Политика конфиденциальности сайта: как правильно составить документ?
Главный документ, регулирующий процесс сбора и хранения информации, которая позволяет идентифицировать пользователей, ФЗ №152 «О персональных данных», регулярно актуализируется. Это значит, что и владельцы веб–ресурсов должны постоянно обновлять политику конфиденциальности для сайтов, размещая эти правила в свободном доступе.
Закон категоричен: разместив на своем портале хотя бы одну форму для сбора любых сведений о посетителях, вы автоматически становитесь Оператором обработки и хранения персональных данных. Это значит, что отныне вы обязуетесь не разглашать никакой информации, которая может помочь в идентификации пользователя, и по первому требованию такого человека – обязаны ее удалить.
Помимо Соглашения на обработку персональных данных, нужно составить и общий документ, который называют Privacy Policy. В статье поговорим, как сделать политику конфиденциальности, чтобы не получить блокировку и штраф от Роскомнадзора.
О каких сведениях идет речь?
Не стоит думать, что к персональным данным относятся только те, что указаны в паспорте или ином документе вашего клиента. Помимо них, в категорию сведений, за которые вы несете ответственность, входят:
- Адрес электронной почты и ссылки на социальные сети пользователя;
- Фотографии с изображением пользователя, загруженные на ваш сайт и позволяющие идентифицировать конкретную личность;
- Номера мобильных телефонов, используемых для SMS–информирования и других способов связи (например, общения в мессенджерах);
- Техническая информация, которую получают аналитические системы: файлы cookies, IP-адрес, поведение на странице.
Ресурс, нарушивший законодательство, заблокируют. Если вы вкладывали в его продвижение серьезный бюджет, то все ваши усилия можно будет считать напрасными. Поэтому текст Политики конфиденциальности для сайта, как и Согласие на обработку персональных данных, следует составить и разместить на своем портале заранее.
Если вы не запрашиваете согласия на обработку такой информации, отказали пользователю в просьбе об удалении или передали ее третьим лицам (в том числе, собственному филиалу или партнерским компаниям), то можете получить серьезные штрафы от контролирующих органов. Размер штрафа определяется индивидуально, но стартовая сумма для юридических лиц – 100 тысяч рублей.
Помимо штрафов от Роскомнадзора, компания может получить и судебный иск от конкретного пользователя, права которого были нарушены. Чаще всего, суд встает на сторону истца, а размер компенсации ограничивается только фантазией расстроенного юзера.
Политика конфиденциальности: пример того, что должен содержать документ
Чтобы понять, какие пункты должно содержать это Положение, нужно внимательно изучать ФЗ №152. При этом конкретных указаний на то, что именно вы должны включить в текст Privacy Policy, как и готовых шаблонов, там нет: они разбросаны по всему документу. Для вашего удобства собрали все важные и не очень пункты в статье.
Контакты оператора обработки персональных данных
Речь идет о полном юридическом наименовании вашего бизнеса: пользователь должен знать, кто именно собирает и обрабатывает сведения о нем. Кроме того, нужно обязательно указывать, к какому ресурсу применяется документ.
Обратите внимание: шаблоны политики конфиденциальности для сайтов, которые можно найти в Интернете, не содержат таких сведений, и если вы пользуетесь готовым решением, обязательно проверьте его прежде, чем опубликовать.
Порядок сбора Согласия на обработку информации
Перед тем, как планировать рассылку или запускать рекламу на полученные контакты, нужно заручиться согласием пользователей на использование этих сведений. Поэтому любые формы на сайте снабжаются пустыми чекбоксами с подписью «Я Согласен на обработку, хранение и получение персональных данных, а также положениями Политики конфиденциальности сервиса». Линки нужно хранить, чтобы в случае проблем доказать Роскомнадзору свою правоту.
Порядок получения сведений обязательно прописывается в Политике конфиденциальности. Поэтому образец Политики конфиденциальности для сайта должен содержать такую (или примерно такую) фразу: «Пользователь дает согласие на сбор, обработку и хранение своих персональных данных путем заполнения соответствующих полей в формах символом–галочкой». Звучит сложно, но таков закон: субъект сбора информации должен четко понимать, с чем именно и каким образом он соглашается.
