Как правильно сделать страницу Политики персональных данных для сайта сервиса-посредника?

Как правильно сделать информационную страницу политики персональных данных для сайта/сервиса который может выступать в посреднической роли?

Данные (почта, телефон, контактное лицо, компания) пользователей сервиса могут передаваться друг другу в границах участников/пользователей сервиса, приславших заявку на участие в нем и только после конкурсного отбора и с согласия самих участников (согласие можно прописать в правилах(?) мол, "дает согласие на передачу третьим лицам для исполнения сервисом/сайтом обязательств/услуг и и т.д.).

Cуть этого сервиса пока не буду раскрывать, другой - с содействие поиска инвестиций и продажи/покупки бизнеса, опыт есть и как раз пора расширять и выносить в сет/

Еще нюанс - сервис будет какое-то время тестироваться, сколько времени - трудно сказать, месяцы, может год. Планируется пока от имени физ.лица. Как быть в таком случае? Что нужно указывать на сайте? Свои ФИО или достаточно почты/контактов?

Каким образом осуществляется хранение ПДн участников сервиса (с учетом что он от имени физлица будет первое время) и прочее.

Читал закон 152-ФЗ, но много непонятного. Даже сами юристы не имеют четкого единого мнения.

Так как быть и касаемо в моей ситуации?

Замечаю, что чем больше стараешься ответствовать закону, тем больше же оказываешься виноват, этакий "стимул" работать в тени?

0
21 комментарий
Написать комментарий...
Георгий Панков

​​Интересный полезный текст:
Несколько фактов о персональных данных
1. Персональные данные (ПДн) - это не любые сведения о физическом лице
ПДн - любая информация, относящаяся к прямо или косвенно определенному или определяемому ФЛ (субъекту персональных данных) (часть первая ст. 3 ФЗ от 27.07.2006 № 152-ФЗ). Противоречия нет. ПДн являются только те сведения, на основе которых можно установить личность человека или которые относятся к человеку, личность которого бесспорно известна. В официальном разъяснении Роскомнадзора, например, говорится, что номер телефона без указания на его владельца не является информацией, на основании которой это лицо можно однозначно идентифицировать и его использование не может подразумевать обработку ПДн его владельца.
2. Не любое лицо, осуществляющее обработку персональных данных, является оператором
Соответственно, не во всех случаях необходимо иметь пакет документов, подтверждающий защищенность ПДн, и уведомлять Роскомнадзор. Наиболее частые исключения это обработка во исполнение требований трудового законодательства, обработка для исполнения договора, стороной которого является субъект персональных данных, обработка ПДн, сделанных субъектом ПДн общедоступными (пп. 1, 2, 4 части второй ст. 22 ФЗ от 27.07.2006 № 152-ФЗ). Также к ним относятся случаи, когда Пдн третьих лиц предоставляются фирме ее клиентами. Оператором в этом случае является клиент, а фирма действует по его поручению.
3. На сайте не всегда должна быть опубликована «Политика конфиденциальности»
Обязанность издания документов, определяющих политику оператора в отношении обработки Пдн, возлагается только на ЮЛ (пп. 2 части первой ст.18.1 ФЗ от 27.07.2006 № 152-ФЗ). Кроме того, как было отмечено выше, не все сведения о ФЛ являются Пдн. Одно лишь имя пользователя в совокупности с номером телефона или адресом электропочты не может считаться Пдн.
4. На обработку персональных данных не всегда требуется письменное согласие за собственноручной подписью
Согласие на обработку ПДн может быть дано субъектом ПДн или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом (часть первая ст. 9 ФЗ от 27.07.2006 № 152-ФЗ). Например, это может введение кода, направленного в SMS, переход по ссылке, направленной на электропочту при регистрации и т.п. Отдельное согласие не требуется в случаях, когда оператором выполняется обработка Пдн в целях заключения или исполнение договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект ПДн (пп.5 части первой ст. 6 ФЗ от 27.07.2006 № 152-ФЗ).
Эти факты показывают, что не всегда оправдан подход «лучше перебдеть». Роскомнадзор проводит плановые проверки операторов, включенных в реестр. Если необдуманно подать излишнее уведомление, то придется разрабатывать и выполнять все регламенты по информационной безопасности. В то же время, призываем не делать далеко идущих выводов, основываясь только на этой небольшой заметке. Необходим взвешенный подход и, чтобы учесть все нюансы, желательно получить консультацию юриста.

