Как написать политику конфиденциальности по новым правилам: пошаговая инструкция
Требования к содержанию политики конфиденциальности поменялись после внесения изменений от 1 сентября 2022 года в закон «О персональных данных». Они разбросаны по закону и различным письмам контролирующих органов. Мы собрали всё воедино и упаковали в подробный гайд.
Статью подготовила для вас Алиса Голенищева
Статью отредактировал Герман Ященко
Оглавление:
- Зачем нужна политика?
- Шаг 1. Укажите контакты.
- Шаг 2. Определите порядок сбора согласий.
- Шаг 3. Указываем для чего собираем данные и что с ними делаем.
- Как это прописать в политике?
- Шаг 4. Пропишите, кому вы передаете ПД пользователей.
- Шаг 5: Расскажите про права ваших пользователей.
- Шаг 6: Укажите правовое основание обработки ПД. (Не обязательно).
- Шаг 7: Определите где вы будете размещать актуальную версию политики.
Зачем нужна политика?
Политика конфиденциальности - документ, в котором вы декларируете, какие данные вы собираете, для каких целей вы их собираете и что с ними делаете.
Политика конфиденциальности нужна, если вы обрабатываете персональные данные своих пользователей. Поскольку обработка - любые действия с персональными данными, а персональными данные - любые данные о человеке, то политика конфиденциальность нужна любому сайту, у которого есть форма обратной связи, возможность приема заявок, регистрация пользователей и т.д.
Политика конфиденциальности (ссылка на неё) должна быть опубликована на вашем сайте, на каждой странице, где собираются персональные данные. Иначе вам грозит:
- штраф от 30 до 60 тыс. руб. (КоАП ч. 3 ст. 13.11);
- угроза блокировки интернет-ресурса (ст. 15.5 Федерального закона от 27.07.2006 N 149-ФЗ).
Также, если вы обрабатываете персональные данные, то вы должны уведомить об этом Роскомнадзор (далее - РКН). Подать уведомление можно через сайт РКН. После вы будете включены в реестр операторов персональных данных (ссылка).
Шаг 1. Укажите контакты.
Пользователь должен знать, кто будет обрабатывать его персональные данные. Поэтому вы обязаны указать в политике:
- К какому сайту (сервису) применяется политика;
- Кто будет обрабатывать персональные данные (кто является оператором персональных данных пользователей).
Можете разместить эти данные в любом разделе политики: в начале или в конце.
Шаг 2. Определите порядок сбора согласий.
Вы можете обрабатывать персональные данные только с согласия субъекта персональных данных. Поэтому вы должны собирать согласия перед тем, как начнете обработку данных. У вас должна быть возможность подтвердить, что определенное лицо дало вам своё согласие.
Например, на сайтах чаще всего размещают чек-бокс, без принятия которого нельзя оставить заявку, зарегистрировать на сайте. Также информация о кликах прописывается в лог-файлах сайт.
Основные требования к согласию:
- Конкретное - нельзя признать согласием молчание или бездействие субъекта;
- Информированное - субъект может ознакомиться с политикой конфиденциальности до дачи согласия;
- Сознательное - согласие должно даваться добровольно и не по принуждению;
- Предметное - субъект должен понимать цели сбора, какие персональные данные обрабатываются и перечень действий с персональными данными.
- Однозначное.
В политике надо прописать, как вы собираете эти согласия. Например, напишите, что "согласие дается путем проставления галочки при регистрации пользователя на сайте".
Важно. Также нельзя получать согласия от несовершеннолетних. Поэтому в политике пишем, что пользователь гарантирует, что является совершеннолетним.
Шаг 3. Указываем для чего собираем данные и что с ними делаем.
Цель обработки - это то, для чего вы собираете персональные данные. Цель обязательно должна быть конкретной. Например, оказание услуг по договору, регистрация пользователя на сайте и т.д.
Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных (п.3.2. Рекомендаций Роскомнадзора).
Новые правила внесли существенные изменения связанные с целями обработки. Теперь в отношении каждой цели необходимо прописывать (пункт 2, часть 1, статья 18.1. ФЗ-152): категории субъектов персональных данных, перечень и категории обрабатываемых данных, способы и сроки обработки данных и порядок уничтожения персональных данных.
Поскольку цели должны быть конкретными и ясными, то, как правило, их может быть несколько и в отношении каждой цели нужно указывать эти данные.
