Руководство по политике конфиденциальности

Требования к содержанию политики конфиденциальности поменялись после внесения изменений от 1 сентября 2022 года в закон «О персональных данных». Они разбросаны по закону и различным письмам контролирующих органов. Мы собрали всё воедино и упаковали в подробный гайд.

Оглавление:

Зачем нужна политика?

Политика конфиденциальности — документ, в котором вы декларируете, какие данные вы собираете, для каких целей вы их собираете и что с ними делаете.

Политика конфиденциальности нужна, если вы обрабатываете персональные данные своих пользователей. Поскольку обработка — любые действия с персональными данными, а персональными данные — любые данные о человеке, то политика конфиденциальность нужна любому сайту, у которого есть форма обратной связи, возможность приема заявок, регистрация пользователей и т.д.

Политика конфиденциальности (ссылка на неё) должна быть опубликована на вашем сайте, на каждой странице, где собираются персональные данные. Иначе вам грозит:

Также, если вы обрабатываете персональные данные, то вы должны уведомить об этом Роскомнадзор (далее — РКН). Подать уведомление можно через сайт РКН. После вы будете включены в реестр операторов персональных данных (ссылка).

Шаг 1. Укажите контакты.

Пользователь должен знать, кто будет обрабатывать его персональные данные. Поэтому вы обязаны указать в политике:

Можете разместить эти данные в любом разделе политики: в начале или в конце.

Шаг 2. Определите порядок сбора согласий.

Вы можете обрабатывать персональные данные только с согласия субъекта персональных данных. Поэтому вы должны собирать согласия перед тем, как начнете обработку данных. У вас должна быть возможность подтвердить, что определенное лицо дало вам своё согласие.

Например, на сайтах чаще всего размещают чек-бокс, без принятия которого нельзя оставить заявку, зарегистрировать на сайте. Также информация о кликах прописывается в лог-файлах сайт.

Основные требования к согласию:

В политике надо прописать, как вы собираете эти согласия. Например, напишите, что «согласие дается путем проставления галочки при регистрации пользователя на сайте».

Важно. Также нельзя получать согласия от несовершеннолетних. Поэтому в политике пишем, что пользователь гарантирует, что является совершеннолетним.

Шаг 3. Указываем для чего собираем данные и что с ними делаем.

Цель обработки — это то, для чего вы собираете персональные данные. Цель обязательно должна быть конкретной. Например, оказание услуг по договору, регистрация пользователя на сайте и т.д.

Обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных (п.3.2. Рекомендаций Роскомнадзора).

Новые правила внесли существенные изменения связанные с целями обработки. Теперь в отношении каждой цели необходимо прописывать (пункт 2, часть 1, статья 18.1. ФЗ-152): категории субъектов персональных данных, перечень и категории обрабатываемых данных, способы и сроки обработки данных и порядок уничтожения персональных данных.

Поскольку цели должны быть конкретными и ясными, то, как правило, их может быть несколько и в отношении каждой цели нужно указывать эти данные.

1. Категории субъектов, чьи данные обрабатываются в заданной цели. Нигде не раскрывается, что означает категория субъектов. На практике сложилось, что обычно указывают какие у вас отношения сложились с данным субъектом: пользователи сайта, потенциальные клиенты, заемщики и т.д.

2. Перечень обрабатываемых данных. Просто называете список всех персональных данных, которые вы обрабатываете (ФИО, номер, адрес и т.д.).

3. Категории данных. Указываете, к какой категории относятся персональные данные (см. ниже в таблице).

4. Действия с данными — укажите, как вы будете обрабатывать данные, например можно указать следующие действия: сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных (п. 3 ст. 3 ФЗ «О персональных данных»).

Также необходимо указать способы обработки персональных данных. Способы обработки бывают:

5. Сроки обработки и хранение данных — укажите, в течение какого срока вы храните персональные данные.

Также укажите где и как вы их храните.

6. Уничтожение ПД — стирание их со всех носителей навсегда.

Если персональные данные обрабатывались автоматизированным способом, уничтожить их можно путем стирания из базы данных, форматирования носителя или путем механического повреждения жестких дисков.

Если персональные данные обрабатывались неавтоматизированным способом, их можно уничтожить путем сожжения, дробления (измельчения), химического разложения.

Порядок документального оформления факта уничтожения персональных данных определяется оператором самостоятельно. Для уничтожения ПД обычно созывается специальная комиссия и по итогам ее деятельности составляется акт об уничтожении ПД.

Уничтожение ПД производится в случае:

Как это прописать в политике?

В редакции нового закона необходимо указывать всю информацию в отношении каждой цели обработки. Хорошо, когда цель обработки одна, однако, если их много, то текст начнет сильно раздуваться.

Мы видим несколько вариантов как это можно оформить.

Вариант 1 — сплошной текст

Суть в том, чтобы мы шли текстом по каждой отдельной цели, такой формат нельзя назвать удобным с точки зрения восприятия информации и понятности политики. Вид будет примерно следующий:

Цель: регистрация на сайте. Категория субъекта: пользователи сайта. Обрабатываемые данные: фамилия, имя, отчество, дата рождения, номер телефона. Категория данных: общие персональные данные. Способ обработки персональных данных: автоматизированные сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование. Срок обработки: в течение 3 лет с даты проявления последней активности на сайте. Персональные данные уничтожаются путем стирания с серверов оператора персональных данных.

