Политика в отношении обработки персональных данных
Все работодатели являются операторами персональных данных (ОПД). У них есть ряд обязанностей по Закону №152-ФЗ «О защите персональных данных» и Трудовому кодексу в части действий с личной информацией граждан.
Одна из них — издать политику в отношении обработки персональных данных и другие локальные акты в этой сфере.
Разбираемся с перечнем и содержанием документов работодателя по 152-ФЗ с учетом нового закона о персональных данных 2022 года.
Важно! Время использования типовых шаблонов по работе с персданными прошло. Все «могут быть», «какие-то мероприятия по защите персданных» и общие формулировки заменены на требование конкретизировать субъектов, персональные данные и действия под конкретные цели. Использовать типовые шаблоны с общими формулировками опасно. |
Рекомендуем разрабатывать Политику по обработке персональных данных и Положение по персданным и другие документы исключительно под свою компанию, учитывая ее специфику и бизнес-процессы. Если у вас возникнут сложности, наши эксперты помогут вам разработать документы или провести аудит составленных вами ЛНА.
Какие локальные акты по персональным данным должны быть у работодателя
Перечень и содержание конкретных документов всегда зависят от специфики деятельности организации, например:
- сколько у нее видов деятельности;
- с какими категориями граждан она работает — только работники или еще клиенты, посетители и другие физлица;
- в каком объеме организация собирает личную информацию о них;
- как она обрабатывает персональные данные (ПД) — неавтоматизированным способом или с помощью информационной системы;
- работает ли компания с информацией о гражданах самостоятельно или передала их обработку другому лицу.
Но есть ряд обязательных документов по персональным данным в организации. Это локальные нормативные акты, которые нужно принимать с учетом мнения профсоюза, и локальные акты, которые утверждаются работодателем без согласования с профсоюзом.
Таблица. Обязательные локальные акты по персональным данным согласно нормативным документам
Название | Согласование с профсоюзом (да/нет) | Нормативные требования | Краткое описание |
Политика об обработке персональных данных | нет | п. 2. ч. 1 ст. 18.1 Закона №152-ФЗ | Основополагающий документ, который объясняет принципы работы компании с личными данными клиентов, работников и других физлиц |
Положение о персональных данных работников | да | п. 8 ст. 86, ст. 88 ТК РФ | Устанавливает порядок обработки, а также права и обязанности работодателя, работника в сфере защиты ПД |
Локальные акты по вопросам обработки персональных данных | нет | п. 2. ч. 1 ст. 18.1 Закона №152-ФЗ | Определяют для каждой цели обработки ПД:
|
Документированные процедуры по предотвращению и выявлению нарушений законодательства о ПД, устранению последствий нарушений | нет | п. 2. ч. 1 ст. 18.1 Закона №152-ФЗ | Устанавливают способы и средства защиты ПД, порядок действий при утечках личной информации и других инцидентах |
Руководитель компании самостоятельно определяет конечный перечень документов по защите персональных данных, не игнорируя законодательные требования. Например, список локальных актов для интернет-магазина, где есть наемные работники, может выглядеть так:
- политика об обработке персональных данных;
- регламент (порядок, положение) обработки ПД;
- положение об обработке персональных данных работников;
- перечень должностей сотрудников, имеющих доступ к ПД, и объем доступа;
- реестр ПД;
- положение о защите персональных данных в информационной системе — веб-сайте;
- формы согласия на обработку ПД, договора-оферты с покупателем;
- приказ о назначении ответственного за организацию обработки персональных данных.
Важно! Правила в локальных актах не могут ограничивать права субъекта ПД, а также давать оператору не предусмотренные законодательно полномочия и обязанности — п. 2. ч. 1 ст. 18.1 Закона №152-ФЗ. |
Как составить Политику обработки и защиты персональных данных
Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к Политике обработки ПД — ст. 18.1 Закона №152-ФЗ. Документ размещают на сайте компании, если он есть. То есть в сети Интернет можно найти образцы локальных актов в сфере персональных данных, в том числе Политику оператора.
Но мы не советуем их использовать, поскольку каждая организация имеет свою специфику. То, что применимо и проверено в одной компании, может не работать в другой. И Политика обработки персональных данных изначально не будет выполняться.
Для разработки собственного документа воспользуйтесь рекомендациями Роскомнадзора и Законом №152-ФЗ. Учитывайте также Закон №266-ФЗ от 14.07.2022 о новых требованиях к работе с ПД.
Скачайте Рекомендации Роскомнадзора здесь.
Политика об обработке ПД состоит из разделов:
- Общие положения;
- Цели сбора персональных данных;
- Правовые основания обработки ПД;
- Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных;
- Порядок и условия обработки ПД;
- Актуализация, исправление, удаление и уничтожение ПД.
Рассмотрим их примерное содержание.
Примерную структуру Политики по обработке ПД, скачайте по ссылке.
Прежде чем корректировать документы или разрабатывать новые под требования закона №266-ФЗ от 14.07.2022, проведите аудит. Как это сделать, узнаете на курсе. |
Общие положения
Здесь описывают назначение документа, а также приводят основные термины и определения по ст. 3 Закона №152-ФЗ. Также в разделе приводят права, обязанности оператора и субъекта ПД.
