Предмет политики конфиденциальности
3.3. whatsappishe.ru защищает Данные, которые автоматически передаются при посещении страниц:— IP адрес;— информация из cookies;— информация о браузере— время доступа;— реферер (адрес предыдущей страницы).
3.3.1. Отключение cookies может повлечь невозможность доступа к частям сайта , требующим авторизации.
3.3.2. whatsappishe.ru осуществляет сбор статистики об IP-адресах своих посетителей. Данная информация используется с целью предотвращения, выявления и решения технических проблем.
3.4. Любая иная персональная информация неоговоренная выше (история посещения, используемые браузеры, операционные системы и т.д.) подлежит надежному хранению и нераспространению, за исключением случаев, предусмотренных в п.п. 5.2. настоящей Политики конфиденциальности.
ПРЕДМЕТ ПОЛИТИКИ КОНФИДЕНЦИАЛЬНОСТИ
3.1. Настоящая Политика конфиденциальности устанавливает обязательства Администрации сайта по умышленному неразглашению персональных данных, которые Пользователь предоставляет по разнообразным запросам Администрации сайта (например, при регистрации на сайте, оформлении заказа, подписки на уведомления и т.п).
3.2. Персональные данные, разрешённые к обработке в рамках настоящей Политики конфиденциальности, предоставляются Пользователем путём заполнения специальных форм на Сайте и обычно включают в себя следующую информацию:
3.2.1. фамилию, имя, отчество Пользователя;
3.2.2. контактный телефон Пользователя;
3.2.4. место жительство Пользователя и другие данные.
3.3. Администрация сайта также принимает усилия по защите Персональных данных, которые автоматически передаются в процессе посещения страниц сайта:
IP адрес;
информация из cookies;
информация о браузере (или иной программе, которая осуществляет доступ к сайту);
время доступа;
посещенные адреса страниц;
реферер (адрес предыдущей страницы) и т.п.
3.3.1. Отключение cookies может повлечь невозможность доступа к сайту.
3.3.2. Сайт осуществляет сбор статистики об IP-адресах своих посетителей. Данная информация используется с целью выявления и решения технических проблем, для контроля корректности проводимых операций.
3.4. Любая иная персональная информация неоговоренная выше (история покупок, используемые браузеры и операционные системы и т.д.) не подлежит умышленному разглашению, за исключением случаев, предусмотренных в п.п. 5.2. и 5.3. настоящей Политики конфиденциальности.
Что нужно знать о сборе персональных данных, чтобы не нарушить закон?
Как правило, основанием для обработки персональных данных служит либо требование законодательства РФ, либо согласие на обработку персональных данных. Как показывают результаты последних проверок Роскомнадзора – основного регулятора в области защиты персональных данных в России, одной из распространенных ошибок компаний является неправильная организация сбора данных. Обычно проверяющие в этой области чаще всего фиксируют следующие типовые нарушения:
- компании не всегда собирают все необходимые согласия на обработку персональных данных у субъектов персональных данных;
- объем обрабатываемых персональных данных не соответствует заявленной цели обработки;
- форма согласия не соответствует требованиям Федерального закона от 27 июля 2006 г. № 152-ФЗ “О персональных данных” (далее – Закон № 152-ФЗ).
До начала сбора персональных данных в организации важно определиться с целью их обработки: именно от этого будет зависеть весь процесс обработки персональных данных. Далее для выбранной цели определяется объем собираемых данных и срок их обработки
С решением последнего вопроса поможет Приказ Росархива от 20 декабря 2019 г. № 236 “Об утверждении Перечня типовых управленческих архивных документов, образующихся в процессе деятельности государственных органов, органов местного самоуправления и организаций, с указанием сроков их хранения”. Если же в нем не удастся найти необходимые документы, организация может определить срок обработки самостоятельно.
Самое важное мероприятие в организации сбора данных – это основание их обработки. Если объем персональных данных соответствует требованиям законодательства, в большинстве случаев получать дополнительное согласие не придется
Исключение составляют передача данных сторонним организациям, сбор дополнительных контактных данных для проведения маркетинговых мероприятий и другие случаи, оговоренные в нормативных актах. Если же объем персональных данных не соответствует требованиям законодательства РФ, необходимо получить согласие на обработку данных.