Цель: оформление покупки Категория субъекта: пользователи сайта. Обрабатываемые данные: фамилия, имя, отчество, дата рождения, номер телефона, адрес доставки, платежные реквизиты. Категория данных: общие персональные данные. Способ обработки персональных данных: автоматизированные сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование. Срок обработки: в течение 3 лет с даты проявления последней активности на сайте. Персональные данные уничтожаются путем стирания с серверов оператора персональных данных.

Цель: оформление возврата товара …

Вариант 2 — таблица

Оформляем информацию представленную выше в виде таблице, где каждая строка — новая цель обработки. Такой вариант уже лучше, поскольку прочитать и понять его гораздо проще, чем предыдущие. Однако всё равно не очень удобно, т.к. много информации будет дублироваться. Примерный вид:

Вариант 3 — таблица + текст

Оформляем переменную информацию в виде таблицы, а постоянную отдельными пунктами. В нашем примере, как и у большинства компаний будут неизменны: способ и сроки хранения персональных данных и порядок их уничтожения.

И отдельными пунктами прописываем:

1. Для всех целей обработки персональных данных срок обработки персональных данных составляет 3 года с даты проявления последней активности на сайте.

2. Персональные данные уничтожаются путем стирания их с серверов оператора персональных данных.

Шаг 4. Пропишите, кому вы передаете ПД пользователей.

По общему правилу передача ПД третьим лицам запрещена. Исключения составляют:

1. Передача с согласия пользователя. То есть пользователь дает отдельное письменное согласие на передачу своих персональных данных той или иной компании.

2. Передача уполномоченным органам в соответствии с законодательством.

3. Передача персональных данных обработчикам. Обработчики — это компании, которые обрабатывают ПД по специальному документу-поручению оператора. Здесь стоит прописать список обработчиков и их контакты.

Трансграничная передача. Если вы передаете ПД пользователей заграничным компаниям, об этом стоит также написать и указать страны, в которые передаются персональные данные.

Шаг 5: Расскажите про права ваших пользователей.

По закону у пользователей есть ряд прав при обработке их ПД, лучше рассказать о них в вашей политике конфиденциальности.

Шаг 6: Укажите правовое основание обработки ПД. (Не обязательно).

Роскомнадзор рекомендует прописывать перечень документов, на основании которых вы обрабатываете ПД.

Этими документами могут быть:

Шаг 7: Определите где вы будете размещать актуальную версию политики.

Не забудьте указать:

Подписывайтесь на наш канал @aglegal, мы пишем о новостях в мире права для ИТ-компаний, а также планируем разместить шаблон политики конфиденциальности по новым правилам.

Для консультаций можете звонить +7 (969) 704-24-56 (Герман Ященко).

Советы

Что такое политика конфиденциальности и как ее составить

Политика конфиденциальности — документ, который обязаны размещать у себя на сайте все, кто собирают и обрабатывают персональные данные пользователей.

Если этого документа нет или ему не следуют, можно получить штраф или даже блокировку.

Что такое политика конфиденциальности

Прежде чем говорить о политике конфиденциальности, важно понять, что в этой теме есть три важных понятия: оператор, субъект и персональные данные.

Оператор — человек, индивидуальный предприниматель или компания, которые собирают личные данные пользователей.

Субъект — человек, персональные данные которого собирает оператор. То есть пользователь, который зашел на сайт и решил, например, оставить заявку.

Персональные данные — это любая информация о пользователе, которая помогает его опознать. Например:

• фамилия и имя,
• телефон,
• email,
• домашний адрес,
• фото,
• дата рождения,
• ссылки на профили в соцсетях.

А политика конфиденциальности — это документ, в котором оператор рассказывает, как и зачем он использует персональные данные своих субъектов (пользователей).

Кстати, политику конфиденциальности могут называть по-разному:

• пользовательское соглашение,
• положение об обработке персональных данных,
• политика обработки данных для сайта,
• политика приватности,
• политика защиты персональных данных,
• privacy policy.

Вот так политика конфиденциальности называется на сайте КонсультантПлюс

В общем, название документа может быть каким угодно. Главное, чтобы в нем были все необходимые пункты.

Когда нужна политика конфиденциальности

На сайте есть формы для сбора контактов. Например, люди регистрируются, оставляют обратную связь, подписываются на рассылку или оформляют корзину — во всех эти случаях пользователи заполняют формы и передают свои персональные данные.

На сайте используют cookies. Это маленькие текстовые файлы, в которых хранится информация о посетителе сайта и его действиях. Например, логин, пароль, язык, время посещения, просмотренные страницы. В Словаре есть подробный материал о том, что такое cookies.

Куки тоже относят к персональным данным. Так что если на сайте установлен счетчик Яндекс.Метрики или Google Analytics, то и политика конфиденциальности должна быть. Для cookies можно даже опубликовать отдельный документ.

