Информация о персональных данных на сайте

Предлагаем к прочтению статью. Если вы не найдете ответа по теме "Информация о персональных данных на сайте" или захотите актуализировать данные на 2020 год, то задавайте вопросы дежурному специалисту.

Вправе ли работодатель размещать информацию о работниках на своем сайте?

В современном мире, где важной составляющей стало информационное пространство, практически каждая организация имеет свой сайт в Интернете, страницы в социальных сетях, на которых нередко размещается в том числе информация о сотрудниках организации.

Какой правовой режим распространяется на информацию о сотруднике, размещаемую на сайте организации? В каком порядке осуществляется уведомление Роскомнадзора о намерении обрабатывать персональные данные? Какие правила установлены для получения согласия работника на обработку персональных данных? Когда должна быть прекращена обработка персональных данных? Какие меры ответственности может повлечь нарушение законодательства об обработке персональных данных?

Правовой режим информации о работнике на интернет-сайте

Любая информация, прямо или косвенно относящаяся к определенному или определяемому физическому лицу, является персональными данными в соответствии со ст. 3 Федерального закона N 152-ФЗ. Следовательно, при размещении информации о работнике где-либо, в том числе на сайте организации, работодатель должен соблюдать законодательство о персональных данных.

По общим правилам, предусмотренным Федеральным законом N 152-ФЗ, обработка персональных данных осуществляется с согласия субъекта персональных данных на обработку его персональных данных либо без его согласия в случаях, прямо установленных законодательством.

Согласно нормам ТК РФ и Разъяснениям Роскомнадзора от 24.12.2012 обработка персональных данных работника не требует получения работодателем соответствующего согласия указанных лиц при условии, что объем обрабатываемых работодателем персональных данных не превышает установленные перечни, а также соответствует целям обработки, предусмотренным трудовым законодательством РФ. В связи с этим необходимо проанализировать цели обработки персональных данных, предусмотренные в ТК РФ. Так, исходя из ст. 86 ТК РФ обработка персональных данных работника может осуществляться исключительно в целях обеспечения соблюдения законов и иных нормативных правовых актов, содействия работникам в трудоустройстве, получении образования и продвижении по службе, обеспечения личной безопасности работников, контроля количества и качества выполняемой работы и обеспечения сохранности имущества. Какие-либо цели, связанные с размещением на сайте информации о работнике, в данном перечне отсутствуют.

Примечание. При размещении информации на сайте необходимо руководствоваться общими правилами обработки персональных данных, установленными Федеральным законом N 152-ФЗ: размещение какой-либо информации работодателем о работнике на интернет-сайте возможно только с согласия работника.

Кроме того, требуется уведомить Роскомнадзор о намерении осуществлять обработку персональных данных в порядке, предусмотренном ст. 22 Федерального закона N 152-ФЗ, и принять меры, направленные на обеспечение безопасности персональных данных: назначить ответственного за организацию обработки персональных данных, издать документы, определяющие политику оператора в отношении обработки персональных данных, и др.

Обратите внимание! Не требуется согласие на обработку персональных данных в форме размещения их на сайте только в случае публикации информации о служащих органов государственной власти и местного самоуправления на официальных сайтах соответствующих органов согласно нормам Федеральных законов от 09.02.2009 N 8-ФЗ «Об обеспечении доступа к информации о деятельности государственных органов и органов местного самоуправления» и от 25.12.2008 N 273-ФЗ «О противодействии коррупции».

Уведомление Роскомнадзора об обработке персональных данных

Оператор, которым является работодатель, до начала обработки персональных данных, обработка которых не предусмотрена законодательством, обязан уведомить уполномоченный орган по защите прав субъектов персональных данных о своем намерении осуществлять обработку персональных данных.

Отметим, что не требуется уведомлять Роскомнадзор в случае, например, если персональные данные включают в себя только фамилии, имена и отчества субъектов персональных данных. То есть если требуется разместить на сайте организации Ф.И.О. сотрудников с телефонами, то нужно только согласие работников на обработку персональных данных, это не влечет обязанность работодателя по уведомлению Роскомнадзора.

Уведомление направляется в виде документа на бумажном носителе или в форме электронного документа и подписывается уполномоченным лицом.

