Их можно разделить на:
- Общие. Это информация, с помощью которой человека можно идентифицировать: ФИО (фамилия, имя, отчество), дата рождения, пол и пр.
- Специальные. К ним относятся сведения, относящиеся к расовой принадлежности, вероисповеданию, национальности и т.д.
- Биометрические. Измеримые, доступные для непосредственного наблюдения биологические и внешние данные, физиологические особенности. Например, рост, вес, состояние здоровья, медицинский диагноз, отпечатки пальцев и т.п.
Содержание (кликабельно):
1) Когда и зачем нужно согласие на обработку персональных данных
2) Пример согласия при регистрации на интернет-сервисах
3) Пример согласия при оформлении заказов в интернет-магазинах
4) Отказ от согласия на обработку персональных данных и его возможные последствия
5) Согласие на обработку персональных данных в реальной жизни
6) Защита сведений о человеке при трудоустройстве
В интернете требуется согласие на обработку только общих персональных данных. Информация зависит от используемого сервиса. Могут понадобиться следующие данные: ФИО, адрес прописки/фактического проживания, данные удостоверяющего личность документа, дата рождения, гендерная принадлежность, номер телефона, должность, образование и пр.
Когда и зачем нужно согласие на обработку персональных данных
Согласие на обработку персональных данных в интернете потребуется для исполнения условий договора между клиентом (пользователем, чьи персональные данные интересуют) и сервисом (которым пользуется клиент).
Например, интернет-магазину (сервису) требуется адрес заказчика (клиента), чтобы доставить заказанный товар и провести операцию по оплате при безналичном или даже при наличном расчете.
Также персональные данные клиента используют для рассылки информационных и рекламных объявлений по согласию клиента.
Необходимо учесть, что в понятие “обработка данных” включают сбор, систематизацию, сохранение, накопление, применение, уточнение/изменение, запись, извлечение, передачу и даже обезличивание, удаление из системы и полное уничтожение информации о клиенте.
Поэтому интернет-сервису, не относящемуся к муниципальным или государственным учреждениям, необходимо взять согласие клиента на любые действия с персональными данными. Третьим лицам сведения передаются в ситуациях, указанных в законодательстве РФ.
Регулируется это федеральным законом “О персональных данных” (N 152-ФЗ).
Соглашения на обработку персональных данных на разных интернет-ресурсах
Как правило, в интернете используются схожие пользовательские соглашения, в которые включен пункт о согласии на обрабатывание сведений.
Однако формулировки, обозначения, количество статей и пр. различаются в зависимости от ресурса, на котором заключается то или иное соглашение.
Пример согласия при регистрации на интернет-сервисах
Рассмотрим пример соглашения на ресурсе Mail.ru при создании (то есть, при регистрации) ящика электронной почты (рис. 1).
Рис. 1. Cогласие на обработку персональных данных при регистрации почтового ящика Mail.ru
Пользователь предоставляет следующие сведения: имя, фамилию, дату рождения, пол. По желанию: город и номер сотового телефона.
Так как сайт mail.ru не проверяет предоставленную информацию, данные именуются не персональными, а учетными.
В “Пользовательском соглашении” (ссылка на него показана на рис. 1) прямо сказано, что Mail.ru “не расценивает предоставленные Пользователем учетные данные в качестве персональных данных Пользователя”.
Согласие в данном случае необходимо, чтобы ресурс мог предоставить услугу, вел учет пользователей, осуществлял информационную рассылку и т.д. Также оно обязательно потому, что сайт Майл ру имеет платные службы.
Здесь свое согласие на обработку персональных данных пользователь дает, нажимая на кнопку «Зарегистрироваться» (рис. 1). Возле кнопки стоит ссылка на «Пользовательское соглашение». Раскрыв это соглашение (кликнув по нему левой кнопкой мыши), пользователь одновременно соглашается на обработку своих персональных данных.
Об этом сказано в «Пользовательском соглашении». Вот так не совсем просто можно найти ссылку на свое согласие с обработкой своих персональных данных. Кстати, это еще и о пользе прочтения того, что мы не любим читать и обычно пропускаем.
А зря, иногда это полезно знать, под чем мы фактически подписываемся на интернет-ресурсах.
И еще один пример. Ниже приведена форма, которую нужно заполнить при регистрации Яндекс.почты:
Рис. 2. Cогласие на обработку персональных данных при регистрации почтового ящика Yandex
Как видите, при регистрации Яндекс.почты требуется наличие галочки напротив согласия на обработку персональных данных (см. “Политику конфиденциальности”), а в Майл ру и галочки нет, там все проще, но суть одна. Зато здесь более явно и прямо сказано о том, что сервис запрашивает согласие пользователя на обработку его персональных данных.
Главная особенность регистрации и соглашения на сервисах такого типа – возможность указать ложные сведения со стороны пользователя. Однако ответственность в данном случае полностью лежит на пользователе.
Еще обратите внимание, что давая согласие на обработку информации на подобных интернет-ресурсах, Вы также соглашаетесь с тем, что данные могут передаваться партнерам сервиса. Список партнеров, как правило, указывается в договоре, но также возможно, что партнеры не будут указаны в явном виде.
Подобные соглашения составляют опытные юристы, которые с одной стороны обеспечивают полное выполнение требований федеральных законов, а с другой стороны облегчают задачу сервиса в получении и обработке персональных данных пользователей с пользой для своего бизнеса.
Примеры согласий на обработку персональных данных в интернет-магазинах
Интернет-магазинам согласие клиента на обработку персональных данных необходимо, чтобы предоставить услугу, отправить заказ, сделать рассылку информационных/рекламных объявлений.
- На некоторых ресурсах Вам понадобится поставить отметку напротив предложения “Я согласен с условиями «Пользовательского соглашения»” (или подобном).
- На других – согласие дается автоматически при нажатии кнопки “Отправить (оформить) заказ”.
Как правило, такие соглашения составляются по единому шаблону, в пунктах которого прописано, что клиент:
- Соглашается на все действия с персональными данными с применением и без применения средств автоматизации.
- Обязуется предоставить конкретный перечень сведений и отвечает за их истинность.
- Имеет право отозвать персональную информацию, но это равнозначно разрыву договора между сторонами.
- Дополнительно в соглашение входит перечень партнеров, основания, на которых возможна передача данных, цель обработки, сроки действия соглашения и пр.
Отказ от согласия на обработку персональных данных и его возможные последствия
По закону клиент/пользователь имеет право не давать согласия на обработку своих данных, ведь этот акт полностью добровольный. Юридических последствий это не имеет, то есть человека не будут преследовать или как-то наказывать. Однако это практически всегда делает невозможным использование интернет-ресурса или получение услуги от сервиса.
