Как составить политику конфиденциальности для сайта: пошаговая инструкция

Политика конфиденциальности — это юридический документ, который определяет правила сбора, хранения и использования персональных данных (ПДн) пользователей вашего сайта. Политика должна полностью соответствовать требованиям ФЗ от 27.07.2006 №152-ФЗ и реальным процессам работы с ПДн в вашей компании. 

Разработка и размещение Политики обязательны для всех, кто обрабатывает личную информацию посетителей. Документ должен быть опубликован на сайте так, чтобы с ним мог ознакомиться любой желающий (ч.2 ст.18.1 ФЗ №152-ФЗ).

Основные задачи Политики конфиденциальности:

• обеспечить прозрачность обработки данных;

• выполнить требования законодательства;

• построить доверительные отношения с клиентами.

Политика конфиденциальности обязательна для любого сайта, который собирает информацию о посетителях. По закону, вы становитесь оператором ПДн как только начали фиксировать любые сведения о пользователях.

Основные признаки того, что вашему сайту необходима политика конфиденциальности:

• наличие форм для приема заявок, где пользователи оставляют телефоны, имена или email;

• регистрация личных кабинетов с созданием учетных записей;

• использование аналитических систем;

• применение cookie-файлов для запоминания предпочтений пользователей;

• размещение форм для комментариев и отзывов с указанием авторства;

• подключение онлайн-чатов и сервисов обратной связи;

Важно! Политика должна быть доступна в один клик. 

Разработка политики конфиденциальности и соглашения на обработку персональных данных

Консультация

Четких требований к содержанию нет, но лучше руководствоваться рекомендациями Роскомнадзора от 31.07.2017 по составлению документа, определяющего политику обработки ПДн. Важно, чтобы любой пользователь, прочитав документ, мог понять, какие данные вы обрабатываете, какими способами и в каких целях. 

Рассмотрим содержание более подробно. Учтите, что оно лишь примерное, а текст Политики конфиденциальности для сайта должен быть адаптирован конкретно под ваши процессы обработки ПДн.

В данном разделе Политики конфиденциальности устанавливаются основные понятия, используемые в документе:

1. Оператор персональных данных — организация или индивидуальный предприниматель, которые самостоятельно или совместно с другими лицами организуют обработку ПДн и определяют цели их обработки.

2. Персональные данные — любая информация, относящаяся к прямо или косвенно определенному физическому лицу (пользователю).

3. Обработка ПДн — любое действие или совокупность действий, совершаемых с персданными, включая сбор, запись, систематизацию, накопление, хранение, использование, передачу, обезличивание, блокирование и уничтожение.

4. Конфиденциальность ПДн — обязательное требование, запрещающее распространение данных без согласия пользователя.

5. Пользователь — любое лицо, использующее сайт и предоставляющее свои данные.

6. Cookies — небольшие текстовые файлы, которые веб-сервер сохраняет на устройстве пользователя для работы сайта и анализа пользовательского поведения.

7. IP-адрес — уникальный сетевой адрес устройства пользователя в сети Интернет.

8. Трансграничная передача персональных данных — передача ПДн на территорию иностранного государства.

9. Обезличивание персональных данных — действия, в результате которых невозможно определить принадлежность ПДн конкретному пользователю без использования дополнительной информации.

Здесь устанавливаются законные основания и конкретные цели обработки данных пользователя. Они должны быть конкретными, заранее определенными и законными. Нельзя обрабатывать ПДн, которые не соответствуют указанным целям сбора или объединять все цели в одну. Например:

1. Обработка осуществляется для заключения и исполнения договоров по оказанию услуг, а также для выполнения требований законодательства Российской Федерации.

2. Конкретные цели обработки включают:

• идентификацию пользователя при регистрации и авторизации на сайте;

• обработку заказов, запросов и заявок от пользователя;

• предоставление доступа к персонализированным разделам сайта;

• осуществление клиентской поддержки и информирование о статусе заказов;

• проведение расчетов за оказанные услуги и реализованные товары;

• аналитику поведения пользователей для улучшения работы сайта;

• предотвращение мошеннических действий и обеспечение безопасности.

3. Для целей маркетинговой коммуникации ПДн обрабатываются исключительно при наличии отдельного согласия пользователя и включают:

• направление информации о новых услугах и специальных предложениях;

• проведение опросов и маркетинговых исследований;

• информирование о текущих акциях и бонусных программах.

4. Персональные данные используются для обеспечения корректной работы сайта, статистического учета и технической диагностики при возникновении неисправностей.

Настоящий раздел устанавливает основные принципы взаимодействия между Компанией и пользователем в области обработки ПДн:

1. Использование сайта означает безоговорочное согласие пользователя с условиями настоящей Политики конфиденциальности.

2. При несогласии с любым из условий Политики пользователь обязан немедленно прекратить использование сайта и его сервисов.

3. Действие Политики распространяется исключительно на данный сайт. Компания не несет ответственности за обработку данных третьими лицами, чьи ресурсы доступны через ссылки на сайте.

4. Компания исходит из предположения о достоверности предоставляемых пользователем данных и не осуществляет их дополнительную проверку, возлагая ответственность за точность информации на самого пользователя.