Уведомление должно содержать следующие сведения:

— наименование (фамилия, имя, отчество), адрес оператора;

— цель обработки персональных данных;

— категории персональных данных;

— категории субъектов, персональные данные которых обрабатываются;

— правовое основание обработки персональных данных;

— перечень действий с персональными данными, общее описание используемых оператором способов обработки персональных данных;

— описание мер по обеспечению безопасности персональных данных;

— фамилия, имя, отчество лица, ответственного за организацию обработки персональных данных, и номер его контактного телефона, почтовый адрес и адрес электронной почты;

— дата начала обработки персональных данных;

— срок или условие прекращения обработки персональных данных;

— сведения о наличии или об отсутствии трансграничной передачи персональных данных в процессе их обработки;

— сведения о месте нахождения базы данных информации, содержащей персональные данные граждан РФ;

— сведения об обеспечении безопасности персональных данных в соответствии с требованиями к защите персональных данных, установленными Правительством РФ.

Роскомнадзор в течение 30 дней с даты поступления уведомления об обработке персональных данных вносит указанные сведения, а также сведения о дате направления уведомления в реестр операторов. Сведения, содержащиеся в реестре операторов, за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке, являются общедоступными.

К сведению. Методические рекомендации по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения утверждены Приказом Роскомнадзора от 30.05.2017 N 94.

Оформление согласия работника на обработку персональных данных

Согласие на обработку персональных данных должно быть оформлено в точном соответствии с требованиями ст. 9 Федерального закона N 152-ФЗ. Согласие на обработку персональных данных должно быть конкретным, информативным и сознательным.

Читайте так же:  Апелляционная жалоба дтп образец

Примечание. По общему правилу, изложенному в ст. 88 ТК РФ, работодатель не вправе сообщать персональные данные работника третьей стороне без письменного согласия работника, за исключением случаев, когда это необходимо в целях предупреждения угрозы жизни и здоровью работника, и в случаях, установленных ТК РФ и иными федеральными законами.

Согласие на обработку персональных данных должно быть подготовлено в письменной форме и должно содержать:

— фамилию, имя, отчество, адрес работника, номер основного документа, удостоверяющего его личность, сведения о дате выдачи указанного документа и выдавшем его органе;

— наименование и адрес работодателя;

— цель обработки персональных данных;

— перечень персональных данных, на обработку которых дается согласие работника (в том числе должны быть перечислены категории сведений о работнике, размещаемые на сайте, например фотографии, сведения об образовании, семейном положении);

— перечень действий с персональными данными, на совершение которых дается согласие, общее описание используемых оператором способов обработки персональных данных (обязательно указать размещение персональных данных в Интернете);

— срок, в течение которого действует согласие субъекта персональных данных, а также способ его отзыва, если иное не установлено федеральным законом;

— подпись субъекта персональных данных (может быть электронная подпись).

Согласие на обработку персональных данных может быть как оформлено в виде отдельного документа, так и предусмотрено в условиях трудового договора или в дополнительном соглашении к трудовому договору.

Окончание обработки персональных данных

Размещение персональных данных работника на сайте возможно только в течение срока, указанного работником в согласии на обработку персональных данных.

Кроме того, работник вправе в любой момент отозвать согласие на обработку персональных данных.

Поскольку, как правило, согласие на обработку персональных данных дается гражданином как работником в целях, связанных с осуществлением трудовой деятельности, при прекращении трудовых отношений должна быть прекращена обработка персональных данных работника.

Согласно позиции Минтруда России, изложенной в Письме от 08.10.2018 N 14-2/В-803, опубликование на официальном сайте работодателя персональных данных работников, а также информации о причинах их увольнения (например, утрата доверия, совершение хищения, неоднократное неисполнение трудовых обязанностей) не будет соответствовать нормам трудового законодательства, а следовательно, возможна только на основании специально полученного согласия гражданина.

Ответственность за нарушение правил обработки персональных данных

Лица, виновные в нарушении положений законодательства РФ в области персональных данных при обработке персональных данных работника, привлекаются к дисциплинарной, материальной, гражданско-правовой, административной и уголовной ответственности в порядке, установленном федеральными законами.

Статьей 13.11 КоАП РФ предусмотрена административная ответственность за нарушение законодательства РФ в области персональных данных.

Например, обработка персональных данных без согласия в письменной форме субъекта персональных данных на обработку его персональных данных в случаях, когда такое согласие должно быть получено в соответствии с законодательством РФ в области персональных данных, если эти действия не содержат уголовно наказуемого деяния, либо обработка персональных данных с нарушением установленных законодательством РФ в области персональных данных требований к составу сведений, включаемых в согласие в письменной форме субъекта персональных данных на обработку его персональных данных, влечет наложение административного штрафа:

— на граждан — в размере от 3 000 до 5 000 руб.;

— на должностных лиц — в размере от 10 000 до 20 000 руб.;

— на юридических лиц — в размере от 15 000 до 75 000 руб.