Получается, что отказ от соглашения равносилен отказу от услуги. При этом даже несогласие изменять условия “Пользовательского соглашения” (которые, кстати, вносятся в одностороннем порядке) является основанием для разрыва договора.
Если же Вы уже подписали соглашение, но потом решили расторгнуть договор, то можете отозвать свои персональные данные. Для этого необходимо связаться с администрацией интернет-ресурса и написать о своем желании. Дальнейшие действия осуществляются по инструкции, предоставляемой администрацией интернет-сервиса.
Согласие на обработку персональных данных в реальной жизни
Как ни странно, но именно без такого согласия банк не сможет обработать заявку на выдачу кредита. Также работодатель может отказать соискателю по причине его отказа от обработки персональных данных, поскольку работодатель может решить ,что соискатель что-то от него скрывает.
Как уже отмечалось выше, персональными данными человека принято считать информацию, которая относится к конкретному физическому лицу. Повторю, что персональные данные можно разделить на три основные категории.
- Общедоступные. Такие данные не скрываются носителем. К ним относится информации об имени, дате рождения и пр.
- Биометрические. Внешний облик и особенности физиологии, если они визуально определяются.
- Специальные. Вероисповедание, национальность, наличие судимости, а также информация, которая касается сферы занятости.
Если в интернете согласие требуется на обработку общедоступных сведений, то в реальной жизни согласие необходимо получать по всем трем категориям персональных данных.
Защита сведений о человеке при трудоустройстве
Когда сотрудник принимается на работу, то работодатель должен потребовать некоторые документы для трудоустройства. В этом случае все документы содержат определенную информацию о соискателе.
Естественно, что в этом случае необходимо получить согласие на обработку персональных данных под роспись. Также человека предупреждают, что он может отказаться от согласия путем отзыва своего согласия.
Работодатель должен донести до соискателя, каким образом будут храниться и обрабатываться полученные персональные данные, как они будут защищены от постороннего вмешательства, а также каким образом можно отозвать свое согласие на обработку персональных данных.
Можно ли отказаться давать согласие? – вопрос, который может волновать многих соискателей.
Согласно законодательству можно не давать согласие на обработку данных.
Однако стоит отметить, что при трудоустройстве или же при обращении в банковское учреждение, отсутствие согласия на обработку может привести к отказу от приема на работу или от предоставления банковских или иных услуг.
Поскольку и работодателя интересуют персональные данные для принятия решений по поводу приема на работу кандидата. А банки интересуются персональными данными для принятия решения по поводу предоставления услуг клиенту.
Ответственность за разглашение персональных данных
В соответствии с законодательством разглашение персональной информации работодателем чревато серьезными последствиями. В частности, это может быть как дисциплинарная, так и уголовная ответственность. Другими словами, того, кто будет виновен в передаче личной информации, ждет серьезное наказание.
- То же самое касается и банков, и других учреждений, которые запрашивают согласие на обработку персональных данных.
- Как отозвать согласие, данное работодателю?
- Чтобы отозвать согласие на переработку данных, необходимо, чтобы был актуален 1 из 2-х случаев:
- При увольнении
- Если со стороны работодателя не обеспечивается конфиденциальность информации.
Отзыв согласия на обработку персональных данных осуществляется на основании письменного заявления работника, в котором надо указать причину отзыва.
При отзыве вся информация должна быть удалена работодателем в месячный срок.
Примечание. Информация про согласие на обработку персональных данных в реальной жизни (а не только в интернете) приведена мною для получения общей картины, в частности, для понимания связи происходящих событий в реальной жизни и в интернете.
- Везде нужно согласие на обработку персональных данных:
- 1. Как пройти полную регистрацию на сайте Госуслуги
- 2. Как оплатить транспортный налог онлайн и не только
- 3. Как отследить заказное письмо или посылку на сайте Почты России
- 4. Оплата налогов в личном кабинете на сайте ФНС
- 5. В Википедии статьи можно править и создавать новые
Получайте актуальные статьи по компьютерной грамотности прямо на ваш почтовый ящик. Уже более 3.000 подписчиков
.
Важно: необходимо подтвердить свою подписку! В своей почте откройте письмо для активации и кликните по указанной там ссылке. Если письма нет, проверьте папку Спам.
Источник: https://www.compgramotnost.ru/internet-gramotnost/soglasie-na-obrabotku-personalnyh-dannyh-v-internete
Персональные данные: где интернет-магазину "подстелить соломку"?
С 1 июля ужесточается законодательство о персональных данных. Поэтому интернет-магазины с новой силой вспомнили о 152 ФЗ и задались вопросом – как именно его нужно соблюдать.
Тем более, что Роскомнадзор уже начал рассылать «письма счастья», в которых сообщает, что проведен осмотр сайта интернет-магазина, а вот формы для получения согласия на сбор ПДн, увы, не обнаружено.
В этой статье мы расскажем, как интернет-магазину правильно «подстелить соломки» и обезопасить себя от штрафов.
Для начала, перечислим самые популярные мифы по персональных данных, не соответствующие действительности.
Миф 1: принят новый закон
Закону о персональных данных (152 ФЗ) уже много лет, и основные положения остаются неизменными. Периодически законодатели принимают поправки к закону.
Некоторое время назад были введены правила о «локализации ПДн», а с 1 июля ужесточается ответственности для операторов персональных данных. Если конкретнее, вступают в силу изменения в в статью 13.11 КоАП РФ.
В новой редакции статьи есть 7 составов правонарушений и прописаны штрафы за них. Что наиболее актуально для интернет-магазинов – предусмотрены штрафы (до 75 тысяч рублей для юрлиц) за:
- Обработку ПДн без согласия пользователя, полученного в письменной форме.
- Обработку ПДн в случаях, не предусмотренных законодательством РФ.
- Непредоставление доступа к документу, определяющему политику оператора в отношении обработки ПДн, и к сведениям о защите персональных данных.
- Непредоставление субъекту ПДн информации, касающейся обработки его персональных данных
- Невыполнение оператором при обработке ПДн обязанности по соблюдению сохранности персональных данных при хранении материальных носителей ПДн.
Миф 2: персональные данные это только данные паспорта или платежные реквизиты
Закон отчасти сам вводит нас в заблуждение и содержит очень обтекаемое определение персональных данных. Скажем по практике правоприменения на сегодняшний день.
Совершенно точно к ПДн относятся – ФИО, адрес электронной почты, телефон, адрес электронной почты, паспортные данные, платежные реквизиты, данные о здоровье и даже IP-адрес.
По сути это любые данные, с помощью которых можно определить конкретное лицо.
Миф 3: пока не подал уведомление в Роскомнадзор – я не оператор персональных данных
152 ФЗ указывает, что оператором персональных данных организация становится в ЛЮБОМ случае, когда начинает их обработку. Другими словами, получив данные клиента, вы уже обязаны соблюдать 152 ФЗ.
