Необходимый минимум документов для сайта:
Согласие на обработку персональных данных. Без него никуда. Соблюдение права человека на конфиденциальность его персональных данных сегодня стремится к уровню всемирной истерии. Штрафы Европейской комиссии за незаконную обработку персональных данных предусмотрены в размере до 20 млн евро. Кстати, если собираетесь делать рекламную рассылку – нужно брать для этого особое согласие пользователя, именно на рекламную рассылку. Об этом мы говорили в предыдущем посте.
Административная ответственность за нарушение законодательства Российской Федерации в области персональных данных наступает по ст. 13.11 КоАП РФ. Размеры штрафов зависят от организационно-правового статуса оператора (физическое или должностное лицо, ИП или юридическое лицо) и колеблются в размере от 700 рублей до 18 миллионов рублей. Впечатляет?
Второе. Политика обработки персональных данных. Это декларативный документ, который располагается на каждой страничке сайта и всегда (!) доступен для просмотра. Именно в политике вы рассказываете о том, как собираете, храните и обрабатываете персональные данные своих пользователей, как защищаете и уничтожаете их, и с какой целью. Обработка ведь происходит в любом случае: на каждом сайте есть счетчики, трекеры и другие статистические программки, которые попутно собирают и персональные данные. Даже если к вам просто регистрируются на вебинар. Даже если вводят данные эл.почты для получения бесплатной «вкусняшки». Вы – оператор и обязаны действовать в соответствии с политикой. Точка.
Кстати, сразу насчёт ответственности за отсутствие этой самой политики. КоАП, ст. 13.11, п. 3: «Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного (!) доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных – влечет предупреждение или наложение административного штрафа на граждан в размере от 700 до 1500 руб.; на должностных лиц - от 3 до 6 тыс. руб.; на индивидуальных предпринимателей - от 5 до 10 тыс. руб.; на юридических лиц - от 15 до 30 тыс. руб.». Конечно, не сотни тысяч, но деньги всегда неприятно терять, согласны? Тем более на штрафах…
И третье. Пользовательское соглашение (оно же «условия использования», оно же «правила» и т.п.). Это договор присоединения, где описаны «правила поведения» на вашем сайте. По сути – это лицензия на сайт и его контент, которую вы предоставляете пользователям. В этот же документ можно добавить условия о купле-продаже товаров или об оказании услуг. Но! Если у вас простой продающий одностраничник (скажем прямо, без особо содержательного контента), основная цель которого – заключить договор купли-продажи или возмездного оказания услуг (как это часто бывает на taplink или tilda), лучше разместить на нём именно такой договор. Пользовательское соглашение в данном случае является дополнительным документом. А необходимым становится договор публичной оферты!
И ещё. Реквизиты. Это вроде как не документ, но для тех, кто продаёт товары или услуги через сайт – обязательно. Необходимость размещения реквизитов выходит из требований Закона о защите прав потребителей (ст. 26.1 прямо гласит, что продавцом должна быть предоставлена информация о наименовании продавца и его месте нахождения). Ещё размещаем информацию о регистрационном номере (ОГРН) и наименовании зарегистрировавшего его органа (номер своей ИФНС, а легче – свой ИНН), а также информацию о лицензии и/или аккредитации, если деятельность продавца подлежит лицензированию или аккредитации. Если вы зарегистрированы как СМИ – не забудьте указать номер свидетельства о регистрации в качестве СМИ.
Ответственность за непредоставление информации о продавце/исполнителе установлена ст. 14.8 КоАП РФ (штраф до 10 тыс. руб.).
Все договоры в сети должны заключаться в офертно-акцептной системе. Причём – никаких заранее проставленных галочек!
Простым и понятным языком, то что нужно
Благодарю!
Шаблоны нужны.