Иные нарушения влекут ответственность в соответствии со специальными частями ст. 13.11 КоАП РФ.

Нет КонсультантПлюс?

Оформите заявку

на доставку полной версии документа или самостоятельно подберите комплект, с учетом особенностей именно Вашей организации
Источник: http://respectrb.ru/node/19767

Политика ЗАО «Консультант Плюс» в отношении обработки персональных данных

Генеральный директор ЗАО «Консультант Плюс»

ПОЛИТИКА ЗАО «КОНСУЛЬТАНТ ПЛЮС» В ОТНОШЕНИИ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

1. ОБЩИЕ ПОЛОЖЕНИЯ

1.1. Настоящий документ (далее — Политика) определяет политику в отношении обработки персональных данных Закрытого акционерного общества «Консультант Плюс» (далее — Оператор или Компания).

1.2. Настоящая Политика разработана во исполнение требований п. 2 ч. 1 ст. 18.1 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных» (далее — Закон о персональных данных).

1.3. Понятия, содержащиеся в ст. 3 Закона о персональных данных, используются в настоящей Политике с аналогичным значением.

1.4. Действие настоящей Политики распространяется на все операции, совершаемые Оператором с персональными данными с использованием средств автоматизации или без их использования.

1.5. Основные права и обязанности Оператора.

1.5.1. Оператор имеет право:

  • получать от субъекта персональных данных достоверные информацию и/или документы, содержащие персональные данные;
  • требовать от субъекта персональных данных своевременного уточнения предоставленных персональных данных.

1.5.2. Оператор обязан:

  • обрабатывать персональные данные в порядке, установленном действующим законодательством РФ;
  • рассматривать обращения субъекта персональных данных (его законного представителя) по вопросам обработки персональных данных и давать мотивированные ответы;
  • предоставлять субъекту персональных данных (его законному представителю) возможность безвозмездного доступа к его персональным данным;
  • принимать меры по уточнению, уничтожению персональных данных субъекта персональных данных в связи с его (его законного представителя) обращением с законными и обоснованными требованиями;
  • организовывать защиту персональных данных в соответствии с требованиями законодательства РФ.

1.6. Основные права и обязанности субъектов персональных данных:

1.6.1. Субъекты персональных данных имеют право:

  • на полную информацию об их персональных данных, обрабатываемых Оператором;
  • на доступ к их персональным данным, включая право на получение копии любой записи, содержащей их персональные данные, за исключением случаев, предусмотренных федеральным законом;
  • на уточнение их персональных данных, их блокирование или уничтожение в случаях, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки;
  • на отзыв согласия на обработку персональных данных;
  • на принятие предусмотренных законом мер по защите своих прав;
  • на осуществление иных прав, предусмотренных законодательством РФ.
Читайте так же:  Случай нарушения прав работника

1.6.2. Субъекты персональных данных обязаны:

  • предоставлять Оператору только достоверные данные о себе;
  • предоставлять документы, содержащие персональные данные в объеме, необходимом для цели обработки;
  • сообщать Оператору об уточнении (обновлении, изменении) своих персональных данных.

1.6.3. Лица, передавшие Оператору недостоверные сведения о себе, либо сведения о другом субъекте персональных данных без согласия последнего, несут ответственность в соответствии с законодательством РФ.

2. ОБЪЕМ И КАТЕГОРИИ ОБРАБАТЫВАЕМЫХ ПЕРСОНАЛЬНЫХ ДАННЫХ, КАТЕГОРИИ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ

2.1. Оператор может обрабатывать персональные данные следующих субъектов персональных данных:

  • работники Компании, бывшие работники, кандидаты для приема на работу, а также родственники работников;
  • клиенты и контрагенты Компании (физические лица);
  • представители/работники клиентов и контрагентов Компании (юридических лиц);
  • посетители сайта (сайтов) Компании (далее — Сайт и Сайты).

2.2. К персональным данным, обрабатываемым Оператором, относятся:

  • фамилия, имя, отчество субъекта персональных данных;
  • место проживания (регион/город);
  • специальность/область профессиональных интересов;
  • номер мобильного телефона;
  • адрес электронной почты (e-mail);
  • история запросов и просмотров на Сайте и его сервисах (для посетителей Сайтов);
  • иная информация (приведенный перечень может сокращаться или расширяться в зависимости от конкретного случая и целей обработки).

