Нужны ли моему сайту или приложению Privacy Policy?

Юридическая составляющая любого бизнеса всегда добавляет головной боли: и так достаточно текущих задач, а тут еще нужно постоянно консультироваться с юристами! Вспоминая ту шумиху, которую в мае 2018 года нанес Общий регламент защиты персональных данных (он же GDPR), разработчики столкнулись с еще одним барьером к торговле без ограничений — да-да, мы поговорим про политику конфиденциальности.

Разве в Украине нужна Политика конфиденциальности?

Да!

Это нелегко принять, но даже намерение работать в пределах Украины не освобождает от необходимости бережно охранять переданные Вам персональные данные.

В Политике конфиденциальности украинский потребитель имеет право увидеть:

  • сведения о владельце персональных данных;
  • состав и содержание собранных персональных данных;
  • права субъекта данных;
  • цель сбора персональных данных;
  • сведения о лицах, которым передаются его персональные данные.

Вся эта информация должна быть доступна пользователю непосредственно в момент сбора его данных. Если же данные о личности получены другими путями — их владелец должен уведомить пользователя о таком сборе не позднее тридцати рабочих дней с того дня, когда эти данные были собраны.

В Политике также необходимо напомнить пользователям об их правах. Например, по законодательству украинский пользователь имеет право:

  • знать, как были собраны его персональные данные и для каких целей;
  • знать местонахождение владельца или распространителя персональных данных (другими словами — контроллера и обработчика)
  • знать, при каких условиях и кому предоставляется доступ к персональным данным о нем (в том числе — получать информацию о конкретных третьих лицах);
  • знакомиться с собранными данными и при необходимости вносить изменения в них, чтобы они были корректны и актуальны;
  • возражать против обработки персональных данных;
  • требовать изменить или уничтожить свои персональные данные, если эти данные обрабатываются незаконно или являются недостоверными;
  • требовать защиты своих персональных данных от незаконной обработки, случайной потери, уничтожения или повреждения, умышленного сокрытия;
  • получать персональные данные по требованию своевременно;
  • требовать защиты от предоставления сведений, которые являются недостоверными или порочащих честь, достоинство и деловую репутацию;
  • жаловаться Уполномоченному Верховной Рады Украины по правам человека, подавать иск в суд, или иным способом защищаться в случае нарушения своих прав;
  • ограничивать право владельца или распорядителя на обработку своих персональных данных еще во время согласия;
  • отозвать согласие на обработку персональных данных;
  • знать механизм обработки персональных данных, если это осуществляется автоматизировано, и требовать защиты от автоматизированного решения, если оно имеет правовые последствия (например, отказ в кредите и пр.)

Важно, что эти права — неотъемлемые, и любой отказ от них в тексте согласия не защитит компанию-владельца от обязанности их выполнять

Пошаговая инструкция по написанию разделов

  1. “Шапка” – сверху первой страницы в правом верхнем углу стандартный блок для подписи первого руководителя. Например: «Утверждаю, генеральный директор ООО «ИКС» Иванов И.И., дата, подпись, место для печати». Или подобная форма, принятая в делопроизводстве компании.
  2. Общие положения – раздел включает в себя полное наименование предприятия – оператора, юридический адрес, ИНН, ключевые правовые основы, согласно которым разработан документ, общую характеристику прав и обязанностей оператора и субъектов.

    Например: «Политика обработки персональных данных ООО «ИКС» (далее – Оператор) разработана во исполнение Конституции РФ и действующего федерального законодательства в области защиты персональных данных (можно перечислить подробнее, а можно оставить перечень для соответствующего раздела), с целью соблюдения законодательства, прав субъектов персональных данных при обработке, сохранения конфиденциальности и обеспечения безопасности данных.

    Настоящая политика характеризирует принципы и цели оператора в сфере обработки персональных данных, способы обработки, категории данных, меры, предпринимаемые оператором по обеспечению безопасности, права Оператора и субъектов персональных данных…».

  3. Цели обработки – Роскомнадзор предписывает формулировать их максимально конкретно, исходя из законодательства и производственных потребностей оператора. В частности, целью может быть выполнение трудового и налогового законодательства, ведение бухгалтерского, налогового учета. Предоставление статистической отчетности, выполнение договорных обязательств, и осуществление видов деятельности, согласно Уставу, и прочие в рамках законодательства.
  4. Правовое основание – раздел представляет собой список федеральных законов и других нормативных актов, связанных с деятельностью Оператора в сфере работы с личной информацией, Устав предприятия, договоры между оператором и субъектами.

    Зачастую список включает в себя Конституцию РФ, Федеральный закон «Об информации, информационных технологиях и о защите информации», Трудовой и Налоговый кодексы, далее следуют соответствующие постановления правительства об обработке данных неавтоматизированным способом или в информационных системах, приказы Роскомнадзора, Федеральной службы по техническому и экспортному контролю, и другие.

