Вопросы и ответы по теме «Политика конфиденциальности»

Автор: Олег Ефимов

Вопросы и ответы по теме «Политика конфиденциальности»

I. Общие вопросы

1. Политика конфиденциальности должна быть размещена на любом сайте?

Нет не на любом. Размещать политику стоит лишь в том случае, если вы являетесь оператором персональных данных, то есть каким-либо образом получаете или обрабатываете персональные данные пользователей. При этом большинство интернет сайтов собирают персональные данные, к примеру, в формах регистрации, обратной связи, формах заказа товаров и т.д.

[свернуть]

2. Что грозит владельцу сайта, если он не разместил политику?

Если владелец сайта является оператором персональных данных и не разместил политику конфиденциальности, то ему грозит ответственность, предусмотренная ст. 13.11 КоАП РФ в будущей редакции штраф для ИП – 10 000 рублей, организации 50 000 рублей.

[свернуть]

3. Если политика размещена, но в ней нет информации, которая относится к деятельности сайта (например, я оператор персональных данных, но в политике не прописано, как хранятся персональные данные), то какое наказание следует?

Если будет установлено, что это нарушает Закон, то в соответствии с 13.11 КоАП РФ.

[свернуть]

4. С кого взыскивается ответственность, если на сайте не указан владелец (юрлицо)?

Если владелец не указан, то это не означает, что его нельзя найти. Кроме того, указание такой информации является обязательным в силу положений части 4 статьи 9 Закона и является нарушением. Поэтому будет проведена проверка и затем найдут, и привлекут виновного к ответственности.

[свернуть]

5. Есть ли наказание за то, что не указано юрлицо? Какое?

Указание такой информации является обязательным в силу положений части 4 статьи 9 Закона, а невыполнение требований в данной части Закона подпадает под часть 4 статьи 13.11 в будущей редакции.

[свернуть]

II. Как назвать раздел на сайте?

1. Политика конфиденциальности, пользовательское соглашение, правовая политика — какое определение выбрать?

В пункте 2 части 1 статьи 18.1 Закона, части 2 статьи 18.1, сказано, что «для выполнения оператором обязанностей, предусмотренных данным Законом, оператор издает документы, определяющие политику оператора в отношении обработки персональных данных и обязан предоставить неограниченный доступ к такому документу». Вполне логично выбрать название: “Политика компании в отношении обработки персональных данных”

[свернуть]

2. Есть ли различия между ними?

Да, есть. Некоторые документы содержат в себе ряд положений, большинство которых не имеют отношения к персональным данным. То есть для выполнения требований Закона уже разработанный документ приводится в соответствие с Законом и в него вносятся положения о персональных данных. При разработке “политики в отношении обработки персональных данных” все требования, установленные Законом прописываются в одном документе.

[свернуть]

3. Когда уместнее выбрать то название, а не другое? От чего это зависит?

Зависит прежде всего от целей документа и информации которая там будет содержаться. Некоторые организации (Ла-мода, Читай-город) включают положения о конфиденциальности и порядке обработки персональных данных в свои пользовательские соглашения, правила продажи товаров. ООО «Адидас», Озон публикуют отдельный документ, называющийся «политика в отношении обработки персональных данных».

[свернуть]

III. Структура раздела

1. Есть ли общепринятая структура политики конфиденциальности?

Данный документ разрабатывается исходя из конкретных целей обработки персональных данных основываясь на положениях Закона. Исходя из анализа документов различных компаний можно сформировать определенную структуру. (смотреть пункт 2)

[свернуть]

2. Какие блоки (например, “Общие положения”) обязательно должны быть в политике конфиденциальности?

Общие положения, сведения об операторе, способы обработки персональных данных, перечень обрабатываемых персональных данных по субъектам персональных данных, цели обработки персональных данных, права субъектов персональных данных и оператора персональных данных и др.

[свернуть]

3. Если я являюсь владельцем: сайта, на которых собираются персональные данные, интернет-магазина, корпоративного сайта, новостного портала, блога, то какие блоки я обязательно должен указать в политике конфиденциальности? Есть ли еще типы сайтов с индивидуальными блоками, их также необходимо указать и прописать блоки, которые должны присутствовать в политике.

В данном случае необходимо прописывать блоки в политике исходя из целей, формата деятельности, объема персональных данных в разных случаях, унифицированных блоков нет, есть общая структура которую нужно индивидуализировать. (смотреть пункт 2)

[свернуть]

4. Насколько необходим блок “Термины и определения” в политике конфиденциальности?

Закон не обязывает включать подобные сведения, термины и определения содержатся в тексте Закона. Для удобства пользователя такой блок включить можно.

[свернуть]

5. Информацию об авторских правах выносить в отдельный блок или прописывать в рамках другого блока? Если другого, то в каком блоке будет уместнее эта информация?

