Политика конфиденциальности: кому, зачем и для чего 

Имена, фамилии, должности, фотографии – неотъемлемые элементы публикаций СМИ. Они же – персональные данные граждан, защищаемые законом. На публикацию каких личных сведений в СМИ обращает внимание Роскомнадзор, какие данные относятся к персональным, в каких случаях журналист может использовать их без разрешения, а в каких нет – рассказываем в Карточках АНРИ.

Что такое персональные данные?

Персональные данные – это любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных), в том числе его фамилия, имя, отчество, год, месяц, дата и место рождения, адрес, семейное, социальное и имущественное положение, образование, профессия. То есть практически любая информация, которую пользователь указывает на сайте при регистрации или заполнении формы, попадает под действие ФЗ № 152.

Помимо информации, которую пользователь сам указывает на сайте, Роскомнадзор стал относить к персональным данным также данные о поведении пользователя на сайте, cookie, сведения о его геопозиции и IP-адрес. Результатом таких изменений стала нашумевшая в ноябре 2016 года блокировка в России рекрутингового сервиса LinkedIn.

То есть, если на вашем сайте в форме обратной связи есть поле «Имя» или «Представьтесь», то вместе с автоматически передаваемыми cookie и другими метаданными, это будет являться персональными данными, а вы – оператором персональных данных.

Хотите вы этого или нет, но если на вашем сайте накапливаются, хранятся или каким-то образом используются в работе персональные данные, то, с точки зрения закона, вы признаетесь оператором персональных данных и обязаны обрабатывать их в соответствии с ФЗ № 152 «О персональных данных».

Министерство образования и науки Российской Федерации ФЕДЕРАЛЬНОЕ АГЕНТСТВО ПО ОБРАЗОВАНИЮ

ПРИКАЗ

от 18 ноября 2009 года N 2114

Об утверждении Положения об обработке и защите персональных данных в Федеральном агентстве по образованию

В целях обеспечения защиты персональных данных в деятельности Федерального агентства по образованию и в соответствии с приказом Рособразования от 17 сентября 2009 года N 1395 "Об организации работ по повышению информационной безопасности персональных данных в Федеральном агентстве по образованию"

Читайте также:  Выбор фототехники для первой съёмки свадьбы

приказываю:

1. Утвердить прилагаемое Положение об обработке и защите персональных данных в Федеральном агентстве по образованию (далее — Положение).

2. Начальникам структурных подразделений обеспечить защиту персональных данных в соответствии с настоящим Положением.

3. Приказ Рособразования от 10 июня 2008 года N 641 "О создании комиссии по вопросам обеспечения безопасности информационных систем персональных и служебных данных в Федеральном агентстве по образованию" считать утратившим силу.

4. Контроль за исполнением настоящего приказа возложить на заместителя руководителя

     

Кому нужна политика конфиденциальности?

Выходит, даже если у вас на сайте есть обратный звонок, вы автоматические становитесь оператором персональных данных. И данные, накопленные на вашем сайте, должны обрабатываться по 152-ФЗ.

Чтобы не схлопотать штраф до 75 000 рублей и возбуждение административного дела, на сайте интернет-магазина должны быть:

1. Документ о Политике конфиденциальности

Документ по обработке персональных данных интернет-магазина должен быть размещен в свободном доступе. Все подробные условия текста можно прочитать на сайте Роскомнадзора или на сайте «КонсультантПлюс». Примеры Политики конфиденциальности смотрите в крупных федеральных компаниях – там они хорошо проработаны.

В тексте должны быть следующие пункты:

  • каким образом и для каких целей собираются персональные данные;
  • как могут использоваться эти данные;
  • что происходит с куки-файлами;
  • как данные предоставляются другим организациям;

    Важное замечание. Не забывайте заключать соглашение на согласие на обработку персональных данных на сайте со сторонними компаниями, с которыми вы сотрудничаете (служба доставки, банк, хостер и т. д.), об обеспечении безопасности персональных данных. В соглашении должно быть указано, какие персональные данные компания обрабатывает, в каких целях и какие действия с ними выполняет, как должна их защищать.

  • сколько хранятся данные и как обеспечивается их защита;
  • что не будет происходить с персональными данными;
  • контактные данные организации и изменения в Политику конфиденциальности.

В конце текста про политику конфиденциальности добавьте рабочий адрес электронной почты, куда пользователь может обратиться с просьбой удаления, изменения или блокировки данных. Сотрудникам необходимо ежедневно проверять письма, чтобы не пропустить ни один запрос.

Требования к Политике конфиденциальности, чтобы она также помогла вам соблюдать GDPR (если среди ваших клиентов есть клиенты из Европы), можно почитать тут.

2. Ссылка на документ о Политике конфиденциальности с главной страницы

Это нужно для того, чтобы любой пользователь и проверяющий орган увидел, что документ находится в свободном доступе, и его легко найти. Как правило, достаточно разместить общую ссылку в подвале сайта. Например так:

Читайте также:  10 беспроигрышных мужских комбинаций пиджака и брюк, фото

Или так:

3. Надпись или «галочка», которая подтверждает согласие пользователя на обработку персональных данных

Обязательна под каждой формой на сайте.

