Политика конфиденциальности

Какие проблемы могут возникнуть при несоблюдении требований

В российском законодательстве предусмотрена ответственность за нарушение политики обработки и защиты персональных данных, а также за недоведение до пользователя условий использования его персональных данных. Размер штрафа — до 70-100 тыс. рублей за каждое нарушение. За несоблюдение требований GDPR придется выплатить сумму побольше: можно лишиться до 4% оборота компании при регулярных нарушениях.

Другой вид санкций — блокировка приложения. Как правило, это происходит после проверки ПК со стороны маркетплейсов. AppStore и Google Play диктуют собственные требования к политике конфиденциальности в соответствии с международным законодательством, а разработчики приложений из России руководствуются местными законами. 

Как итог приложение блокируется за несоблюдение требований маркетплейса. Появляется конкуренция норм права: по факту приложение используется в России и соответствует всем ее законам, но площадки предъявляют повышенные требования, за несоблюдение которых и наказывают.

В России инициатором блокировки сайта или приложения за неправомерное использование данных часто выступает Роскомнадзор. Он является уполномоченным органом по защите прав субъектов персональных данных, ведет реестры операторов и нарушителей прав субъектов персональных данных.

Помочь выявить нарушителя могут не только специализированные органы. Любой пользователь, заметивший нарушение политики конфиденциальности, вправе написать жалобу на правообладателя и потребовать привлечь его к ответственности. Особо внимательные и жаждущие справедливости пользователи могут писать такие заявления ежедневно — компании это будет стоить десятки тысяч рублей штрафа.

Что еще может пойти не так

Многие крупные международные компании сталкивались со сложностями именно из-за проблем с политикой конфиденциальности.

Facebook: несоблюдение ПК

В 2020 году Южнокорейская комиссия по защите личной информации оштрафовала Facebook на $6,1 млн за нарушение закона о защите персональных данных. Как выяснилось, на протяжении шести лет, с мая 2012 года по июнь 2018 года, соцсеть передавала другим компаниям личную информацию более 3,3 млн человек без их согласия. Личные данные пользователя соцсети и его друзей становились доступны третьим лицам, когда для авторизации в стороннем сервисе использовалась учетная запись Facebook.

Instagram: неверная формулировка

Пользователи решили, что соцсеть будет продавать их фотографии рекламодателям, поэтому стали массово удалять аккаунты. Представителям Instagram пришлось объяснять: они лишь хотели персонализировать рекламные предложения. Они признали, что неправильная формулировка могла запутать пользователей и пообещали исправить текст.

WhatsApp: недовольство пользователей изменением политики конфиденциальности

Согласно обновленной политики конфиденциальности пользователи мессенджера обязаны предоставлять компании Facebook доступ к номерам телефонов, именам и фото профилей, сведениям о транзакциях, диагностическим данным из приложений и IP-адресами.

Facebook также оставляла за собой право делиться данными с другими своими компаниями. На фоне этих событий выросло количество загрузок других мессенджеров: Telegram — на 91% за неделю, Signal на — 4200%. Недовольство и массовый уход пользователей заставили WhatsApp отложить обновление ПК.

Google: недостаточное информирование пользователей

Национальная комиссия по информатике и свободам Франции оштрафовала Google на €50 млн за недостаточное информирование пользователей при получении согласия на обработку и использование их данных. Комиссия утверждает, что пользователям не сообщается следующее: какие сайты имеют доступ к данным, в каком объеме они собираются и как долго хранятся. К тому же информация разбросана по нескольким документам: из-за этого пользователям сложнее понять, что именно происходит с их данными.

Соблюдение закона и сотрудничество с государственными органами

Мы периодически проверяем, соблюдается ли политика конфиденциальности. Мы также придерживаемся ряда принципов саморегуляции, среди которых рамочное соглашение между США и ЕС в отношении конфиденциальности EU-US Privacy Shield Framework, а также аналогичное соглашение между США и Швейцарией Swiss-US Privacy Shield Framework. Если мы получаем жалобу в письменном виде, то связываемся с ее отправителем и рассматриваем проблему. Если нам не удается напрямую с пользователем урегулировать претензию, касающуюся использования личных данных, мы передаем ее на рассмотрение в государственные органы, у которых есть соответствующие полномочия.