Интернет-магазин собирает данные, как правило, через
- форму заказа;
- форму подписки на рассылку;
- форму обратной связи.
- Например:
- Само наличие таких форм на сайте уже означает, что вы стали оператором и начали обработку данных.
Закон действительно обязывает оператора подать уведомление в РКН, но есть и ряд исключений.
Самое распространенное из них – получение данных в связи с заключением договора, стороной которого является субъект персональных данных, если персональные данные не распространяются, а также не предоставляются третьим лицам без согласия субъекта персональных данных и используются оператором исключительно для исполнения указанного договора и заключения договоров с субъектом персональных данных. Человеческим языком: если данные получены от покупателя или потенциального покупателя в рамках договора с ним, то подавать уведомление не обязательно.
Миф 4: оператору достаточно разместить сведения о политике конфиденциальности на сайте
На самом деле, закон 152 ФЗ не дает конкретного перечня документов, наличие которых на сайте является достаточным минимумом для законной обработки данных.
Но, с учетом практики, минимальным считается следующий пакет документов, размещенный на сайте:
- Договор, определяющего права и обязанности покупателя и продавца;
- Политика обработки персональных данных. В этом документе следует определить принципы и цели обработки, порядок обработки данных, сроки хранения, порядок удаления.
- Специальная форма согласия пользователя на обработку его данных – если данные собираются до момента акцепта договора. Например, если договор акцептуется при регистрации или заказе товара, а данные на сайте ИМ собираются еще и через форму обратной связи или подписки на рассылку.
В соответствии с ч. 1 ст. 9 №152 ФЗ согласие на обработку ПДн должно быть конкретным, информированным и сознательным. Важно подтвердить,что пользователь согласие давал, а значит, прямо указать, какое действие является согласием (ввод кода, галочка).
- Для того, чтобы обезопасить себя, идеально подходит форма двухэтапного получения согласия.
- 1 этап – пользователь заполняет форму регистрации на сайте, потом нажимает на кнопку «Согласен» или проставляет в чекбоксе автоматическую галочку и отправляет форму регистрации.
- Вот пример правильного оформления 1 этапа – форма заказа на сайте «М.Видео»:
Возле чекбокса, который надо активировать, размещена фраза, свидетельствующая о прямом согласии пользователя с политикой конфиденциальности сайта. После нее есть кликабельная ссылка на политику конфиденциальности.
Также на сайте стоит отдельно разместить форму согласия пользователя на получение информационно-рекламных материалов в виде SMS и email-рассылок. Например форма согласия на рассылки на сайте Landcruiserland.toyota.ru выглядит так:
Обратите внимание: недостаточно только одного чекбокса «Согласие на получение рекламно-информационных рассылок». Вы ведь собираете данные посетителей, для того чтобы включить их в рассылку. А значит, надо в первую очередь получить согласие пользователя на обработку его ПДн.
Регистрационные формы или формы на получение рассылок, размещенные на сайтах без чекбокса или другого инструмента получения согласия пользователя нарушают ФЗ-152.
Вот пример формы заказа, которая может обернуться для вас штрафом. Данные вносятся, а получение согласия от пользователя – не предусмотрено. К сожалению, таких примеров на сайтах интернет-магазинов до сих пор много. А как эта форма выглядит у вас?
- 2 этап – подтверждение регистрации на сайте через заход по ссылке, направленной на электронную почту пользователя.
- Обратите внимание: второй этап согласия пользователя важно получить именно через его электронную почту, так как ни законодательство, ни инструкции или рекомендации Роскомнадзора не признают согласия на обработку ПДн, полученного при помощи SMS и по телефону.
- Если не предусмотрено двухэтапное согласие пользователя, то лучше внедрить на сайте механизм, который не дает возможности отправить заказ со всеми данными клиента без нажатия кнопки «Согласен на обработку ПДн».
- Текст согласия должен быть достаточно понятным и содержать основные моменты:
- наименование оператора персональных данных;
- перечень ПДн, на обработку которых пользователь дает согласие;
- цели обработки ПДн;
- срок хранения ПДн;
- положение о передаче ПДн пользователя транспортным компаниям/курьерским службам в целях доставки;
- положение об обязательстве оператора совершать или не совершать трансграничную передачу ПДн пользователя;
- согласие пользователя получать рекламную информацию при помощи SMS или по электронной почте.
Стоит помнить, что с согласием на обработку данных тесно связано согласие на получение рассылок. Согласие пользователя является обязательным для рассылки рекламы, в соответствии с ч. 1 ст. 18 ФЗ «О рекламе» №38-ФЗ от 13.03.2006.
Судебная практика за 2017 год по незаконной рекламе, в частности, по sms-рассылкам без получения предварительного согласия, – довольно противоречива.
Например, по некоторым делам территориальные управления ФАС ограничиваются вынесением предупреждений недобросовестным операторам ПДн.Так, торговый дом «Связь» в городе Кемерово получил за рассылку рекламных sms без согласия пользователя только предупреждение.
В качестве смягчающего обстоятельства в решении суда указывается то, что ТД был замечен за таким административным нарушением в первый раз.
Источник: https://oborot.ru/articles/personalnye-dannye-gde-internet-magazinu-podstelit-solomku-i83735.html
Лаборатория информационной безопасности
В современном бурно развивающемся IT-мире широкое распространение приобретает мир электронной коммерции: интернет-магазины / банки / сервисы, которые предоставляют пользователю множество полезных и удобных возможностей. А ещё, в этом же бурно развивающемся мире живёт, развивается и здравствует 152-ой федеральный закон и всё его множественное окружение в лице 1119 Постановления Правительства, 21-го приказа ФСТЭК, 66-ого — ФСБ и многие другие насущные представители целого мира под названием «защита персональных данных». Отсюда сразу возникает злободневный вопрос: как защищать персональные данные интернет-магазинов (в частности) в контексте всего этого поезда и маленькой тележки документов? О порядке действия оператора ПДн в общем случае, я писал в этой статье.
Эти два направления нашей реальности — интернет-коммерция и защита ПДн — вступают в глубокий конфликт.
В особенности, в части таких, например, вещей, как получение от интернет-клиента согласия на обработку его персональных данных в письменной, как того требует закон, форме или обеспечение сертифицированного крипто-канала.
Как же быть в таких ситуациях рядовым интернет-магазинам и прочим коммерческим web-сервисам? Рассмотрим эти вопросы подробнее.
Согласие на обработку персональных данных через «галочку» в форме. Законно ли?
Касательно получения согласия на обработку персональных данных посредством проставления «галочки» в электронной форме на сайте, в ФЗ-152 есть замечательная статья 9, п.4: «В случаях, предусмотренных федеральным законом, обработка персональных данных осуществляется только с согласия в письменной форме субъекта персональных данных.