Большинство сайтов используют инструменты сбора контактов и системы веб-аналитики, значит, политика персональных обработки данных нужна практическим всем. Интернет-магазинам, социальным сетям, образовательным платформам, сайтам с личными кабинетами. Посещаемость или возраст сайта не имеют значения.

Из чего состоит политика конфиденциальности

Суть документа — объяснить пользователю, какую информацию о нем собирают и зачем. Писать можно в свободной форме. Главное — отразить все важные пункты.

Основные пункты

Информация об операторе. Обычно это наименование, адрес и контактные данные. Эти сведения могут быть в первом пункте «‎Общие положения».

Основания обработки персональных данных. Это законы, договоры оператора, пользовательское соглашение — те формальности, которые дают право использовать персональную информацию пользователей. Важно указать, что считается согласием на обработку личных данных — например, поставленная галочка рядом с соответствующим текстом.

Цели сбора и обработки персональных данных. Здесь нужно доступно и исчерпывающе рассказать, зачем оператору данные. Например, интернет-магазин собирает их, чтобы сделать сайт более удобным, персонализировать контент, отправлять маркетинговые сообщения.

Это важнейший пункт. Потому что нужно не только прописать все цели с точки зрения закона, — чтобы Роскомнадзор при проверке не нашел ничего подозрительного. Но и написать понятно для пользователей, — чтобы они не увидели темных пятен и не пожаловались в тот же Роскомнадзор.

Перечень персональных данных, которые собирает оператор. Здесь обычно указывают все данные, которые посетители передают в формы на сайте (имя, почта, телефон). Или указывают информацию о поведении пользователя на сайте, которая будет содержаться в cookies (например, какой товар добавили в корзину).

Это второй по значению пункт — важно четко перечислить всю информацию, которую вы собираете. При этом не перейти границы — Роскомнадзор следит за тем, чтобы оператор не собирал больше данных, чем нужно для его работы. Например, если онлайн-школа при регистрации на сайте запрашивает домашний адрес человека — это настораживает.

Порядок и условия использования персональных данных. Объемный пункт (или даже несколько), где оператор рассказывает, как он будет обращаться с данными пользователей. То есть собирать их, обрабатывать, хранить, уничтожать. Нужно указать сроки обработки и хранения. Важно учесть все действия и написать так, чтобы у пользователей не осталось вопросов.

Безопасность данных. В этом пункте оператор объясняет, как защищает персональные данные и не допускает их утечки. Например, применяет резервное копирование и не передает третьим лицам. Здесь же можно показать, как пользователь может защитить свои персональные данные — к примеру, отозвать согласие на использование.

Дополнительные пункты

Иногда операторам недостаточно основных пунктов и нужны дополнительные. Они делают политику более понятной и исчерпывающей:

Определение терминов. Так как политика — это документ, а документы мы читаем не каждый день, в ней могут быть непонятные определения. Лучше расшифровать такие термины, как оператор, обработка персональных данных или их уничтожение.

Передача персональных данных третьим лицам. Этот пункт важен, если оператор передает личную информацию субъектов кому-то еще — например, сервисам аналитики. Чтобы успокоить пользователя, можно объяснить, что от этой передачи не будет ничего плохого. Никто не начнет одолевать навязчивыми звонками, просто сайт будет более удобным.

Трансграничная передача данных. Пункт нужен, если оператор передает данные пользователей на территорию иностранных государств. Например, когда у компании есть филиалы в нескольких странах.

Часто задаваемые вопросы. Пункт здорово прояснит все то, что потенциально беспокоит аудиторию конкретного оператора. Например, есть спортивный клуб, который собирает телефоны посетителей. Тогда в политике он может написать, что не будет постоянно звонить и предлагать купить новый абонемент.

Связь с оператором. Этим пунктом можно дополнительно позаботиться о человеке. Написать, куда он может обращаться, если возникнут вопросы по документу. Также пункт выручит, если у пользователя возникнут претензии.

Нет строго порядка, в котором нужно располагать пункты в политике конфиденциальности. Но можно ориентироваться на простую логику:

• Сначала вводные положения, которые постепенно погрузят читателя в тему.
• Потом самое важное — зачем оператор собираете данные и как с ними работает.
• И, наконец, — дополнительные положения.

Какие документы можно изучить в качестве примера

Google нестандартно подошел к политике конфиденциальности на сайте. Он написал ее не официальным, а обычным языком, с примерами. А еще разбил цели сбора личных данных на семь пунктов и в каждом объяснил, как это помогает делать Google лучше для людей. Вот один из пунктов:

Как составить политику конфиденциальности

Есть три способа:

• Самостоятельно. Включить в документ все необходимые пункты, показать юристу (для уверенности) и опубликовать на сайте. Если мало опыта составления документов и вы вообще с ними не дружите, то, конечно, Политику лучше сразу доверить юристу — так будет спокойнее.
• По шаблону. Найти в интернете примеры политик, которые уже используют другие компании, сделать для себя что-то похожее и опубликовать на сайте.
• В конструкторе. Довериться специальному инструменту и внести нужные данные — сервис выдаст готовый документ. Останется только опубликовать его на сайте.