Ответственность сторон

7.1. Администрация, не исполнившая свои обязательства, несёт ответственность за убытки,
понесённые Пользователем в связи с неправомерным использованием персональных данных, в соответствии с законодательством
Российской Федерации, за исключением случаев, предусмотренных п.п. 5.2. и 7.2. настоящей Политики Конфиденциальности.

7.2. В случае утраты или разглашения Конфиденциальной информации Администрация не несёт ответственность,
если данная конфиденциальная информация:
7.2.1. Стала публичным достоянием до её утраты или разглашения.
7.2.2. Была получена от третьей стороны до момента её получения Администрацией Ресурса.
7.2.3. Была разглашена с согласия Пользователя.

7.3. Пользователь несет полную ответственность за соблюдение требований законодательства РФ, в том числе законов о
рекламе, о защите авторских и смежных прав, об охране товарных знаков и знаков обслуживания, но не ограничиваясь
перечисленным, включая полную ответственность за содержание и форму материалов.

7.4. Пользователь признает, что ответственность за любую информацию (в том числе, но не ограничиваясь: файлы с данными, тексты и т. д.), к которой он может иметь доступ как к части сайта Развитие личности, несет лицо, предоставившее такую информацию.

7.5. Пользователь соглашается, что информация, предоставленная ему как часть сайта Портал медитации, может являться объектом интеллектуальной собственности, права на который защищены и принадлежат другим Пользователям, партнерам или рекламодателям, которые размещают такую информацию на сайте Развитие личности. Пользователь не вправе вносить изменения, передавать в аренду, передавать на условиях займа, продавать, распространять или создавать производные работы на основе такого Содержания (полностью или в части), за исключением случаев, когда такие действия были письменно прямо разрешены собственниками такого Содержания в соответствии с условиями отдельного соглашения.

7.6. В отношение текстовых материалов (статей, публикаций, находящихся в свободном публичном доступе на сайте Развитие личности допускается их распространение при условии, что будет дана ссылка на Сайт.

7.7. Администрация не несет ответственности перед Пользователем за любой убыток или ущерб, понесенный Пользователем в результате удаления, сбоя или невозможности сохранения какого-либо Содержания и иных коммуникационных данных, содержащихся на сайте Развитие личности или передаваемых через него.

7.8. Администрация не несет ответственности за любые прямые или косвенные убытки, произошедшие из-за: использования
либо невозможности использования сайта, либо отдельных сервисов; несанкционированного доступа к коммуникациям
Пользователя; заявления или поведение любого третьего лица на сайте.

7.9. Администрация не несет ответственность за какую-либо информацию, размещенную пользователем на
сайте Портал медитации, включая, но не ограничиваясь: информацию, защищенную авторским правом, без прямого
согласия владельца авторского права.

Генератор политики конфиденциальности

Вы наверняка задаётесь вопросом – где взять политику конфиденциальности для сайта? В интернете можно найти образцы на любой вкус. Но самым простым и лучшим решением будет бесплатный генератор политики.

Давайте возьмём один из генераторов и посмотрим, как с ним работать. Сложного ничего нет. Нам нужно заполнить форму. А затем сгенерировать документ. Итак, проходим в сервис Free Creator.  И первым делом пишем адрес своего сайта/блога без префикса. Затем указываем страну.

Далее нужно прописать адрес организации. А если у вас обычный блог, то достаточно адреса электронной почты.

Отметьте данные, которые вы собираете. Здесь хорошо подумайте, какие формы сбора персональных данных существуют на вашем сайте. Пробегитесь глазами. И в свободную строку допишите те данные, которые не перечислены в списке.

После этого отмечаем галочками цели сбора персональных данных. И так же дописываем, если упомянуты не все. Затем выбираем срок хранения данных. И указываем телефон, адрес электронной почты или ссылку на личный кабинет пользователя.

Теперь отмечаем сторонние сервисы, находящиеся на сайте и собирающие персональные данные. Как видим, среди них компании Яндекс и Google. Это счётчики статистики и сервисы контекстной рекламы.