2.3. Оператор обеспечивает соответствие содержания и объема обрабатываемых персональных данных заявленным целям обработки и, в случае необходимости, принимает меры по устранению их избыточности по отношению к заявленным целям обработки.

2.4. Оператор обрабатывает биометрические персональные данные при условии письменного согласия соответствующих субъектов персональных данных, а также в иных случаях, предусмотренных законодательством Российской Федерации.

2.5. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, Оператором не осуществляется.

Видео (кликните для воспроизведения).

2.6. Трансграничная передача персональных данных Оператором не осуществляется.

3. ЦЕЛИ СБОРА ПЕРСОНАЛЬНЫХ ДАННЫХ

3.1. Персональные данные обрабатываются Оператором в следующих целях:

  • заключение с субъектами персональных данных любых договоров и их дальнейшего исполнения;
  • проведение Оператором акций, опросов, интервью, тестирований и исследований на Сайтах;
  • защита субъектов персональных данных от контрафакта справочных правовых систем КонсультантПлюс;
  • предоставление субъектам персональных данных сервисов и услуг Компании, а также информации о разработке Компанией новых продуктов и услуг, в том числе рекламного характера;
  • обратная связь с субъектами персональных данных, в том числе обработка их запросов и обращений, информирование о работе Сайта (Сайтов);
  • контроль и улучшение качества услуг и сервисов Компании, в том числе предложенных на Сайте (Сайтах);
  • ведение кадровой работы и организации учета работников Компании, регулирование трудовых и иных, непосредственно связанных с ними отношений;
  • привлечение и отбор кандидатов на работу в Компанию;
  • формирование статистической отчетности;
  • осуществление хозяйственной деятельности;
  • осуществление иных функций, полномочий и обязанностей, возложенных на Оператора законодательством РФ.

4. ПРАВОВЫЕ ОСНОВАНИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

4.1. Правовыми основаниями обработки персональных данных Оператором являются:

5. ПОРЯДОК И УСЛОВИЯ ОБРАБОТКИ ПЕРСОНАЛЬНЫХ ДАННЫХ

5.1. Обработка персональных данных Оператором осуществляется следующими способами:

  • неавтоматизированная обработка персональных данных;
  • автоматизированная обработка персональных данных с передачей полученной информации по информационно-телекоммуникационным сетям или без таковой;
  • смешанная обработка персональных данных.

5.2. Перечень действий, совершаемых Оператором с персональными данными: сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, распространение (в том числе передача), обезличивание, блокирование, уничтожение, а также осуществление любых иных действий в соответствии с действующим законодательством РФ.

5.3. Обработка персональных данных осуществляется Оператором при условии получения согласия субъекта персональных данных (далее — Согласие), за исключением установленных законодательством РФ случаев, когда обработка персональных данных может осуществляться без такого Согласия.

5.4. Субъект персональных данных принимает решение о предоставлении его персональных данных и дает Согласие свободно, своей волей и в своем интересе.

5.5. Согласие дается в любой позволяющей подтвердить факт его получения форме. В предусмотренных законодательством РФ случаях Согласие оформляется в письменной форме.

5.6. Условием прекращения обработки персональных данных может являться достижение целей обработки персональных данных, истечение срока действия Согласия или отзыв Согласия субъектом персональных данных, а также выявление неправомерной обработки персональных данных.

5.7. Согласие может быть отозвано путем письменного уведомления, направленного в адрес Компании заказным почтовым отправлением.

5.8. Оператор для достижения целей обработки вправе передавать персональные данные посетителей Сайтов региональным информационным центрам Сети КонсультантПлюс, перечень которых приведен по адресу: http://www.consultant.ru/about/company/structure/ric/.

5.9. Оператор при обработке персональных данных принимает или обеспечивает принятие необходимых правовых, организационных и технических мер для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, предоставления, распространения персональных данных, а также от иных неправомерных действий в отношении персональных данных.

5.10. Хранение персональных данных осуществляется в форме, позволяющей определить субъекта персональных данных, в течение срока не дольше, чем этого требуют цели обработки персональных данных, кроме случаев, когда срок хранения персональных данных установлен федеральным законом, договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных.

5.11. При осуществлении хранения персональных данных Оператор использует базы данных, находящиеся на территории РФ.