Для тех, кто выбирает третий способ, я нашла пять хороших и бесплатных конструкторов:

Tilda.cc — популярный конструктор с 7 полями для заполнения. В некоторых полях (например, цель обработки персональных данных) можно выбрать готовый вариант, а в некоторых — свой. Также на сайте есть образец политики.

Zyro.com — сервис позиционирует себя как сайт, где можно создать политику, которая будет соответствовать законам конфиденциальности по всему миру. Чтобы сгенерировать документ, нужно заполнить всего 3 поля. Больше подойдет тем, кто собирает мало данных.

ProfiSet.org — генератор с немного необычным интерфейсом, но вполне четкими 11 полями для заполнения. На выходе получается конкретная политика, настроенная именно для вас — описывает даже то, как пользователь может запрашивать свои данные. А еще тут можно создать политику на английском.

A-Position.ru — сервис, похожий на Tilda.cc. Здесь 6 полей, в которые нужно внести информацию. Минималистично и быстро.

Ecwid.ru — конструктор, где нужно заполнить 5 полей. Есть функция предпросмотра политики. Готовый документ, в отличие от других инструментов, можно не только скопировать, но и скачать в pdf-формате.

Где размещать политику обработки данных на сайте

Закон не определяет точного места на сайте, где должна быть Политика. На практике документ размещают прямо там, где пользователь делится своими данными или дает согласие на их сбор. Например:

Во всплывающем окне с оповещением о cookies. Специальное меню со ссылкой на политику конфиденциальности появляется внизу страницы, когда человек заходит на сайт. Пользователю остается нажать «‎Принимаю», «Соглашаюсь» или «‎ОК».

При регистрации на сайте. Человек вводит свое имя и почту, ставит галочку, что согласен на обработку персональных данных. И около этой галочки как раз и дают ссылку на политику конфиденциальности.

Ссылка на политику при регистрации на сайте Unisender

При заполнении форм на сайте. Когда нужно оставить заявку, зарегистрировать личный кабинет или дать обратную связь. В любой форме всегда уместна ссылка на политику.

В подвале сайта. Документ с названием «Политика конфиденциальности‎» или похожим часто размещают в футере, чтобы человек на любой странице сайта мог быстро уточнить, зачем компании его данные.

Ссылка на политику конфиденциальности в подвале сайта Unisender

Главное — разместить политику там, где пользователь делится своими данными, и сделать ссылку на документ кликабельной. Еще лучше также оставить ссылки в подвале, чтобы был доступ с любой страницы сайта.

Что будет, если на сайте нет privacy policy

Работу с персональными данными в РФ регулирует Закон №152-ФЗ «‎О персональных данных». Он запрещает использовать данные пользователей без их согласия, устанавливает условия обработки данных, а также определяет права субъекта и обязанности оператора. А статья 13.11 Кодекса об административных правонарушениях устанавливает ответственность за нарушение законодательства о персональных данных.

«‎Объединим» эти два закона и получится: если оператор не размещает на сайте политику, — или размещает, но не соблюдает, — ему грозит штраф.

Так как персональные данные чаще всего собирают компании, коротко пройдемся по штрафам для них. Вот самые частые случаи:

• Если на сайте нет политики — 30–60 тыс. рублей.
• Если на сайте есть политика, но компания не соблюдает ее условия — 60–100 тыс. рублей.
• Если компания не объясняет пользователю, как она обрабатывает его данные — 40–80 тыс. рублей.
• Если персональные данные оказались некорректными, — и пользователь просит это исправить, а компания ничего не делает, — 50–90 тыс. рублей.

Наказание может ужесточаться, если компания совершает правонарушение не в первый раз. Помимо штрафов, оператору может грозить блокировка сайта. Например, пользователь пожалуется, что на сайте нет политики, и Роскомнадзор на время проверки ограничит к нему доступ.

В Архиве решений арбитражных судов и судов общей юрисдикции по запросу «Нарушение законодательства Российской Федерации в области персональных данных‎» находятся 214 документов. Причем наказывают по статье 13.11 даже крупные компании. Например, летом 2021 года Twitter, Facebook* и WhatsApp оштрафовали на 36 млн рублей за отказ локализовать данные российских пользователей на территории РФ.

Штрафы для операторов-физлиц или ИП — ниже. Если, к примеру, предприниматель, который держит небольшой салон красоты в Воронеже, не опубликует на сайте политику, то получит штраф от 10 до 20 тыс. рублей.

Что в итоге

Главное при составлении политики конфиденциальности — объяснить людям, какие их данные вы собираете и зачем. Чтобы у пользователей не возникло вопросов и, как следствие, поводов обратиться в Роскомнадзор. И, конечно, важно отразить в документе всю информацию, которую требует закон.

Для спокойствия можно протестировать политику на пользователях —- предложите им прочитать, оценить и поделиться, все ли было понятно. А перед этим текст можно проверить через специальные сервисы для проверки грамотности и читабельности: «Главред», «Орфограммка» или подобные.

И еще можно обратиться к юристу, чтобы он оценил документ с точки зрения закона.

Поделиться

СВЕЖИЕ СТАТЬИ

Другие материалы из этой рубрики

Не пропускайте новые статьи

Подписывайтесь на соцсети

Делимся новостями и свежими статьями, рассказываем о новинках сервиса

«Честно» — авторская рассылка от редакции Unisender

Искренние письма о работе и жизни. Свежие статьи из блога. Эксклюзивные кейсы
и интервью с экспертами диджитала.

