Политика конфиденциальности для сайта 2019

Политика конфиденциальности для сайта 2019

04.03.2019

Это словосочетание стало привычным для пользователей сети интернет. Регистрируясь на сайте, как правило, пользователь должен принять политику конфиденциальности. Что это за документ и для чего он нужен каждому интернет-сайту, обрабатывающему данные пользователей разберем в данной статье.

Для начала нужно понимать, что такое персональные данные пользователя сайта. Если обратиться к основному закону, регламентирующему обработку персональных данных, одноименному ФЗ № 152 «О персональных данных»,  то мы увидим в статье 3 следующее определение:

Персональные данные – любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Таким образом, под данное определение попадает и адрес электронной почты, и телефон, и даже никнейм, особенно, если он содержит имя и/или фамилию пользователя. Практически каждый сайт запрашивает вышеперечисленную информацию у пользователя при регистрации или при покупке. Социальная сеть, форум или интернет магазин, естественно, обрабатывают данные своих пользователей. На сегодняшний день с точки зрения законодательства РФ, вопрос определения списка персональных данных пользователей сети Интернет остается открытым. Например, обезличенные файлы cookie, с одной стороны не могут нам сказать о том, кто именно «сидит на той стороне провода», но позиция Роскомнадзора относительно файлов cookie, как и других аналитических данных (ip-адрес, идентификатор устройства) вполне устоялась – это персональные данные. Пользователь должен знать для чего его данные собираются (цель обработки данных), на какой срок, какие именно данные необходимы. Он должен иметь возможность выразить согласие на обработку персональных данных в момент их сбора или отказаться от передачи данных, а также в любой момент совершить отзыв согласия на обработку своих персональных данных. Все эти моменты должны быть расписаны в политике конфиденциальности для сайта в 2019 году, которая должна быть общедоступна (например, вставить ссылку в футер сайта), пользователь должен совершить ее акцепт (например, поставить галочку при регистрации на сайте, без которой регистрация невозможна).

С точки зрения пользователя политика конфиденциальности на сайте нужна для того, чтобы он в любое время мог ознакомиться, как его данные обрабатываются. 

Для чего этот публичный документ нужен владельцу сайта?

 Во-первых, в статье 13.11. КоАП РФ указано, что невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к политике конфиденциальности влечет предупреждение наложение административного штрафа до тридцати тысяч рублей. 

Во-вторых, отсутствие политики конфиденциальности на сайте, скорее всего, будет свидетельствовать о том, что владелец сайта не следит за правовыми тенденциями, а значит не вызывает доверия. Это субъективный и, скорее, маркетинговый аспект, но он, безусловно, присутствует. Политика конфиденциальности для сайта – «визитная карточка», основной документ в области обработки персональных данных. Он должен быть оформлен подобающим образом и индивидуально. Брать чужую «политику» крайне не рекомендуется. Если сайт давно работает, это еще не значит, что его документы идеальны и корректны  с точки зрения действующего законодательства РФ. Не бывает «шаблона политики конфиденциальности для сайта». Это важно понимать. Пользователь и владелец сайта – субъекты правоотношений. Политика и согласие – это договор и подпись на нем пользователя. Никто не станет спорить, что положения любого договора всегда индивидуальны, даже если это простой договор купли-продажи. Важно не просто перечислить данные, которые обрабатывает сайт, сроки их хранения, но и учесть, что обработка данных не должна быть несовместима с целями сбора персональных данных, за что предусмотрен уже более серьезный штраф в размере от тридцати тысяч до пятидесяти тысяч рублей. Безусловно, вопросы охраны персональных данных не заканчиваются опубликованием на сайте грамотно составленного документа, здесь важен комплекс технических, организационных и юридических мер, однако, отсутствие такого документа или публикация некорректного – может привести к санкциям, значительно упростив контролирующим органам процесс доказывания факта нарушения. 

Помимо политики конфиденциальности, неплохо также размещать дисклеймер подобного рода:

«Продолжая использовать наш сайт, вы даете согласие на обработку файлов cookie, пользовательских данных (сведения о местоположении; тип и версия ОС; тип и версия Браузера; тип устройства и разрешение его экрана; источник, откуда пришел на сайт пользователь; с какого сайта или по какой рекламе; язык ОС и Браузера; какие страницы открывает и на какие кнопки нажимает пользователь; ip-адрес) в целях функционирования сайта, проведения ретаргетинга и проведения статистических исследований и обзоров. Если вы не хотите, чтобы ваши данные обрабатывались, покиньте сайт.»

В соответствии с ч. 4 ст. 18.1 Закона № 152-ФЗ Роскомнадзор вправе проконтролировать исполнение организацией (ИП) обязанности по разработке, изданию и публикации Политики. По его требованию оператор обязан подтвердить принятие этого документа и предоставление доступа к нему.

Территориальными органами Роскомнадзора предусмотрены сотни плановых проверок в год. Нарушения законодательства о персональных данных в интернете выявляются в государственных и муниципальных органах государственной власти; в финансово-кредитных организациях в страховых компаниях; в коллекторских агентствах; в учреждениях здравоохранения; в учреждениях высшего, среднего, начального и общего образования; в многофункциональных центрах предоставления государственных и муниципальных услуг; в организациях в сфере ЖКХ; в организациях, оказывающих услуги продажи товаров дистанционным способом; у операторов связи.  Этот список не является исчерпывающим. По официальным данным Роскомнадзора одним из наиболее частых нарушений является непринятие оператором мер по опубликованию или обеспечению неограниченного доступа к документу, определяющему его политику в отношении обработки персональных данных, то есть политики конфиденциальности на сайте.

