Политика обработки персональных данных

02.05.2017

Адаптация сайта к изменениям в законе РФ о персональных данных, вступивших в силу с 1 июля 2017 года. Федеральный закон от 27.07.2006 N 152-ФЗ (ред. от 01.07.2017) "О персональных данных"

Персональные данные – это любая информация, относящаяся к определенному или определяемому на основании такой информации физическому лицу (субъекту персональных данных).

    Это могут быть:
  • Имя, фамилия, отчество (и по отдельности)
  • Дата и место рождения
  • E-mail
  • Телефон
  • Адрес
  • Фотография
  • Семейное, социальное и имущественное положение
  • Образование и профессия
  • Ссылка на персональный сайт и профиль в соцсетях
  • Сведения о геопозиции и IP-адрес
  • Данные о поведении пользователя на сайте
  • Файлы cookie.

То есть, практически любая информация, которую пользователь указывает на сайте при регистрации или заполнении форм обратной связи, попадает под действие ФЗ № 152. Помимо информации, которую пользователь сам указывает на сайте, Роскомнадзор стал относить к персональным данным также данные о поведении пользователя на сайте, cookie, сведения о его геопозиции и IP-адрес.

Другими словами, если на вашем сайте накапливаются, хранятся или каким-то образом используются в работе персональные данные, то, с точки зрения закона, вы признаетесь оператором персональных данных и обязаны обрабатывать их в соответствии с ФЗ № 152 «О персональных данных».

Сайт должен отвечать следующим требованиям:

1. Сайт должен быть размещен на территории РФ

В соответствии с ФЗ № 152, все интернет-ресурсы, на которых хранятся и обрабатываются персональные данные, должны быть расположены на территории Российской Федерации. С учётом того, что контролирующие органы считают персональными данными также и данные о поведении пользователя на сайте, то это касается практически любого интернет-ресурса. За нарушение этого требования Роскомнадзор их блокирует. Под расположением хостинга подразумевается физическое местонахождение ЦОДа, на котором размещен ваш сайт. То есть, если хостинг-провайдер зарегистрирован в России, а его ЦОДы расположены, к примеру, в Эстонии, вы нарушаете закон и попадаете под блокировку сайта.

2. На сайте размещена «Политика конфиденциальности»

Шаблон ниже можно использовать в качестве основы для создания собственной Политики обработки персональных данных на своем сайте.

«Настоящий документ (далее «Политика») описывает условия обработки персональных данных, передаваемых вами в качестве субъекта персональных данных (далее «Субъект ПД») в адрес [название компании]в качестве оператора персональных данных (далее «Оператор ПД»).Положения Политики действуют только при посещении Субъектом ПД интернет-сайта Оператора ПД [адрес сайта].

1. Обработка и защита персональных данных

1.1. Оператор ПД может осуществлять сбор, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, блокирование, удаление персональных данных Субъекта ПД в соответствии с действующим законодательством РФ: ст. 24 Конституции Российской Федерации, ст. 6 Федерального закона №152-ФЗ «О персональных данных» и Гражданским кодексом Российской Федерации в рамках исполнения договора купли-продажи.

1.2. Обработка и хранение персональных данных осуществляются в электронном виде с использованием средств автоматизации с обеспечением конфиденциальности и соблюдением положений о защите персональных данных, предусмотренных законодательством РФ.

1.3. Условия передачи персональных данных:

  • Субъект ПД должен подтвердить свое согласие на обработку персональных данных, передаваемых через любые веб-формы на сайте Оператора ПД, либо путем заполнения специального поля перед отправкой персональных данных, либо самим фактом отправки данных, если специальное поле отсутствует.
  • Перед отправкой своих персональных данных Субъект ПД должен ознакомиться с содержанием Политики. Оператор ПД размещает в веб-формах на своем сайте ссылку на текст Политики, для того чтобы Субъект ПД имел возможность ознакомиться с содержанием Политики перед отправкой своих персональных данных.
  • Субъект ПД дает согласие на обработку Оператором ПД своих персональных данных, не являющихся специальными или биометрическими ,в том числе номера контактных телефонов, адрес проживания, адреса электронной почты, место работы и занимаемая должность, сведения о местоположении, тип и версия операционной системы, тип и версия браузера, тип устройства и разрешение его экрана, источник перехода на сайт, включая адрес сайта-источника и текст размещенного на нем рекламного объявления, язык операционной системы и браузера, список посещенных страниц и выполненных на них действий, IP-адрес.
  • Оператор ПД не обрабатывает персональные данные специальной категории, в том числе данные о политических, религиозных и иных убеждениях, о членстве в общественных объединениях и профсоюзной деятельности, о частной и интимной жизни Субъекта ПД.

1.4. Согласие на обработку персональных данных действует бессрочно с момента предоставления данных Субъектом ПД Оператору ПД и может быть отозвано путем подачи заявления Оператору ПД с указанием сведений, определенных ст. 14 Федерального закона «О персональных данных». Отзыв согласия на обработку персональных данных может быть осуществлен путем направления Субъектом ПД соответствующего заявления Оператору ПД в свободной письменной форме по адресу [почтовый или электронный адрес].

2. Передача персональных данных

2.1 Оператор ПД предоставляет доступ к персональным данным только Субъекту ПД либо его законному представителю в соответствии с требованием законодательства РФ.

2.2 Оператор ПД не передает персональные данные, полученные от Субъекта ПД, третьим лицам, кроме случаев, предусмотренных действующим законодательством РФ.

3. Права Субъекта ПД

3.1. Субъект ПД или его законный представитель вправе требовать уточнения персональных данных в случае, если они изменились или если при их предоставлении были допущены неточности.

3.2. Субъект ПД или его законный представитель вправе требовать блокировки или уничтожения предоставленных персональных данных в случае отказа от дальнейшего обслуживания Оператором ПД и посещения его интернет-сайта.»

3. Размещено «Согласие на обработку персональных данных»

При отправке данных нужно ссылаться не на саму «Политику конфиденциальности», а на «Согласие на обработку персональных данных». Причем сделать это лучше в развернутой формулировке, например, так: «Нажимая на кнопку НАЗВАНИЕ_КНОПКИ, я даю согласие на обработку персональных данных», где фраза «согласие на обработку персональных данных» является ссылкой на соответствующую страницу. Согласие должно быть на всех страницах и формах, где Вы собираете Персональные данные (регистрация пользователя, заявка на обратный звонок, форма быстрого заказа «Купить в 1 клик», подписка на новости по номеру тел или e-mail). Если используете сервис «Онлайн консультант», проверьте, чтобы соответствующая настройка была размещена вашими партнерами в их форме. Кроме того, законодатели рекомендуют пересмотреть по всему сайту целесообразность запроса тех или иных данных, к примеру, при подписке на e-mail рассылку не нужно ничего кроме имени и e-mail адреса. То есть, убираем все лишнее.

Шаблон для оформления Согласия на обработку персональных данных:

«Настоящим я, далее – «Субъект Персональных Данных», во исполнение требований Федерального закона от 27.07.2006 г. № 152-ФЗ «О персональных данных» (с изменениями и дополнениями) свободно, своей волей и в своем интересе даю свое согласие Индивидуальном предпринимателю Иванову Ивану Ивановичу (далее – «Интернет-магазин», адрес: (тут ваш адрес) ) на обработку своих персональных данных, указанных при регистрации путем заполнения веб-формы на сайте Интернет-магазина вашдомен.ру и его поддоменов *.вашдомен.ру (далее – Сайт), направляемой (заполненной) с использованием Сайта.

Под персональными данными я понимаю любую информацию, относящуюся ко мне как к Субъекту Персональных Данных, в том числе мои фамилию, имя, отчество, адрес, образование, профессию, контактные данные (телефон, факс, электронная почта, почтовый адрес), фотографии, иную другую информацию. Под обработкой персональных данных я понимаю сбор, систематизацию, накопление, уточнение, обновление, изменение, использование, распространение, передачу, в том числе трансграничную, обезличивание, блокирование, уничтожение, бессрочное хранение), и любые другие действия (операции) с персональными данными.