Содержание

Чтобы собирать и обрабатывать персональные данные пользователей, на сайте нужно создать раздел Privacy Policy. В этой статье мы расскажем, что такое политика конфиденциальности и зачем она нужна. Объясним, как составить и оформить текст этого раздела, а также что будет, если не предусмотреть его на своем сайте. 

Что такое политика конфиденциальности

Политика конфиденциальности (ПК) — документ, который информирует посетителей сайта о том, какие данные и с какой целью собирает его владелец. Privacy Policy также называют положением или политикой обработки персональных данных. 

Образец оформления политики конфиденциальности можно посмотреть на сайте Calltouch.

Персональные данные — информация, которая дает возможность идентифицировать человека: ФИО, номер телефона, email, адрес, изображение, паспортные и другие данные.

К такого рода данным также относят обезличенный IP-адрес посетителя, URL, cookies и время посещения страницы. Если сайт запрашивает или отслеживает эту информацию, то владелец ресурса должен уведомить об этом посетителей и соблюдать ПК. Иначе пользователь может подать в суд и получить моральную компенсацию.

Кто контролирует политику конфиденциальности для сайта

Правомерность использования личных данных контролирует Роскомнадзор. Он проверяет наличие соответствующего раздела на сайтах и следит за соблюдением ПК, а при выявлении нарушений штрафует владельцев. Для отслеживания Роскомнадзор утверждает план проверок и вне очереди рассматривает жалобы клиентов на ресурсы.

Роскомнадзор вправе временно заблокировать сайт. Это нужно, чтобы нарушения не повторялись, а операторы не могли внести изменения. После орган выносит постановление о привлечении владельца сайта к административной ответственности. 

Штрафы для физических и юридических лиц отличаются. Так, за обработку персональных данных без согласия пользователя физлицо (гражданин РФ) обязано заплатить 6 000–10 000 рублей, а юрлицо — 30 000–150 000 рублей.

Как сайт собирает данные

На страницах сайта есть формы для сбора информации. Регистрация в личном кабинете, подписка на рассылки, онлайн-опросы, активация бонусной карты — это только часть механик, с помощью которых посетители передают сайтам персональные сведения. 

Чтобы зарегистрироваться, посетитель вводит номер телефона, для подписки на рассылку — email. Также на сайте используют cookies — небольшие файлы, с помощью которых веб-ресурс запоминает информацию: пароль от личного кабинета, просмотренные страницы, длительность сеанса и другие данные. 

Таким образом, если на вашем сайте работает счетчик аналитического сервиса (Google Analytics или Яндекс.Директ), который собирает cookies, вам особенно важно составить и разместить ПК.

Используя сквозную аналитику Calltouch, вы сможете оценить эффективность рекламы и окупаемость всех каналов. Поймете, что происходит с каждым лидом после обращения в вашу компанию. Calltouch Сквозная аналитика бесплатно интегрируется с Яндекс.Метрикой, Google Analytics, DoubleClick Campaign Manager и многими другими платформами и сервисами.

Как составить текст

Политику конфиденциальности составляют в свободной форме, универсального шаблона нет. Главное — рассказать пользователям, какие сведения и для чего собирает оператор сайта.

Основные пункты

Данные об операторе. Укажите наименование оператора — физического лица или организации, которые работают с персональной информацией. Если данные об операторе меняются, не забывайте своевременно обновлять ПК на сайте.

Основания для получения данных. Перечислите документы, которые позволяют обрабатывать персональные сведения: пользовательское соглашение, ссылки на нормативно-правовые акты и прочее. Добавьте действие, с помощью которого пользователь сможет разрешить собирать данные. Например, предложите поставить галочку напротив соответствующего уведомления.

Цели для сбора информации. Объясните, для чего сайт собирает пользовательские данные. Допустим, онлайн-магазин — для оформления заказов и получения маркетинговых рассылок, информационный блог — для регистрации личного кабинета, сайт компании — для персонализации контента.

Виды данных, которые собирает оператор. Перечислите все сведения, которые сайт запрашивает у пользователей или отслеживает через cookies. Не указывайте в этом разделе все виды персональной информации только для галочки. Например, не имеет смысла собирать домашние адреса пользователей при регистрации на сайте онлайн-курсов. 

Порядок использования. Расскажите, как оператор работает с полученной информацией: собирает, хранит, уточняет, систематизирует или удаляет данные. Перечислите все действия, чтобы пользователи не сомневались в ПК.

Обеспечение безопасности информации. Объясните, как оператор защищает данные, полученные от посетителей сайта: использует антивирусные программы, не передает информацию третьим лицам. Уведомите пользователей, что они вправе отозвать согласие на обработку данных, и расскажите, что для этого нужно сделать, — например отправить письменное заявление.

Дополнительные пункты 

Определения терминов. Автоматизированная обработка, обезличивание информации, трансграничная передача — только часть терминов из документа. Чтобы посетители понимали, что они означают, операторы расшифровывают их в начале ПК.