Для описания назначения Политики можно использовать формулировку «Защита прав субъектов персональных данных при обработке их персональных данных. Установление принципов работы компании с ПД».
Обратите внимание! При описании обязанностей оператора по обработке персональных данных не забудьте про новые требования по ст. 1 закона 266-ФЗ:
|
Цели сбора персональных данных
В этом разделе указывают, для чего оператору нужна личная информация физических лиц: работников, клиентов, посетителей. Цели обработки определяют исходя из видов деятельности компании и ИП по учредительным документам, их бизнес-процессов, требований законодательства.
Важно! Обработка ПД должна ограничиваться достижением конкретных, заранее определенных целей (ст. 5 Закона №152-ФЗ). Оператор не может требовать от физического лица избыточную личную информацию, которая не связана с исполнением условий договора с ним или законодательных требований. Например, информация о вероисповедании работника не нужна для ведения кадрового учета. Адреса e-mail или страницы в соцсетях нельзя требовать как обязательные сведения при оказании услуг по ремонту мебели. |
Некоторые компании при описании целей ограничиваются одним предложением «Организация собирает и использует персональные данные для своей уставной деятельности и выполнения требований законодательства РФ». Это универсальная формулировка, но к ней могут быть претензии у тех же субъектов ПД. Оператор нужно будет доказывать, что он не собирает избыточную личную информацию.
Правовые основания обработки персональных данных
Здесь указывают законы и нормативные акты, в соответствии с которыми нужна личная информация граждан при осуществлении определенного вида деятельности. Например, сведения о работниках собирают по требованиям Трудового кодекса, Налогового кодекса, законов о социальном страховании и бухгалтерском учете, нормативных актов по воинскому учету.
Также правовым основанием могут служить уставные документы оператора, договор между ним и клиентом, согласие на обработку персональных данных.
Обратите внимание! Закон №152-ФЗ к правовым основаниям обработки ПД не относится. Он описывает требования к самой процедуре. |
Объем и категории обрабатываемых ПД, категории субъектов ПД
Здесь указывайте группы физических лиц, с которыми вы взаимодействуете, и чьи данные собираете. Субъектами персональных данных могут быть:
- работники;
- посетители компании;
- клиенты;
- представители контрагентов;
- подрядчики — ИП и самозанятые.
Важно! Новый закон о защите персональных данных 2022 года ввел требование об указании категорий субъектов ПД и категорий ПД в уведомлении Роскомнадзора по каждой цели обработки — ч. 3.1 ст. 22 Закона №152-ФЗ в редакции с 01.09.2022. |
Например, по категории «посетители организации» указывайте как такие группы ПД, как Ф.И.О., паспортные данные, биометрические данные (если используете видеокамеры на входе).
Порядок и условия обработки персональных данных
В этом разделе подробно опишите:
- перечень действий с персональными данными (сбор, передача третьим лицам, хранение и другое);
- способы обработки (например, автоматизирования или без источников автоматизации);
- сроки совершения действий с ПД;
- условия передачи ПД третьим лицам;
- сведения о соблюдении требований конфиденциальности;
- условия и сроки хранения ПД.
Оператор имеет право поручить обработку персональных данных другому лицу по договору. Но это не избавляет его от ответственности перед субъектом ПД.
Если вы передаете личную информацию клиентов третьим лицам, опишите в этом разделе названия и местонахождение этих лиц. Например, ИП поручил ведение учета бухгалтерии на аутсорсинге. В этом случае он указывает как Центр обработки персональных данных (ЦОД) компанию-подрядчика.
Здесь же отразите случаи, когда передача ПД происходит без согласия субъекта. Это ситуации выполнения требований законодательства: направление сведений в пенсионный фонд, военкомат, налоговую инспекцию, взаимодействие с органами дознания и другое.
По общему правилу обработка персональных данных должна быть прекращена после достижения указанных целей обработки, отзыва согласия субъектом ПД, а также при выявлении неправомерной обработки — ст. 21 Закона №152-ФЗ. С 1 сентября 2022 года установлен срок в 10 рабочих дней на эту процедуру при обращении гражданина. Это тоже нужно отразить в Политике.
Важно! Роскомнадзор рекомендует документировать уничтожение персональных данных. Чаще всего оформляют соответствующий акт или делают запись в соответствующем Журнале. Форму акта, Журнала и порядок их заполнения оператор определяет самостоятельно. |
Что обязательно включить в политику по обработке персональных данных в связи с новыми требованиями закона 266-ФЗ, подскажем на нашем курсе. |
Что писать в Положении о защите персональных данных работников
При разработке локального нормативного акта руководствуйтесь требованиями главы 14 ТК РФ и Законом №152-ФЗ. Учитывайте также следующие особенности нормативного регулирования трудовых отношений:
- Обработка персональных данных работников может проходить только на территории РФ, поскольку действие Трудового кодекса не распространяется за пределы страны. Все действия с ПД должны быть обусловлены нормативными требованиями, содействием профессиональному развитию сотрудника, обеспечением его личной безопасности, контролем за выполняемой работой и сохранностью имущества работодателя.
- Всю личную информацию о работнике нужно получать только у него самого. Запрашивать ее у третьих лиц можно при условии уведомления и письменного согласия сотрудника.
