А точно ли нашему сайту нужна политика конфиденциальности?
Как правило, все сайты, собирающие личную информацию клиентов, должны разрабатывать и публиковать политику конфиденциальности. Но есть случаи, когда компании освобождены от этой обязанности:
- когда пользователи сами выкладывают свои данные в публичный доступ;
- полученные данные обрабатываются на бумажных носителях без применения средств автоматизации;
- пользователи отправляют только фамилию, имя и отчество;
- персональные данные собираются компанией без передачи третьим лицам и используются для исполнения конкретного договора, после чего удаляются.
Когда политика безопасности точно необходима?
Во всех остальных случаях предприниматель обязан прописать на сайте весь порядок работы с личными данными пользователей и ознакомить с ним клиентов. Фамилия и имя, адрес, номера телефонов и электронная почта, дата рождения и другие персональные данные должны определенным образом собираться, храниться и защищаться от утечек. Кстати, если сайт собирает и использует файлы cookie, это также считается обработкой персональных данных.
При этом важно своевременно уведомлять Роскомнадзор о работе с персональными данными. За неуведомление индивидуальным предпринимателям грозит штраф 500 рублей, а юридическим лицам — 5000 рублей. Предпринимателям также не стоит забывать о том, что сервер с персональными данными должен находиться на территории РФ.
Политика конфиденциальности или пользовательское соглашение?
Политика безопасности может быть представлена в различных документах: пользовательское соглашение, положение об обработке персональных данных, политика приватности — название не имеет значения, важно содержание.
Так, документ обязательно содержит несколько основных понятий, значение которых нужно знать.
Персональные данные — сведения, позволяющие идентифицировать каждого конкретного клиента.
Субъект персональных данных — физическое лицо, которому принадлежат персональные данные.
Оператор персональных данных — компания, чей сайт собирает, обрабатывает и хранит личные данные клиентов.
Что должна содержать политика конфиденциальности?
У каждой компании может быть свой подход к оформлению документа, главное — отразить там все необходимые сведения, указанные в законе о защите персональных данных. Собрали основные разделы и данные, которые должны быть в вашей политике конфиденциальности:
Основные положения. Здесь обычно указываются наименование компании-оператора, ее ИНН или ОГРН, местонахождение, адрес сайта, иные контакты.
Правовые основания для работы компании с персональными данными. В этом разделе указываются реквизиты нормативных актов, регламентирующих сбор, обработку, передачу и хранение компанией личных данных клиентов, учредительные документы, реквизиты договоров между оператором и субъектом и так далее.
Цели сбора и обработки персональных данных. Для компании важно понимать, для чего она собирает те или иные данные клиентов, и грамотно прописать это. Здесь предпринимателю следует быть особо внимательным, ведь эта информация не должна вызывать подозрений ни у Роскомнадзора с точки зрения соответствия законодательству о защите персональных данных, ни у самих пользователей сайта. Предприниматель должен указать категории и перечень персональных данных, категории субъектов, способы и сроки обработки, порядок уничтожения в отношении каждой прописанной им цели. Например, если данные собираются в целях оформления заказа, то будут ли они передаваться сторонним организациям (например, сервису доставки), как долго хранятся и каков порядок отзыва разрешения на использование и хранение таких данных, приведет ли это к невозможности оказания услуги или продажи товара и так далее.
Перечень и категории персональных данных. Этот раздел должен соответствовать прописанным в политике целям обработки персональных данных: фамилия, имя, отчество, номер телефона, электронный адрес, использование сайтом файлов cookie и так далее. Также должно быть указано, к какому типу относится каждая категория данных: общим, специальным или биометрическим.В случае если компания осуществляет сбор данных, не соответствующих целям, на нее может быть наложен крупный штраф. Кроме того, сбор лишних сведений вызовет вопросы у самих клиентов.
Порядок использования персональных данных. В этом разделе компании предстоит максимально полно и понятно объяснить пользователю сайта, как он собирает и обрабатывает его личные данные, сколько времени и каким образом хранит, как уничтожает и так далее.
Права и обязанности. В этом разделе нужно пояснить о правах и обязанностях компании-оператора и клиента, об ответственности за нарушение порядка работы с персональными данными в случаях их утечки, ответственности сторон в случае предоставления недостоверных данных и так далее.
Защита персональных данных. Личные данные пользователей в надежных руках — не забудьте рассказать об этом пользователям в политике конфиденциальности, а также указать, как именно они защищаются от утечек и несанкционированного доступа. Ранее в нашей статье мы подробно рассказывали, как следует защищать персональные данные.
Дополнительные сведения. Это может быть пояснение используемой в документе терминологии, ответы на часто задаваемые вопросы, порядок разрешения споров, использование трансграничной передачи данных и др.
Важно прописать и то, с помощью какого действия пользователь дает согласие на сбор и обработку персональных данных — например, если проставляет галочки или нажимает на кнопки.
Простая политика конфиденциальности — какая она?
Часто политика конфиденциальности компании — объемный и сложный документ, «перегруженный» специальными терминами. Какие проблемы с клиентами это сулит предпринимателю?
- Документ труден для понимания, если в нем много мелкого шрифта и терминологии, пользователь ничего не поймет при прочтении. Таким документом легко ввести в заблуждение, что впоследствии может обернуться недопониманиями и конфликтами с пользователями.
- Документ не отражает деятельность компании по работе с персональными данными — в этом случае предприниматель сам не сможет соблюдать прописанные им положения. Например, для исполнения заказа компания передала данные клиента третьему лицу, но не предусмотрела это в своей политике конфиденциальности. Подобные ситуации могут обернуться для предпринимателя судом.
Дадим несколько советов, как сделать документ проще.
Максимально уйти от использования специальных терминов. Если написать политику конфиденциальности простым языком, отказаться от использования сложноподчиненных предложений и пассивных залогов, документ получится более читабельным и понятным. Обойтись совсем без терминов не получится, но можно пояснить их значение в специальном разделе. Еще стоит дополнить текст примерами — это также раскроет смысл документа и даже сделает его более интересным.
Разбить текст на подразделы и использовать гиперссылки. Вряд ли у пользователя хватит терпения пролистать «манускрипт» политики конфиденциальности и дочитать его до конца. Другое дело — разбить на подразделы. При нажатии на гиперссылку потенциальный клиент сможет ознакомиться с нужным ему фрагментом, и визуально документ будет выглядеть намного короче.
Размещать на видном месте. Лучше всего предусмотреть ссылку на документ в нескольких местах — например, под формой регистрации или обратной связи и внизу страницы. В этом случае посетители сайта точно не пройдут мимо.
Использовать привлекательный дизайн. Можно использовать различные конструкторы политик конфиденциальности, а при наличии бюджета обратиться к услугам разработчиков и веб-дизайнеров.
Пояснить, зачем нужна политика конфиденциальности. Один из способов расположить к себе — объяснить важность того, что прописано в документе, и показать, как вы заботитесь о личных данных пользователя. Так вероятность того, что пользователь прочтет текст, существенно возрастет.
Компания не разместила политику конфиденциальности — что будет?
Собирать и обрабатывать персональные данные без политики конфиденциальности незаконно, в этом случае компании грозит штраф до 60 000 рублей, ИП — до 20 000 рублей. Юридические лица, разместившие документ, но не соблюдающие его условия, также рискуют получить крупный штраф — до 100 000 рублей, индивидуальные предприниматели — до 20 000 рублей. Кроме того, сайты, работающие с данными клиентов незаконно, могут быть заблокированы Роскомнадзором.