Биометрические данные. Не все компании работают с биометрическими данными, например фотографиями, но если используют их, то в положении должен быть соответствующий раздел. В нем указывают порядок получения согласия от субъекта на обработку сведений.

Трансграничная передача. Если оператор сайта передает пользовательскую информацию частным лицам или организациям, которые находятся за пределами России, то в политику включают дополнительный раздел. Он определяет основания и порядок передачи данных. 

Другие дополнительные разделы, которые включают в ПК, — ответы на часто задаваемые вопросы, контактные данные для быстрой связи с оператором, порядок передачи информации третьим лицам.

Как оформить документ и разместить на сайте

Делимся советами по оформлению ПК на сайте:

• Продумайте структуру документа, чтобы пользователям было удобно ознакомиться с политикой конфиденциальности. Сначала пишите общие положения, затем — условия и порядок обработки данных, в завершение — пункты о безопасности.
• Выделите жирным заголовки и важные пункты, используйте регистр, отступы.
• Для удобства вынесите положение в отдельный документ, например в формате PDF. Убедитесь, что текст хорошо отображается на разных устройствах. 
• Используйте навигацию — содержание с гиперссылками на разделы.

Определенных требований для размещения документа нет, поэтому можно выбрать один из вариантов:

• Окно о работе с cookies-файлами. Пользователь дает согласие на использование «куки» в оповещении, которое всплывает при открытии страницы. Ссылку на ПК уместно оставить в этом уведомлении.
• Заполнение формы для получения данных. Посетитель вводит имя, email и прочую информацию, а затем ставит галочку о согласии на обработку данных. Обычно ссылку на ПК размещают рядом с этой галочкой.
• Футер сайта. Здесь часто размещают ПК, чтобы пользователи могли быстро открыть и просмотреть документ, находясь в любом разделе сайта.

Все, что касается оформления и размещения политики конфиденциальности, остается на усмотрение оператора. Главное, чтобы у посетителей сайта всегда была возможность ознакомиться с документом.

Подключите виджеты Calltouch — обратный звонок, ссылки на мессенджеры и соцсети, умную заявку для сбора контактных данных без прозвона посетителей. С их помощью вы повысите конверсию сайта и лояльность клиентов.

Что делать после размещения документа на сайте

По закону операторы сайтов должны выполнить еще несколько действий после размещения документа.

Уведомите Роскомнадзор о начале работы с персональными данными. Это правило обязательно для всех сайтов, которые получают информацию о посетителях. Исключение — ресурсы, которые запрашивают только ФИО или получают данные на время выполнения условий в рамках разового договора. Например, некоторые интернет-магазины после доставки онлайн-заказа удаляют все сведения о пользователе. 

Уведомление бесплатное, поэтому лучше подстраховаться и подать его в Роскомнадзор. За непредоставление информации предусмотрена административная ответственность: ИП штрафуют на сумму до 500 рублей, компании — до 5 000 рублей.

Назначьте ответственного за хранение информации, полученной от пользователей. Выберите сотрудника, который взаимодействует с персональными данными, например работника отдела кадров, штатного юриста или секретаря компании. Объясните его обязанности по защите информации и выпустите приказ о назначении ответственного лица.

Храните информацию на серверах в России. Это требование Роскомнадзора. За несоответствие ему орган блокирует сайт.

Что будет за отсутствие политики конфиденциальности

Все, что касается работы с персональными данными в России, регламентирует закон № 152-ФЗ, а ответственность за его несоблюдение — статья 13.11 КоАП РФ.

Размеры штрафов за наиболее распространенные нарушения:

• Оператор обрабатывает персональные данные без согласия пользователей сайта: для физических лиц — до 10 000 рублей, для ООО — до 150 000.
• На сайте нет политики конфиденциальности: для ИП — до 20 000 рублей, для компаний — до 60 000.
• Оператор продолжает использовать данные пользователя, несмотря на отзыв согласия на обработку: для ИП — до 40 000 рублей, для юридических лиц — до 90 000.

Коротко о главном

• Владельцы сайтов, на которых есть формы для сбора данных или cookies, обязаны размещать политику конфиденциальности.
• Главная цель документа — рассказать посетителям ресурса, какие персональные данные запрашивает оператор, для чего они ему нужны.
• ПК составляют в свободной форме, но она обязательно должна содержать такие пункты, как данные об операторе, основания и цели сбора информации, порядок обработки, безопасность сведений. С примером политики конфиденциальности можно ознакомиться на сайте Calltouch. 
• Чтобы пользователям было удобно читать документ, следует разбивать текст ПК на разделы, использовать навигацию, отступы и выделение фрагментов текста жирным шрифтом. 
• Разместить ПК можно в футере сайта, всплывающем окне об использовании cookies или в форме, куда пользователь вводит какую-либо информацию.
• Работа с персональными данными без размещения политики конфиденциальности и уведомления пользователей — административное нарушение, которое грозит оператору штрафом.

Компании стараются сделать свои сайты красивыми: изучают пользовательский опыт, пишут понятные и ёмкие тексты, подбирают цвета, строят визуальную композицию, проводят аудит работы сайта. Но есть место, где всегда непонятно. И это место — политика конфиденциальности: на неё не хватает сил/бюджета/времени. Да и зачем делать понятным документ, который всё равно никто не читает?