- Специальные категории ПД работника (ст. 10 Закона №152-ФЗ) по общему правилу обрабатывать запрещено, если иное не указано в законодательстве. Например, информацию о состоянии здоровья сотрудника можно получать только в связи с установлением медицинских противопоказаний к определенной трудовой деятельности.
- Обработка ПД работников часто попадает под условия обязательного раскрытия информации в соответствии с федеральными законами: передача отчетности в ФНС, внебюджетные фонды и тому подобное. Все случаи передачи персональных данных третьим лицам нужно указать в Положении, чтобы сотрудник имел полную информацию о действиях с его данными.
Важно! Положение о защите персональных данных работников 2022 — обязательный локальный нормативный акт, от разработки которого освобождены только работодатели-физические лица без статуса ИП, а также микропредприятия. Но все условия обработки ПД работника они должны указать в трудовом договоре. |
Как разработать локальные акты по процедурам предотвращения нарушений законодательства при работе с ПД
Средства обеспечения безопасности персональных данных зависят от способа их обработки:
- автоматизированного;
- без использования средств автоматизации;
- смешанного.
Для каждого способа оператор должен определить угрозы безопасности ПД, организационные и технические меры по обеспечению безопасности ПД, средства защиты информации, правила доступа к ПД, а также другие правила по ч. 2 ст. 19 Закона №152-ФЗ. По сути, в этой норме перечислено, что должно содержаться в локальных актах организации по предотвращению нарушений законодательства.
Совет При разработке локальных актов руководствуются требованиями к защите ПД в информационных системах по Постановлению Правительства РФ от 01.11.2012 № 1119 |
Политика в отношении обработки персональных данных
Политика в отношении обработки (накопления, анализа и применения) персональных данных разрабатывается и заверяется приказом директора компании.
Политика отображает принципы и правила задействования персональных данных, а также уровни защиты указанных данных. Политика относится к документации открытого доступа, поэтому ознакомиться с текстом вправе каждый гражданин.
Срок действия Политики не ограничен. Документация теряет силу только после утверждения руководителем компании нового варианта.
Под действие Политики подпадают все работники компании, включая сотрудников, работающих по трудовым контрактам и соглашениям о заказе услуг. При участии в обработке персональных данных посторонних граждан или передаче сведений, относящихся к персональным данным по договорам, соглашениям или поручениям на обработку, перечисленные лица обязаны действовать в рамках, установленных Политикой.
Термины, используемые в документации
- В документацию, содержащую принципы обработки персональных данных служащих предприятия и обеспечения безопасности данной информации, включены такие определения:
- Персональные данные – под ними подразумевают сведения, идентифицирующие гражданина как носителя указанных данных.
- Оператор – государственное учреждение, частная компания или гражданин, которые в одностороннем порядке или с другими гражданами (организациями) собирают или используют персональные данные, устанавливают цели данной операции, количество необходимых сведений личного характера, а также разрешенные операции (действия), применимые по отношению к конфиденциальным данным.
- Обработка персональных данных – деятельность (одно или комплекс мероприятий), направленная на сбор, анализ, актуализацию (уточнение и внесение поправок), сохранение, удаление, передачу (или открытие доступа к персональным данным), блокировку с применением автоматизированных устройств (персональных компьютеров и электронных хранилищ данных) или без таковых.
Распространение подразумевает выдачу сведений личного характера в открытый доступ. То есть персональные данные перестают быть секретными и защищенными.
- Предоставление – аналогичная деятельность по выдаче доступа к персональным данным, но четко обусловленным гражданам или предприятиям.
- Блокировка предусматривает временную остановку обработки таких персональных данных.
- Уничтожение – список мер, по итогу которых персональные данные в собственной базе данных учреждения восстановлению не подлежат, либо физическая ликвидация физических или электронных хранилищ персональных данных.
- Внутренние базы данных – хранилища (бумажные или электронные), сберегающие персональную информацию, необходимые для обработки персональных данных с задействованием компьютерных программ или других автоматизированных элементов.
Правила использования
Для обработки персональных данных задействуются автоматизированные программы. Но применение, накопление и перенаправление сведений личного характера могут проводиться и без них. Обработка личных данных предполагает:
- сбор и фиксацию;
- анализ и систематизирование;
- обобщение, сохранение и внесение правок (обновление);
- передачу доступа к закрытым сведениям;
- блокировку и удаление данных.
Разрабатывают Политику в отношении сбора, накопления и перенаправления запрашиваемых сведений с учетом законодательной базы РФ:
- Конституции;
- Кодексов о труде, налогообложении;
- Законов Федерации «О персональных данных», «Об электронной цифровой подписи», «О лицензировании», «О связи», «Об архивном деле», «Об образовании».
Также это делают с учетом статута и регламента компании, в которой разработана данная Политика.
Количество необходимых для обработки персональных данных зависит от направленности данного запроса. Устанавливается запрет на обработку, накопление, сохранение и передачу сведений личного характера, если эти действия не связаны с:
- оформлением трудовых контрактов с данными гражданами;
- исполнением обязательств предприятия по договору или соглашению;
- функциональными обязанностями удостоверяющего центра;
- исполнением положений законодательства России о труде, пенсионном обеспечении, бухгалтерском учете.