Например, вот так получают согласие пользователя на обработку персональных данных на сайте интернет-магазина ASOS:

А вот так получают согласие пользователя на сайте интернет-магазина «Эльдорадо»:

Согласие пользователя на обработку персональных данных на сайте «МВидео».

4. Дисклеймер

Это всплывающее сообщение-предупреждение, что на сайте собираются статистические данные. Те самые куки-файлы, информация о геопозиции и поведенческие, о которых мы говорили выше.

Наличие дисклеймера четко не регламентировано, но многие юристы советуют его установить. Чтобы не испугать посетителей сайта, лучше делать его незаметным, настраивать показ окна только новым пользователям и скрывать его от повторных заходов.

Вот так реализовали дисклеймер на сайте интернет-магазина H&M:

А вот дисклеймер сайта Jacobs:

И даже у Сбербанка есть дисклеймер:

И еще важные моменты по 152-ФЗ:

  1. Уточните, где физически находится хостинг сайта

    Эту информацию вам предоставят специалисты технической поддержки сайта. По новым правилам, хостинг должен располагаться на территории Российской Федерации, чтобы данные хранились в нашей стране. Если базы данных находятся за границей, переезжайте на другой хостинг.

  2. Зарегистрируйте себя в Роскомнадзоре в качестве оператора, работающего с персональными данными

    Это можно сделать на сайте Роскомнадзора, заполнив форму уведомления. Но предварительно нужно подготовить пакет документов. Далее форму нужно распечатать и отнести в территориальный орган Роскомнадзора. Когда мы ведем подготовку сайтов наших клиентов по ФЗ-152, в тарифе 100% защита даем подробную инструкцию о том, как подать заявку в РКН и предоставляем чек-лист обязательных документов.

  3. Не забывайте о биометрических и персональных данных специальных категорий

    Если, конечно, ваша деятельность требует такой информации от клиента. Согласите пользователя сайта должно оставляться в письменной форме и только.

Обязательно подготовьте сайт к обработке персональных данных и выполните все пункты, описанные в статье. Если нужна будет помощь – обращайтесь, у нас предусмотрены 3 тарифа, в зависимости от специфики вашего сайта и количества страниц. Защитите сайт со всех сторон. Также проверим вашу Политику конфиденциальности или напишем ее с нуля.

Ответственность

Благодаря рассмотренным изменениям в Закон № 152-ФЗ с 1 марта 2021 года заработала ч. 1 ст. КоАП РФ, по которой теперь могут штрафовать за обработку персональных данных:

  • в случаях, не предусмотренных законодательством РФ в этой области;
  • несовместимую с целями сбора персональных данных.
Читайте также:  Брюки с завышенной талией – универсальная одежда для стильных девушек

Административный штраф составляет:

  • на граждан – от 2000 до 6000 рублей;
  • на должностных лиц – от 10 000 до 20 000 рублей;
  • на юридических лиц – от 60 000 до 100 000 рублей.

Статьей 152.1 ГК РФ предусмотрено, что обнародование и дальнейшее использование изображения гражданина (в т. ч. его фотографии, а также видео или произведения изобразительного искусства, в которых он изображен) допустимы только с его согласия.

Обнародование изображения человека – это действие, которое впервые делает данное изображение доступным для всеобщего сведения путем его опубликования, публичного показа либо любым другим способом, включая размещение в Интернете (постановление Пленума ВС РФ от № 25).

Размещение

Закон «О персональных данных» предписывает российским и иностранным компаниям хранить персональные данные россиян на территории РФ. Хранение ПД осуществляется в любой форме, например, в бумажной. В том случае, если база данных в России содержит одинаковый или больший объем персональных данных, то их обработка может проходить за рубежом. Использоваться собранные сведения могут ТОЛЬКО в тех целях, для которых они были взяты.

Если информацию от покупателя получил интернет-магазин по аренде квартир, то эти данные человека не могут быть использованы на сайте по продаже горящих путевок. Это уже будет являться нарушением, за которое предусмотрены штрафы. То же самое правило относится и к сроку хранения: хранить персональные данные на сайте можно только на протяжении того срока, которого требует цель сбора.

По достижении результата (или в случае утраты необходимости достижения цели) данные надлежит уничтожить или обезличить. Например, при закрытии сайта с объявлениями сведения о его клиентах должны быть утилизированы. Закон предусматривает возможность для гражданина пожаловаться на неправомерное использование его данных.

Хозяин сайта обязан заблокировать персональные данные обратившегося и проверить, как это произошло. Неточность предоставленных сведений может стать поводом для блокировки.

В случае нарушения порядка сбора, хранения, использования или распространения информации о гражданах предусмотрено предупреждение или административный штраф.