Мы в «Рунетлекс» решили разобраться, может ли он быть органичным с сайтом и не выбиваться из единого стиля. В этой статье расскажем, почему стоит тратить ресурсы на переработку политики, и покажем несколько способов, как превратить привычный документ в понятный.

Зачем нужна понятная политика конфиденциальности

Взгляните на фрагмент политики конфиденциальности одного из B2В-сервисов. Это типичный пример. Ни владельцу сайта, ни пользователям точно непонятно, зачем нужна такая стена текста.

Есть несколько причин сделать политику, в которой посетители смогут разобраться без юридической консультации.

Снизить риск конфликтов

Люди обычно не читают политику конфиденциальности из-за объёма и сложности. Когда же возникает необходимость изучить её, пользователь просто не может в ней разобраться. В таком случае ему проще обратиться в контролирующий орган, чем пытаться освоить документ. Политику не читают до первого недовольства — понятный текст помогает снять его и уменьшает риск возникновения конфликтных ситуаций.

Повысить лояльность к компании

Среднестатистическому человеку сложно (или даже больно) читать юридический текст политики конфиденциальности. Предоставить необходимую информацию сжато и удобно, без сложных конструкций — способ позаботиться. Когда клиенты чувствуют заботу, доверие к компании растёт — а за ним и приверженность к бренду.

Получить конкурентное преимущество

Понятная любому политика конфиденциальности точно выделит бренд на фоне конкурентов, которые относятся к ней по старинке. Поэтому максимально доступное донесение пользователю информации о том, что бренд делает с его данными и как это прекратить, вполне можно рассматривать как бизнес-задачу. Чем точнее и понятнее документ, тем меньше вопросов у клиентов.

Упростить выход на европейский рынок

В России понятная политика конфиденциальности — преимущество. Но если бизнес хочет выйти на рынок Евросоюза, то оно превращается в требование закона.

Европейский закон о персональных данных требует составить политику в отношении обработки персональных данных так, чтобы её понял любой человек. Вероятно, в скором времени такое требование появится и в российском законодательстве.

Как сделать политику конфиденциальности понятной

Упрощение

Первый способ — изложить текст документа простым языком.

Например, одно и то же можно сказать так:

Или так, как сделали мы в политике «Рунетлекс»:

Рассказать пользователю о его правах можно так:

или так:

Мы выделяем следующие механизмы упрощения:

• Исключать цитирование закона. Цель политики конфиденциальности не в цитировании Федерального закона «О персональных данных». Этот документ должен рассказать пользователю о том, как компания обрабатывает и защищает его персональные данные. Но законотворческий слог не всегда понятен пользователю, а чаще просто отпугивает от чтения.
• Разбивать текст на небольшие смысловые абзацы. Так он проще и быстрее воспринимается читателем.
• Переносить блоки текста в таблицы и делать заголовки его частью. Например, в таблице можно рассказать о целях обработки персональных данных:

• Исключать сложные термины, использовать язык целевой аудитории. У большей части пользователей нет юридического образования. Профильные термины не способствуют пониманию, лучше заменить их на более простые или убрать.

Визуализация

Следующий способ — визуализация. Его задача — изложить информацию с активным использованием визуальных образов, чтобы читателю было проще понять суть.

Google использует в своей политике короткие видео:

А вот так заботливо Сбербанк рассказывает пользователям о передаче их персональных данных третьим лицам:

Но это скорее вспомогательный способ. В большинстве случаев информацию проще донести текстом.

Главный недостаток визуализации — неоднозначность толкования визуальных образов. Поэтому не стоит превращать политику в комиксы: целевая аудитория политики умеет читать.

Слои

Способ изложить политику слоями — самый сложный из предложенных. Ведь для него понадобится сразу два текста:

• краткий — для всех;
• подробный — для юристов и Роскомнадзора.

Снова обратимся к сайту Сбербанка. На нём можем найти классическую политику…

…и дружелюбный вариант. Изучить его достаточно, чтобы понять, о чём речь.

У Роскомнадзора есть рекомендации по составлению «документа, определяющего политику оператора в отношении обработки персональных данных». Многие специалисты придерживаются этих рекомендаций и отказываются от понятного варианта.

Поэтому способ «Слои» помогает, когда одновременно:

• есть опасение, что надзорному органу не понравится понятный документ;
• хочется позаботиться о пользователе.

Важно указать, какой слой имеет приоритет. Иначе политика не только не превратится в понятную, но и может навредить компании. Ведь дружелюбный вариант не содержит всех необходимых положений, а некоторые пункты могут толковаться не так, как в классическом варианте.

Заключение

У нас нет универсальной рекомендации по выбору конкретного способа для определённой сферы бизнеса. Советуем не забывать об общей опасности — исказить смысл.

Избежать этого очень просто: перед выбором того или иного способа нужно подумать о его применимости к вашему документу, а после — использовать аккуратно. Юридический язык придуман для точности, излишнее упрощение, визуализация или изложение слоями может негативно сказаться на толковании.

Помните, если вам удалось сделать документ привлекательнее, пользователь оценит вашу заботу и ответит лояльностью.