Существует несколько форм согласий: конклюдентное, письменное и иные (в форме галочки, по телефону и т. д.). Самый строгий тип согласия – в письменной форме, в законодательстве даже прописаны все случаи, когда их нужно получать. Среди них, например, обработка биометрических данных (), специальных категорий персональных данных () и т. п. Если же задача организации не попадает в список особых случаев, можно использовать согласие в другой форме.
По моему опыту сопровождения проверок, у каждой формы согласия есть свои плюсы и минусы:
Конклюдентное согласие | Согласие в письменной форме | Иные формы согласия | |
+ | Легко получить (за исключением случаев, когда нужно согласие в письменной форме) | При разработке и получении формы согласия по требованиям законодательства РФ регулятору не требуются дополнительные доказательства | Как правило, допускается Роскомнадзором, что подтверждается проверками ведомства (за исключением случаев, когда необходимо согласие в письменной форме) |
– | Не предусматривает каких-либо подтверждений получения. Ввиду отсутствия подтверждений может рассматриваться Роскомнадзором как нарушение требований Закона № 152-ФЗ |
Форма согласия должна соответствовать требованиям ч. 4 ст. 9 Закона № 152-ФЗ Для каждой цели нужно получать отдельное согласие, т.к. в ч. 4 ст. 9 Закона № 152-ФЗ “цель” указана в единственном числе |
Требуется сохранять подтверждение получения (например, лог-файл на сайте или запись телефонного звонка в случае обработки персональных данных) и доказывать факт наличия согласия при возникновении инцидента. Данные подтверждения могут храниться в течение длительного периода Представители Роскомнадзора, как правило, рекомендуют учитывать требования ч. 4 ст. 9 Закона № 152-ФЗ |
Персональные данные пользователя, используемые для поддержания работы веб-сайта Выберу.ру и сбора статистики пользования сайтом (далее – cookies)
6.1. Настоящий сайт Выберу.ру (www.vbr.ru) использует следующие cookies:
6.2 Cookies, которые используются для функционирования сайта, имеющие возможность содержать информацию, размещенную самим пользователем, а также информацию о действиях пользователя на сайте. Вышеуказанная информация используется в соответствии с условиями настоящей Политики конфиденциальности сайта Выберу.ру. Доступ к данным, имеющимся в cookies пользователя, возможен только сайту Выберу.ру и исключен для любого использования при посещении пользователем других сайтов. Пользуясь сайтом Выберу.ру, пользователь тем самым выражает свое согласие на сохранение cookies сайтом Выберу.ру при помощи функционала в интернет-браузере на компьютере пользователя.
6.3. Cookies, которые используются для сервисов аналитики и рекламы, при помощи которых осуществляется сбор статистических данных о работе сайта, а также пользователю предоставляется возможно интересующая его реклама. В рамках настоящей политики не содержащие персональной информации cookies пользователя могут поступать на партнерские сервисы на основании соответствующего соглашения.
При условии отсутствия возражений субъекта персональных данных на использование и сохранение cookies партнерами Выберу.ру, вышеуказанный субъект персональных данных, пользуясь сайтом Выберу.ру подтверждает свое согласие на использование и сохранение cookies партнерами Выберу.ру.
Генератор политики конфиденциальности
Вы наверняка задаётесь вопросом – где взять политику конфиденциальности для сайта? В интернете можно найти образцы на любой вкус. Но самым простым и лучшим решением будет бесплатный генератор политики.
Давайте возьмём один из генераторов и посмотрим, как с ним работать. Сложного ничего нет. Нам нужно заполнить форму. А затем сгенерировать документ. Итак, проходим в сервис Free Creator. И первым делом пишем адрес своего сайта/блога без префикса. Затем указываем страну.
Далее нужно прописать адрес организации. А если у вас обычный блог, то достаточно адреса электронной почты.
Отметьте данные, которые вы собираете. Здесь хорошо подумайте, какие формы сбора персональных данных существуют на вашем сайте. Пробегитесь глазами. И в свободную строку допишите те данные, которые не перечислены в списке.