В свободную строку дописываем недостающие сервисы аналитики и партнёрки. Затем соглашаемся с политикой сайта. Ставим флажок в капче. И нажимаем кнопку “Генерировать политику конфиденциальности”. И вот она перед вами. Готово! Теперь нам требуется разместить этот документ на своём сайте.

ПРИЛОЖЕНИЕ

СубъектыСроки хранения данных
1Абитуриенты (не прошедшие вступительные испытания и не зачисленные на обучение в «IT Академия Samsung»)С момента подачи заявки на поступление в «IT Академию Samsung» в течение срока, соответствующего требованиям законодательства Российской Федерации в области обработки персональных данных: до достижения целей обработки или до получения отзыва согласия на обработку персональных данных от Абитуриента. Данные удаляются в феврале следующего года (который следует за годом подачи заявки) или ранее при получении отзыва согласия на обработку персональных данных от Абитуриента.
2СтудентС момента предоставления данных в течение срока, соответствующего требованиям законодательства Российской Федерации в области обработки персональных данных: до достижения целей обработки или до получения отзыва согласия на обработку персональных данных от Студента.
3ВыпускникС момента предоставления данных, когда Выпускник был в статусе Студента, в течение срока, соответствующего требованиям законодательства Российской Федерации в области обработки персональных данных: до достижения целей обработки или до получения отзыва согласия на обработку персональных данных от Выпускника.
4Отчисленный Студент (включая Студентов, которые приостановили или досрочно прекратили обучение)С момента предоставления данных Студентом, в течение срока, соответствующего требованиям законодательства Российской Федерации в области обработки персональных данных: до достижения целей обработки или до получения отзыва согласия на обработку персональных данных Студентом. Данные удаляются в феврале через 2 года после зачисления, если не получен запрос о восстановлении. (Пример: если Студент начал обучение осенью 2020 года, не закончил программу к осени 2021 года и не подал запрос на восстановление, то его данные удаляются в феврале 2022).
6Преподаватель/КураторС момента предоставления данных Преподавателем/Куратором, в течение срока, соответствующего требованиям законодательства Российской Федерации в области обработки персональных данных: до достижения целей обработки или до получения отзыва согласия на обработку персональных данных от Преподавателя/Куратора. А именно, данные Куратора удаляются в феврале следующего за последним годом работы, если Преподаватель выпустил хотя бы одного Студента с сертификатом, то его данные хранятся до достижения целей обработки или до получения отзыва согласия на обработку персональных данных от Преподавателя, если Преподаватель не выпустил ни одного Студента с сертификатом, то данные удаляются в феврале следующего за последним годом работы.
Имя cookieНазначениеМомент удаления
1MoodleSessionНеобходим для работы учебной системы сайта, например, для аутентификации пользователей, предотвращения мошеннического использования учетных записей пользователей или предоставления функций учебной системы сайтаОкончание сессии браузера
2ee900135f8876628e6d23eca56b3907eКуки сессии браузера, необходим для работы страниц сайта, посвященных конкурсу Проекта и работ выпускниковОкончание сессии браузера
3EU_COOKIE_LAW_CONSENTХранение факта согласия пользователя сайта с Политикой сайта о cookiesЧерез 1 месяц после дачи согласия
4ASP.NET_SessionIdКуки сессии браузера, необходим для работы электронного журнала ПроектаОкончание сессии браузера
5.ASPXAUTHКуки электронного журнала Проекта, необходим для процесса авторизации пользователяЧерез 1 час
6*__utmaПозволяет различать пользователей и сеансыЧерез 2 года
7*__utmbИспользуется для определения новых сеансов/посещенийЧерез 30 минут
8*__utmcУстанавливается в целях оперативной совместимости с urchin.js. Раньше работал в связке с файлом cookie __utmb, определяя, нужно ли начать для пользователя новый сеанс или посещениеОкончание сессии браузера
9*__utmt Ограничивает частоту запросовЧерез 10 минут
10*__utmzСохраняет информацию об источнике трафика или компании, позволяющую понять, откуда пользователь пришел на сайтЧерез 6 месяцев
11*__utmvСохраняет данные о пользовательской переменной уровня посетителяЧерез 2 года

* — сookies с номерами с 6 по11 используются Google Analytics.