5. Все спорные вопросы, связанные с обработкой данных, подлежат разрешению в соответствии с действующим законодательством Российской Федерации.

Также этот раздел должен содержать права и обязанности сторон. Обязанности есть как у оператора, так и у пользователя:

1. Пользователь обязан:

• предоставлять достоверные данные, необходимые для использования функционала сайта;

• своевременно обновлять предоставленные ПДн в случае их изменения;

• ознакомиться с положениями настоящей Политики до начала использования сайта.

2. Компания обязуется:

• использовать персданные пользователя исключительно в целях, указанных в Политике;

• обеспечивать конфиденциальность обрабатываемых данных и не раскрывать их третьим лицам без согласия пользователя, за исключением случаев, предусмотренных законодательством;

• реализовывать необходимые организационные и технические меры для защиты ПДн от неправомерного доступа;

• осуществить блокирование или удаление данных по требованию пользователя или уполномоченных органов;

• предоставлять пользователю информацию об обработке его персональных данных по письменному запросу.

3. В случае утраты или разглашения данных компания информирует пользователя и Роскомнадзор в установленные законодательством сроки.

В этом разделе определяется перечень обрабатываемых данных и обязательства компании по их защите:

1. Политика конфиденциальности регулирует порядок обработки персданных, которые пользователь добровольно предоставляет при использовании сайта — при регистрации, оформлении заказа, подписке на рассылку или заполнении любых форм обратной связи.

2. К обрабатываемым ПДн относятся:

• фамилия, имя, отчество пользователя;

• контактный телефон и адрес электронной почты;

• географическая информация (регион проживания, почтовый индекс);

• реквизиты платежных документов при осуществлении расчетов;

• профессиональная информация (место работы, должность) при необходимости оказания услуг.

3. Технические данные, автоматически собираемые при посещении сайта:

• IP-адрес устройства и географическое положение;

• информация из cookie-файлов и аналогичных технологий;

• сведения о браузере и операционной системе;

• время посещения и последовательность просмотра страниц;

• источник перехода на сайт и данные о реферере.

4. Компания гарантирует использование собранных данных исключительно для целей, указанных в настоящей Политике, и принимает все необходимые организационные и технические меры для их защиты в соответствии с требованиями законодательства.

Важно! Для каждой категории субъектов и каждой цели необходимо перечислить обрабатываемые ПДн: например, ФИО, адрес, телефон, паспортные данные и т.д. Также следует отдельно описать случаи работы со специальными категориями ПДн. Выше представлено лишь примерное содержание, потому что на каждом сайте перечень обрабатываемых данных и категорий может быть свой. 

Обработка персональных данных пользователя осуществляется в строгом соответствии с законодательством Российской Федерации и предусматривает следующие принципы:

1. Обработка ограничивается достижением конкретных, заранее определенных целей, указанных в настоящей Политике конфиденциальности. Не допускается обработка данных, несовместимая с первоначальными целями сбора информации.

2. Все операции с персданными осуществляются с использованием автоматизированных систем и включают следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение, извлечение, использование, передачу, обезличивание, блокирование и уничтожение.

3. Сроки хранения данных определяются в соответствии со следующими критериями:

• до достижения целей обработки или до момента отзыва согласия пользователем;

• в течение сроков, установленных договором с пользователем;

• в соответствии с требованиями действующего законодательства Российской Федерации.

4. Обеспечение конфиденциальности и безопасности обрабатываемых данных гарантируется посредством реализации комплекса организационных и технических мер защиты, включая:

• регулярное обновление систем защиты информации;

• ограничение доступа к данным авторизованных сотрудников;

• использование шифровальных средств при передаче данных.

5. Пользователь имеет право в любой момент отозвать согласие на обработку персданных, направив соответствующее уведомление по электронной почте на адрес компании. В случае отзыва согласия компания прекращает обработку данных и уничтожает их в срок, не превышающий 30 дней, если иное не предусмотрено действующим законодательством.

Важно! Содержание раздела должно охватывать следующие аспекты: полный перечень действий, которые оператор совершает с ПДн; применяемые способы и сроки обработки данных, условия и порядок передачи третьим лицам. Также необходимо отразить меры, обеспечивающие конфиденциальность и обстоятельства, влекущие прекращение обработки (например, достижение целей, истечение установленного срока, отзыв согласия субъектов). 

Здесь определяются условия ответственности компании и пользователя при обработке ПДн:

1. Оператор несет ответственность за соблюдение требований законодательства Российской Федерации в области обработки и защиты персданных в соответствии с действующими нормативными правовыми актами.

2. Компания освобождается от ответственности за нарушение конфиденциальности информации в следующих случаях:

• если информация стала публично доступной до момента ее утраты или разглашения;

• если разглашение информации произошло по вине пользователя.

3. Пользователь несет ответственность за:

• достоверность предоставляемых данных;

• последствия, вызванные предоставлением недостоверных или неактуальных ПДн;

• сохранность своих учетных данных для доступа к сайту.