1. Категории субъектов, чьи данные обрабатываются в заданной цели. Нигде не раскрывается, что означает категория субъектов. На практике сложилось, что обычно указывают какие у вас отношения сложились с данным субъектом: пользователи сайта, потенциальные клиенты, заемщики и т.д.
2. Перечень обрабатываемых данных. Просто называете список всех персональных данных, которые вы обрабатываете (ФИО, номер, адрес и т.д.).
3. Категории данных. Указываете, к какой категории относятся персональные данные (см. ниже в таблице).
4. Действия с данными - укажите, как вы будете обрабатывать данные, например можно указать следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 ФЗ "О персональных данных").
Также необходимо указать способы обработки персональных данных. Способы обработки бывают:
- автоматизированный (данные обрабатываются на компьютере, сервере);
- неавтоматизированный (данные хранятся и обрабатываются на бумаге).
5. Сроки обработки и хранение данных - укажите, в течение какого срока вы храните персональные данные.
Также укажите где и как вы их храните.
6. Уничтожение ПД - стирание их со всех носителей навсегда.
Если персональные данные обрабатывались автоматизированным способом, уничтожить их можно путем стирания из базы данных, форматирования носителя или путем механического повреждения жестких дисков.
Если персональные данные обрабатывались неавтоматизированным способом, их можно уничтожить путем сожжения, дробления (измельчения), химического разложения.
Порядок документального оформления факта уничтожения персональных данных определяется оператором самостоятельно. Для уничтожения ПД обычно созывается специальная комиссия и по итогам ее деятельности составляется акт об уничтожении ПД.
Уничтожение ПД производится в случае:
- предоставления пользователем сведений, подтверждающих, что ПД являются незаконно полученными или не являются необходимыми для заявленной цели обработки - в течение 7 рабочих дней со дня представления таких сведений (ч. 1 ст. 14, ч. 3 ст. 20 Закона N 152-ФЗ);
- выявления неправомерной обработки персональных данных - в течение 10 рабочих дней (ч. 3 ст. 21 Закона N 152-ФЗ);
- отзыва персональных данных Пользователем - в течение 30 дней (ч. 5 ст. 21 Закона N 152-ФЗ;
- достижения цели обработки персональных данных - в течение 30 дней (ч. 4 ст. 21 Закона N 152-ФЗ);
- истечения сроков хранения персональных данных - в течение 30 дней (ч. 4 ст. 21 Закона N 152-ФЗ).
Как это прописать в политике?
В редакции нового закона необходимо указывать всю информацию в отношении каждой цели обработки. Хорошо, когда цель обработки одна, однако, если их много, то текст начнет сильно раздуваться.
Мы видим несколько вариантов как это можно оформить.
Вариант 1 - сплошной текст
Суть в том, чтобы мы шли текстом по каждой отдельной цели, такой формат нельзя назвать удобным с точки зрения восприятия информации и понятности политики. Вид будет примерно следующий:
Цель: регистрация на сайте. Категория субъекта: пользователи сайта. Обрабатываемые данные: фамилия, имя, отчество, дата рождения, номер телефона. Категория данных: общие персональные данные. Способ обработки персональных данных: автоматизированные сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование. Срок обработки: в течение 3 лет с даты проявления последней активности на сайте. Персональные данные уничтожаются путем стирания с серверов оператора персональных данных.
Цель: оформление покупки Категория субъекта: пользователи сайта. Обрабатываемые данные: фамилия, имя, отчество, дата рождения, номер телефона, адрес доставки, платежные реквизиты. Категория данных: общие персональные данные. Способ обработки персональных данных: автоматизированные сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование. Срок обработки: в течение 3 лет с даты проявления последней активности на сайте. Персональные данные уничтожаются путем стирания с серверов оператора персональных данных.
Цель: оформление возврата товара ...
Вариант 2 - таблица
Оформляем информацию представленную выше в виде таблице, где каждая строка - новая цель обработки. Такой вариант уже лучше, поскольку прочитать и понять его гораздо проще, чем предыдущие. Однако всё равно не очень удобно, т.к. много информации будет дублироваться. Примерный вид:
Вариант 3 - таблица + текст
Оформляем переменную информацию в виде таблицы, а постоянную отдельными пунктами. В нашем примере, как и у большинства компаний будут неизменны: способ и сроки хранения персональных данных и порядок их уничтожения.
И отдельными пунктами прописываем:
1. Для всех целей обработки персональных данных срок обработки персональных данных составляет 3 года с даты проявления последней активности на сайте.
2. Персональные данные уничтожаются путем стирания их с серверов оператора персональных данных.