РАЗРЕШЕНИЕ СПОРОВ

8.1. До обращения в суд с иском по спорам, возникающим из отношений между Пользователем сайта и Администрацией сайта, обязательным является предъявление претензии (письменного предложения о добровольном урегулировании спора).

8.2 .Получатель претензии в течение 30 календарных дней со дня получения претензии, письменно уведомляет заявителя претензии о результатах рассмотрения претензии.

8.3. При не достижении соглашения спор будет передан на рассмотрение в судебный орган в соответствии с действующим законодательством.

8.4. К настоящей Политике конфиденциальности и отношениям между Пользователем и Администрацией сайта применяется действующее законодательство.

Какую информацию мы собираем

Google собирает информацию, которая помогает улучшать наши сервисы, начиная с языковых настроек и заканчивая более сложными функциями. Например, мы можем находить для вас полезные объявления, контакты друзей и знакомых в Интернете или интересные видеоролики на YouTube.

Информацию мы берем из следующих источников:

  • Информация от пользователей. Чтобы использовать многие наши службы, необходимо иметь аккаунт Google. При его создании мы запрашиваем у вас , например имя, адрес электронной почты, номер телефона или реквизиты кредитной карты, и сохраняем их в вашем аккаунте. Тех, кто желает задействовать все возможности совместного доступа, мы также просим создать общедоступный профиль Google, в котором можно указать свое имя и добавить фотографию.

  • Информация, которую мы получаем в результате использования вами сервисов. Мы собираем информацию о том, как и какие сервисы вы используете. Это происходит, когда вы, например, смотрите видео на YouTube, посещаете веб-сайты, которые используют наши рекламные сервисы, или просматриваете или взаимодействуете с нашими рекламными объявлениями либо контентом. Эти данные включают следующее:

    • Мы собираем сведения об устройствах (такие как модель, версия операционной системы, , а также данные о мобильной сети и номер телефона). Google может привязать идентификаторы устройств или номера телефона к вашим аккаунтам Google.

    • Сведения журналов

      Когда вы используете сервисы Google или просматриваете контент в них, некоторые ваши действия автоматически сохраняются в . При этом регистрируется следующая информация:

      • подробные сведения об использовании служб, включая поисковые запросы;
      • данные о телефонных вызовах, включая номера телефонов для входящих, исходящих и переадресованных звонков, дата, время, тип и продолжительность вызовов, а также информация о маршруте SMS;
      • ;
      • данные об аппаратных событиях, в том числе о сбоях и действиях в системе, а также о настройках, типе и языке браузера, дате и времени запроса и URL перехода;
      • файлы cookie, которые служат уникальным идентификатором вашего браузера или аккаунта Google.
    • Сведения о местоположении

      В сервисах Google мы собираем и обрабатываем данные о вашем фактическом местоположении. Также мы используем различные технологии определения координат, например анализируем ваш IP-адрес, данные GPS и других датчиков устройства с целью выявления ближайших к вам устройств, точек доступа Wi-Fi и вышек сотовой связи.

    • Уникальные номера приложений

      В некоторых службах используются уникальные идентификаторы программ. Они вместе с информацией о приложении (например, о номере версии или типе операционной системы) могут отправляться в Google при установке или удалении службы, а также во время автоматических сеансов связи с серверами (при загрузке обновлений и т. п.).

    • Локальное хранилище

      Мы собираем и храним данные (в том числе и персональные) на ваших пользовательских устройствах с помощью таких средств, как (включая HTML5) и .

    • Файлы cookie и аналогичные технологии

      Чтобы получать и записывать данные о том, как используются сервисы Google, мы применяем самые разные технологии, например можем добавлять на ваше устройство файлы cookie или аналогичные технологии. Таким же способом мы получаем статистику по сервисам, предназначенным для : обычно это решения для работы с рекламой и функции Google, реализуемые на внешних сайтах. Например, Google Analytics анализирует трафик на сайтах и в приложениях и может подключаться к другим нашим сервисам, в том числе использующим файлы cookie DoubleClick. В этом случае технологии Google позволяют совмещать собранную нами или владельцем аккаунта Google Analytics информацию с данными о том, какие сайты посещают пользователи и какие действия на них выполняют.