Субъекты, попадающие под действие Политики
Политика предприятия относительно обработки персональных данных обеспечивает защиту конфиденциальности данных:
- людей, оформивших трудовые отношения с данной компанией;
- граждан, заключивших трудовые или гражданские соглашения с контрагентами данной компании;
- граждан, претендующих на занятие должности в данной компании.
- Какие персональные данные граждан подлежат обработке:
- фамилия, имя, отчество;
- полная дата и место рождения;
- место жительства и регистрации;
- семейное и социальное положение;
- данные о доходах;
- сведения об образовании и специальности;
- информация о месте работы;
- идентификационный номер и данные паспорта;
- контактные данные (номер мобильного телефона, e-mail, Skype).
Обработка личных данных предполагает обеспечение достоверности и правильности, а также соответствие запрошенной направленности обработки персональных данных.
Если при обработке выявлены нарушения или ошибки в указанной информации, сотрудник, отвечающий за ее получение, накопление и сохранность, перепроверяет данные.
При обработке личных данных персонал предприятия обеспечивает защиту конфиденциальности.
Сроки использования и хранения личных сведений
При отсутствии специальных сроков, регламентированных Политикой обработки персональных данных, законодательством России, соглашениями между данной компанией и контрагентами, время использования и сбережения защищаемой законом информации не должно превышать сроки, необходимые для достижения целей данной операции.
Для гарантирования безопасности персональных данных сведения, применяемые и сохраняемые в учреждении, уничтожаются:
- в течение календарного месяца при выполнении необходимой обработки перечисленных данных или достижении предусмотренного срока сбережения, а также при отсутствии необходимости в дальнейшем использовании;
- в недельный срок после предоставления уведомления гражданина – носителя сведений личного характера или лица, представляющего интересы, о незаконном способе сбора или отсутствии потребности в обработке;
- за 10 календарных дней – данные, законную обработку которых гарантировать не удается;
- в течение месяца при отказе лица от согласования использования данных личного характера, если сбережение сведений законом не предусмотрено;
- в двухдневный срок при отмене согласования на сохранение данных личного характера в отношении покупателей для распространения рекламируемых услуг или товаров;
- по истечении сроков подачи судебного иска в рамках гражданских правоотношений, при договорном оформлении которых требовались персональные данные;
- одновременно с реорганизацией или ликвидацией предприятия, использовавшего персональные данные граждан.
Соглашение субъекта персональных сведений
Обработка личностных данных правомерна, если в наличии:
- двусторонние договорные обязательства между субъектом данных и коммерческой или государственной организацией;
- получение поручения или его оформление на сохранение или выдачу сведений личного характера при договорной работе;
- подписанное соглашение с операторами сведений с закрытым доступом, получившими лицензию на подобную деятельность.
Данные соглашения регламентируют:
- Задачу, правила и время сохранения, переработки или выдачи персональных данных.
- Двусторонние права и обязательства, в том числе по гарантированию безопасности персональных данных.
- Штрафные санкции контрагентов при необеспечении надлежащей защиты персональных данных или закрытого режима.
- Когда обработка данных личного характера не предусмотрена законодательной нормой или статьей договора, сбор, дополнение или сохранение данных разрешены только после согласования с владельцем указанных сведений. Согласование на обработку личных данных оформляется в виде выполнения действий или принятия положений договора-оферты: заполнение типового бланка с указанием персональных данных.
- При обработке данных личного характера в условиях проведения рекламной акции законодатель устанавливает необходимость письменного согласования с их владельцем.
Гарантии защиты
Предприятие при работе с закрытыми сведениями физлиц отвечает за способы защиты персональных данных (организационного и технического характера) от случайного или преднамеренного неразрешенного доступа, обновления, выдачи или удаления. Мероприятия по защите персональных данных:
- назначение персонала, обеспечивающего накопление, внесение правок, выдачу и гарантирование безопасности передаваемых сведений личного характера;
- добавление в соглашения с другими учреждениями статьи или пункта о защите персональных данных от несанкционированной выдачи;
- создание локальных актов (уставов, программ), прописывающих обработку персональных данных и уведомление персонала;
- осуществление мероприятий по безопасности помещений и защите персональной компьютерной техники, задействованной в обработке персональных данных: пропуска, охрана зданий и видеонаблюдение за сотрудниками, занимающимися обработкой данных;
- многоуровневый доступ к персональным данным, анализ работы персонала при обработке персональных данных;
- обнаружение и диагностика угроз защите сохраняемых и передаваемых персональных данных, отработка моделей реагирования на основе выявленных алгоритмов;
- внедрение автоматизированных защитных механизмов персональных данных: программ антивирусов, по защите и блокировке незаконного или случайного доступа, межсетевых экранов и криптографической охраны;
- составление учета электронных и бумажных хранилищ сведений личного характера, как защиты от размножения, внесения правок, распространения или удаления сохраняемых данных;
- дополнительное копирование персональных данных для восстановления сведений при утилизации;
- отслеживание исполнения перечисленных в Политике пунктов при обработке персональных данных, контроль действенности мер по защите данных от противоправных посягательств, анализ реагирования на ситуации случайного или преднамеренного незаконного доступа к персональным данным.