Роскомнадзор выносит штрафные санкции не только за отсутствие политики конфиденциальности на сайте, но и за неполученное (или неправильно полученное) согласие на обработку персональных данных пользователя, за негласный сбор пользовательских данных и файлов сookie, за отсутствие ответов на вопросы пользователей по факту обработки их данных или за ненадлежащие (формальные) ответы на такие вопросы.

25 мая 2018 года вступил в силу Общий регламент по защите данных (General Data Protection Regulation, GDPR; Постановление (Европейский Союз) 2016/679). Это обернулось некоторыми процедурными вопросами и для российских компаний, имеющих аудиторию пользователей сайта из ЕС. Политика конфиденциальности для сайта теперь должна была учитывать требования GDPR, кроме того адаптации подлежит и интерфейс сайта, обрабатывающего персональные данные граждан Евросоюза. Например, пользователь должен иметь возможность самостоятельно удалить свои данные на сайте, отозвать согласие на маркетинговые рассылки, для несовершеннолетнего пользователя (до 16-ти лет) из стран Евросоюза необходимо родительское согласие на обработку его данных, для операторов, которые не зарегистрированы в ЕС – обязательно назначить представителя в одной из его стран.

Как мы видим, вопросы обработки персональных данных в интернете актуальны во всем цивилизованном мире. 

В России уже были прецеденты, когда Роскомнадзор наложил штраф за форму обратной связи на «Тамбовскую Городскую Юридическую Компанию», а именно за размещение на сайте формы обратной связи без политики конфиденциальности в отношении обработки персональных данных на сайте. Застройщик из Астрахани разместил на сайте форму обратной связи из двух полей «Имя» и «Телефон», а политику конфиденциальности сайта – нет. В результате получил штраф. Этот список можно продолжать, и тут важно отметить, что если Роскомнадзор оштрафовал за отсутствие политики конфиденциальности, то найти другие нарушения ему также не составит труда. Напротив, если на сайте опубликован грамотный документ в отношении обработки персональных данных пользователей, представитель контролирующего органа задумается, стоит ли искать нарушения или найти их у других, наиболее очевидных правовых нигилистов?

В целом защита персональных данных пользователей сайта на техническом уровне – это задача специалиста по информационной безопасности, который совместно с юристом должен провести работу над составлением и публикацией политики конфиденциальности и иных документов организации, регламентирующих обработку данных.

К числу основных рекомендаций для составления и публикации политики конфиденциальности для сайта в 2019 году, выделим следующие:

  1. Политика должна содержать информацию о том, какие именно данные пользователя будут обрабатываться, каким образом, а также будет ли такая информация передана третьим лицам (если да, каким именно лицам, с какой целью).

  2. Название политики конфиденциальности лучше указать следующее: политика в отношении обработки персональных данных. Это необязательно, но именно так этот документ называется в Законе, однако, наиболее важным, нежели название, является условие о беспрепятственном и постоянном доступе к политике конфиденциальности на сайте.

  3. Согласие пользователя на обработку персональных данных должно быть явным и юридически означать акцепт политики конфиденциальности. После того, как пользователь заполнит данные на сайте ему можно выслать ссылку для подтверждения на его электронную почту, код на телефон для подтверждения его данных.

  4. Необходимо упомянуть правовые основания обработки персональных данных на сайте (законы и подзаконные акты, регулирующие отношения, связанные с деятельностью организации в области обработки персональных данных (например, ТК РФ; Закон от 27.07.2006 № 149-ФЗ; Указ Президента от 06.03.97 № 188).

  5. Обработка персональных данных должна ограничиваться достижением конкретных и заранее определенных целей, если цель обработки в политике не указана, сбор персональных данных незаконен.

  6. Лучше прямо прописать, какие персональные данные вы обрабатывать не будете (например, «оператор не собирается и не обрабатывает специальные категории персональных данных, касающиеся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни»).

  7. Раздел в политике конфиденциальности «Порядок и условия обработки персональных данных» должен перечислять действия, совершаемые организацией с персональными данными, а также способы, используемые для их обработки, и сроки такой обработки. К таковым можно отнести сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных. При составлении Политики следует выбрать те действия, которые совершаются с персональных данных в вашей организации. Чаще всего в Политике указывают все способы.

  8. Способ обработки персональных данных может быть автоматизированным (с использованием средств вычислительной техники) и неавтоматизированным (только вручную). Нужно указать применимый способ обработки персональных данных, так как каждый их них порождает свои правовые последствия.

  9. Необходимо разграничить начало течения срока обработки применительно к каждой категории субъектов. Дата прекращения срока обработки персональных данных определяется наступлением одного из следующих событий:

  • достигнуты цели их обработки;

  • истек срок действия согласия субъекта или он отозвал согласие на обработку персональных данных;

  • обнаружена неправомерная обработка персональных данных;

  • прекращена деятельность организации.

Это далеко не исчерпывающие рекомендации. Здесь важно предусмотреть, что составление политики конфиденциальности для сайта должно проходить в несколько этапов. Первый – структурирование совместно со специалистом по информационной безопасности самого процесса обработки, второй – составление текста документа, отражающего реальные действия с персональными данными пользователей сайта, наконец, третий – публикация и запуск механизма обработки данных в соответствии с политикой, включая резервное копирование, реагирование на инциденты и обращения субъектов персональных данных и пр.

Составление политики конфиденциальности для сайта, безусловно, лучше доверить профессионалам – it-юристам, а не пытаться сэкономить на составлении, ведь штрафы Роскомнадзора для интернет-сайта могут оказаться выше затрат на специалистов интернет права.

06.02.2019 г.

IT-Юрист

Алексей Анатольевич Шаталов