  5. Перечень действий – сбор, систематизация, хранение, уточнение, извлечение, использование, передача (трансграничная или нет), обезличивание, блокирование, уничтожение и прочие манипуляции с предоставленной субъектами информацией.

    Также рекомендуется указать сроки и условия прекращения обработки. Например, обработка информации может быть прекращена по достижению целей, после завершения действия договора, обращения субъекта с отзывом согласия на обработку.

  6. Состав – подробно перечислите, данные каких категорий субъектов необходимо обрабатывать в указанных целях: работников и их родных, бывших сотрудников и кандидатов на вакантные должности, клиентов, контрагентов. Какая именно информация (ФИО, паспортные реквизиты, возраст, образование и так далее) необходима.

    Отдельно укажите, если требуется обработка так называемых специальных категорий данных – сведений о расе, национальности, политической и религиозной принадлежности, состоянии здоровья.

  7. Обработка – укажите способы обработки информации, например, автоматизированная, неавтоматизированная, смешанная.
  8. Обеспечение защиты – содержание раздела строится на выполнении ст. 18 и 19 закона «О персональных данных».

    Оператор сообщает, что на предприятии назначено должностное лицо, ответственное за обработку этой информации, сотрудники ознакомлены с соответствующими регламентами, изданы локальные акты, регламентирующие все действия в данной сфере, доступ к информации, разработаны и применяются юридические, организационные и технические меры по обеспечению безопасности материальных носителей и электронных баз.

    Также раздел Политики гарантирует, что на предприятии ведется внутренний аудит в данной сфере, оценен потенциальный вред для субъекта, разработаны процедуры выявления нарушений действующего законодательства и их предотвращения.

  9. Права субъекта – раздел фактически подтверждает готовность оператора исполнять главу 3 статьи 14-17 закона “О персональных данных”. В частности, Политика информирует субъектов об их праве предоставлять персональные данные только добровольно и отозвать разрешение на обработку в любой момент, праве на доступ к своей информации и требование ее изменения или удаления недостоверных сведений.

    Субъект имеет право знать о целях, правовых основаниях и способах обработки данных, факте трансграничной передаче или передаче третьим лицам, если таковая производится. Защита прав субъекта и обжалование действий оператора производится в судебном порядке.

  • Скачать бланк политики в отношении обработки персональных данных
  • Скачать образец политики в отношении обработки персональных данных в ООО

Подробнее о политике обработки персональных данных читайте тут.

Разъяснение Роскомнадзора прямо запрещает указывать закон «О персональных данных» в качестве правового основания!

Политика конфиденциальности для лендинга

Как добавить ПК на лендинг в всплывающем окне (модальном окне). Для лендинга (подразумевается одностраничный сайт для рекламы) важно, чтобы пользователь не уходил на другие странице, поэтому мы разберем на примере создания всплывающего окна.

Далее я использую фреймворк бутстрап от создателей twitter, чтобы из него взять скрипты для создания модального окна (смотрите в видео в начале статьи)

Шаги для создания модального окна:

  1. Открыть лендинг
  2. Открыть документацию bootstrap (на английском)
  3. Найти код в документации bootstrap «модальное окно» (Modal) и вставить на наш лендинг.

При этом модальное окно состоит из 2 частей:

  1. ссылки или кнопки, которое добавляет и открывает это модальное окно;
  2. само модальное окно.

Один важный момент: кроме стилей bootstrap необходимо чтобы подгружался bootstrap JavaScript и JQuery. Тогда на лендинге будет корректно открываться модальное окно.

[alert class=»alert yellow»]Если вы рекламируетесь Вконтакте, модератор не всегда воспринимает ссылку «Политика конфиденциальности». Поэтому в ссылке лучше написать «Политика обработки персональных данных».[/alert]

Итак, что у нас должно получится

Модальное окно на лендинге, которое открывается при нажатии на ссылку ПОЛИТИКА КОНФИДЕНЦИАЛЬНОСТИ на примере моего лендинга Сейчас страницу я немного изменил.

Политика конфиденциальности для лендинга

Практика

Смотрите в видео

Для работы с лендингом я возьму лендинг «Игры для девочек», который мы с вами создавали в прошлых уроках.

Для удобства работы откройте в браузере окна:

  • вашего сервера
  • вашего лендинга
  • в меню JavaScript справа выбрать Modal

В документации bootstrap в разделе Modal спуститесь ниже и найдите Live Demo, скопируйте код под этой надписью. Откройте NotePad++ и вставьте код в новое окно. В NotePad++ в меню выберите СИНТАКСИС, H, HTML для удобства работы.

В этом коде меняем «Launch Demo Modal» на «Политика конфиденциальности». Затем меняем кнопку <botton >на ссылку <a href=»»>

Далее необходимо изменить само модальное окно. Найдите в коде ниже «Modal Title» и вместо этой надписи вставьте «Политика конфиденциальности». Вместо «Close» напишите «Закрыть». Полностью удалите код кнопки Save Change. Сохраните.