После этого отмечаем галочками цели сбора персональных данных. И так же дописываем, если упомянуты не все. Затем выбираем срок хранения данных. И указываем телефон, адрес электронной почты или ссылку на личный кабинет пользователя.
Теперь отмечаем сторонние сервисы, находящиеся на сайте и собирающие персональные данные. Как видим, среди них компании Яндекс и Google. Это счётчики статистики и сервисы контекстной рекламы.
В свободную строку дописываем недостающие сервисы аналитики и партнёрки. Затем соглашаемся с политикой сайта. Ставим флажок в капче. И нажимаем кнопку “Генерировать политику конфиденциальности”. И вот она перед вами. Готово! Теперь нам требуется разместить этот документ на своём сайте.
Определение терминов
1.1 В настоящей Политике конфиденциальности используются следующие термины:
1.1.1. «Администрация сайта» (далее – Администрация) – уполномоченные сотрудники на управление сайтом WhatsAppishe — Все о мессенджере Ватсап, которые организуют и (или) осуществляют обработку персональных данных, а также определяет цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
1.1.2. «Персональные данные» — любая информация, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).
1.1.3. «Обработка персональных данных» — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
1.1.4. «Конфиденциальность персональных данных» — обязательное для соблюдения Оператором или иным получившим доступ к персональным данным лицом требование не допускать их распространения без согласия субъекта персональных данных или наличия иного законного основания.
1.1.5. «Сайт WhatsAppishe — Все о мессенджере Ватсап» — это совокупность связанных между собой веб-страниц, размещенных в сети Интернет по уникальному адресу (URL): whatsappishe.ru, а также его субдоменах.
1.1.6. «Субдомены» — это страницы или совокупность страниц, расположенные на доменах третьего уровня, принадлежащие сайту WhatsAppishe — Все о мессенджере Ватсап, а также другие временные страницы, внизу который указана контактная информация Администрации
1.1.5. «Пользователь сайта WhatsAppishe — Все о мессенджере Ватсап» (далее Пользователь) – лицо, имеющее доступ к сайту WhatsAppishe — Все о мессенджере Ватсап, посредством сети Интернет и использующее информацию, материалы и продукты сайта WhatsAppishe — Все о мессенджере Ватсап.
1.1.7. «Cookies» — небольшой фрагмент данных, отправленный веб-сервером и хранимый на компьютере пользователя, который веб-клиент или веб-браузер каждый раз пересылает веб-серверу в HTTP-запросе при попытке открыть страницу соответствующего сайта.
1.1.8. «IP-адрес» — уникальный сетевой адрес узла в компьютерной сети, через который Пользователь получает доступ на whatsappishe.ru.
Общие положения
1.1. В целях выполнения норм действующего законодательства Российской Федерации в полном объеме ООО “ВЫБЕРУ.РУ” (далее – Компания), являющаяся владельцем сайта Выберу.ру (www.vbr.ru) считает одними из своих задач соблюдение принципов законности, справедливости и конфиденциальности при обработке персональных данных, а также обеспечение безопасности процессов их обработки.
1.2. Настоящая политика Компании в отношении организации обработки и обеспечения безопасности (далее – Политика) характеризуется следующими признаками:
1.2.1. Разработана в целях реализации требований законодательства Российской Федерации в области обработки персональных данных субъектов персональных данных.
1.2.2. Раскрывает способы и принципы обработки Компанией персональных данных, права и обязанности Компании при обработке персональных данных, права субъектов персональных данных, а также включает перечень мер, применяемых Компаний в целях обеспечения безопасности персональных данных при их обработке.
1.2.3. Является общедоступным документом, декларирующим концептуальные основы деятельности Компании при обработке и защите персональных данных.
1.3. Компания до начала обработки персональных данных осуществила уведомление уполномоченного органа по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных. Компания добросовестно и в соответствующий срок осуществляет актуализацию сведений, указанных в уведомлении.
Изменение и удаление персональных данных. Обязательное хранение данных
5.1 Пользователь может в любой момент изменить (обновить, дополнить) предоставленные им персональные данные или их часть, воспользовавшись функцией редактирования персональных данных в персональном разделе сайта, в случае, если она предусмотрена, либо направив соответствующий запрос по электронной почте, указанной в разделе 10 настоящей Политики.