Статистика по вашим действиям в аккаунте Google и на сайтах партнеров может быть связана с вашим аккаунтом. В таком случае она считается личной информацией. Подробнее о том, …

Как найти и изменить свои персональные данные

У вас всегда есть доступ к своим персональным данным в Google. Если они указаны неверно, мы предоставим способ быстро изменить или удалить их. Это не касается случаев, когда сохранение сведений необходимо для оправданных коммерческих или юридических целей. Иногда, получив просьбу изменить персональные данные , мы можем попросить пользователя подтвердить свою личность.

Мы можем отклонять многократно повторяющиеся заявки, а также запросы, требующие обширных технических работ (например, создать новую систему или значительно изменить существующую), подвергающие риску конфиденциальность других пользователей, а также содержащие бесполезные предложения (например, обработать информацию на резервных копиях).

Все просьбы получить и исправить информацию мы выполняем бесплатно при условии, что они не сопряжены с чрезмерными техническими сложностями. Наши службы функционируют таким образом, чтобы минимизировать риск случайного или преднамеренного повреждения данных. Поэтому после того как пользователь удалит свою информацию из служб Google, она некоторое время будет храниться на наших активных серверах. При этом могут существовать и ее резервные копии.

Обработка обезличенных данных

Заслуживает внимания тот факт, что Роскомнадзор, как всегда, обошел вопрос обработки не менее важных для пользователей данных, которые не считаются персональными. Речь идет об информации, собираемой на сайте в автоматическом режиме: cookie, IP, сведения об устройстве и месте его расположения, и т.п.

По всей видимости, Роскомнадзор упорно не хочет раскрывать состав ПДн даже методом исключения через сведения, не относящиеся к персональным. Однако на практике в Политику конфиденциальности принято включать уведомление и порядок обработки таких данных в целях наиболее полного информирования пользователя о последствиях использования сайта.

Ниже пример такого уведомления.

Вы осознаете и принимаете возможность использования на Сайте программного обеспечения третьих лиц, в результате чего такие лица могут получать и передавать данные в обезличенном виде.К указанному программному обеспечению третьих лиц относятся системы сбора статистики посещений Google Analytics.

Состав и условия сбора обезличенных данных с использованием программного обеспечения третьих лиц определяются непосредственно их правообладателями и могут включать:

  • данные браузера (тип, версия, cookie);
  • данные устройства и место его положения;
  • данные операционной системы (тип, версия, разрешение экрана);
  • данные запроса (время, источник перехода, IP-адрес).

Полое описание условий обработки обезличенных данных можно посмотреть в образце Политики конфиденциальности, с которого мы начали свою статью.

Желаем вам успехов в разработке собственной Политики конфиденциальности в соответствии с рекомендациями Роскомнадзора и выработанными на практике подходами.

Скачать Политику конфиденциальности
Образец Политики конфиденциальности для ознакомления

Права и обязанности сторон

6.1. Пользователь вправе:

6.1.1. Принимать свободное решение о предоставлении своих персональных данных, необходимых для использования сайта Развитие личности, и давать согласие на их обработку.

6.1.2. Обновить, дополнить предоставленную информацию о персональных данных в случае изменения данной информации.

6.2. Администрация обязана:

6.2.1. Использовать полученную информацию исключительно для целей, указанных в п. 4 настоящей Политики
конфиденциальности.

6.2.2. Обеспечить хранение конфиденциальной информации в тайне, не разглашать без предварительного письменного
разрешения Пользователя, а также не осуществлять продажу, обмен, опубликование, либо разглашение иными возможными
способами переданных персональных данных Пользователя, за исключением п.п. 5.2. настоящей Политики Конфиденциальности.

6.2.3

Принимать меры предосторожности для защиты конфиденциальности персональных данных Пользователя согласно порядку,
обычно используемого для защиты такого рода информации в существующем деловом обороте

6.2.4. Осуществить блокирование персональных данных, относящихся к соответствующему Пользователю, с момента
обращения или запроса Пользователя, или его законного представителя либо уполномоченного органа по защите прав
субъектов персональных данных на период проверки, в случае выявления недостоверных персональных данных или
неправомерных действий.