В коде с тегом <div> вместо троеточия вставляем сам текст политики конфиденциальности. Я копирую этот текст с моего сайта со всеми стилями. Теперь наш код готов, скопируем его и перейдем в редактор файлов на сервере. Откроем файл нашего лендинга. Удостоверимся, что подключены скрипты Java JQuery. Находим эти слова в коде. Если они есть, значит наше модальное окно будет открываться.

Далее находим последний тег </div> и после него вставляем код ссылки на политику конфиденциальности. Теперь нам нужно вырезать код запуска модального окна, который начинается с <a> заканчивается </a> и вставить в то место, где мы хотим разместить ссылку о политике конфиденциальности. У меня есть внизу страницы специальная пустая колонка, куда я вставлю ссылку на политику конфиденциальности. При этом я еще добавлю тег <hr> это разделительная линия. Сохраните изменения.

Какие проблемы могут возникнуть при несоблюдении требований

В российском законодательстве предусмотрена ответственность за нарушение политики обработки и защиты персональных данных, а также за недоведение до пользователя условий использования его персональных данных. Размер штрафа — до 70-100 тыс. рублей за каждое нарушение. За несоблюдение требований GDPR придется выплатить сумму побольше: можно лишиться до 4% оборота компании при регулярных нарушениях.

Другой вид санкций — блокировка приложения. Как правило, это происходит после проверки ПК со стороны маркетплейсов. AppStore и Google Play диктуют собственные требования к политике конфиденциальности в соответствии с международным законодательством, а разработчики приложений из России руководствуются местными законами. 

Как итог приложение блокируется за несоблюдение требований маркетплейса. Появляется конкуренция норм права: по факту приложение используется в России и соответствует всем ее законам, но площадки предъявляют повышенные требования, за несоблюдение которых и наказывают.

В России инициатором блокировки сайта или приложения за неправомерное использование данных часто выступает Роскомнадзор. Он является уполномоченным органом по защите прав субъектов персональных данных, ведет реестры операторов и нарушителей прав субъектов персональных данных.

Помочь выявить нарушителя могут не только специализированные органы. Любой пользователь, заметивший нарушение политики конфиденциальности, вправе написать жалобу на правообладателя и потребовать привлечь его к ответственности. Особо внимательные и жаждущие справедливости пользователи могут писать такие заявления ежедневно — компании это будет стоить десятки тысяч рублей штрафа.

Что еще может пойти не так

Многие крупные международные компании сталкивались со сложностями именно из-за проблем с политикой конфиденциальности.

Facebook: несоблюдение ПК

В 2020 году Южнокорейская комиссия по защите личной информации оштрафовала Facebook на $6,1 млн за нарушение закона о защите персональных данных. Как выяснилось, на протяжении шести лет, с мая 2012 года по июнь 2018 года, соцсеть передавала другим компаниям личную информацию более 3,3 млн человек без их согласия. Личные данные пользователя соцсети и его друзей становились доступны третьим лицам, когда для авторизации в стороннем сервисе использовалась учетная запись Facebook.

Instagram: неверная формулировка

В 2012 году Instagram обновил ПК, в ней говорилось следующее: «Чтобы помочь нам с поставкой интересного платного контента, вы соглашаетесь с тем, что другие юридические лица могут платить нам за предоставление вашего имени пользователя, информации о том, что вам понравилось, фотографий и/или действий, которые вы осуществили в контексте с платным и коммерческим контентом, без какой-либо компенсации для вас».

Пользователи решили, что соцсеть будет продавать их фотографии рекламодателям, поэтому стали массово удалять аккаунты. Представителям Instagram пришлось объяснять: они лишь хотели персонализировать рекламные предложения. Они признали, что неправильная формулировка могла запутать пользователей и пообещали исправить текст.

WhatsApp: недовольство пользователей изменением политики конфиденциальности

Facebook также оставляла за собой право делиться данными с другими своими компаниями. На фоне этих событий выросло количество загрузок других мессенджеров: Telegram — на 91% за неделю, Signal на — 4200%. Недовольство и массовый уход пользователей заставили WhatsApp отложить обновление ПК.

Google: недостаточное информирование пользователей

Национальная комиссия по информатике и свободам Франции оштрафовала Google на €50 млн за недостаточное информирование пользователей при получении согласия на обработку и использование их данных. Комиссия утверждает, что пользователям не сообщается следующее: какие сайты имеют доступ к данным, в каком объеме они собираются и как долго хранятся. К тому же информация разбросана по нескольким документам: из-за этого пользователям сложнее понять, что именно происходит с их данными.

[block id="10"]
Последние обсуждения:
Фильтр:ВсеОткрытРешеноЗакрытЖдет ответа
Sorry, but nothing matched your filter
[block id="12"]
[block id="5"]