Равнозначным содержащему собственноручную подпись субъекта персональных данных согласию в письменной форме на бумажном носителе признается согласие в форме электронного документа, подписанного в соответствии с федеральным законом электронной подписью.
Согласие в письменной форме субъекта персональных данных на обработку его персональных данных должно включать в себя, в частности:
9) подпись субъекта персональных данных.»
Из описанного видно, что кроме как через подписанное клиентской ЭП (в соответствии с 63-ФЗ «Об электронной подписи»), согласие в электронной форме законным являться никак не будет.
Да и понятно: «галочка на сайте» никак не может являться аналогом собственноручной подписи, потому что поставить её может каждый и доказать, что её ставил клиент, а не Вы сами (имея полный доступ ко всему сайту и его средствам обработки данных ;)), вбив его данные, просто невозможно. Поэтому чтобы мы ни внедряли: коды активации, пароли и т.д. — всё равно соответствия не будет.
Но есть и, что называется, вторая сторона медали. Согласно ст.9 152-ФЗ, цитата: «субъект персональных данных принимает решение о предоставлении его персональных данных и дает согласие на их обработку свободно, своей волей и в своем интересе.
Согласие на обработку персональных данных должно быть конкретным, информированным и сознательным.
Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом».
Положения законодательства не ограничивают возможность получения согласия субъекта персональных данных исключительно в письменной форме.
При этом в законе чётко не прописано, в какой форме (кроме письменной) физическое лицо может дать свое согласие на обработку.
Вопрос о возможности выражения согласия на сайте при заполнении заявки не урегулирован нормативными актами и официальными разъяснениями контролирующих органов.
На первый взгляд — противоречие. Но не всё так драматично. Дело в том, что 152-ФЗ устанавливает случаи, когда согласие субъекта на обработку персональных данных должно быть исключительно в письменной форме: при обработке специальных категорий персональных данных, поименованных в ч. 1 ст. 10 Закона N 152-ФЗ, и биометрических данных (п. 1 ч. 2 ст. 10, ч. 1 ст. 11 152-ФЗ).
Рассматривая реальную судебную практику, ситуация оказывается интереснее. Судебные прецеденты бывают самые разные. Есть реальные случаи, в которых «галочка на сайте» признаётся действительным согласием. Рассмотрим пример.
В судебном споре (Постановление ФАС Северо-Западного округа от 13 декабря 2010 г.
N Ф07-13220/2010 по делу N А56-73636/2009) рассматривалась ситуация получения ипотечного кредита через заполнение электронной анкеты, выводы суда были следующими: «Физические лица — потенциальные клиенты на получение ипотечного кредита, заполняя анкету-запрос в письменном электронном виде на веб-ресурсах www.kredituem.
com и www.creditsbrf.ru, последовательно отвечали на вопросы анкеты, содержащей сведения о персональных данных; цель предоставления данных — получение ипотечного кредита и обработка персональных данных, поскольку в анкете было указано, что кредит предоставляется банком…
Затем данные физические лица отправляли анкету в электронном виде ООО «Кредитмарт», которое непосредственно имело доступ в административную часть порталов указанных веб-ресурсов под профилем «Руководитель офиса»…
Отправив свои данные по указанному алгоритму заполнения анкеты, физические лица фактически выразили свое согласие на передачу своих персональных данных, то есть при обработке персональных данных указанных лиц ООО «Авторим» получало их письменное согласие в смысле, определенном пунктом 4 статьи 9 Закона о персональных данных (той самой, что приводилась выше и где говорится об ЭП :))».
Тем не менее есть и другие прецеденты, где выводы суда прямо противоположны. Так что нарушение закона тут будет в любом случае, но риски сводятся к реальной судебной практике в конкретном регионе и однозначно их определить возможным не представляется.
Тут также важно отметить, что предоставление гос. услуг и деятельность муниципальных учреждений подпадает под совсем другие требования и коммерческим организациям равняться на них никак не стоит: ст. 9, п.
5 152-ФЗ об этом прямо говорят: «Порядок получения в форме электронного документа согласия субъекта персональных данных на обработку его персональных данных в целях предоставления государственных и муниципальных услуг устанавливается Правительством Российской Федерации».
А правил этих много и разных. Они нас не особенно сейчас интересуют, потому и останавливаться на них не будем.
Таким образом, если организовать ЭП или получить от клиента (субъекта ПДн) оперативное письменное согласие почти нереально (т.к. часто это губит всё удобство, рентабельность и прелесть рассматриваемой системы), то принять риски придётся. Остаётся лишь уменьшить их.
Сделать это можно, к примеру, путём введения смс-кодов подтверждения в качестве закрытого ключа к простой ЭП: да, это не квалифицированная ГОСТовая ЭП из 63-ФЗ, но реальное подтверждение получения клиентом согласия, а судебная практика в России такова, что часто смотрит на семантику закона (логику), а не синтаксис (букву). Процедуры получения письменного согласия тех субъектов, что приходят после принятия положительного решения, наверняка предусмотрены, так что код подтверждения смс ввести, и в этом отношении всё более менее нормально.
Что же касается защищённого канала связи, который в соответствии с ПП-1119 входит в перечень обязательных мер по защите ПДн, то обеспечить ГОСТ-овую криптографию на произвольном сайте — это что-то слабо реальное (хотя и выполнимое в виде развёртывания Trusted SSL ГОСТ).
А вот обычный SSL внедрить можно, это решает фактическую проблему с защитой канала и на лояльность суда и регуляторов рассчитывать с таким решением вполне можно. С учётом того, что на первый раз штрафов по опыту практически не бывает риски здесь минимальны.
И дождаться первой проверки ФСТЭК можно без особого беспокойства.
- Такие вот дела.
- Есть ещё множество важных вопросов, таких как нужна ли оператору ПДн лицензия на деятельность по технической защите конфиденциальной информации, обязательно ли использовать сертифицированные криптосредства или как снизить уровень защищённости ИСПДн?
- Об этом всём я написал новую статью, которую можно прочитать, перейдя по этой ссылке. 🙂
- С уважением,Александр Лысяк
You have no rights to post comments
Источник: http://inforsec.ru/normative-base/ur-security/92-pdn-4
Как владельцам сайтов работать с персональными данными, чтобы избежать штрафа
С 1 июля 2017 г. возбуждать дела об административных правонарушениях будут органы Роскомнадзора, а не прокуратура, как это делается сегодня. Уже сейчас понятно, что данные дела будут возбуждаться проще и быстрее, так как это будет делать сам орган, выявивший правонарушение.
В настоящее время за нарушение закона №152 ФЗ «О защите персональных данных» (сколько бы таких нарушений за 1 раз не было выявлено) можно привлечь только 1 раз. Начиная с 1 июля 2017 г. Роскомнадзор за один «визит» может составить сколько угодно протоколов об административном правонарушении по каждому нарушению. О размере возможно штрафа в таком случае можно только догадываться.