Шаг 4. Пропишите, кому вы передаете ПД пользователей.
По общему правилу передача ПД третьим лицам запрещена. Исключения составляют:
1. Передача с согласия пользователя. То есть пользователь дает отдельное письменное согласие на передачу своих персональных данных той или иной компании.
2. Передача уполномоченным органам в соответствии с законодательством.
3. Передача персональных данных обработчикам. Обработчики - это компании, которые обрабатывают ПД по специальному документу-поручению оператора. Здесь стоит прописать список обработчиков и их контакты.
Трансграничная передача. Если вы передаете ПД пользователей заграничным компаниям, об этом стоит также написать и указать страны, в которые передаются персональные данные.
Шаг 5: Расскажите про права ваших пользователей.
По закону у пользователей есть ряд прав при обработке их ПД, лучше рассказать о них в вашей политике конфиденциальности.
Шаг 6: Укажите правовое основание обработки ПД. (Не обязательно).
Роскомнадзор рекомендует прописывать перечень документов, на основании которых вы обрабатываете ПД.
Этими документами могут быть:
- Законы, которые регулируют деятельность вашего сервиса. Для всех сайтов следует указывать ФЗ «об информации» + законы, которые регулируют именно вашу сферу деятельности. Это может быть ФЗ «о рекламе» или ФЗ «об образовании» и т.д.
- Внутренние локальные акты оператора. Для работы с ПД оператор должен создать внутренние акты, содержащие инструкции для сотрудников. Например, это может быть Политика обработки ПД. Необязательно указывать название актов, достаточно прописать, что таковые имеются.
- Договоры, заключаемые между оператором и пользователем персональных данных (если есть). Если пользователь может купить товар или получить услугу на вашем сайте, название оферты или договора также стоит здесь прописать.
- Согласия на обработку персональных данных, если вы собираете их в форме отдельных документов.
Шаг 7: Определите где вы будете размещать актуальную версию политики.
Не забудьте указать:
- Что вы вправе вносить изменения в Политику без согласия Пользователя.
- Где пользователь может ознакомиться с актуальной версией Политики? Добавить активную ссылку.
- Порядок вступления новой политики в силу.
Подписывайтесь на наш канал @aglegal, мы пишем о новостях в мире права для ИТ-компаний, а также планируем разместить шаблон политики конфиденциальности по новым правилам.
Для консультаций можете звонить +7 (969) 704-24-56 (Герман Ященко).
Шаг 7: удаляйте все нахер и копи/пасте у любого конкурента.
почти у всех кого ни видел, есть косяки, даже у правовых систем, хотя казалось бы
Удивляет больше, что ты вчитывался в них 😅
Какой-то бред придумали, у всех сайтов надо сделать одно и тоже - согласиться с куки и тп! Может при запуске браузера один раз спросить что мол там в инете все пишется и храниться! Согласны запустить браузер? И все!!!!
Ну должны же как-то чиновники создавать имитацию своей работы.
Да, достала эта шляпа. То ссл-сертификаты прямо всем нужны, то цены на домены повышают..
Хороший материал! Спасибо.
А вот такой вопрос:
Владельцы телеграм-ботов получают сведения о пользователе Telegram: telegram id (идентификатор учетной записи пользователя Telegram), фамилию, имя, ник (и еще могут быть иные данные типа аватарки и т.п.). Фамилия и имя могут быть фейковыми.
В общем, все эти данные о пользователе обычно необходимы сервисам для предоставления услуг. Причем данные о пользователе приходят с зарубежных серверов (считайте трансграничная передача, которую осуществляет telegram, не спрашивая ни пользователя, ни владельца бота).
Относятся ли эти данные к персональным? А если добавить к ним номер телефона?
Добрый день! К сожалению, на данный в практике нет единого мнения относительно того, какой набор сведений позволит с точностью определить субъекта персональных данных, а следовательно относятся к персональным данным. Позиции судов и Роскомнадзора отличаются от случая к случаю. ID пользователя в совокупности с другими данными, как правило, относят к персональным данным (например, Постановлением 13 ААС от 01.07.2016 по делу № А56-6698/2016).
Большое спасибо!
Спасибо, полезно!
Я могу ошибаться, но вроде об изменение/уничтожение ПД тоже нужно сообщать.
