Политика конфиденциальности

Удобный и правильный генератор политики конфиденциальности

Если этого не сделать, то при поверке Роскомнадзора выпишут штраф. Здесь единственным решением является ознакомление пользователя с условиями обработки персональных данных, нужно получить от  него согласие с  “Политикой Конфиденциальности (ПК)”.

Вот пример:

По задумке законодателей, при прочтении документа, пользователь должен понять подходят ему условия ПК или нет,  В случае согласия установить чекбокс(галочку) в нужном месте и нажать кнопку “Согласен”. При этом галочка может быть предустановленной. Как примере, выше.

Что такое политика конфиденциальности?

Это документ, который следует размещать на всех ресурсах, где запрашивается персональная информация о пользователе.

Что относится к персональным данными

Основы закреплены в Федеральном законе от 27 июля 2006 г. N 152-ФЗ
«О персональных данных»

Персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);

Куки и IP адреса также относятся к личным данным, так как по ним можно узнать геолокацию человека и определить оператора мобильной связи.

Основные понятия (термины)

К теме, как создать политику конфиденциальности мы еще вернемся, но сначала разберем три важных понятия.

1. Оператор – человек или организация занимающаяся сбором информации о пользователе, с разрешением самого клиента.
2. Субъект – физическое лицо, которое предоставляет данные о себе. Например, посетитель зашел в интернет-магазин сделал заказ и заполнил поля – контакты и адрес проживания по которому доставят посылку.
3. Персональные данные – информация, которая позволяют идентифицировать интернет-пользователя как живого человека. Сюда могут входить следующее:

• Имя и фамилия
• Адрес проживания
• Телефон
• Почтовый ящик (email)
• Фотография
• Ссылки на странички в социальных сетях

Разумеется, можно на сайт и не добавлять ПК, но в этой случае есть риск не пройти модерацию в рекламных системах, получить штраф от контролирующих ораганов.

Довольно часто можно встретить и другие названия обозначающие политику конфиденциальности, например: пользовательское соглашение, privacy policy, политика защиты персональных данных.

Когда требуется размещать политику конфиденциальности?

Прежде чем ответить на этот вопрос проверьте свой ресурс на наличие форм для заполнения, если они есть значит privacy policy тоже потребуется.

Допустим, у вас коммерческий портал, который оказывает услуги, для того чтобы связываться с клиентами нужно получить их контакты. Ваши заказчики должны быть уверены, что вы не будете передавать их контакты третьим лицам, для этого и существует договор, который они смогут прочитать на сайте.

Если, например, вы владелец небольшой конторы на окраине города и ваши заказчики в основном жители соседних домов, которые приходят к вам каждый день, и при этом оставлять номер телефона не требуется, тогда можно обойтись без privacy policy.

Также следует понимать, что любой может пожаловаться в Роскомнадзор и после этого последует проверка и если будут выявлены нарушения, то пойдут штрафы, сумма которых зависит от количества нарушений.

Пример:

При разработке сайта можно подключить авторизацию через социальные сети. Происходит это по технологии Api. Во время регистрации личная информация передается третьей стороне, т.е. сайту.

В свое время Южнокорейская компания по защите информации в 2020 году оштрафовала Facebook на суму в 6.1. млрд $. Как выяснилось, Fb передавала логины, email, фотографии без согласия людей. С тех пор в facebook были внесены изменения и теперь, чтобы подключить авторизацию на ресурсе, нужно заполнить дополнительное поле, а именно указать ссылку на privacy policy.

Штрафы российских компаний несколько ниже, чем у того же Fb. – размер может быть от 20тыс до 100тыс рублей.

Чтобы избежать проблем, нужно выполнить следующие шаги:

• В письменном или электронном виде оповестить об этом Роскомнадзор, это написано в ст. 22 152-ФЗ Уведомление можно отправить через онлайн по этой форме https://pd.rkn.gov.ru/operators-registry/notification/form/.
• Правильно оформить политику конфиденциальности. Следует учитывать, что Роскомнадзор запрещает собирать данные, больше чем требуется для работы. Например, если у вас онлайн-школа, а вы требуете указать при регистрации адрес, это выглядит подозрительно.

Если есть сомнения по заполнению ПК, то обратитесь к юристу, это выйдет дешевле, чем оплата штрафов.

Как лучше оформить политику конфиденциальности?

Обычно размещают ПК под каждой формой, где требуется от пользователя вводить ФИО, номер телефона и другую информацию.

Оформляется это следующим образом, под формой ставится чекбокс и надпись “нажимая на кнопку, вы соглашаетесь с политикой конфиденциальности”, последние два слова нужно выделить в качестве ссылки, которая будет вести на официальный документ.

Пример я уже показывал:

Что касается куки – это маленькая текстовая запись, которая хранится в браузере. Каждый, может очистить куки в браузере. Если ваш ресурс собирает cookies, то вам следует об этом сообщить клиенту и получить от него согласия.

Поэтому многие крупные коммерческие порталы нашли выход из ситуации, при первом посещении появляется всплывающее popup-окно, где написано “сайт использует куки, согласно политике конфиденциальности (ссылка). Вы принимаете условия?”. Ниже добавлены две кнопки “принять” или “отказаться”.

Большинство ресурсов используют cookie для работы. Например, интернет-магазины, образовательные учреждения и других коммерческие проекты, а это значит политика обработки персональных данных нужна практически везде. Самое важное это правильно прописать все условия, если вдруг случайно забыть указать какие-то пункты, то можно столкнуться со штрафами вплоть до блокировки сайта.