Как правильно прописать политику конфиденциальности для стартапа

• Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных»;

• Федеральный закон от 27.07.2006 № 149-ФЗ «Об информации, информационных технологиях и о защите информации»;

• Гражданский кодекс РФ;

• Кодекс РФ об административных правонарушениях;

• Уголовный кодекс РФ;

• Трудовой кодекс РФ.

Кроме того, важно внимательно следить за разъяснениями Роскомнадзора, которые, как показывает пример с разблокировкой Телеграма, могут меняться довольно быстро.

Что обязательно должно быть в ПК

Любая политика конфиденциальности состоит из разделов:

• Общий.

• О сборе и использовании личной информации.

• О сборе и использовании неличной информации.

• О файлах cookie и других технологиях.

• О раскрытии информации третьим лицам.

• О защите личной информации.

• О хранении личной информации.

• О трансграничной передаче данных.

• О правах пользователей на конфиденциальность.

• О несовершеннолетних пользователях.

• О стране или регионе, право которого применяется.

• О сервисах на основе данных о местоположении.

• О сторонних сайтах и сервисах.

• О правилах переписки с пользователями по вопросам конфиденциальности.

Хотел бы остановиться для более подробного разъяснения некоторых моментов. В общем разделе необходимо указать, к какой компании относится ПК и по какому адресу в интернете с ней можно ознакомиться. Прописать, что политика конфиденциальности регулирует сбор, использование, раскрытие, передачу и хранение личной информации пользователей. Указать, что информация о данных и конфиденциальности встроена в продукты и услуги компании.

Здесь же нужно также разъяснить основные понятия: что такое сбор и использование информации, разница между личной и неличной информацией, что такое файлы cookie и какие сходные технологии использует компания. Что такое трансграничная передача данных, кто признается несовершеннолетним и т.д. – все это обязательно должно быть отображено в разделе.

Нужно указать, какую личную информацию о пользователе компания собирает. Так, личной информацией являются данные, которые можно использовать для установления личности человека или для связи с ним – имя и фамилия, почтовый адрес, номер телефона, емейл и т.д. Компании могут также собирать неличную информацию. Это данные, которые не относятся непосредственно к конкретному человеку – уникальный идентификатор устройства (IMEI), URL-адрес источника ссылки, местоположение и т.д. Все это должно быть отображено в ПК.

Важно прописать основание для обработки данных о пользователях. Обычно его формулируют так: в целях улучшения продуктов и услуг компании, ее сервисов, а также контента и рекламы. Здесь будет не лишним указать, что пользователь не обязан раскрывать личную информацию по запросу компании, но в некоторых случаях это может привести к тому, что стартап не сможет предоставить ему продукт, оказать услугу или ответить на запрос.

Международный аспект

Стартапы, которые планируют или уже вышли на международный рынок, могут отправлять информацию на серверы других компаний, расположенных за рубежом – это называется трансграничной передачей данных. Чтобы обезопасить себя, в ПК таким компаниям необходимо указать, что любая информация, которую предоставляет пользователь, может быть передана или получена зарубежными компаниями в соответствии с данной политикой конфиденциальности. Здесь же стартапу необходимо прописать, что у него есть аффилированные лица, которые несут самостоятельную ответственность за сбор и обработку личной информации от имени компании. И, конечно же, способы трансграничной передачи данных должны соответствовать установленным международным стандартам конфиденциальности – как формально, так и на деле.

Необходимость связи с другими документами

Соглашение об условиях и положениях (Terms & Agreements) – один из основных документов, регулирующих взаимодействие компании и пользователей ее решений. Здесь стартапы нередко совершают распространенную ошибку и либо смешивают ПК с Terms & Agreements, либо создают отдельные документы и никак не связывают их друг с другом. От невнимательности не застрахованы даже крупные бренды: так, Volkswagen в Terms & Agreements упоминает, что использует сайт для сбора IP-адресов и сопоставляет их с почтовым индексом пользователей, задействуя стороннюю базу данных. Все это – явная деятельность по сбору и обработке данных, однако в документе Volkswagen не ссылается на политику конфиденциальности, с которой должен согласиться или не согласиться посетитель сайта.

Чтобы избежать этой ошибки, необходимо прочно связывать два документа как по смыслу, так и прямыми ссылками. Как правило, в Terms & Conditions охватываются вопросы обработки пользовательских данных, поэтому компаниям необходимо ссылаться на свою политику конфиденциальности.

Чем могут обернуться упущения в ПК

Чтобы обезопасить себя от таких инцидентов, подход к политике конфиденциальности уже меняет Apple. В обновленной системе iOS 14 встроена функция, которая требует, чтобы приложения получали соответствующие разрешения от пользователей перед сбором их данных. Это дает клиентам компании возможность решать самостоятельно, какую личную информацию они будут предоставлять приложениям.

Конечно же, стартап может разработать политику конфиденциальности своими силами. Но нужно учитывать временные затраты на ее создание, а также отсутствие юридической защищенности и значительные репутационные и финансовые риски в случае ошибок. Чтобы их минимизировать, лучше всего обратиться к профессиональному юристу с релевантным опытом.