Ответственность за невыполнение
Мониторинг и надзор над соблюдением сотрудниками предприятия Политики относительно персональных данных – обязанность руководителей подразделений по обработке персональных данных и по информационной защите. Руководители перечисленных структурных подразделений анализируют выполнение пунктов Политики при обработке персональных данных в сфере подразделения.
В соглашениях гражданского или трудового характера, заключаемых между учреждением и субъектами персональных данных, прописываются санкции за неправомерный сбор, хранение или распространение сотрудниками данных личного характера.
Служащие, допустившие неправомерную выдачу сведений личного характера, несут наказание, предусмотренное нормами административного, гражданского и уголовного законодательства РФ. Порядок наложения взысканий за несоблюдение пунктов Политики по выдаче сведений личного характера регламентируется законодательными и локальными актами компании и заключенными договорами.
Разрабатывает Политику относительно персональных данных специально назначенный служащий, а в силу акт вступает после подписания руководителем предприятия. Пересматривается Политика по работе со сведениями личного характера раз в год. Дополнения и уточнения вносятся по мере необходимости.
Политика в области обработки и обеспечения безопасности персональных данных
ООО «Хэдхантер» (ИНН 7718620740, адрес: 129085, г.Москва, ул.Годовикова, д.9, стр.
10) (далее — «Компания») в рамках выполнения своей основной деятельности осуществляет обработку персональных данных различных категорий субъектов персональных данных с использованием информационных систем персональных данных, включающих в том числе следующие интернет-сайты Компании: https://hh.ru, https://headhunter.ru, https://career.ru, а также иные сайты Компании, которые ссылаются на данную Политику.
В соответствии с действующим законодательством Российской Федерации Компания является оператором персональных данных. При организации и осуществлении обработки персональных данных Компания руководствуется требованиями Федерального закона от 27.07.2006 № 152-ФЗ «О персональных данных» и принятыми в соответствии с ним иными нормативными правовыми актами.
Для целей настоящей Политики под персональными данными понимаются любая информация, предоставленная через интернет-сайты Компании и (или) собранная с использованием таких интернет-сайтов, относящаяся к прямо или косвенно определенному, или определяемому физическому лицу (субъекту персональных данных).
2. Сбор персональных данных
- Компания осуществляет сбор информации через интернет-сайты и мобильные приложения следующими способами:
- • Персональные данные, предоставляемые пользователями:
Компания осуществляет сбор персональных данных, которые вводят в поля данных на интернет-сайтах Компании сами пользователи или иные лица по их поручению. - • Сбор данных о местонахождении устройств пользователей мобильного приложения Компании при использовании пользователями мобильного приложения.
- • Сбор IP адресов пользователей и файлов cookies.
• Пассивный сбор персональных данных о текущем подключении в части статистических сведений: — идентификатор пользователя, присваиваемый Сайтом;
— посещенные страницы;
— количество посещений страниц;
— информация о перемещении по страницам сайта (в т.ч.
запись движения мыши, нажатий на ссылки и элементы сайта);
— длительность пользовательской сессии;
— точки входа (сторонние сайты, с которых пользователь по ссылке переходит на Сайт);
— точки выхода (ссылки на Сайте, по которым пользователь переходит на сторонние сайты);
— страна пользователя;
— регион пользователя;
— часовой пояс, установленный на устройстве пользователя;
— провайдер пользователя;
— браузер пользователя;
— цифровой отпечаток браузера (canvas fingerprint);
— доступные шрифты браузера;
— установленные плагины браузера;
— параметры WebGL браузера;
— тип доступных медиа-устройств в браузере;
— наличие ActiveX;
— перечень поддерживаемых языков на устройстве пользователя;
— архитектура процессора устройства пользователя;
— ОС пользователя;
— параметры экрана (разрешение, глубина цветности, параметры размещения страницы на экране);
— информация об использовании средств автоматизации при доступе на Сайт;
— дата и время посещения сайта;
— источник перехода (UTM метка);
— значение UTM меток от source до content;
— уникальный идентификатор, присваиваемый интернет-сторонним сервисом, обеспечивающим обработку статистических данных.
В отношении зарегистрированных пользователей Сайта могут собираться сведения об использовании портов на устройствах пользователей с целью выявления подозрительной активности и защиты личных кабинетов пользователей. Данные могут быть получены с помощью различных методов, например, файлов cookies и файловых веб-маяков и др.
Компания может использовать сторонние интернет-сервисы (технологии третьих лиц) для организации сбора статистических персональных данных, сторонние интернет-сервисы обеспечивают хранение полученных данных на собственных серверах. Компания не несет ответственности за локализацию серверов сторонних интернет-сервисов.
При этом такие сторонние интернет-сервисы (технологии третьих лиц), установленные на Сайте и используемые Компанией, могут устанавливать и считывать cookie-файлы браузеров конечных пользователей Сайта, или использовать сетевые маячки (web beacons) для сбора информации в процессе рекламной деятельности на Сайте.