Расположение хостинга сайта
В соответствии с ФЗ № 152, все интернет-ресурсы, на которых хранятся и обрабатываются персональные данные, должны быть расположены на территории Российской Федерации.
С учётом того, что контролирующие органы считают персональными данными также и данные о поведении пользователя на сайте, то это касается практически любого интернет-ресурса.
За нарушение этого требования Роскомнадзор их блокирует.
Под расположением хостинга подразумевается физическое местонахождение ЦОДа, на котором размещен ваш сайт. То есть, если хостинг-провайдер зарегистрирован в России, а его ЦОДы расположены, к примеру, в Эстонии, вы нарушаете закон и попадаете под блокировку сайта.
Что нужно сделать на сайте, чтобы избежать штрафов
Мы составили список работ, которые стоит сделать на своём сайте прямо сейчас. Это тот необходимый минимум, который позволит вам избежать проблем в случае проверок Роскомнадзора.
1. Добавить текст согласия на обработку персональных данных
Под каждой формой ввода данных на сайте (регистрация, заявки на услугу, обратный звонок) разместить текст «Нажимая на кнопку «Название кнопки», я даю согласие на обработку персональных данных», где текст «согласие на обработку персональных данных» является ссылкой на документ. Примеры документов вы можете посмотреть на федеральных сайтах, например, ozon.ru и tinkoff.ru.
Вместо согласия можно использовать единую публичную оферту, но в ней будет нужно прописать, в каких целях, какие данные обрабатываются, то есть указать всё, согласно ч.4 ст.9 152-ФЗ. В этом случае обязательно хранить логи, чтобы, в случае чего, доказать Роскомнадзору, что тот или иной пользователь действительно заходил на сайт и оставлял там свои персональные данные.
2. Составить документ «Политика в отношении обработки персональных данных»
Этот документ нужно разместить на сайте в свободном доступе. В данном документе должны быть описаны процедуры сбора, обработки и хранения персональных данных пользователей сайта. Хорошо проработанный документ о политике в отношении обработки персональных данных есть на ikea.com. При этом с данным документом регистрирующийся не должен соглашаться при заполнении формы.
3. Узнать, где находится хостинг сайта
Узнать у хостинг-провайдера, где физически находится ЦОД, в котором расположен ваш сайт и, в случае, если он расположен не на территории РФ, перенести сайт на другой хостинг. Сделать это вы можете, отправив запрос в техническую поддержку сайта.
4. Указать email для обращений пользователей по персональным данным
Укажите email, куда физическое лицо может обратиться за тем, чтобы его персональные данные были удалены, заблокированы и вообще, куда он может задать вопрос по персональным данным. Email можно указать в документах, описанных выше.
Важно, чтобы указанный email был рабочим, информация на нем регулярно проверялась, чтобы не пропустить запрос пользователя на удаление персональных данных с сайта.
5. Подать уведомление об обработке персональных данных в Роскомнадзор
Вам или агентству-разработчику сайта необходимо подать уведомление об обработке персональных данных в Роскомнадзор, для этого нужно перейти по ссылке и помимо всего прочего указать там адреса местонахождения баз персональных данных и перечень персональных данных, которые в них содержатся.
6. Заключить соглашение о безопасности персональных данных с разработчиком сайта
В случае если агентство-разработчик сайта имеет доступ к персональным данным из заявок или базы данных сайта (например, сайт находится на технической поддержке), вам необходимо заключить соглашение с агентством об обеспечении безопасности персональных данных. В соглашении должно быть указано, какие персональные данные агентство может обрабатывать, в каких целях и какие действия с ними выполнять. Также там должны быть требования по защите персональных данных.
7. Поставить на сайте дисклеймер
До 1 июля 2017 года поставить на сайте дисклеймер, который будет уведомлять посетителей сайта, что его персональные данные обрабатываются на сайте в целях его функционирования и, если он не согласен, то должен покинуть сайт. Примеры дисклеймеров вы можете посмотреть на сайтах marykay.ru и bmw.ru. В противном случае это будет являться согласием на обработку его персональных данных.
Список внушительный, но не стоит бояться этих изменений. Специалисты Мэйка в течение 5 рабочих дней внесут изменения, которые обезопасят ваш сайт от штрафов Роскомнадзора
Мы оказываем эту услугу как нашим клиентам в рамках технического обслуживания, так и сторонним сайтам
Источник: https://makeagency.ru/blog/kak-vladeltsam-saytov-rabotat-s-personalnymi-dannymi-chtoby-izbezhat-shtrafa
За что штрафует Роскомнадзор: анкеты и резюме соискателей, визитки и билеты в командировки
На практике инспекторы могут оштрафовать за нарушения по защите персональных данных по совершенно абсурдным основаниям. Чего ждать от проверки Роскомнадзора, рассказывает кадровый эксперт.
Регистрироваться ли в реестре?
В связи с внесением изменений в КоАП с 1 июля 2017 года и ужесточением ответственности за нарушения законодательства в области персональных данных, для работодателя все более актуальным становится вопрос о том, как правильно работать с персональными данными.
Если проверки Государственной инспекции труда проходили многие работодатели, то о проверках Роскомнадзора знают пока не все.
Информацию о том, придет ли на предприятие плановая проверка Роскомнадзора можно найти на сайте Прокуратуры субъекта РФ.
Так как же подготовиться и пройти такую проверку без штрафов? Для начала нужно разобраться: необходимо ли компании регистрироваться в реестре Роскомнадзора?
В соответствии с законодательством оператором персональных данных признается, в том числе, юридическое лицо осуществляющее обработку персональных данных.
Согласно закону «О персональных данных» оператор до начала обработки персональных данных обязан уведомить Управление Федеральной службы по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) о своем намерении осуществлять обработку персональных данных. Одним из исключений является обработка персональных в соответствии с трудовым законодательством.
Но это исключение не распространяется на персональные данные уволенных сотрудников, на членов семей сотрудников и их детей.
- То есть на практике получается так, что уведомление подавать в любом случае нужно.
- Другое дело, что штраф за неподачу данных предусмотрен небольшой — пять тысяч рублей.
На что смотрит инспектор?
Каковы же основные зоны риска в компании при работе с персональными данными? Это прежде всего, кадровое делопроизводство, хранение личных дел сотрудников, ведение зарплатного проекта и оформление командировок, заказ визитных карточек в компании, оформление прохождения медицинских осмотров сотрудников, которым в соответствии с ТК РФ необходимо проходить такие осмотры, а также порядок осуществления пропускного режима на территорию служебных помещений работодателя.
В отделе персонала проверяющих заинтересует наличие договоров с работными сайтами, приказ о назначении ответственного за обработку персональных данных в компании, а также локально-нормативные акты, регулирующие в компании работу с персональными данными.
