Как написать политику конфиденциальности по новым правилам: пошаговая инструкция
Как написать политику конфиденциальности по новым правилам: пошаговая инструкция
Требования к содержанию политики конфиденциальности поменялись после внесения изменений от 1 сентября 2022 года в закон «О персональных данных». Они разбросаны по закону и различным письмам контролирующих органов. Мы собрали всё воедино и упаковали в подробный гайд.
Зачем нужна политика?
Политика конфиденциальности - документ, в котором вы декларируете, какие данные вы собираете, для каких целей вы их собираете и что с ними делаете.
Политика конфиденциальности нужна, если вы обрабатываете персональные данные своих пользователей. Поскольку обработка - любые действия с персональными данными, а персональными данные - любые данные о человеке, то политика конфиденциальность нужна любому сайту, у которого есть форма обратной связи, возможность приема заявок, регистрация пользователей и т.д.
Политика конфиденциальности (ссылка на неё) должна быть опубликована на вашем сайте, на каждой странице, где собираются персональные данные. Иначе вам грозит:
штраф от 30 до 60 тыс. руб. (КоАП ч. 3 ст. 13.11); угроза блокировки интернет-ресурса (ст. 15.5 Федерального закона от 27.07.2006 N 149-ФЗ).
Также, если вы обрабатываете персональные данные, то вы должны уведомить об этом Роскомнадзор (далее - РКН). Подать уведомление можно через сайт РКН. После вы будете включены в реестр операторов персональных данных.
Шаг 1. Укажите контакты.
Пользователь должен знать, кто будет обрабатывать его персональные данные. Поэтому вы обязаны указать в политике:
К какому сайту (сервису) применяется политика; Кто будет обрабатывать персональные данные (кто является оператором персональных данных пользователей).
Можете разместить эти данные в любом разделе политики: в начале или в конце.
Шаг 2. Определите порядок сбора согласий.
Вы можете обрабатывать персональные данные только с согласия субъекта персональных данных. Поэтому вы должны собирать согласия перед тем, как начнете обработку данных. У вас должна быть возможность подтвердить, что определенное лицо дало вам своё согласие.
Например, на сайтах чаще всего размещают чек-бокс, без принятия которого нельзя оставить заявку, зарегистрировать на сайте. Также информация о кликах прописывается в лог-файлах сайт.
Основные требования к согласию:
Конкретное - нельзя признать согласием молчание или бездействие субъекта; Информированное - субъект может ознакомиться с политикой конфиденциальности до дачи согласия; Сознательное - согласие должно даваться добровольно и не по принуждению; Предметное - субъект должен понимать цели сбора, какие персональные данные обрабатываются и перечень действий с персональными данными. Однозначное.
В политике надо прописать, как вы собираете эти согласия. Например, напишите, что "согласие дается путем проставления галочки при регистрации пользователя на сайте".
Важно. Также нельзя получать согласия от несовершеннолетних. Поэтому в политике пишем, что пользователь гарантирует, что является совершеннолетним.
Шаг 3. Указываем для чего собираем данные и что с ними делаем.
Цель обработки - это то, для чего вы собираете персональные данные. Цель обязательно должна быть конкретной. Например, оказание услуг по договору, регистрация пользователя на сайте и т.д.
Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных (п.3.2. Рекомендаций Роскомнадзора).
Новые правила внесли существенные изменения связанные с целями обработки. Теперь в отношении каждой цели необходимо прописывать (пункт 2, часть 1, статья 18.1. ФЗ-152): категории субъектов персональных данных, перечень и категории обрабатываемых данных, способы и сроки обработки данных и порядок уничтожения персональных данных.
Поскольку цели должны быть конкретными и ясными, то, как правило, их может быть несколько и в отношении каждой цели нужно указывать эти данные.
1. Категории субъектов, чьи данные обрабатываются в заданной цели. Нигде не раскрывается, что означает категория субъектов. На практике сложилось, что обычно указывают какие у вас отношения сложились с данным субъектом: пользователи сайта, потенциальные клиенты, заемщики и т.д.
2. Перечень обрабатываемых данных. Просто называете список всех персональных данных, которые вы обрабатываете (ФИО, номер, адрес и т.д.).
3. Категории данных. Указываете, к какой категории относятся персональные данные.
4. Действия с данными - укажите, как вы будете обрабатывать данные, например можно указать следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 ФЗ "О персональных данных").
Также необходимо указать способы обработки персональных данных. Способы обработки бывают:
автоматизированный (данные обрабатываются на компьютере, сервере); неавтоматизированный (данные хранятся и обрабатываются на бумаге).
5. Сроки обработки и хранение данных - укажите, в течение какого срока вы храните персональные данные.
Также укажите где и как вы их храните.
6. Уничтожение ПД - стирание их со всех носителей навсегда.
Если персональные данные обрабатывались автоматизированным способом, уничтожить их можно путем стирания из базы данных, форматирования носителя или путем механического повреждения жестких дисков.
Если персональные данные обрабатывались неавтоматизированным способом, их можно уничтожить путем сожжения, дробления (измельчения), химического разложения.
Порядок документального оформления факта уничтожения персональных данных определяется оператором самостоятельно. Для уничтожения ПД обычно созывается специальная комиссия и по итогам ее деятельности составляется акт об уничтожении ПД.