Порядок сбора и использования данных, собираемыми такими сторонними интернет-сервисами (технологиями третьих лиц), определяется самостоятельно этими сторонними интернет-сервисами и непосредственно они несут ответственность за соблюдение этого порядка и использование собираемых ими данных, в том числе эти сторонние интернет-сервисы отвечают и обеспечивают выполнение требований применимого законодательства, в том числе законодательства о персональных данных РФ.
Компания не проводит сопоставление информации, предоставляемой пользователем самостоятельно и позволяющей идентифицировать субъекта персональных данных, со статистическими персональными данными, полученными в ходе применения подобных пассивных методов сбора информации.
3. Принципы и условия обработки персональных данных
Обработка персональных данных в Компании осуществляется на законной и справедливой основе и ограничивается достижением конкретных, заранее определенных и законных целей, в том числе, в соответствии с Условиями использования Сайтов, Условиями оказания услуг, Соглашением об оказании услуг по содействию в трудоустройстве.
Обработке подлежат только персональные данные, которые отвечают целям их обработки. Содержание и объем обрабатываемых в Компании персональных данных соответствуют заявленным целям обработки, избыточность обрабатываемых персональных данных не допускается.
При обработке персональных данных в Компании обеспечивается точность персональных данных, их достаточность и, в необходимых случаях, актуальность по отношению к целям обработки персональных данных. Компания принимает необходимые меры (обеспечивает их принятие) по удалению или уточнению неполных, или неточных персональных данных.
Компания в ходе своей деятельности может предоставлять и (или) поручать обработку персональных данных другому лицу с согласия субъекта персональных данных, если иное не предусмотрено законодательством РФ о персональных данных.
При этом обязательным условием предоставления и (или) поручения обработки персональных данных другому лицу является обязанность сторон по соблюдению конфиденциальности и обеспечению безопасности персональных данных при их обработке.
Сроки обработки персональных данных определяются в соответствии с целями, для которых они были собраны.
4. Права субъекта персональных данных
- Субъект персональных данных имеет право (если иное не предусмотрено законом):
- • требовать уточнения своих персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, недостоверными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав;
- • требовать перечень своих персональных данных, обрабатываемых Компанией, и источник их получения;
- • получать информацию о сроках обработки своих персональных данных, в том числе о сроках их хранения;
- • требовать извещения всех лиц, которым ранее были сообщены неверные или неполные его персональные данные, обо всех произведённых в них исключениях, исправлениях или дополнениях;
- • обжаловать в уполномоченном органе по защите прав субъектов персональных данных или в судебном порядке неправомерные действия или бездействия при обработке его персональных данных;
- • на защиту своих прав и законных интересов, в том числе на возмещение убытков и (или) компенсацию морального вреда в судебном порядке.
Если у Вас есть вопросы о характере применения, использовании, изменении или удалении Ваших персональных данных, которые были Вами предоставлены, или если Вы хотите отказаться от дальнейшей их обработки Компанией, пожалуйста, свяжитесь с нами по почте по адресу Компании или по электронной почте: [email protected].
Обращаем Ваше внимание, что оператор персональных данных не несет ответственности за недостоверную информацию, предоставленную субъектом персональных данных.
5. Реализация требований к защите персональных данных
- С целью поддержания деловой репутации и обеспечения выполнения требований федерального законодательства Компания считает важнейшими задачами обеспечение легитимности обработки персональных данных в бизнес-процессах Компании и обеспечение надлежащего уровня безопасности обрабатываемых в Компании персональных данных.
- Компания требует от иных лиц, получивших доступ к персональным данным, не раскрывать третьим лицам и не распространять персональные данные без согласия субъекта персональных данных, если иное не предусмотрено федеральным законом.
- С целью обеспечения безопасности персональных данных при их обработке Компания принимает необходимые и достаточные правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении них.
- Компания добивается того, чтобы все реализуемые ею мероприятия по организационной и технической защите персональных данных осуществлялись на законных основаниях, в том числе в соответствии с требованиями законодательства Российской Федерации по вопросам обработки персональных данных.
- В целях обеспечения адекватной защиты персональных данных Компания проводит оценку вреда, который может быть причинен субъектам персональных данных в случае нарушения безопасности их персональных данных, а также определяет актуальные угрозы безопасности персональных данных при их обработке в информационных системах персональных данных.
- В соответствии с выявленными актуальными угрозами Компания применяет необходимые и достаточные правовые, организационные и технические меры по обеспечению безопасности персональных данных, включающие в себя использование средств защиты информации, обнаружение фактов несанкционированного доступа к персональным данным и принятие мер, восстановление персональных данных, ограничение доступа к персональным данным, регистрацию и учет действий с персональными данными, а также контроль и оценку эффективности применяемых мер по обеспечению безопасности персональных данных.
- Руководство Компании осознает важность и необходимость обеспечения безопасности персональных данных и поощряет постоянное совершенствование системы защиты персональных данных, обрабатываемых в рамках выполнения основной деятельности Компании.
- В Компании назначены лица, ответственные за организацию обработки и обеспечение безопасности персональных данных.
- Каждый новый работник Компании, непосредственно осуществляющий обработку персональных данных, ознакамливается с требованиями законодательства Российской Федерации по обработке и обеспечению безопасности персональных данных, настоящей Политикой и другими локальными актами Компании по вопросам обработки и обеспечения безопасности персональных данных и обязуется их соблюдать.