Обработка персональных данных Субъекта Персональных Данных осуществляется исключительно в целях регистрации Субъекта Персональных Данных в базе данных Интернет-магазина с последующим направлением Субъекту Персональных Данных почтовых сообщений и смс-уведомлений, в том числе рекламного содержания, от Интернет-магазина, его аффилированных лиц и/или субподрядчиков, информационных и новостных рассылок, приглашений на мероприятия Интернет-магазина и другой информации рекламно-новостного содержания, а также с целью подтверждения личности Субъекта Персональных Данных при посещении мероприятий Интернет-магазина.

Датой выдачи согласия на обработку персональных данных Субъекта Персональных Данных является дата отправки регистрационной веб-формы с Сайта Интернет-магазина.

Обработка персональных данных Субъекта Персональных Данных может осуществляться с помощью средств автоматизации и/или без использования средств автоматизации в соответствии с действующим законодательством РФ и внутренними положениями Интернет-магазина.

Интернет-магазин принимает необходимые правовые, организационные и технические меры или обеспечивает их принятие для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных, а также принимает на себя обязательство сохранения конфиденциальности персональных данных Субъекта Персональных Данных. Интернет-магазин вправе привлекать для обработки персональных данных Субъекта Персональных Данных субподрядчиков, а также вправе передавать персональные данные для обработки своим аффилированным лицам, обеспечивая при этом принятие такими субподрядчиками и аффилированными лицами соответствующих обязательств в части конфиденциальности персональных данных.

    Я ознакомлен(а), что:
  1. настоящее согласие на обработку моих персональных данных, указанных при регистрации на Сайте Интернет-магазина, направляемых (заполненных) с использованием Cайта, действует в течение 20 (двадцати) лет с момента регистрации на Cайте Интернет-магазина;
  2. согласие может быть отозвано мною на основании письменного заявления в произвольной форме;
  3. предоставление персональных данных третьих лиц без их согласия влечет ответственность в соответствии с действующим законодательством Российской Федерации.
  4. Размещено всплывающее сообщение об обработке cookies.

Можно воспользоваться подобным текстом: «На этом веб-сайте используются файлы cookie, которые обеспечивают работу всех функций для наиболее эффективной навигации по странице. Если вы не хотите принимать постоянные файлы cookie, пожалуйста, выберите соответствующие настройки на своем компьютере. Продолжая навигацию по сайту, вы косвенно предоставляете свое согласие на использование файлов cookie на этом веб-сайте. Более подробная информация предоставляется в нашей Политике конфиденциальности (ссылка) и Политике использования файлов сookie.»

Когда не нужно уведомлять Роскомнадзор о получении персональных данных

Владельцам интернет – магазинов следует помнить, что обработка персональных данных не во всех случаях требует отправки уведомления в Роскомнадзор. Исполнение договора купли-продажи в магазинах (включая интернет-магазины) выполняется в соответствии с ГК, то отдельно публиковать условия такого договора (т. е. по сути дублировать положения Кодекса) на сайте интернет-магазина нет необходимости.

Если же условия работы вашего магазина расширяют положения ГК, то свой договор-оферту нужно опубликовать в виде отдельной странице на сайте магазина. В договоре может быть написано, что он вступает в силу при выполнении посетителем сайта некоторого определенного действия. Такое действие называется акцептом договора-оферты.

    Примеры акцепта договора-оферты на интернет-сайте:
  • установка флажка в форме регистрации;
  • установка флажка на странице оформление заказа в интернет-магазине;
  • установка флажка в форме отправки сообщения на странице обратной связи;
  • отправка данных через веб-форму на сайте без установки флажка, если в форме есть явное указание на то, что отправка данных через нее является акцептом конкретного договора.

Полный список случаев, когда не требуется уведомлять Роскомнадзор о получении и обработке персональных данных, содержится в ст. 22 закона «О персональных данных».