5.2 Пользователь также может удалить предоставленные им в рамках определенной учетной записи персональные данные, воспользовавшись соответствующей функцией в персональном разделе сайта, в случае если она предусмотрена, либо направив соответствующий запрос по электронной почте, указанной в разделе 10 настоящей Политики. При этом удаление персональных может повлечет невозможность предоставление компанией персонализированных предложений (скидок, особых условий и т.д) и персонализированных функций сайта.
5.3 Права, предусмотренные пп. 5.1. и 5.2. настоящей Политики могут быть ограничены в соответствии с требованиями действующего законодательства. В частности, такие ограничения могут предусматривать обязанность компании сохранить измененную или удаленную Пользователем информацию на срок, установленный законодательством, и передать такую информацию в соответствии с законодательно установленной процедурой государственному органу.
СПОСОБЫ И СРОКИ ОБРАБОТКИ ПЕРСОНАЛЬНОЙ ИНФОРМАЦИИ
5.1. Обработка персональных данных Пользователя осуществляется без ограничения срока, любым законным способом, в том числе в информационных системах персональных данных с использованием средств автоматизации или без использования таких средств.
5.2. Пользователь соглашается с тем, что Администрация сайта вправе передавать персональные данные третьим лицам, в частности, курьерским службам, организациями почтовой связи, операторам электросвязи, исключительно в целях выполнения заявок Пользователя, оформленных на сайте, в рамках Договора публичной оферты.
5.3. Персональные данные Пользователя могут быть переданы уполномоченным органам государственной власти только по основаниям и в порядке, установленным действующим законодательством.
Права и обязанности сторон
6.1. Пользователь вправе:
6.1.1. Принимать свободное решение о предоставлении своих персональных данных, необходимых для использования сайта WhatsAppishe — Все о мессенджере Ватсап, и давать согласие на их обработку.
6.1.2. Обновить, дополнить предоставленную информацию о персональных данных в случае изменения данной информации.
6.2. Администрация обязана:
6.2.1. Использовать полученную информацию исключительно для целей, указанных в п. 4 настоящей Политики конфиденциальности.
6.2.2. Обеспечить хранение конфиденциальной информации в тайне, не разглашать без предварительного письменного разрешения Пользователя, а также не осуществлять продажу, обмен, опубликование, либо разглашение иными возможными способами переданных персональных данных Пользователя, за исключением п.п. 5.2. настоящей Политики Конфиденциальности.
6.2.3
Принимать меры предосторожности для защиты конфиденциальности персональных данных Пользователя согласно порядку, обычно используемого для защиты такого рода информации в существующем деловом обороте
6.2.4. Осуществить блокирование персональных данных, относящихся к соответствующему Пользователю, с момента обращения или запроса Пользователя, или его законного представителя либо уполномоченного органа по защите прав субъектов персональных данных на период проверки, в случае выявления недостоверных персональных данных или неправомерных действий.
ОБЩИЕ ПОЛОЖЕНИЯ
2.1. Использование Пользователем сайта означает согласие с настоящей Политикой конфиденциальности и условиями обработки персональных данных Пользователя.
2.2. В случае несогласия с условиями Политики конфиденциальности Пользователь должен прекратить использование сайта.
2.3.Настоящая Политика конфиденциальности применяется только к данному сайту. Администрация сайта не контролирует и не несет ответственность за сайты третьих лиц, на которые Пользователь может перейти по ссылкам, доступным на данном сайте.
2.4. Администрация сайта не проверяет достоверность персональных данных, предоставляемых Пользователем сайта.
Какие проблемы могут возникнуть при несоблюдении требований
В российском законодательстве предусмотрена ответственность за нарушение политики обработки и защиты персональных данных, а также за недоведение до пользователя условий использования его персональных данных. Размер штрафа — до 70-100 тыс. рублей за каждое нарушение. За несоблюдение требований GDPR придется выплатить сумму побольше: можно лишиться до 4% оборота компании при регулярных нарушениях.