Особое внимание инспекторы Роскомнадзора обратят на содержание письменного согласия на обработку персональных данных.
Оно должно быть оформлено в соответствии со ст. 9 п. 4 закона «О персональных данных».
Проблемы из-за соискателей
«Конек» проверяющих — проверка содержания анкеты соискателя на наличие избыточных персональных данных.
- В соответствии с законодательством информация в анкете о родственниках соискателя должна соответствовать объему, предусмотренном пунктом 10 унифицированной формы N Т-2, утвержденной постановлением Госкомстата Российской Федерации.
- То есть работодателю о родственниках соискателя (работника) положено знать только степень их родства, фамилию, имя, отчество и год рождения ближайших родственников.
Любая другая информация, как например, число и месяц рождения или место работы родственника, будет признана избыточной и за это компанию оштрафуют.
Теоретически здесь требования Роскомнадзора вступают в противоречие со ст.228 ТК РФ, ведь Трудовой кодекс обязывает работодателя при наступлении тяжелого несчастного случая или несчастного случая со смертельным исходом информировать родственников пострадавшего.
А как это сделать, если нет никакой другой информации в анкете — не понятно. Проверяющие эту ситуацию никак не комментируют.
Про хранение личных дел сотрудников все ясно — они должны находиться в закрытых стеллажах под замком.
Резюме
А вот как правильно с точки зрения Роскомнадзора работать с резюме кандидатов? Во-первых, обработка персональных данных соискателей предполагает получение согласия самих соискателей на обработку их персональных данных.
Исключение составляют случаи, когда от имени соискателя действует кадровое агентство, с которым данное лицо заключило соответствующий договор, а также при самостоятельном размещении соискателем своего резюме в сети Интернет, доступного неограниченному кругу лиц.
Согласно требованиям Роскомнадзора при получении резюме кандидата по электронной почте — необходима обратная связь с ним для подтверждения факта отправки указанного резюме самим кандидатом.
К таким мероприятиям можно отнести приглашение соискателя на личную встречу с сотрудниками работодателя, обратную связь посредством электронной почты и т.п.
При поступлении в адрес работодателя резюме, составленного в произвольной форме, при которой однозначно определить физическое лицо, направившее его, не представляется возможным, данное резюме подлежит уничтожению в день поступления с составлением акта об уничтожении.
То же необходимо сделать и в случае отказа кандидату в приеме на работу — резюме должно быть уничтожено в течение 30 дней. Поэтому резюме проще вообще не распечатывать.
При направлении работодателем запросов по прежним местам работы, для уточнения или получения дополнительной информации о соискателе получение его согласия также является обязательным условием.
Кадровый резерв
В случае ведения кадрового резерва в компании обработка персональных данных лиц, включенных в кадровый резерв, может осуществляться также только с их согласия, за исключением случаев нахождения в кадровом резерве действующих сотрудников, в трудовом договоре которых определены соответствующие положения.
Поэтому соискатель обязательно должен быть ознакомлен с условиями ведения кадрового резерва: со сроками хранения его персональных данных и порядком исключения из кадрового резерва.
Согласие на внесение соискателя в кадровый резерв организации оформляется либо в форме отдельного документа либо путем проставления соискателем отметки в соответствующем поле электронной формы анкеты соискателя на сайте Компании.
Сайт компании
Сайт Компании также представляет интерес для сотрудников Роскомнадзора.
В случае использования окна обратной связи с клиентами или кандидатами, политика или положение об обработке персональных данных должны быть размещены на сайте, а согласие на обработку персональных данных обязательно должно подтверждаться соискателем или клиентом, путем проставления отметки — «галочки» в соответствующем поле.
Передача данных третьим лицам
В ходе проверки проверяющие обязательно поинтересуются, ездят ли сотрудники в командировки, проходят ли медосмотры и заказываются ли им визитные карточки.
- Если да, то еще одним подводным камнем для работодателя является сохранение конфиденциальности при передаче персональных данных третьим лицам и согласие самих сотрудников на такую передачу для изготовления, например, визитных карточек или заказа авиа- и железнодорожных билетов через агентства, направления на обязательный медицинский осмотр.
- Для этого должны быть заключены договоры о конфиденциальности с соответствующими подрядчиками.
- В таких договорах проверяющих интересует перечень действий, совершаемых с персональными данными, цели обработки и обеспечение безопасности данных.
Визитка — как повод для штрафа
По итогам проверки будет составлен акт и в случае выявленных нарушений вынесено предписание об устранении нарушений.
Что касается штрафов, конкретные их размеры указаны в статье 13.11 КоАП.
Размеры штрафов от 15 до 70 тысяч рублей в зависимости от вида нарушения.
Чтобы минимизировать риски, работодателю перед проверкой необходимо провести инструктаж ответственных лиц, какие пояснения давать инспектору.
- Как показывает практика, к проверке Роскомнадзора подготовится сложнее, чем к проверке ГИТ, потому что требования Роскомнадзора не столь широко известны работодателям, как требования трудового законодательства.
- К тому же бывает, что решения инспекторов, на первый взгляд, кажутся парадоксальными.
Есть прецеденты, когда компанию штрафовали, например, за то, что у бухгалтера по зарплате в согласии на обработку персональных данных, отсутствует согласие на передачу персональных данных компаниям, у которых заказываются визитки, авиабилеты, и где проходят медосмотры сотрудники, которым положено их проходить в соответствии с законодательством.
Объяснения представителей компании о том, что бухгалтер по зарплате не ездит в командировки, ему не положены визитные карточки и он не обязан проходить медосмотры — успеха не имели. В таких случаях нужно пытаться отстоять свою позицию в суде, хотя судебной практики по нарушениям в области персональных данных еще очень мало.
Поэтому любое судебное решение, вынесенное в пользу компании, будет значительной вехой в спорах подобного рода.
Источник: https://www.klerk.ru/boss/articles/470473/
Согласие на обработку персональных данных
Если говорить начистоту, то мы думали, что после пика активности летом 2017 года, тему защиты персональных данных (далее в статье — ПДн) мы уже никогда поднимать не будем.
Нам казалось, что тема себя исчерпала… что она уже никому и никогда не будет интересна, так как почти у всех уже появилось понимание, что персональные данные нужно оберегать, как собственное дитя от шального внешнего мира.
Но как бы мы ни хотели сесть на единорога и добраться на нем в страну фантазии по радуге, факт остается фактом, наши с Вами персональные данные все еще под угрозой.
Лакмусовой бумажкой для наc, а значит и для регуляторов в этой области, является согласие на обработку ПДн.
И, к сожалению, мы вынуждены признать, что большинство согласий, которые мы видим в обычной жизни либо составлены безграмотно, либо не составлены вовсе.