Зайдите на любой крупный сайт в регионе который вас интересует, кликните по ссылкам с указанными документами (они обычно где нить в футере) получите шаблоны
О, тогда следующий пост будет для Вас)))
Люди просили шаблон я дал им шаблон))) если вы напишите следующий пост лично для меня буду очень благодарен). И за одно может расскажете сколько прецедентов на текущий момент штрафов для сайтов посещаемостью 100-1000 хостов в сутки? У маленьких бизнесов это обычно средний показатель. И сколько претензий было к большим ресурсам в 50-100 тыс посещений в день. просто интересно как эти требования работают, на самом деле в РФ и ЕС.
Павел, буду рада найти такую статистику. У Вас есть? Поделитесь?
Документы крупных могут не то что не подойти новичкам, а вообще навредить им. Наверняка, Вы знаете, что гигантам проще раз в год заплатить штраф либо сделать один возврат на сто учеников, чем написать оферту в соответствии с законом.
Комментарий недоступен
Как показала практика, шаблоны не прижились. У каждого проекта есть особенности.
Спасибо, пригодится
Благодарю!
Я надеюсь что вы на этом не остановитесь? И выложите еще пару статей? Буду ожидать полезной информации)
А Вы подписались?
Уже жму на кнопку. Спасибо что напомнили)
🤗
Да, Александр, уже работаю в этом направлении;)
1) Не всегда нужно столько. Можно не морочиться с ПДн, если всё, что вы хотите - номер телефона.
2) А где куки?
Конечно! Если ваш сайт не продаёт, и пользователи не оставляют на нем персональные данные, то не заморачивайтесь. Пользовательское соглашение и галочка об обработке персональных данных, собираемых в автоматическом режиме (там, кстати, не только куки;))
Минус комментатору от автора - это редкость :). Комментарий - это же охват!
1) По поводу ПДн (ПДн - персональные данные): насколько я знакома с темой, правильное оформление - это действительно морока. Это же не только форму и доки на сайте разместить. Поэтому есть выход, подсказанный юристом.
2) "Именно в политике вы рассказываете о том, как собираете, храните и обрабатываете персональные данные своих пользователей... Обработка ведь происходит в любом случае: на каждом сайте есть счетчики, трекеры и другие статистические программки, которые попутно собирают и персональные данные."
Не всегда собираемые данные являются ПДн. Куки и похожие технологии (в том числе счётчики) могут собирать информацию в некоторых целях с помощью уникальных идентификаторов (без определения личности пользователя).
"Пользовательское соглашение (оно же «условия использования», оно же «правила» и т.п.). Это договор присоединения, где описаны «правила поведения» на вашем сайте. По сути – это лицензия на сайт и его контент..." - здесь в куче столько всего разного.
Пользовательское соглашение (публичная оферта) создаётся, если необходимо юридически закрепить факт правоотношений между пользователями сайта и самим сайтом (например, на сайте интернет-магазина). Условия использования сайта, правила - это не всегда юридический документ.
Ольга, в Роскомнадзоре уточняли, куки это персональные данные. Поэтому на многих сайтах есть всплывающие окошко, которые как раз о "куках" (смешно звучит, ей Богу) и предупреждают.
По поводу обработки - да, ещё нужны внутренние документы. Но один раз сделать нормально- и спать спокойно, разве не легче, чем жить под угрозой нехилых штрафов? А по GDPR санкции? Там же истерия полная в Европе с этими данными(((
Эммм... По поводу условий - почему это не документ? Что это тогда?
И что именно "разного в куче"? В ГК РФ и других нормативно-правовых актах нет такого названия договора "пользовательское соглашение", поэтому правовая природа этого документа - договор присоединения. Принцип свободы договоров позволяет формулировать его название по-разному ("условия использования", "правила сайта" и т.д.), пишу это в статье простым языком. И суть документа действительно в предоставлении неисключительной лицензии на пользование сайтом и ознакомление с его контентом. Что Вас смущает?
Меня ничто не смущает ). Я вижу неточности и неоднозначности. В правовых вопросах они многое решают. Поэтому рекомендую обращаться к юристам. Но пока, как юристы же и говорят, на практике штрафы копеечные. А в будущем - как карта ляжет.