Другой вид санкций — блокировка приложения. Как правило, это происходит после проверки ПК со стороны маркетплейсов. AppStore и Google Play диктуют собственные требования к политике конфиденциальности в соответствии с международным законодательством, а разработчики приложений из России руководствуются местными законами.
Как итог приложение блокируется за несоблюдение требований маркетплейса. Появляется конкуренция норм права: по факту приложение используется в России и соответствует всем ее законам, но площадки предъявляют повышенные требования, за несоблюдение которых и наказывают.
В России инициатором блокировки сайта или приложения за неправомерное использование данных часто выступает Роскомнадзор. Он является уполномоченным органом по защите прав субъектов персональных данных, ведет реестры операторов и нарушителей прав субъектов персональных данных.
Помочь выявить нарушителя могут не только специализированные органы. Любой пользователь, заметивший нарушение политики конфиденциальности, вправе написать жалобу на правообладателя и потребовать привлечь его к ответственности. Особо внимательные и жаждущие справедливости пользователи могут писать такие заявления ежедневно — компании это будет стоить десятки тысяч рублей штрафа.
Что еще может пойти не так
Многие крупные международные компании сталкивались со сложностями именно из-за проблем с политикой конфиденциальности.
Facebook: несоблюдение ПК
В 2020 году Южнокорейская комиссия по защите личной информации оштрафовала Facebook на $6,1 млн за нарушение закона о защите персональных данных. Как выяснилось, на протяжении шести лет, с мая 2012 года по июнь 2018 года, соцсеть передавала другим компаниям личную информацию более 3,3 млн человек без их согласия. Личные данные пользователя соцсети и его друзей становились доступны третьим лицам, когда для авторизации в стороннем сервисе использовалась учетная запись Facebook.
Instagram: неверная формулировка
Пользователи решили, что соцсеть будет продавать их фотографии рекламодателям, поэтому стали массово удалять аккаунты. Представителям Instagram пришлось объяснять: они лишь хотели персонализировать рекламные предложения. Они признали, что неправильная формулировка могла запутать пользователей и пообещали исправить текст.
WhatsApp: недовольство пользователей изменением политики конфиденциальности
Согласно обновленной политики конфиденциальности пользователи мессенджера обязаны предоставлять компании Facebook доступ к номерам телефонов, именам и фото профилей, сведениям о транзакциях, диагностическим данным из приложений и IP-адресами.
Facebook также оставляла за собой право делиться данными с другими своими компаниями. На фоне этих событий выросло количество загрузок других мессенджеров: Telegram — на 91% за неделю, Signal на — 4200%. Недовольство и массовый уход пользователей заставили WhatsApp отложить обновление ПК.
Google: недостаточное информирование пользователей
Национальная комиссия по информатике и свободам Франции оштрафовала Google на €50 млн за недостаточное информирование пользователей при получении согласия на обработку и использование их данных. Комиссия утверждает, что пользователям не сообщается следующее: какие сайты имеют доступ к данным, в каком объеме они собираются и как долго хранятся. К тому же информация разбросана по нескольким документам: из-за этого пользователям сложнее понять, что именно происходит с их данными.
Актуализация и утверждение Политики
9.1. Политика утверждается и вводится в действие руководителем Компании.
9.2. Компания имеет право вносить изменения в настоящую Политику. При внесении изменений в заголовке Политики указывается дата утверждения действующей редакции Политики.
9.3. Политика актуализируется и заново утверждается на регулярной основе – один раз в год с момента утверждения предыдущей редакции Политики.
9.4. Политика может актуализироваться и заново утверждаться ранее срока, указанного в п. 9.3 Политики, по мере внесения изменений:
9.4.1.В нормативные правовые акты в сфере персональных данных.
9.4.2.В локальные нормативные и индивидуальные акты Компании, регламентирующие организацию обработки и обеспечение безопасности персональных данных.
Кому нужна политика конфиденциальности?
Выходит, даже если у вас на сайте есть обратный звонок, вы автоматические становитесь оператором персональных данных. И данные, накопленные на вашем сайте, должны обрабатываться по 152-ФЗ.