Как подготовить политику обработки персональных данных для сайта для сайта? Юристы Destra рассказали порядок действий
Каждый пользователь должен знать, как собираются его персональные данные, с какой целью, как долго они будут храниться и когда они удалятся. Именно поэтому на сайте компании должна быть размещена политика обработки персональных данных.
- В этой статье рассматриваем политику обработки персональных данных для сайта и рассказываем, какие положения необходимо в нее включить.
- %%type:widget, id:privacy, name:quiz%%
- Оглавление
Краткий ликбез: зачем нужна политика обработки персональных данных
Вы обязаны получить согласие на обработку персональных данных от пользователя и разместить ссылку на вашу политику в отношении обработки персональных данных, чтобы человек мог с ней ознакомиться, согласиться и только после этого сообщить вам свои данные. Следование Политике должно обеспечить конфиденциальность и безопасность обрабатываемых персональных данных.
Эта обязанность возлагается в случае, если у вас есть хотя бы одна форма сбора данных:
- Рассылка;
- Подписка;
- Регистрация на сайте и так далее.
Далее рассмотрим, как составить политику и что она обычно в себе содержит.
Общие положения политики обработки персональных данных
В этом разделе нужно описать назначение политики и привести основные понятия, используемые в ней:
- Обработка персональных данных;
- Объект персональных данных;
- Субъект персональных данных и так далее.
Нельзя забывать про подробное описание основных прав и обязанностей организации и субъектов персональных данных.
Не нужно изобретать велосипед. Вся необходимая информация указана в Федеральном законе:
- Термины берите из ст. 3 Закона;
- Права и обязанности можно найти в 3 и 4 главах Закона.
Например, из ст. 3 Закона вы можете позаимствовать такие определения, как:
- персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
- обработка персональных данных — любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных;
- распространение персональных данных — действия, направленные на раскрытие персональных данных неопределенному кругу лиц;
- предоставление персональных данных — действия, направленные на раскрытие персональных данных определенному лицу или определенному кругу лиц;
- уничтожение персональных данных — действия, в результате которых становится невозможным восстановить содержание персональных данных в информационной системе персональных данных и (или) в результате которых уничтожаются материальные носители персональных данных;
- обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных и так далее.
Правовые основания обработки персональных данных
В этом разделе нужно указать нормативно-правовые акты и иные документы, в соответствии с которыми и во исполнение которых сайт собирает и обрабатывает персональные данные.
Такими документами/актами могут быть:
Политика конфиденциальности
Большинство сайтов содержит раздел «Политика конфиденциальности». Это незаметная ссылка, которую обычно располагают в подвале страницы. Владельцы сайтов размещают её неслучайно: они защищают себя от штрафа и блокировки Роскомнадзором. Позаботьтесь о ней тоже, если на вашем сайте есть корзина или форма обратной связи.
Персональные данные — любая информация о посетителе страницы, которая позволяет его опознать. Например, имя, возраст, телефон, электронная почта, домашний адрес, фотография. Закон 152-ФЗ запрещает собирать, хранить и обрабатывать эти данные без согласия человека. За нарушения владельцев сайтов штрафуют по ст. 13.11 КоАП.
Штрафы для ИП и ООО:
- — Нет политики конфиденциальности: для ИП — от 5000 до 10 000 рублей, для ООО — от 15 000 до 30 000 рублей.
- — Владелец сайта отказался сообщить пользователю, какие данные о нём собраны и с какой целью: для ИП — от 10 000 до 15 000 рублей, для ООО — от 20 000 до 40 000 рублей;
- — Владелец сайта не удалил персональные данные по требованию пользователя: для ИП — от 10 000 до 20 000 рублей, для ООО — от 25 000 до 45 000 рублей
- — Персональные данные оказались у третьих лиц: для ИП — от 10 000 до 20 000 рублей, для ООО — от 25 000 до 50 000 рублей.
- — Обработка персональных данных противоречит целям сбора: для ИП — от 5 000 до 10 000, для ООО — от 30 000 до 50 000 рублей.
- — Персональные данные обрабатывают без согласия посетителя сайта: для ИП — от 10 000 до 20 000 рублей, для ООО — от 15 000 до 75 000 рублей.
Кто находит нарушения и как
Сайты проверяет Роскомнадзор. Самая популярная причина проверки — жалоба клиента. Плановые проверки тоже бывают, но к малому бизнесу с ними приходят редко.
Пример:
Владимир планирует семейное путешествие в Грецию. Он оставил свои контакты на сайте компании «Горящие туры». Ему перезвонили и предложили слишком дорогую путёвку, поэтому он отказался. На следующий день Владимир получил СМС: «Турция, Стамбул, 22-28 марта, 30 000 руб.
/чел, отель 5 звёзд, подробности на сайте». Подобные СМС доставали его до самого отпуска. Когда он вернулся из поездки, рассылка продолжилась. Он позвонил в ООО «Горящие туры» и попросил больше не писать ему.
На следующий день получил очередное СМС — и не выдержал, написал жалобу в Роскомнадзор.