Поэтому на всякий случай повторим для тех, кто в танке все еще не разобрался в вопросе.
Что такое согласие на обработку персональных данных и зачем его давать?
Это задекларированный факт того, что субъект ПДн (как правило Ваш клиент) разрешает обрабатывать его ПДн, а в некоторых случаях использовать их в маркетинговых целях. Но на маркетинговых целях остановимся чуть позже.
Почему этот факт должен быть задекларирован?
Потому что с точки зрения п.3 ст.9 Федерального закона “О персональных данных” ФЗ-152 (далее ФЗ-152) обязанность предоставить доказательство получения согласия или доказательство наличия оснований,не собирать такое согласие, возлагается на ОПЕРАТОРА, то есть на Вас.
О! Есть случаи, когда согласие можно НЕ собирать? Это какие?
Да, конечно, такие случаи есть и они описаны в п.2-11 ч.1 ст.6, ч.2. ст.10 и ч.2 ст.11. Если кратко (на самом деле не кратко, но максимально простыми словами), то вот такие случаи:
- обработка осуществляется для выполнения функций возложенных на оператора законодательно;
- обработка осуществляется в связи с участием лица в судебном процессе или необходима для исполнения судебного акта;
- обработка осуществляется в целях предоставления государственных и муниципальных услуг;
- субъект является стороной договора, по которому он является выгодоприобретателем;
- обработка осуществляется для защиты жизни и здоровья субъекта, если получить согласие при этом невозможно;
- обработка необходима для профессиональной журналистской, научной, литературной или др. творческой деятельности, если не нарушаются законные права субъекта ПДн;
- обработка осуществляется в статистических целях, при условии обезличивания ПДн;
- осуществляется обработка ПДн, которые субъект ПДн сам сделал общедоступными;
- осуществляется обработка ПДн, которые подлежат обязательному раскрытию в соответствии с законодательством РФ;
- обработка осуществляется в связи с международными договорами о реадмиссии*
_____________________________
* Реадмиссия (англ. to readmit — принимать назад) — согласие государства на приём обратно на свою территорию своих граждан (а также, в некоторых случаях, иностранцев, прежде находившихся или проживавших в этом государстве), которые подлежат депортации из другого государства.
_____________________________
- в соответствии с законом “О переписи населения”;
- обработка ведется в соответствии с трудовым законодательством;
- обработка осуществляется в медицинских или медико-профилактических целях лицом профессионально занимающимся медицинской деятельностью, на которое распространяется законодательство о врачебной тайне;
- осуществляется обработка ПДн членов общественной или религиозной организации самой организацией в соответствии с законодательством и ПДн не передаются без согласия субъекта;
- обработка осуществляется в соответствии с законодательством РФ об обороне, о безопасности, о противодействии терроризму, о транспортной безопасности, о противодействии коррупции, об оперативно-розыскной деятельности, об исполнительном производстве, о порядке въезда и выезда, о гражданстве РФ;
- при обработке органами прокуратуры в связи с осуществлением прокурорского надзора;
- обработка осуществляется в соответствии с законодательством об обязательных видах страхования;
- обработка осуществляется в соответствии с законодательством РФ в целях устройства детей, оставшихся без попечения родителей.
Если Ваша деятельность подпадает под какой-то один из этих пунктов, то ВОЗМОЖНО Вам можно и не брать согласие на обработку ПДн со своих клиентов. Но… это не точно.
Если Вы увидели что-то похожее на свою деятельность, то обязательно обратитесь к ФЗ-152 и сами почитайте перечисленные пункты, а также подкрепите свои знания законодательством в области Вашей деятельности.
Потому что задача по доказательству того, что Вам не обязательно брать согласие, лежит на Ваших плечах.
Что обязательно должно быть в согласии?
А теперь к вопросу, как грамотно составить согласие на обработку ПДн. С точки зрения нашего любимого ФЗ-152 в согласии обязательно должно быть:
- полное ФИО субъекта ПДн;
- адрес субъекта ПДн
- номер основного документа, удостоверяющего личность, а также дата выдачи и кем выдан;
- вся эта же информация о представителе субъекта ПДн, а также реквизиты документа, подтверждающие основания представителя действовать от лица субъекта (например, если субъектом является ребенок, то основанием действия родителя будет свидетельство о рождении ребенка или паспорт родителя с отметкой о ребенке);
- наименование или полное ФИО, а также адрес оператора ПДн;
- цель обработки ПДн (четкая и понятная);
- перечень ПДн, на обработку которых дается согласие;
- наименование или ФИО, а также адрес оператора по поручению, если таковой имеется (т.е. если Вы передаете обработку ПДн своих клиентов другому юридическому лицу, то клиент с этим тоже должен согласиться и знать об этом);
- перечень действий, на совершение которых дается согласие (их можно подглядеть в ст.3 ФЗ-152);
- срок в течение которого действует согласие;
- подпись субъекта персональных данных.
Хороший вопрос, в таком случае мы в согласие обычно пишем так: “ФИО, адрес и реквизиты документа удостоверяющего личность обрабатываются исключительно в бумажном виде в целях получения согласия на обработку персональных данных.”
Как подписывать согласие?
Мы сказали о том, что в согласии на обработку ПДн обязательно должна быть подпись субъекта ПДн, но не сказали в каком виде. На данный момент ФЗ-152 предполагает, что согласие получается в письменной форме с собственноручной подписью субъекта или в форме электронного документа, подписанного электронной подписью.
А что делать, если мы с моим клиентом (субъектом ПДн) никогда не увидимся лично и электронной подписи у него нет?
В той же 9 статье ФЗ-152 в п.1 есть замечательное предложение “Согласие на обработку персональных данных может быть дано субъектом персональных данных или его представителем в любой позволяющей подтвердить факт его получения форме, если иное не установлено федеральным законом.
” Также мы сделали официальный запрос регулятору (Роскомнадзору), хоть он и не уполномочен трактовать законодательство. В этом запросе мы напрямую спросили, подходит ли использование чек-боксов (это когда нужно поставить галочку) для получения согласия на обработку.
Так вот, регулятор ответил нам однозначно — подходит. Так что если Вы никогда не встретитесь со своими субъектами ПДн лично и электронных подписей быть у них не может, то единственная ваша возможность получить согласие, это сделать чек-бокс на сайте.
Но это не отменяет того, что Вы обязаны рассказать субъекту о политике защиты его ПДн, а также предоставить текст согласия в электронном виде.
С основными моментами вроде разобрались. Теперь давайте поговорим об основным ошибках (случайных или преднамеренных), которые мы видим в согласиях.
Ошибка №1. Согласия нет в принципе.
Без комментариев, мы уже ответили на вопрос, зачем оно нужно и в каких случаях нет необходимости в согласии.
Ошибка №2. Не все данные указываются.