1. Документ о Политике конфиденциальности
В тексте должны быть следующие пункты:
каким образом и для каких целей собираются персональные данные;
как могут использоваться эти данные;
что происходит с куки-файлами;
как данные предоставляются другим организациям;
Важное замечание. Не забывайте заключать соглашение на согласие на обработку персональных данных на сайте со сторонними компаниями, с которыми вы сотрудничаете (служба доставки, банк, хостер и т
д.), об обеспечении безопасности персональных данных. В соглашении должно быть указано, какие персональные данные компания обрабатывает, в каких целях и какие действия с ними выполняет, как должна их защищать.
сколько хранятся данные и как обеспечивается их защита;
что не будет происходить с персональными данными;
контактные данные организации и изменения в Политику конфиденциальности.
В конце текста про политику конфиденциальности добавьте рабочий адрес электронной почты, куда пользователь может обратиться с просьбой удаления, изменения или блокировки данных. Сотрудникам необходимо ежедневно проверять письма, чтобы не пропустить ни один запрос.
Требования к Политике конфиденциальности, чтобы она также помогла вам соблюдать GDPR (если среди ваших клиентов есть клиенты из Европы), можно почитать тут.
2. Ссылка на документ о Политике конфиденциальности с главной страницы
Это нужно для того, чтобы любой пользователь и проверяющий орган увидел, что документ находится в свободном доступе, и его легко найти. Как правило, достаточно разместить общую ссылку в подвале сайта. Например так:
Или так:
3. Надпись или «галочка», которая подтверждает согласие пользователя на обработку персональных данных
Обязательна под каждой формой на сайте.
Согласие пользователя на обработку персональных данных на сайте «МВидео».
4. Дисклеймер
Это всплывающее сообщение-предупреждение, что на сайте собираются статистические данные. Те самые куки-файлы, информация о геопозиции и поведенческие, о которых мы говорили выше.
Наличие дисклеймера четко не регламентировано, но многие юристы советуют его установить. Чтобы не испугать посетителей сайта, лучше делать его незаметным, настраивать показ окна только новым пользователям и скрывать его от повторных заходов.
А вот дисклеймер сайта Jacobs:
И даже у Сбербанка есть дисклеймер:
И еще важные моменты по 152-ФЗ:
-
Уточните, где физически находится хостинг сайта
Эту информацию вам предоставят специалисты технической поддержки сайта. По новым правилам, хостинг должен располагаться на территории Российской Федерации, чтобы данные хранились в нашей стране. Если базы данных находятся за границей, переезжайте на другой хостинг.
-
Зарегистрируйте себя в Роскомнадзоре в качестве оператора, работающего с персональными данными
Это можно сделать на сайте Роскомнадзора, заполнив форму уведомления. Но предварительно нужно подготовить пакет документов. Далее форму нужно распечатать и отнести в территориальный орган Роскомнадзора. Когда мы ведем подготовку сайтов наших клиентов по ФЗ-152, в тарифе 100% защита даем подробную инструкцию о том, как подать заявку в РКН и предоставляем чек-лист обязательных документов.
-
Не забывайте о биометрических и персональных данных специальных категорий
Если, конечно, ваша деятельность требует такой информации от клиента. Согласите пользователя сайта должно оставляться в письменной форме и только.
Подведем итог: ваша политика конфиденциальности укрепляет доверие пользователей
Ваша политика конфиденциальности — это важная защита вашей компании и ваших пользователей. Самое главное, что она создает и укрепляет уровень доверия к вашей компании. У вашего сайта будет преимущество перед конкурентами со сложной и запутанной политикой конфиденциальности, если вы напишете свое соглашение простым и понятным языком, и в нем будут указаны конкретные действия по защите данных.
Наш шаблон следует рассматривать как документ, от которого можно оттолкнуться. У каждого веб-сайта разные методы работы и цели, поэтому лучшая политика конфиденциальности должна описывать конкретно ваш случай. Чтобы ваша политика стала наиболее эффективной, проконсультируйтесь с юристами и проанализируйте соглашения о конфиденциальности других компаний, которые работают в схожей с вашей сферах. Главное, продолжайте читать www.vpnmentor.com, чтобы узнать больше про язык соглашений и проблемы, связанные с онлайн- конфиденциальностью.