Добрый день! Да, оператор действительно обязан уведомлять Роскомнадзор в случае изменения персональных данных, это требование закреплено в ч. 7 ст. 22 закона "О персональных данных". Но так как это требование не относится к взаимодействия между пользователем и оператором, то в политике это прописывать не обязательно. Мы также подробно разбирали это требование в нашей предыдущей статье: https://vc.ru/legal/473951-izmeneniya-v-fz-152-ob-obrabotke-personalnyh-dannyh-v-2022-podrobnyy-razbor-s-rekomendaciyami#10
Спасибо
Интересная статья, спасибо автору!
Хороший материал. Для сайта я бы добавил использование cookie и сервисов аналитики и метр для работы с обезличенными данными. У меня, как у самозанятого - владельца сайта на Тильда пункт 6 вызывает замешательство. Внедрять тех средства защиты в моём случае не целесообразно и затратно. Проверять самого себя и готовить документы бессмысленно. Даже не представляю, что можно указать для самозанятого.
А ясно телеграм канал пиарим
лить воду, чтоб пропиарить канал в тг, такая себе идея
Спасибо вам огромное.
Отпечаток браузера (fingerprint) является ПД? Движения мышкой, нажатия кнопок на ней и на клавиатуре являются ПД? (для справки: https://habr.com/ru/post/686038/ )
Если fingerprint хранится в переменной долю секунды, то это уже сбор ПД или еще нет? А если переменная физически находится в браузере пользователя? Но он ее при этом не контролирует?
В-общем, нужно обобщение практики по вопросу что же такое ПД)))
Нет, fingerprint браузера не есть ПДн. Т.к. по нему нельзя однозначно определить субъекта ПДн. А если это ваша кошка прошла по клавиатуре а потом села #опой на экран планшета и тоже открыла браузер, но другой?
По версии Роскомнадзора - являются. По закону, конечно же, нет, однако Роскомнадзор и суды просто не в состоянии до конца прочесть первую строчку своего же закона, они до середины ее читают.
Что такое
однозначно определить субъекта ПДн?Когда вы возвращаетесь на сайт, вас однозначно определяют по fingerprint. То есть определяют конечно ваш браузер. Потому что второго такого в 99,5% случаев нет.
Когда сливают данные вашего паспорта, это ведь тоже не ПД, потому что по ним можно определить только ваш паспорт, но не вас?
по фингерпринту ты однозначно можешь определить браузер, а не пользователя, который им пользуется. Пользоваться одним браузером может вся семья, как тут определишь субъекта ПД?
Там по ссылке разъясняется, что отпечаток состоит из двух частей: железной и человеческой. Почерк человека мышкой такой же уникальный, как почерк карандашом. Касперский собирает обе части отпечатка.
Сами по себе движения и фингерпринты не будут являться. По одному движению мышки же нельзя идентифицировать Васю Пупкина. Все это будет относиться к ПД при условии, если идет скопом с другими данными.
Вот когда по почерку идентифицируют, это какая-то другая идентификация? Или движения ручкой имеют какую-то другую законную силу, чем движеня мышкой?
Или вы считаете, что "нельзя" чисто технически, типа все двигают мышкой абсолютно непредсказуемо и "почерк" у мышки отсутствует?
Хороший вопрос. Что касается "почерка", то данные не будут биометрическими, пока не используются для идентификации пользователя. Как только будут использоваться, то станут ПД.
Вот тут можно почитать разъяснения Роскомнадзора https://fstec21.blogspot.com/2017/09/biometric-personal-data.html
Спасибо большое!
Мне кажется или эта Алиса похожа на Алису Селезнёву?
А что изменилось в законе?
Добрый день! В закон внесли достаточно много поправок, в том числе в отношении документации о персональных данных, взаимодействия с государственными органами и т.д. Ранее мы публиковали подробный разбор всех изменений: https://vc.ru/legal/473951-izmeneniya-v-fz-152-ob-obrabotke-personalnyh-dannyh-v-2022-podrobnyy-razbor-s-rekomendaciyami
Рекомендуем ознакомиться)
Вода
Ну а как же OSINT?
Столько данных можно насобирать и обрабатывай как хочешь и предоставляй кому хочешь. Все же из открытых источников. Является ли данная информация персональной, если персональные данные - любые данные о человеке.
Спасибо за статью! А какова практика, если сайт используется для приёма заявок и оплат от клиентов ФЛ из-за рубежа, но владелец сайта и человек, который принимает платежи находится на территории РФ и платит налоги в РФ? Должна быть версия на русском языке, тк нужно соблюдать законодательство РФ и одновременно с этим на англ, тк пользователи не владеют русским языком и должны понимать с чем соглашаются?
Почему свою ПК не сделали по инструкции своей и в соответствии с обновлением?