Уничтожение ПД производится в случае:
предоставления пользователем сведений, подтверждающих, что ПД являются незаконно полученными или не являются необходимыми для заявленной цели обработки - в течение 7 рабочих дней со дня представления таких сведений (ч. 1 ст. 14, ч. 3 ст. 20 Закона N 152-ФЗ); выявления неправомерной обработки персональных данных - в течение 10 рабочих дней (ч. 3 ст. 21 Закона N 152-ФЗ); отзыва персональных данных Пользователем - в течение 30 дней (ч. 5 ст. 21 Закона N 152-ФЗ; достижения цели обработки персональных данных - в течение 30 дней (ч. 4 ст. 21 Закона N 152-ФЗ); истечения сроков хранения персональных данных - в течение 30 дней (ч. 4 ст. 21 Закона N 152-ФЗ).
Как это прописать в политике?
В редакции нового закона необходимо указывать всю информацию в отношении каждой цели обработки. Хорошо, когда цель обработки одна, однако, если их много, то текст начнет сильно раздуваться.
Мы видим несколько вариантов как это можно оформить.
Вариант 1 - сплошной текст
Суть в том, чтобы мы шли текстом по каждой отдельной цели, такой формат нельзя назвать удобным с точки зрения восприятия информации и понятности политики. Вид будет примерно следующий:
Цель: регистрация на сайте. Категория субъекта: пользователи сайта. Обрабатываемые данные: фамилия, имя, отчество, дата рождения, номер телефона. Категория данных: общие персональные данные. Способ обработки персональных данных: автоматизированные сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование. Срок обработки: в течение 3 лет с даты проявления последней активности на сайте. Персональные данные уничтожаются путем стирания с серверов оператора персональных данных.
Цель: оформление покупки Категория субъекта: пользователи сайта. Обрабатываемые данные: фамилия, имя, отчество, дата рождения, номер телефона, адрес доставки, платежные реквизиты. Категория данных: общие персональные данные. Способ обработки персональных данных: автоматизированные сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование. Срок обработки: в течение 3 лет с даты проявления последней активности на сайте. Персональные данные уничтожаются путем стирания с серверов оператора персональных данных.
Вариант 2 - таблица
Оформляем информацию представленную выше в виде таблице, где каждая строка - новая цель обработки. Такой вариант уже лучше, поскольку прочитать и понять его гораздо проще, чем предыдущие. Однако всё равно не очень удобно, т.к. много информации будет дублироваться.
Вариант 3 - таблица + текст
Оформляем переменную информацию в виде таблицы, а постоянную отдельными пунктами. В нашем примере, как и у большинства компаний будут неизменны: способ и сроки хранения персональных данных и порядок их уничтожения.
И отдельными пунктами прописываем:
1. Для всех целей обработки персональных данных срок обработки персональных данных составляет 3 года с даты проявления последней активности на сайте.
2. Персональные данные уничтожаются путем стирания их с серверов оператора персональных данных. Шаг 4. Пропишите, кому вы передаете ПД пользователей.
По общему правилу передача ПД третьим лицам запрещена. Исключения составляют:
1. Передача с согласия пользователя. То есть пользователь дает отдельное письменное согласие на передачу своих персональных данных той или иной компании.
2. Передача уполномоченным органам в соответствии с законодательством.
3. Передача персональных данных обработчикам. Обработчики - это компании, которые обрабатывают ПД по специальному документу-поручению оператора. Здесь стоит прописать список обработчиков и их контакты.
Трансграничная передача. Если вы передаете ПД пользователей заграничным компаниям, об этом стоит также написать и указать страны, в которые передаются персональные данные.
Шаг 5: Расскажите про права ваших пользователей.
По закону у пользователей есть ряд прав при обработке их ПД, лучше рассказать о них в вашей политике конфиденциальности.
Шаг 6: Укажите правовое основание обработки ПД. (Не обязательно).
Роскомнадзор рекомендует прописывать перечень документов, на основании которых вы обрабатываете ПД.
Этими документами могут быть:
Законы, которые регулируют деятельность вашего сервиса. Для всех сайтов следует указывать ФЗ «об информации» + законы, которые регулируют именно вашу сферу деятельности. Это может быть ФЗ «о рекламе» или ФЗ «об образовании» и т.д. Внутренние локальные акты оператора. Для работы с ПД оператор должен создать внутренние акты, содержащие инструкции для сотрудников. Например, это может быть Политика обработки ПД. Необязательно указывать название актов, достаточно прописать, что таковые имеются. Договоры, заключаемые между оператором и пользователем персональных данных (если есть). Если пользователь может купить товар или получить услугу на вашем сайте, название оферты или договора также стоит здесь прописать. Согласия на обработку персональных данных, если вы собираете их в форме отдельных документов.
Шаг 7: Определите где вы будете размещать актуальную версию политики.
Не забудьте указать:
Что вы вправе вносить изменения в Политику без согласия Пользователя. Где пользователь может ознакомиться с актуальной версией Политики? Добавить активную ссылку. Порядок вступления новой политики в силу.
Источник: vc.ru
|
Ваша компания
Зарегистрируйтесь и о Вас узнают потенциальные клиенты!
|