Так как собирать персональные данные тех, кто пока не достиг 18 лет, можно только с согласия законных представителей, обязательно добавьте пункт: «Своим согласием пользователь подтверждает, что достиг совершеннолетия».
Цель обработки информации
Простыми словами, вы должны подробно расписать, что именно делаете с полученными сведениями. При этом внесенные в 2022 году обновления в Федеральный закон предписывают расписывать в отношении каждой цели:
- Категории пользователей, от которых вы получаете информацию (на практике это выглядит, как зарегистрировавшиеся на портале или заполнившие определенную форму пользователи);
- Перечень данных (например, имя, фамилия и адрес электронной почты);
- Сроки использования полученных сведений (например, 12 месяцев с момента последней активности на вашем ресурсе).
Никаких пояснений о том, как именно обозначать субъектов обработки данных, то есть пользователей, пока нет. Отталкиваясь от того, что все положения Политики должны быть предельно прозрачными, ориентируйтесь на то, кем являются дающие согласие люди – пользователями сайта, клиентами компании и так далее.
До того как добавить Политику конфиденциальности на сайт, убедитесь, что вы прописали абсолютно все цели сбора данных. Подсказка: оформление заказа и возврат средств, как и регистрация на портале и заказ обратного звонка – разные цели, которые должны быть оформлены отдельно, с указанием того, какие сведения для достижения каждой необходимы. Чтобы читателям все было ясно, лучше оформить отдельные цели, категории способов и собираемые сведения в отдельную таблицу.
Порядок хранения и уничтожения ПД
В этом пункте нужно описать, как именно вы храните и утилизируете полученную информацию, а также указать, какие сроки это занимает. Например, «Хранение персональных данных осуществляется на серверах компании ООО «Оператор». Данные уничтожаются путем удаления с носителей, принадлежащих компаний, всей информации о пользователе, не проявившем активности на сайте в течение 3 лет с момента регистрации».
Не забудьте указать, в какой период вы удалите сведения после соответствующего обращения юзера. Закон обязывает сделать это в 30–ти дневный срок, но вы вправе его уменьшить.
Передача данных
Закон запрещает распространение ПД, если пользователь не давал на это отдельного согласия. Если вы планируете делиться полученной информацией с другой компанией (даже если это фактически ваша организация, но зарегистрированная на другое юридическое лицо), стоит обязательно уведомить об этом пользователей, получив новое согласие, а также прописать все контакты нового оператора в своей Privacy Policy.
Права пользователей
Обязательно уведомите пользователей о том, что они имеют право ознакомиться с перечнем обрабатываемых данных по своему запросу, а также в любой момент отозвать согласие.
Еще один важный момент – пункт о том, что вы вправе менять свою Политику конфиденциальности без согласия пользователей. Завершите им готовый документ, и вы – великолепны!
Где разместить Политику конфиденциальности?
На портале обязательно должна быть активная ссылка на актуальный текст Политики конфиденциальности, который вы с такой любовью разрабатывали. Обычно ее размещают в самом конце страницы, в футере или подвале сайта: любой желающий может перейти в соответствующий раздел вашей площадки и ознакомиться с документом.
Обычно разработчики уделяют не слишком много внимания этому вопросу, скачивая образцы Политики с различных ресурсов и указывая в документе собственные данные. Однако мы рекомендуем тщательно изучить текст перед публикацией и убедиться, что выбранный вами шаблон соответствует нормам действующего законодательства.
Если вы работаете в конструкторе Taptop, отредактировать или добавить Политику конфиденциальности на сайт можно в любой момент прямо в визуальном редакторе. Мы учитываем требования Роскомнадзора при разработке макетов сайтов, поэтому стараемся добавлять соответствующие разделы в каждый из них: чтобы избежать штрафных санкций, достаточно будет только загрузить готовый текст документа.