Не рекомендуется брать уже готовые шаблоны с других источников, так как специфика бизнеса может существенно отличаться. Поэтому для каждой компании должна быть составлена своя политика конфиденциальности. Исключением может являться, если вы занимаетесь тем же делом что и конкурент. В таком случае вы можете позаимствовать текст, разумеется, изучив его и сделав рерайт.

Какие пункты требуется включить в privacy policy?

Основная цель пунктов договора объяснить пользователю для чего происходит сбор информации.

• Обще положения – сюда следует включить основные понятия, которые будут использоваться в документе, к примеру “(обработка, объект, субъект) персональных данных”, Также следует перечислить обязанности и права, которые предоставит организация. Указать назначение документа, защиту прав субъекта при обработке персональных данных.
• Основания для использования личной информации – этот пункт включает в себя договора, законы или любые другие документы, которые дают права для обработки данных пользователя. Важно прописать, на что соглашается пользователь, заключая договор. К примеру, указать пункт, что оператор обрабатывает текст, полученный с куки.
• Цели, которые преследует сайт при сборе информации – здесь следует исчерпывающе и понятно рассказать, с какой целью ведется сбор данных о клиенте. Например, получения контактов для дальнейшего сотрудничества.

Это важный пункт, который следует подробно расписать и нужно это сделать так, чтобы Роскомнадзор во время проверки не обнаружил ничего подозрительного. Кроме того все должно быть написано простыми словами, чтобы у пользователя при прочтении не осталось темных пятен.

4. Перечень данных, который будет храниться на сервере организации – здесь описывается, какие данные конкретно подлежат сбору. К примеру, ФИО, электронный адрес, номер телефон и текст куки. Пример на картинке.

Второй по важности пункт – здесь следует четко прописать, что вы собираете, так как Роскомнадзор следит за тем, чтобы не было собрано больше, чем требуется для работы.

5. Порядок использования информации – достаточно большой пункт. Здесь указывается, как будет проходить обращение с данными. Следует описать этапы получения, хранения и уничтожения данных о пользователе. Требуется указать точные сроки обработки и хранения. Нужно написать подробно и понятно, чтобы после прочтения у посетителей не возникло вопросов.
6. Безопасность информации – требуется объяснить клиенту, как организация может защитить контакты пользователя. Например, написать, что компания не распространяет информацию третьим лицам, а также сделать резервное копирование БД. Кроме того нужно дополнить раздел тем, что пользователь может сам принять меры безопасности. Например, отозвать согласие на использования.

Дополнительные разделы

Иногда операторам недостаточно основных разделов, поэтому они могут прибегнуть к дополнительным.

• Термины и их расшифровка – обычный человек не каждый день сталкивается с договорами, поэтому сложные термины рекомендуется расшифровать.
• Передача данных третьим лицам – иногда к сайту подключаются различные дополнительные сервисы. Одним из таких ресурсов может быть CRM-система, с которым работает сайт. Чтобы успокоить клиента, следует объяснить, какую пользу приносит сотрудничество с CRM-системой и дополнить, что никто не будет доставать навязчивыми звонками.
• Трансграничная отправка информации – этот пункт указывается, если отправка происходит на территорию другого государства. Например, компания расположена в одной стране, а ее филиал в другой. Для организации переброски информации между странами следует сначала узнать о возможных рисках, так как за нарушения обычно начисляется штраф весьма не малый. (следует проконсультироваться с юристами)
• Часто задаваемы вопросы – с помощью этого раздела можно ответить на множество вопросов посетителей.

Особой структуры как расположить пункты политики конфиденциальности нет. Но можете воспользоваться следующий последовательностью, сначала общие сведения, чтобы погрузить читателя в тему, потом перейти к важной части, описать, зачем происходит сбор, потом перейти к хранению, использованию и уничтожению данных и под конец обозначить дополнительные пункты.

Самое главное, после оформления страницы ПК, нужно поместить ссылку на видном месте. Были случаи, что при проверке, Роскомнадзор не находил нужной веб-ссылки и после этого ресурс штрафовали. Ситуация поправима и можно указать конкретно, где находятся ссылки на документы, но лучше не испытывать судьбу.

Как сделать политику конфиденциальности

Если ваш сайт создан на WordPress, то следует установить плагин их два.

1. Contact-Form 7 (бесплатный)
2. Privacy Policy (платный) цена 700-2500 руб. Пример на картинке.

Воспользоваться одним из бесплатных конструкторов, который я сделал. Для создания политики конфиденциальности на любом сервисе следует заполнить несколько полей, в итоге на выходе получится “Политика конфиденциальности” специально для вашего сайта.

Если все же возникнут сомнения по поводу некоторых пунктов, то рекомендуются обратиться к юристу.

Размер штрафов ИП и OOO

Собирать информацию о человеке без его согласия запрещено законом, об этом написано в федеральном законе о персональных данных 152-ФЗ. В случае нарушения последуют штрафы. Под этот закон подпадает вся информация способная установить личность человека. Если, например, на странице сайта установлена форма, где нужно ввести имя и номер телефона, то следует выделить отдельную страницу, где будут описаны все пункты ПК.

Что касается штрафов, то их сумма зависит от количества нарушений, которые будут выявлены в ходе проверки, поэтому точную цифру назвать сложно, но вот таблица по которой можно ориентироваться.

Самое важное — это защитить данные пользователей, чтобы они не попали в руки к злоумышленникам. Поэтому следует установить пароли к серверам, и ограничить круг сотрудников имеющих доступ к базе данных. Так как в случае утечки информации оштрафуют фирму, где произошла утечка.