Ответить
Развернуть ветку
Serdgio Serdgievich
Автор

Слушал мнение 4-х юристов, читал что пишут в сети и единого мнения не услышал - все о своем. В итоге как последний шанс написал сюда, спросить, может кто сталкивался.

"Согласие на обработку ПДн может быть дано субъектом ПДн или его представителем в любой позволяющей подтвердить факт его получения форме" --- регистрации на сайте пока не планируется (позже). Ставить отдельный плагин-"галочку"?

"Наиболее частые исключения это обработка во исполнение требований трудового законодательства, обработка для исполнения договора, стороной которого является субъект персональных данных, обработка ПДн, сделанных субъектом ПДн общедоступными" --- договора как такового и публичной оферты тоже не будет (до окончания периода тестирования, полноценного запуска и после оформления ИП/ООО)

Ответить
Развернуть ветку
Георгий Панков

Я сталкивался. Поэтому и написал Вам. Основное в этом тексте для Вас:
Обязанность издания документов, определяющих политику оператора в отношении обработки Пдн, возлагается только на ЮЛ (пп. 2 части первой ст.18.1 ФЗ от 27.07.2006 № 152-ФЗ).
Вы простое физическое лицо и не обязаны издавать документ, определяющий политику обработки персональных данных. Хотя, кашу маслом не испортишь.
Есть плагины для WordPress, позволяющие ставить "чекбоксы" и дисклеймер о "куки". Один из многих (пример, не реклама): https://wordpress.org/plugins/russian-privacy-policy-page-and-notice/#description.

Ответить
Развернуть ветку
Serdgio Serdgievich
Автор

Спасибо, про масло согласен

Ответить
Развернуть ветку
Георгий Панков

Конструктор на Tilda, ссылку на который я давал, в принципе нормальный, но лучше заказать. Можно добавить несколько важных вещей.

Ответить
Развернуть ветку
Сергей Я

В некоторых сервисах по созданию сайтов есть автоматический "генератор" старницы ППД, можно туда подглядеть, думаю.

Ответить
Развернуть ветку
Serdgio Serdgievich
Автор

Есть, посмотрел и почитал что можно. Но все они от юрлиц. У меня же планируется пока как от физлица. Как прописать и как хранятся ПДн? Что указывать на сайте - свои полные реквизиты физлица или достаточно контактов? Хостинг не российский - оставить или перенести? И много других нюансов

Ответить
Развернуть ветку
Андрей Чуринов

вот здесь есть универсальный конструктор политики: https://advegital.com/solutions/politika-obrabotki-personalnykh-dannykh-obrazets.html

Ответить
Развернуть ветку
Serdgio Serdgievich
Автор

Свои ФИО обязательно указывать? Полностью или можно типа Фамилия И.О.?

Ответить
Развернуть ветку
Андрей Чуринов

можно фамилию и инициалы вроде

Ответить
Развернуть ветку
Serdgio Serdgievich
Автор

"Оператор обеспечивает сохранность персональных данных и принимает все возможные меры, исключающие доступ к персональным данным неуполномоченных лиц" Кто-то очень дотошный (как я) спросит, как докажешь?
или
"Пользователь может в любой момент отозвать свое согласие на обработку персональных данных, направив Оператору уведомление с помощью электронной почты на электронный адрес" - как докажешь что удалены?
или
"Персональные данные Пользователя никогда, ни при каких условиях не будут переданы третьим лицам, за исключением случаев, связанных с исполнением действующего законодательства." - они как раз и могут передаваться для контактного взаимодействия между участниками, но после процедуры конкурсного отбора, уже для более детальных переговоров и заключения договора между пользователями сервиса

Ответить
Развернуть ветку
Сергей Я

Если вы хотите остаться физиком, то может стоит ИП открыть?