Цели сбора и обработки персональной информации пользователей

2.1. Сайт собирает и хранит только те персональные данные, которые необходимы для осуществления коммуникаций с посетителями сайта stoprazvod.ru.

2.2. Персональную информацию пользователя можно использовать в следующих целях:

2.2.1 Связь с пользователем, в том числе направление уведомлений, запросов и информации, касающихся использования сайта, оказания услуг, а также обработка запросов и заявок от пользователя;

2.2.2 Улучшение качества сайта, удобства его использования, разработка новых товаров и услуг;

2.2.3 Проведение статистических и иных исследований на основе предоставленных данных.

Условия обработки персональной информации пользователя и её передачи третьим лицам

3.1. Сайт хранит персональную информацию пользователей в соответствии с внутренними регламентами конкретных сервисов.

3.2. В отношении персональной информации пользователя сохраняется ее конфиденциальность, кроме случаев добровольного предоставления пользователем информации о себе для общего доступа неограниченному кругу лиц.

3.3. Сайт вправе передать персональную информацию пользователя третьим лицам в следующих случаях:

3.3.1. Пользователь выразил свое согласие на такие действия, путём согласия, выразившегося в предоставлении таких данных;

3.3.2. Передача необходима в рамках использования пользователем сайта stoprazvod.ru, либо для оказания услуги пользователю;

3.3.3. Передача предусмотрена международным законодательством в рамках установленной законодательством процедуры;

3.3.4. В целях обеспечения возможности защиты прав и законных интересов проекта или третьих лиц в случаях, когда пользователь нарушает Пользовательское соглашение сайта.

3.4. При обработке персональных данных пользователей сайт stoprazvod.ru руководствуется международным законодательством.

Изменение пользователем персональной информации

4.1. Пользователь может в любой момент изменить (обновить, дополнить) предоставленную им персональную информацию или её часть, а также параметры её конфиденциальности, оставив заявление в адрес администрации сайта.

4.2. Пользователь может в любой момент, отозвать свое согласие на обработку персональных данных, оставив заявление в адрес администрации сайта.

Меры, применяемые для защиты персональной информации пользователей

Сайт принимает необходимые и достаточные организационные и технические меры для защиты персональной информации пользователя от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, распространения, а также от иных неправомерных действий с ней третьих лиц.

Изменение Политики конфиденциальности. Применимое законодательство

6.1. Сайт имеет право вносить изменения в настоящую Политику конфиденциальности. При внесении изменений в актуальной редакции указывается дата последнего обновления. Новая редакция Политики вступает в силу с момента ее размещения, если иное не предусмотрено новой редакцией Политики.

6.2. К настоящей Политике и отношениям между пользователем и сайтом, возникающим в связи с применением Политики конфиденциальности, подлежит применению международное право.

Как и кем составляется документ

Ответственность за документ о политике конфиденциальности полностью лежит на администрации онлайн ресурса.

Владелец сайта может самостоятельно составить документ либо поручить это дело профессиональным юристам.

Как практически решить этот вопрос?

  • Можно взять за основу политику конфиденциальности с какого-либо авторитетного ресурса сходной тематики и направленности. После этого откорректировать текст в соответствии с местными условиями.
  • Можно найти в интернете, на юридических ресурсах, типовой шаблон политики конфиденциальности, вписать реквизиты и данные собственной компании.

Как вариант, можно скачать вот такой шаблон по этой ссылке.

Здесь я разместил простенький шаблон формата docx, который подойдет для большинства сайтов.

Остается отредактировать по своим потребностям и указать данные своей организации.

Онлайн генератор

Для удобства владельцев веб-проектов существуют онлайн-сервисы, на некоторых можно подготовить документ быстро и просто, с учетом действующего законодательства, посредством заполнения предложенной формы.

Такой генератор политики конфиденциальности можно найти на сайте tools.joomlatown.net/152

Просто заполните все предложенные формы и после завершения можете скачать готовый файл.

Поделитесь в социальных сетях:FacebookXВКонтакте
Напишите комментарий