к решению вопроса надо подойти более масштабно и составить список всех персональных данных, которые обрабатывает организация.
Ответственность сторон
7.1. Администрация, не исполнившая свои обязательства, несёт ответственность за убытки, понесённые Пользователем в связи с неправомерным использованием персональных данных, в соответствии с законодательством Российской Федерации, за исключением случаев, предусмотренных п.п. 5.2. и 7.2. настоящей Политики Конфиденциальности.
7.2. В случае утраты или разглашения Конфиденциальной информации Администрация не несёт ответственность, если данная конфиденциальная информация: 7.2.1. Стала публичным достоянием до её утраты или разглашения. 7.2.2. Была получена от третьей стороны до момента её получения Администрацией Ресурса. 7.2.3. Была разглашена с согласия Пользователя.
7.3. Пользователь несет полную ответственность за соблюдение требований законодательства РФ, в том числе законов о рекламе, о защите авторских и смежных прав, об охране товарных знаков и знаков обслуживания, но не ограничиваясь перечисленным, включая полную ответственность за содержание и форму материалов.
7.4. Пользователь признает, что ответственность за любую информацию (в том числе, но не ограничиваясь: файлы с данными, тексты и т. д.), к которой он может иметь доступ как к части сайта Prostymi-slovami.ru, несет лицо, предоставившее такую информацию.
7.5. Пользователь соглашается, что информация, предоставленная ему как часть сайта Prostymi-slovami.ru, может являться объектом интеллектуальной собственности, права на который защищены и принадлежат другим Пользователям, партнерам или рекламодателям, которые размещают такую информацию на сайте Prostymi-slovami.ru. Пользователь не вправе вносить изменения, передавать в аренду, передавать на условиях займа, продавать, распространять или создавать производные работы на основе такого Содержания (полностью или в части), за исключением случаев, когда такие действия были письменно прямо разрешены собственниками такого Содержания в соответствии с условиями отдельного соглашения.
7.6. В отношение текстовых материалов (статей, публикаций, находящихся в свободном публичном доступе на сайте Prostymi-slovami.ru) допускается их распространение при условии, что будет дана ссылка на Простыми словами.
7.7. Администрация не несет ответственности перед Пользователем за любой убыток или ущерб, понесенный Пользователем в результате удаления, сбоя или невозможности сохранения какого-либо Содержания и иных коммуникационных данных, содержащихся на сайте Prostymi-slovami.ru или передаваемых через него.
7.8. Администрация не несет ответственности за любые прямые или косвенные убытки, произошедшие из-за: использования либо невозможности использования сайта, либо отдельных сервисов; несанкционированного доступа к коммуникациям Пользователя; заявления или поведение любого третьего лица на сайте.
7.9. Администрация не несет ответственность за какую-либо информацию, размещенную пользователем на сайте Prostymi-slovami.ru, включая, но не ограничиваясь: информацию, защищенную авторским правом, без прямого согласия владельца авторского права.