Юридический документ и html-документ - разные категории. Совпадут ли они, зависит от формулировок. Но есть ещё практика обозначений.
Я написала о телефоне как компромиссе. Номер телефона без имени пользователя не является ПДн. Если вы не принимаете денег, не просите адрес, а в форме в странице предлагаете пользователю заказать обратный звонок, для чего предлагаете ввести номер его телефона, то никакие телодвижения по ПДн не нужны. И это не противоречит закону. По крайней мере, так было 6 мес. назад.
Успехов вам!
Ольга, я юрист, и неточностей и неоднозначностей нет. Ваше толкование несколько противоречит законодательству. Штрафы от РКН, кстати не копеечные. Номер телефона без имени - это обезличенные персональные данные. Вам тоже успехов!
А где вступление в статье, какая-то преамбула, что-то еще? С места и в карьер...
Эмм... Люди любят конкретику. Прелюдии - это больше для художественной литературы.
А можно узнать на примере конкретного сайта cinemas.kz мы публикуем расписание кинотеатров. Если есть какие то шаблоны было бы круто, ещё круче под Казастан)
Что пользователи делают на Вашем сайте? От этого нужно отталкиваться.
1. Видят списки кинотеатров
2. Смотрят трейдеры к фильмам
3. Смотрят сеансы к фильмам
4. Сейчас будем прикручивать возможность брони и покупки билета онлай
Перед тем, как оставят персональные данные (бронирование, покупка) - должны дать согласие на их обработку. Для обработки нужна политика. Если покупают товары/услуги - договор публичной оферты. Пользовательское соглашение - чтобы знали, как себя вести и не крали контент. Также если идет сбор персональных данных в автоматическом режиме - тоже обязаны взять согласие. Это если вкратце.
Автор молодец, все правильно и о насущном. Единственно, что также считаю важным, это год, который указывается в подвале. Многие считают, что это просто цифра и могут не актуализировать ее (если не стоит программно на сервере), но по стандартам, это означает, что веб-ресурс и юр. информация на нем является актуальной.
Не совсем поняла. Каждый документ актуализируется на определенную дату. В подвале обычно copyright пишут, с указанием лет защищенности авторского права.
Нет, например ресурс, 2009 года, имеющий политику данных того же года, которая уже не соответствует действующему законодательству. Политика, это документ, который не создается вновь и вновь, а в него должны вносить редакции "Редакция от...". Знак копирайте, это знак копирайта, а год должен нести в себе информацию о содержании ресурса. Для чего же тогда дано датирование ? Если бы газеты печатали без датирования... эту новость тогда нельзя было определить.
В документах дата указывается обязательно, поэтому ссылки на документы должны быть активными. Смысл просто указывать, если документы будут не актуальными?
В законодательстве не встречала требования писать в подвале год. Для новостей - да, актуально. Для защиты авторского права понятно. И можно отменить предыдущую политику и внедрить новую (это, кстати, многие сделали после принятия GDPR), а не вносить правки, создавая новые редакции.
Кратко и объемно сразу получилось. Автору зачет.
Благодарю!)
А разве не будет достаточно только наличие оферты на сайте?
Оферта это же договор, а для обработки персональных данных, нужных для исполнения договора, согласие не обязательно.
согласия субъекта персональных данных не требуется в следующих случаях: ...5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;Вы цитируете старую редакцию части 1 статьи 6 ФЗ О персональных данных. С 2011 года она изменилась:
Обработка персональных данных должна осуществляться с соблюдением принципов и правил, предусмотренных настоящим Федеральным законом. Обработка персональных данных допускается в следующих случаях:
1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;
2) обработка персональных данных необходима для достижения целей, предусмотренных международным договором Российской Федерации или законом, для осуществления и выполнения возложенных законодательством Российской Федерации на оператора функций, полномочий и обязанностей;
3) обработка персональных данных осуществляется в связи с участием лица в конституционном, гражданском, административном, уголовном судопроизводстве, судопроизводстве в арбитражных судах; и т.д. ...