Еще раз просим Вас внимательно ознакомиться с перечнем информации, которая должна быть в согласии.
Ошибка №3. ПДн передаются третьим лицам, но при этом в согласии не указываются конкретные наименования.
Бывают такие ситуации, когда компании по тем или иным причинам не хотят говорить, кому передаются ПДн.
Уважаемые субъекты, нам кажется, что это повод задуматься о том, насколько прозрачно ведет свои дела компания, предоставляющая Вам услуги.
Сказать, кому они могут передать Ваши персональные данные, — это их святая обязанность, прописанная в законодательстве. Так что хватит юлить, указываем напрямую, кому передаем ПДн своих субъектов.
Ошибка №4. С точки зрения ФЗ-152 компания вовсе не обязана брать согласие и вроде бы все правильно, не берет, но при этом например размещает на своем сайте информацию о сотрудниках или передает ПДн третьим лицам.
Это 100% нарушение законодательства “О ПДн”. Даже если Вы можете не брать согласие на обработку ПДн субъектов, то Вы обязательно должны брать согласие на передачу ПДн третьим лицам, если обратное не установлено условиями законодательства, а также брать согласие на размещение ПДн на общедоступных ресурсах, чем и является сайт организации, доска почета, телефонный справочник и т.д.
Ошибка №5. Согласие на обработку ПДн заполняет сотрудник организации, спрашивая у субъекта его ПДн.
Напрямую нигде не прописано, что так делать нельзя, но в таком случае вырисовывается интересная картина. У вас появляется дополнительный канал утечки информации, что несомненно усложнить Вашу жизнь с точки зрения защиты ПДн, так что просто не делайте так.
И на сладкое поговорим немного о маркетинге.
Многие… очень многие компании собирают номера телефонов и адреса электронной почты для рассылки “полезной” информации об акциях и прочих крутых штуках (статьях, рекламе и т.д.). Так вот в ст.
15 ФЗ-152 черным по белому написано, что Вы обязаны получить дополнительное согласие для рассылки маркетинговой информации или политических агитаций.
И незамедлительно прекратить рассылку по запросу субъекта!
Ну и в качестве бонуса всем, кто дочитал/долистал до конца статьи пример согласия на обработку ПДн.
Если у Вас остались вопросы, то можете задать их на нашу почту: secret@avitek.ru
Источник: https://avitek.ru/info/articles/soglasie-na-obrabotku-personalnykh-dannykh/
Шаблоны соглашений на обработку персональных данных для ваших сайтов
В блог
Недавно в Тинькофф-журнале вышла статья, которая доступно и подробно объясняет какими штрафами грозит неисполнение формальностей нового закона и как этих штрафов избежать.
Самая главная работа, которую нужно проделать на своих сайтах – добавить обязательное поле-галочку, отмечая которое, посетители соглашаются с вашими правилами обработки их данных. Соответственно, необходимо эти правила разместить.
- Для облегчения жизни своим клиентам, мы подготовили два шаблона – для корпоративных сайтов, где только форма обратной связи и форма заказа звонка, и для интернет магазинов, где форм побольше. И нам не жалко поделиться ими 🙂
- Обязательно прочитайте то, что будете копировать на свой сайт – можете удалить строчки про цели использования и перечень персональных данных, если какие-то из них вас не касаются.
- Если у вас уже есть соглашение на сайте, добавьте в него блок про обработку данных и сделайте ссылку на это соглашение.
Для корпоративного сайта
Предоставляя свои персональные данные Пользователь даёт согласие на обработку, хранение и использование своих персональных данных на основании ФЗ № 152-ФЗ «О персональных данных» от 27.07.2006 г. в следующих целях:
- Осуществление клиентской поддержки
- Получения Пользователем информации о маркетинговых событиях
- Проведения аудита и прочих внутренних исследований с целью повышения качества предоставляемых услуг.
Под персональными данными подразумевается любая информация личного характера, позволяющая установить личность Пользователя/Покупателя такая как:
- Фамилия, Имя, Отчество
- Дата рождения
- Контактный телефон
- Адрес электронной почты
- Почтовый адрес
Персональные данные Пользователей хранятся исключительно на электронных носителях и обрабатываются с использованием автоматизированных систем, за исключением случаев, когда неавтоматизированная обработка персональных данных необходима в связи с исполнением требований законодательства.
Компания обязуется не передавать полученные персональные данные третьим лицам, за исключением следующих случаев:
- По запросам уполномоченных органов государственной власти РФ только по основаниям и в порядке, установленным законодательством РФ
- Стратегическим партнерам, которые работают с Компанией для предоставления продуктов и услуг, или тем из них, которые помогают Компании реализовывать продукты и услуги потребителям. Мы предоставляем третьим лицам минимальный объем персональных данных, необходимый только для оказания требуемой услуги или проведения необходимой транзакции.
Компания оставляет за собой право вносить изменения в одностороннем порядке в настоящие правила, при условии, что изменения не противоречат действующему законодательству РФ. Изменения условий настоящих правил вступают в силу после их публикации на Сайте.
Для интернет-магазинов
Предоставляя свои персональные данные Покупатель даёт согласие на обработку, хранение и использование своих персональных данных на основании ФЗ № 152-ФЗ «О персональных данных» от 27.07.2006 г. в следующих целях:
- Регистрации Пользователя на сайте
- Осуществление клиентской поддержки
- Получения Пользователем информации о маркетинговых событиях
- Выполнение Продавцом обязательств перед Покупателем
- Проведения аудита и прочих внутренних исследований с целью повышения качества предоставляемых услуг.
Под персональными данными подразумевается любая информация личного характера, позволяющая установить личность Покупателя такая как:
- Фамилия, Имя, Отчество
- Дата рождения
- Контактный телефон
- Адрес электронной почты
- Почтовый адрес
Персональные данные Покупателей хранятся исключительно на электронных носителях и обрабатываются с использованием автоматизированных систем, за исключением случаев, когда неавтоматизированная обработка персональных данных необходима в связи с исполнением требований законодательства.
Продавец обязуется не передавать полученные персональные данные третьим лицам, за исключением следующих случаев:
- По запросам уполномоченных органов государственной власти РФ только по основаниям и в порядке, установленным законодательством РФ
- Стратегическим партнерам, которые работают с Продавцом для предоставления продуктов и услуг, или тем из них, которые помогают Продавцу реализовывать продукты и услуги потребителям. Мы предоставляем третьим лицам минимальный объем персональных данных, необходимый только для оказания требуемой услуги или проведения необходимой транзакции.
Продавец оставляет за собой право вносить изменения в одностороннем порядке в настоящие правила, при условии, что изменения не противоречат действующему законодательству РФ. Изменения условий настоящих правил вступают в силу после их публикации на Сайте.
Источник: https://prominado.ru/blog/agreements/