6. АКТУАЛИЗАЦИЯ, ИСПРАВЛЕНИЕ, УДАЛЕНИЕ И УНИЧТОЖЕНИЕ ПЕРСОНАЛЬНЫХ ДАННЫХ, ОТВЕТЫ НА ЗАПРОСЫ СУБЪЕКТОВ ПЕРСОНАЛЬНЫХ ДАННЫХ НА ДОСТУП К ПЕРСОНАЛЬНЫМ ДАННЫМ

6.1. В случае подтверждения факта неточности персональных данных или неправомерности их обработки персональные данные подлежат их актуализации Оператором, или их обработка должна быть прекращена соответственно.

Читайте так же:  Восстановление срока по частной жалобе гпк

6.2. Факт неточности персональных данных или неправомерности их обработки может быть установлен либо субъектом персональных данных, либо компетентными государственными органами РФ.

6.3. По письменному запросу субъекта персональных данных или его представителя Оператор обязан сообщить информацию об осуществляемой им обработке персональных данных указанного субъекта. Запрос должен содержать номер основного документа, удостоверяющего личность субъекта персональных данных и его представителя, сведения о дате выдачи указанного документа и выдавшем его органе, сведения, подтверждающие участие субъекта персональных данных в отношениях с Оператором (номер договора, дата заключения договора, условное словесное обозначение и (или) иные сведения), либо сведения, иным образом подтверждающие факт обработки персональных данных Оператором, подпись субъекта персональных данных или его представителя. Запрос может быть направлен в форме электронного документа и подписан электронной подписью в соответствии с законодательством РФ.

6.4. Если в запросе субъекта персональных данных не отражены все необходимые сведения или субъект не обладает правами доступа к запрашиваемой информации, то ему направляется мотивированный отказ.

6.5. В порядке, предусмотренном п. 6.3, субъект персональных данных вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав.

6.6. При достижении целей обработки персональных данных, а также в случае отзыва субъектом персональных данных Согласия, персональные данные подлежат уничтожению, если:

  • Оператор не вправе осуществлять обработку без Согласия субъекта персональных данных;
  • иное не предусмотрено договором, стороной которого, выгодоприобретателем или поручителем по которому является субъект персональных данных;
  • иное не предусмотрено иным соглашением между Оператором и субъектом персональных данных.

7. ЗАКЛЮЧИТЕЛЬНЫЕ ПОЛОЖЕНИЯ

7.1. Все отношения, касающиеся обработки персональных данных, не получившие отражения в настоящей Политике, регулируются согласно положениям законодательства РФ.

Источник: http://www.consultant.ru/sys/policy/

Конструктор политики обработки персональных данных

Заполните поля и получите образец документа о конфиденциальности данных бесплатно

Для чего нужна политика обработки персональных данных на сайте?

Если на вашем сайте есть любая форма сбора данных — обратной связи, подписки на рассылку, регистрации или личный кабинет, это считается обработкой персональных данных. В этом случае вы обязаны получить согласие на обработку персональных данных и разместить ссылку на вашу политику в отношении обработки персональных данных, чтобы человек мог с ней ознакомиться, согласиться и только после этого сообщить вам свои данные.

Создайте образец документа с помощью конструктора, при необходимости скорректируйте, разместите текст на отдельной странице сайта и в форме приема данных поставьте ссылку на эту страницу.

Адрес сайта, на котором собираются персональные данные:

Адрес страницы, на которой расположена политика обработки персональных данных:

ФИО или название организации:

Email оператора персональных данных (владельца сайта) для связи:

Отметьте данные, которые вы собираете:

Укажите цель обработки персональных данных:

Образец политики конфиденциальности

Политика в отношении обработки персональных данных

1. Общие положения

Настоящая политика обработки персональных данных составлена в соответствии с требованиями Федерального закона от 27.07.2006. №152-ФЗ «О персональных данных» и определяет порядок обработки персональных данных и меры по обеспечению безопасности персональных данных Михайлова Ивана Сергеевича (далее – Оператор).