В случае, если есть информация помимо политики в отношении обработки персональных данных, стоит разрабатывать документ по типу пользовательского соглашения. (см “Как назвать раздел на сайте”)

[свернуть]

6. Возможно ли заменить название блока, если общепринятое мне не нравится? Например, заменить “Использование персональных данных” на “Для чего вам нужна персональная информация?”

Да, возможно. Подобная практика часто встречается в различных организациях.

[свернуть]

IV. Информация

1. Судя по некоторым политикам конфиденциальности, к примеру М-видео и Google, не обязательно использовать официальный стиль. Это доступно только большим компаниям? Или всякий владелец сайта вправе публиковать политику конфиденциальности в подобном виде?

У М-Видео есть отдельный документ «политика в отношении обработки персональных данных», а на сайте Google действительно стиль неофициальный. В некоторых документах также присутствует неофициальный стиль. В законе нет требований относительно названий поэтому с формально-юридической стороны ответ здесь положительный и действительно можно называть разделы иначе.

[свернуть]

2. Обязательно ли писать определения “пользователь”, “администрация сайта”, “персональные данные” и т.д. с большой буквы, даже если не используется официальный стиль?

Нет, не обязательно. То с какой буквы написаны определения вопрос стиля документа, а не соблюдения закона.

[свернуть]

3. Какая информация обязательно должна быть отображена в блоках, чтобы не нарушить закон? Необходимо прописать информацию по блокам, которые обязательно должны быть в любой политике, плюс для сайтов, на которых собираются персональные данные, интернет-магазинов и т.д.

Смотреть пункт 2 “структура раздела”.

[свернуть]

4. Обязательно ли прописывать информацию о cookies и иных технологиях? Если да, что именно должно быть отражено в политике по поводу cookies и иных технологиях.

Зависит от целей сбора персональных данных. Такие положения встречаются у различных агрегаторов или организаций, осуществляющих анализ активности пользователей для каких-либо целей. Они прописывают, что такое cookies каким образом осуществляется взаимодействие и как они могут отключить эту функцию. В случае если cookies мы не используем для достижения целей, то и прописывать незачем.

[свернуть]

5. Очень часто в политике конфиденциальности различных сайтов можно встретить такие фразы: “Персональные данные пользователя обрабатываются в соответствии с ФЗ «О персональных данных» № 152-ФЗ.” “Признание судом недействительности какого-либо положения настоящей политики не влечёт за собой недействительность остальных положений.” “Во всём остальном, что не отражено напрямую в политике конфиденциальности, Компания обязуется руководствоваться нормами и положениями Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных».” Что “скрывается” под каждой фразой?

силу требований Закона. Во втором и третьем случае — подход разработчика к составлению документа. Посчитали, что стоит внести данную информацию, а о целях нужно спросить у них. Стоит ли их использовать в своей политике конфиденциальности? Если да, то почему? Правовое основание использовать конечно стоит — этого требует Закон, в остальном на усмотрение Оператора.

[свернуть]

6. Почему необходимо прописывать “...с использованием средств автоматизации или без использования таких средств”, когда говорим про обработку персональных данных?

Оператор обязан уведомить субъект персональных данных о способах сбора персональных данных. Если персональные данные получают без использования средств автоматизации, то есть данные существуют только на бумаге есть ряд исключений. Например, не нужно подавать уведомление в Роскомнадзор. Поэтому данную формулировку в том или ином виде прописать следует.

[свернуть]

УСЛУГИ ПРАВОВОГО ПАРТНЕРСТВА «ЕФИМОВ И ПАРТНЕРЫ».

Мы предлагаем три пакета услуг в области персональных данных: простой, бизнес, элит.

Простой пакет — анализ сайта на предмет соблюдения положений Закона; уведомление в Роскомнадзор; разработка типового пакета документов; рекомендации по внедрению документов.

Бизнес — анализ сайта на предмет соблюдения положений Закона; уведомление в Роскомнадзор; разработка типового пакета документов либо анализ готовых документов организации и внесение правок; консультирование.

Элит — анализ сайта на предмет соблюдения положений Закона; уведомление в Роскомнадзор; разработка пакета документов (под ключ); анализ договоров на предмет соблюдения требований Закона и внесение правок; консультирование.

Наши услуги:

  • подача уведомления в Роскомнадзор;
  • анализ сайта на предмет соблюдения положений Закона;
  • анализ готовых документов на предмет соблюдения Закона;
  • разработка типового пакета документов;
  • разработка пакета документов “под ключ” (пакет документов разрабатывается после предварительного детального анализа деятельности организации);
  • анализ договоров гражданско- правового характера на предмет соблюдения требований Закона, рекомендации по приведению в соответствие;
  • консультирование.

Также рекомендуем почитать нашу заметку Персональные данные и сайты. Вопросы и ответы. (FAQ)