Роскомнадзор заблокировал сайт на время проверки. Политики конфиденциальности на сайте не обнаружилось. Владелец «Горящих туров» получил два штрафа: за отсутствие политики конфиденциальности и отказ удалить данные пользователя. Он заплатил 75 000 рублей.
- Какие термины используют в законе
- Знание терминов пригодится, если будете читать нормативно-правовые акты или другие статьи по теме.
- Операторы персональных данных — владельцы сайтов.
Операторы собирают, обрабатывают и хранят персональные данные. Все три действия важно прописать в политике конфиденциальности.
- Сбор информации — получение сведений о человеке. Например, при заполнении формы.
- Обработка информации — передача сведений. Например, курьеру сообщают номер телефона покупателя, чтобы доставить товар.
- Хранение информации — это когда её не удаляют сразу после получения.
Что такое политика конфиденциальности
Владелец сайта берёт у каждого посетителя согласие на сбор, обработку и хранение персональных данных. Подписывать документ на бумаге — затруднительно, из-за этого сайт растеряет всех посетителей. Поэтому есть способ проще — выложить на сайт специальный документ.
В политике конфиденциальности прописывают, какую информацию и с какой целью собирают. Сообщают также, какое действие считается согласием на обработку персональных данных. Например, оформление заказа или заполнение формы — ч. 2 ст. 18.1 152-ФЗ.
Как принять политику конфиденциальности
1. Составьте документ
Подготовьте политику конфиденциальности в виде отдельного документа. Также можно включить правила обработки персональных данных в пользовательское соглашение или договор-оферту, если работаете по ним.
- Проще всего подготовить политику конфиденциальности при помощи специальных сервисов — например, конструктора Тильды.
- Пример политики конфиденциальности
- В документе отразите:
— Перечень персональных данных. Например, имя, адрес, телефон. Не забудьте перечислить файлы cookie — обезличенные данные о посетителях, которые собирают Яндекс.Метрика и Гугл.Аналитика.
— Цели сбора и обработки. Например, исполнение договора, создание рекламных акций, продвижение товаров, улучшение сайта.
— Срок хранения. Он должен соответствовать целям.
— Меры защиты персональных данных. Например, резервное копирование.
— Какое действие считать согласием пользователя. Например, проставление галочки, создание личного кабинета, заполнение формы.
2. Опубликуйте политику конфиденциальности на сайте
Пользователю должно быть понятно, на что он соглашается. Когда он заполняет форму или регистрируется, покажите ему ссылку на политику конфиденциальности. При заходе на сайт — предупредите, что обрабатываете файлы cookie. Обычно используют всплывающее окно с кнопкой «ок».
Опубликуйте документ в доступном месте. У посетителей должна быть возможность в любой момент ознакомиться с ним. Обычно политику конфиденциальности прячут в подвал, чтобы ссылка не отвлекала от содержания сайта.
3. Уведомите Роскомнадзор
Владельцы сайтов, которые собирают персональные данные, обязаны уведомлять Роскомнадзор. За отсутствие уведомления штрафуют по ст. 19.7 КоАП РФ: ИП — на сумму до 500 рублей, ООО — до 5000 рублей.
Роскомандзор необязательно уведомлять, только если:
- Пользователи сами выкладывают свои данные в открытый доступ. Например, пишут ФИО и телефон на площадке для объявлений.
- Пользователи отправляют только ФИО.
- Вы получаете персональные данные только для исполнения конкретного договора с клиентом. Например, на сайте киносалона открыта онлайн-запись на платную встречу с режиссером. Посетитель оставляет имя, телефон и электронную почту. После мероприятия эти данные удаляются.
Лучше всё равно подстраховаться: уведомление бесплатное.
Форма уведомления
4. Назначьте ответственного за хранение персональных данных
Обычно ответственность возлагают на сотрудника, который работает с данными — кадровика, оператора колл-центра, менеджера продаж. Если вы ИП и работаете один — на самого себя.
5. Храните данные на серверах в России
Хранить персональные данные за пределами России запрещено по ст. 18 152-ФЗ. Если арендуете хранилище, узнайте, в какой стране расположены серверы.
Новым ИП — год Эльбы в подарок
Год онлайн-бухгалтерии на тарифе Премиум для ИП младше 3 месяцев
Почему важно защищать персональные данные
Брать согласие с посетителей сайта — недостаточно. Важно не передавать сведения третьим лицам и физически защитить их от утечки. Установите пароли к компьютерам и серверам, где храните информацию. Ограничьте к ним доступ своих сотрудников без необходимости. Бумажные документы храните в сейфе.
Если персональные данные стали известны кому-то ещё — это плохо. Пострадавший имеет право пойти в суд и потребовать компенсацию за моральный вред по ст. 24 152-ФЗ.
Пример из судебной практики:
Мама Евгения взяла кредит. Рассчитаться по нему она не успела: умерла. На сына обрушились звонки от коллекторов. Он пошёл в суд и заявил, что не принимал наследство, поэтому не отвечает по долгам.
Что важно для нашей темы, Евгений добавил: банк передал коллекторам номер его телефона, а он не подписывал на это согласия. Суд встал на сторону Евгения. Банк выплатил ему компенсацию за моральный вред.
Апелляционное определение Хабаровского краевого суда № 33-2412/2013
Статья актуальна на 25.05.2022