  1. Оператор ставит своей важнейшей целью и условием осуществления своей деятельности соблюдение прав и свобод человека и гражданина при обработке его персональных данных, в том числе защиты прав на неприкосновенность частной жизни, личную и семейную тайну.
  2. Настоящая политика Оператора в отношении обработки персональных данных (далее – Политика) применяется ко всей информации, которую Оператор может получить о посетителях веб-сайта https://mysite.ru .
2. Основные понятия, используемые в Политике
3. Оператор может обрабатывать следующие персональные данные Пользователя
  1. Фамилия, имя, отчество;
  2. Номер телефона;
  3. Адрес электронной почты;
  4. Также на сайте происходит сбор и обработка обезличенных данных о посетителях (в т.ч. файлов «cookie») с помощью сервисов интернет-статистики (Яндекс Метрика и Гугл Аналитика и других).
  5. Вышеперечисленные данные далее по тексту Политики объединены общим понятием Персональные данные.
4. Цели обработки персональных данных
  1. Цель обработки персональных данных Пользователя — заключение, исполнение и прекращение гражданско-правовых договоров; предоставление доступа Пользователю к сервисам, информации и/или материалам, содержащимся на веб-сайте https://mysite.ru; уточнение деталей заказа.
  2. Также Оператор имеет право направлять Пользователю уведомления о новых продуктах и услугах, специальных предложениях и различных событиях. Пользователь всегда может отказаться от получения информационных сообщений, направив Оператору письмо на адрес электронной почты [email protected] с пометкой «Отказ от уведомлениях о новых продуктах и услугах и специальных предложениях».
  3. Обезличенные данные Пользователей, собираемые с помощью сервисов интернет-статистики, служат для сбора информации о действиях Пользователей на сайте, улучшения качества сайта и его содержания.
5. Правовые основания обработки персональных данных
  1. Оператор обрабатывает персональные данные Пользователя только в случае их заполнения и/или отправки Пользователем самостоятельно через специальные формы, расположенные на сайте https://mysite.ru . Заполняя соответствующие формы и/или отправляя свои персональные данные Оператору, Пользователь выражает свое согласие с данной Политикой.
  2. Оператор обрабатывает обезличенные данные о Пользователе в случае, если это разрешено в настройках браузера Пользователя (включено сохранение файлов «cookie» и использование технологии JavaScript).
6. Порядок сбора, хранения, передачи и других видов обработки персональных данных

Безопасность персональных данных, которые обрабатываются Оператором, обеспечивается путем реализации правовых, организационных и технических мер, необходимых для выполнения в полном объеме требований действующего законодательства в области защиты персональных данных.

  1. Оператор обеспечивает сохранность персональных данных и принимает все возможные меры, исключающие доступ к персональным данным неуполномоченных лиц.
  2. Персональные данные Пользователя никогда, ни при каких условиях не будут переданы третьим лицам, за исключением случаев, связанных с исполнением действующего законодательства.
  3. В случае выявления неточностей в персональных данных, Пользователь может актуализировать их самостоятельно, путем направления Оператору уведомление на адрес электронной почты Оператора [email protected] с пометкой «Актуализация персональных данных».
  4. Срок обработки персональных данных является неограниченным. Пользователь может в любой момент отозвать свое согласие на обработку персональных данных, направив Оператору уведомление посредством электронной почты на электронный адрес Оператора [email protected] с пометкой «Отзыв согласия на обработку персональных данных».
Читайте так же:  Порядок рассмотрения уголовного дела судом кассационной инстанции
7. Трансграничная передача персональных данных
  1. Оператор до начала осуществления трансграничной передачи персональных данных обязан убедиться в том, что иностранным государством, на территорию которого предполагается осуществлять передачу персональных данных, обеспечивается надежная защита прав субъектов персональных данных.
  2. Трансграничная передача персональных данных на территории иностранных государств, не отвечающих вышеуказанным требованиям, может осуществляться только в случае наличия согласия в письменной форме субъекта персональных данных на трансграничную передачу его персональных данных и/или исполнения договора, стороной которого является субъект персональных данных.

Источник: http://tilda.cc/ru/privacy-generator/

Приводим сайт в соответствие с законом о персональных данных

С 1 июля вступили в силу поправки в КоАП о нарушениях в работе с персональными данными. Штрафы за нарушения стали на порядок больше, и теперь эти штрафы реально будут накладывать.

Это касается всех владельцев сайтов — юридических и физических лиц. Если вы собираете хоть какие-то персональные данные не в соответствии с законом 152-ФЗ , Роскомнадзор может наказать рублём.

В этой статье мы расскажем, как сделать всё правильно и избежать штрафов. Она будет полезна, если вы раскручиваете сайты клиентов или собственные проекты, продаёте что-то с лендингов или ведёте личный блог.

Немного теории: персональные данные и что о них надо знать

Персональные данные (ПД) — это любая информация, по которой можно прямо или косвенно определить человека:

  • ФИО;
  • дата рождения;
  • телефон;
  • адрес;
  • электронная почта;
  • ИНН;
  • фотографии;
  • сведения о работе;
  • ссылки на аккаунты в соцсетях или личный сайт;
  • метрики сайта (ip-адрес, геотеги, cookies и т.д.);
  • и очень многое другое.