Другой момент - можно не регистрироваться в качестве оператора, если используешь персональные данные только для целей исполнения договора и не передаешь данные третьим лицам. Но Вы сейчас о другом немного.
И ещё не забывайте, что РФ соблюдает GDPR. Без политики обработки персональных данных и согласия на это от субъекта - сейчас никак.
Вот текущая редакция закона, которую я и цитировал
5) обработка персональных данных необходима для исполнения договора, стороной которого либо выгодоприобретателем или поручителем по которому является субъект персональных данных, а также для заключения договора по инициативе субъекта персональных данных или договора, по которому субъект персональных данных будет являться выгодоприобретателем или поручителем;http://www.consultant.ru/document/cons_doc_LAW_61801/315f051396c88f1e4f827ba3f2ae313d999a1873/
(в ред. Федеральных законов от 21.12.2013 N 363-ФЗ, от 03.07.2016 N 231-ФЗ)
И ещё не забывайте, что РФ соблюдает GDPR.Эм, что?
Компании да, должны соблюдать, если они работают с ПД граждан ЕС. Но в РФ это мало к кому относится и это по законам ЕС, а не РФ.
Если вы не будете соблюдать GDPR, то законы РФ это не нарушит.
Исправлю, я в первый раз действительно процитировал старую редакцию, но это не меняет сути. В текущей редакции (которую процитировал во второй раз) все то же самое – при наличии договора, согласие на обработку не требуется.
В текущей редакции нет слов, что согласие не требуется, Михаил. Пункт 1 и пункт 5 части 1 статьи 6 применяются в совокупности. Ещё раз: если ПДн не передаются третьим лицам и собираются только для целей исполнения договора, не требуется регистрация оператора в Роскомнадзоре.
По GDPR. Если на Ваш сайт зайдет пользователь из Евросоюза, его персональные данные должны быть защищены в соответствии с этим протоколом.
То есть вы считаете, что пункт 5 приняется в совокупности с пунктом 1, а пункт 6 уже очевидно не в совокупности, потому что его формулировка противоположна пункту 1?
1) обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных;6) обработка персональных данных необходима для защиты жизни, здоровья или иных жизненно важных интересов субъекта персональных данных, если получение согласия субъекта персональных данных невозможно;
Тогда каким образом по-вашему определяется, какие пункты должны быть в совокупности, а какие нет? )
Конечно эти пункты применяются не в совокупности, это просто перечисление всех случаев, когда по закону разрешается обрабатывать ПД. Если совпадает с любым из пунктов, то обработка возможна.
не требуется регистрация оператора в Роскомнадзоре.Насчет регистрации я ничего не писал, речь шла про получение согласия на обработку.
По GDPR. Если на Ваш сайт зайдет пользователь из Евросоюза, его персональные данные должны быть защищены в соответствии с этим протоколом.По законам ЕС, а не по законам РФ, как вы написали.
Законы ЕС на территории РФ не действуют и резиденты РФ соблюдать их не обязаны. Если и будет штраф например, то на территории РФ его никто взыскивать не станет.
И даже по законам ЕС, если зайдет пользователь из ЕС, а сайт на русском и не предназначен для клиентов из ЕС, то GDPR к нему не применяется.
Особенности GDPR & B2B!!!
Ситуация: Моя компания имеет партнерские B2B-отношения с другими компаниями, в том числе и европейскими.
Должны ли сотрудники этих других компаний на сайте моей компании при заполнении анкеты по качеству предоставляемых услуг интересоваться/знать/давать согласие на обработку своих "персональных" данных (ФИО, рабочий e-mail, название компании и еще несколько типов данных, относящихся только к нашим B2B-взаимоотношениям)????
Причем, в 99% случаев данные по этим людям уже хранятся в другой нашей системе (кто и как их вносит - не знаю).