В этом разделе устанавливается порядок разрешения споров, связанных с обработкой персональных данных:

1. Все споры и разногласия, возникающие в связи с применением настоящей Политики конфиденциальности, подлежат разрешению в соответствии с законодательством Российской Федерации.

2. Стороны вправе предпринять досудебные меры по урегулированию спора путем направления письменной претензии и проведения переговоров. Срок рассмотрения претензии составляет 30 календарных дней с момента ее получения.

3. В случае невозможности достижения согласия путем переговоров, спор подлежит рассмотрению в суде в установленном законодательством порядке.

Настоящий раздел устанавливает заключительные положения Политики конфиденциальности:

1. Компания оставляет за собой право в одностороннем порядке вносить изменения в Политику конфиденциальности без предварительного уведомления пользователя.

2. Новая редакция Политики вступает в силу с момента ее размещения на сайте, если документом не предусмотрено иное.

3. Все предложения и вопросы, связанные с обработкой ПДн, следует направлять по электронному адресу компании: [указать актуальный email].

4. Действующая редакция Политики конфиденциальности постоянно доступна на странице по адресу: [указать прямую ссылку на страницу с Политикой].

5. Пользователь обязуется самостоятельно отслеживать изменения в Политике конфиденциальности через регулярное ознакомление с актуальной редакцией документа.

Для разработки документа можно выбрать один из трех основных подходов, каждый из которых имеет свои преимущества и ограничения:

1. Самостоятельная разработка. На основе анализа открытых источников и типовых форм можно создать базовый вариант Политики. Однако такой подход требует глубокого понимания законодательства и сопряжен с рисками пропустить важные положения, что может привести к несоответствию требованиям ФЗ №152-ФЗ.

2. Использование онлайн-конструкторов. Специализированные сервисы предлагают автоматизированное составление документа по заданным параметрам. Метод обеспечивает более высокое качество по сравнению с самостоятельной разработкой, но может не учесть все нюансы конкретного бизнеса.

3. Заказ у профессиональных юристов. Наиболее надежный способ, гарантирующий соответствие документа специфике вашей деятельности и актуальным требованиям законодательства. Профессионалы разработают индивидуальную Политику, в которой будут учтены все особенности обработки данных в вашей компании, что минимизирует риски при проверках Роскомнадзора.

Важно! Просто скачать образец или шаблон Политики конфиденциальности — не лучшее решение. Она не будет учитывать реальные процессы в вашей компании, следовательно, у вас появится риск получить как минимум предписание от Роскомнадзора. 

Обновление политики конфиденциальности требуется в следующих случаях:

1. Изменения в законодательстве — при принятии новых нормативных актов или внесении поправок в ФЗ № 152-ФЗ.

2. Расширение целей обработки данных — если компания планирует использовать данные для новых целей, не указанных в текущей редакции Политики.

3. Изменение состава обрабатываемых данных — при добавлении новых категорий ПДн (например, начало сбора биометрической информации или данных о здоровье).

4. Смена оператора — при реорганизации компании, изменении наименования или передаче обработки данных другому юридическому лицу.

5. Изменения в трансграничной передаче — при начале передачи данных в новые иностранные государства или изменениях в механизмах такой передачи.

6. Обновление технологий обработки — при использовании новых программных решений, алгоритмов анализа данных или автоматизированных систем принятия решений.

7. Изменение сроков хранения данных — при пересмотре периодов хранения отдельных категорий информации.

8. Обновление мер защиты данных — при внедрении новых организационных или технических мер обеспечения безопасности ПДн.

Важно: все изменения должны быть своевременно отражены в Политике, а пользователи уведомлены о них доступными способами.

Основным местом размещения ссылки на политику конфиденциальности для сайта является футер (нижний блок). Ссылка должна быть доступна с любой страницы ресурса. Дополнительно рекомендуется размещать прямые ссылки на документ в следующих зонах:

• на страницах оформления заказов и заполнения форм обратной связи;

• в разделах регистрации и авторизации пользователей;

• в подписях к формам сбора персональных данных;

• в разделе «О компании» или «Правовая информация».

Важно! Регулярно проверяйте, работает ли ссылка на Политику конфиденциальности. Если она «сломается», а вы не будете об этом знать, компанию могут привлечь к ответственности по ч.3 ст.13.11 КоАП. 

Разработка политики конфиденциальности и соглашения на обработку персональных данных

Консультация

Если на сайте не будет Политики, оператору грозит административная ответственность и штрафы: 

1. Для граждан — от 1 500 до 3 000 рублей.

2. Для должностных лиц — от 6 000 до 12 000 рублей.

3. Для ИП — от 10 000 до 20 000 рублей.

4. Для организаций — от 30 000 до 60 000 рублей. 

Чтобы избежать штрафов и разместить на сайте Политику конфиденциальности, которая будет соответствовать всем требованиям ФЗ №152-ФЗ, обратитесь к профессионалам. Эксперты сервиса «Роском Онлайн» разработают документ с учетом специфики вашего бизнеса и последних изменений законодательства. Оставьте заявку и получите готовую Политику в кратчайшие сроки. 

Реклама: АО «КОНСАЛТИНГ ОНЛАЙН», ИНН: 2310203967, erid: 2W5zFJ66gyW