Проблема вот в чём: в самом законе нет точного и исчерпывающего объяснения, что и при каких условиях считать персональными данными.

По отдельности большинство перечисленных данных не считаются персональными. Нельзя определить человека ТОЛЬКО по дате рождения или ТОЛЬКО по email-адресу. И даже по ФИО нельзя — есть же полные тёзки. А вот если от человека обязательно требуется указать на сайте имя и email — это уже персональные данные.

Персональные данные — почти всегда совокупность нескольких разных данных о человеке.

Но есть исключения. Например, номер телефона. Обычно SIM-карты в салонах связи продают по паспорту, а паспортные данные вносят в базу. А значит, если у вас есть доступ к базе оператора — теоретически вы можете установить личность человека по одному только номеру.

Закон не может регламентировать каждую мелочь и каждый частный случай. Приходится руководствоваться здравым смыслом. Если вы абсолютно уверены, что нельзя установить личность человека по данным, которые собираете на сайте — хорошо. Если не уверены — лучше сразу считайте, что всё-таки собираете персональные данные.

Посмотрите на примеры. Здесь посетитель должен ввести только email, чтобы подписаться на рассылку. Email в этом случае — обезличенные данные:

А здесь обязательно нужно указать и имя, и адрес почты. Это уже персональные данные:

Если сайт собирает персональные данные — его владелец считается оператором персональных данных. Операторами могут быть и юридические, и физические лица.

Как понять, оператор вы или нет

Иногда владелец сайта и сам не знает, что он — оператор персональных данных. Вот распространённые «сборники» ПД:

  • формы подписки на рассылку (имя + email, телефон и т.д.);
  • личный кабинет интернет-магазина (имя + адрес, телефон и т.д.);
  • форма заявки или обратной связи (имя + email или телефон);
  • системы онлайн-чат, онлайн-консультант (имя + email, телефон и т.д.);
  • форма размещения комментариев в блоге (имя + email или адрес сайта).

Если что-то из этого есть на сайте и требует от посетителей ввода персональных данных, то владелец автоматически признаётся оператором. И это только частные случаи. Возможно, вы собираете данные каким-то другим образом.

Важно. Если человек сам проявляет инициативу и выкладывает свои ПД на сайте, хотя вы его об этом не просили — вы не становитесь оператором. В комментариях к статье посетитель может выложить хоть скан паспорта и фотографию банковской карты. Вы не несёте за это ответственность.

Как видим, почти все коммерческие сайты попадают под действие закона. Но не обязательно управлять интернет-магазином, чтобы быть оператором — даже сайты с информационными рассылками и блоги собирают персональные данные.

Что делать, если вы собираете персональные данные

Законодатель предъявляет 3 главных требования:

  1. Составить политику конфиденциальности и разместить её на сайте.
  2. Уведомить Роскомнадзор , что вы собираете персональные данные.
  3. При сборе данных брать согласие с посетителей сайта.

Обо всём по порядку.

Как составить политику конфиденциальности

Вот что нужно прописать в политике:

Эти принципы обработки персональных данных устанавливает закон 152-ФЗ в статье 5 .

  • текст политики нужно разместить на отдельной странице;
  • ссылку на политику поставить в футере (нижней части) сайта;
  • активная ссылка на политику должна быть на каждой странице.
Читайте так же:  Встречный иск коллекторам

Как уведомить о сборе данных Роскомнадзор

Уведомление можно подать на сайте Роскомнадзора в специальной форме . Желательно сделать это до того, как начнёте собирать персональные данные — например, перед запуском сайта.

Подавать уведомление в Роскомнадзор надо, даже если вы живёте не в России. Граждане Украины, Беларуси и любой другой страны обязательно должны обратиться в Роскомнадзор, если они собирают ПД российских граждан.

Как получить согласие посетителей на сбор данных

При сборе ПД нужно брать согласие посетителя на обработку персональных данных. Учтите вот что:

  • согласие на обработку ПД должно быть «конкретным, информированным и сознательным» — выраженным в явном виде;
  • ссылка на политику конфиденциальности — обязательно;
  • чек-бокс с галочкой — обязательно.

Выполнение всех этих условий послужит доказательством, что человек добровольно и осознанно согласился на обработку своих ПД. Это выглядит примерно так:

Имя, фамилия, почта и марка автомобиля — это ПД. Если вы просите у человека эти данные при подписке на рассылку (или в другом случае) — он должен подтвердить согласие галочкой в чекбоксе

Обычно эту строчку помещают рядом с полем для ввода данных: под формой подписки, в настройках аккаунта интернет-магазина.