Ответить
Развернуть ветку
Serdgio Serdgievich
Автор

Это будет решаться после тестирования сервиса, ИП или ООО.
Можно и сейчас вложиться и все сделать сразу, и свои средства и инвесторов, но смысл?
Надо посмотреть как будет все работать, куда двигаться. Одно дело идеи и текущие наработки и показатели и совсем другое - итоги полноценного запуска. Сделать срезы аналитики и прочее. Иначе как мне могут доверять другие, если сразу все спущу. Для всего этого и нужны предварительные тестирования

Ответить
Развернуть ветку
Василий Пупкин

Текст посмотрите на аналогичных проектах.
Напишите от имени сайта без вашего ФИО.
Этого достаточно для старта.
Никому вы интересны пока у вас нет оборота

Когда запустите компанию и появятся деньги то внедрите политику работы с ПД.

Ответить
Развернуть ветку
Serdgio Serdgievich
Автор

ркн не так сложно будет заблокировать, если кто-то обратится с ссылкой на мой сайт.
Клиенты разные бывают, знаю из личного опыта. И с какой стороны ожидать подвоха - неизвестно. В реалиях нашей страны лучше перестраховаться

Ответить
Развернуть ветку
Василий Пупкин

Риски есть всегда, на начальном этапе лучше тратить ресурсы на другое

Возможно помогут эти сервисы
https://b-152.ru/
https://xn--152-1dd8d.xn--p1ai/

Ответить
Развернуть ветку
Георгий Панков

Есть бесплатный конструктор простенькой Политики конфиденциальности на Tilda - https://tilda.cc/ru/privacy-generator/
Если целевая аудитория сайта - россияне, то персональные данные должны храниться в России.
Можно написать "Администрация сайта", не указывая фамилии, имени и отчества физического лица - владельца сайта, если он не ИП.
Закажите Политику конфиденциальности у какого-нибудь юриста на Ваш выбор. Предложений на биржах фриланса предостаточно, например на Kwork: https://kwork.ru/lawyer-consulting/250511/politika-konfidentsialnosti-dlya-sayta (пример, не реклама).

Ответить
Развернуть ветку
Георгий Панков

P.S. Если планируется аудитория в ЕС - нужно учитывать General Data Protection Regulation (GDPR). Здесь есть кое-какая информация и образец: https://www.websiteplanet.com/ru/blog/сделайте-вашу-политику-конфиденциал/

Ответить
Развернуть ветку
Serdgio Serdgievich
Автор

Аудитория Центральная часть России. Сам домен "ru", хостинг - компания наша, но имеет в функционале хостингои в Европе.
На наших боюсь размещать, опыт показал - доверия мало: дорого, защита от ddos платная и недешевая и прочее.
Как в таком случае? Прокатит?

Ответить
Развернуть ветку
Георгий Панков

Думаю, что надо перенести на сервер в Россию.
https://vc.ru/flood/10274-pers-zakon

Ответить
Развернуть ветку
Э

Во-первых, нормальные юристы вполне понимают этот закон.
Во-вторых, одной политикой не обойтись. Вы оператором ПД будете, вам нужно разработать десятки документов, технических решений, модель угроз и подать о себе сведения в ркн. Это нужно понимать, политика (концепция), это первый шаг из целого пути.
В-третьих, вы хотите бесплатно то, чем на профильном рынке торгуют от 70к. Поэтому либо заказывайте услугу, благо дельцов на рынке полно, либо изучайте весь вопрос досконально. Иначе - не парьтесь, не имеет смысла делать защиту ПД на какой-то процент. Или делаете или забиваете.

Ответить
Развернуть ветку
18 комментариев
Раскрывать всегда