Обратите внимание на чёткость формулировки. Галочка в чекбоксе не проставляется автоматически — посетитель должен сделать это сам

Можно сделать совсем хардкорный вариант, но это не обязательно:

Такую форму заполнят только самые упорные и заинтересованные

Если вы собираете cookies, геотеги, ip и другие данные для систем аналитики — на сайте желательно вывесить дисклеймер. Это уведомление, которое всплывает при заходе на сайт. В дисклеймере кратко укажите:

  • какие данные вы собираете;
  • зачем они нужны;
  • просьбу покинуть сайт, если эти условия не устраивают посетителя.

Всё честно: можно остаться или уйти

Хранить данные — только на территории РФ

Хранить базы персональных данных можно только на серверах, расположенных на территории РФ. Выбирайте российский хостинг. Если пользуетесь CRM-системой — убедитесь, что её серверы находятся в России.

Передавать данные за границу можно. Но только в случае, если сначала они попали в «материнскую» базу, расположенную в России.

Поэтому будьте осторожнее с рассылками. Не стоит пользоваться теми иностранными сервисами рассылок, которые «подтягивают» данные о подписчиках сразу на свои серверы.

А вот если вы собираете с будущих подписчиков только email — закон о персональных данных вас не коснётся, и иностранными сервисами рассылок пользоваться можно.

В каких случаях всё это не нужно

Вам не нужно размещать политику конфиденциальности и общаться с Роскомнадзором, если вы собираете только обезличенные данные — те, по которым определить человека нельзя. Поэтому иногда проще исправить кое-что на сайте. Например, если у вас блог — измените форму комментирования так, чтобы человеку достаточно было оставить имя без других данных.

Для сообществ в социальных сетях писать политику (и брать согласие на обработку данных) тоже необязательно. У социальных сетей есть своя политика конфиденциальности. К тому же продажа товаров через «ВКонтакте» или Instagram считается публичной офертой.

Какие персональные данные лучше не собирать

Выше мы говорили об общих персональных данных. Но ещё закон выделяет специальные и биометрические ПД. Это те, что касаются:

  • расовой и национальной принадлежности;
  • политических взглядов, религиозных или философских убеждений;
  • состояния здоровья, интимной жизни и других физиологических и биологических особенностей человека.

Сюда же относятся отпечатки пальцев и фотографии. Да, лучше не требовать от довольного клиента прикрепить к отзыву фото. Он может сделать это только по собственному желанию.

Все эти данные требуют при сборе согласия на обработку в письменной форме. Человек должен лично написать согласие и поставить свою подпись. Чекбокс с галочкой уже не подойдёт.

Если продвигаете сайт клиники или другого медучреждения — не делайте ничего без согласования со штатными юристами.

Какова вероятность, что Роскомнадзор придёт с проверкой?

В основном Роскомнадзор будет штрафовать компании. Максимальный совокупный штраф для юридических лиц — 290 000 рублей, а для физических — «всего» 15 500. Понятно, с кого начинать выгоднее. Список плановых проверок уже утверждён. Будут и внеплановые.

Небольшим интернет-магазинам с ИП будет легче. Их много, а сотрудников Роскомнадзора не очень. Но риск всё равно есть — Роскомнадзор обязан провести проверку, если поступит жалоба от субъекта персональных данных. Например, человек заходит на сайт и видит: форма подписки на рассылку есть, а политики конфиденциальности — нет. Если он отправит жалобу в Роскомнадзор — тот придёт с проверкой.

Поэтому требования 152 ФЗ нужно исполнять.

Запомнить

  • персональные данные — это любая информация, по которой можно прямо или косвенно определить человека;
  • если вы собираете персональные данные — нужно разместить на сайте политику конфиденциальности и уведомить Роскомнадзор;
  • у людей надо брать согласие на обработку персональных данных — разместите под формой ввода данных соответствующую строку с чекбоксом и ссылкой на политику;
  • все персональные данные надо хранить только на российских серверах;
  • специальные и биометрические персональные данные можно собирать только по письменному согласию;
  • Роскомнадзор может прийти за каждым.

Если у Вас появились вопросы, можете
задавать их в комментариях ниже.

Видео (кликните для воспроизведения).

Источник: http://lead-academy.ru/poleznye-materialy/privodim-sajt-v-sootvetstvie-s-zakonom-o-personalnyx-dannyx/

Информация о персональных данных на сайте
Оценка 5 проголосовавших: 1

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here