Интернет — это сетевое пространство, где весьма сложно сохранить какую-либо информацию. Однако соблюдать действующие требования законодательства все равно необходимо. Особенно это касается владельцев интернет-ресурсов. Ведь они несут юридическую ответственность за размещаемые, собираемые, обрабатываемые, хранимые и передаваемые третьим лицам данные. Обезопасить себя от возможных неблагоприятных правовых последствий поможет правильно разработанная политика конфиденциальности.

Рассмотрим, каким образом составляется документ, содержащий условия о такой политике.

 

Базовые положения

В данном разделе лучше всего включить описательную часть о назначении Политики конфиденциальности (далее — ПК), а также регламентировать ключевые используемые понятия, такие как: персональные данные (далее — ПД), их обработка, оператор, субъект личных данных, конфиденциальность таких сведений и пр. Здесь же можно перечислить базовые права и обязанности оператора и субъектов ПД.

Во избежание дублирования положений ФЗ-152 рекомендуется отсылать пользователей к конкретным пунктам и разделам данного закона, а также самого документа о ПК, которые конкретизируют используемые термины.

 

Цель сбора ПД

В соответствии с рекомендациями Роскомнадзора, легальная обработка личных данных ограничена достижением заблаговременно регламентированных, точных целей, не выходящих за пределы правового поля. Недопустима обработка информации, несовместимая с указанными целями сбора ПД.

Чтобы не попасть в черный список Роскомнадзора и не проходить последующие обязательные проверки, лучше всего привязать все цели обработки личных данных к сопровождению договоров (заключение, исполнение, разрешение споров).

Связующим актом в данном случае может выступать Пользовательское соглашение, принимаемое всеми посетителями на начальном этапе использования интернет-ресурса, либо иное соглашение, предлагаемое владельцем ресурса.

В итоге получается среднестатистический набор целей:

  • заключение с посетителем договоров на использование сайта или посредством интернет-ресурса,
  • отождествление посетителей в ходе исполнения обязательств по заключенным с ними договорам,
  • сопровождение заключенных соглашений, включая предоставление посетителю доступа к интернет-ресурсу и техподдержке, эксплуатации им инструментария интерфейса ресурса,
  • взаиморасчеты, включая случаи отказа от сделки (возврата товара, отказа от услуг),
  • разрешение рассылок, информационного оповещения, опроса для улучшения качества обслуживания по заключенным договорам, в том числе с привлечением сторонних организаций.

 

Юридическое обоснование обработки ПД

По разъяснениям Роскомнадзора, юридическим обоснованием обработки личных данных выступают нормативно-правовые акты, в рамках которых оператор обрабатывает такие сведения.

При наличии выше обозначенной связки в качестве правового обоснования обработки ПД можно указать договоры, заключаемые между оператором и субъектом ПД.

Если личные данные обрабатываются в других целях, в качестве обоснования надо указать отдельно заключаемое согласие на обработку ПД.

 

Объем и виды обрабатываемых личных данных, классификация субъектов ПД

Согласно предупреждению Роскомнадзора, содержание и объем обрабатываемых ПД не должны противоречить указанным целям обработки. Обрабатываемым ПД не следует превышать объемов, требуемых для достижения обозначенных целей обработки.

Учитывая эти рекомендации Роскомнадзора, в ПК вносим ту личную информацию, которую вы собираете посредством данного интернет-ресурса для достижения его ключевых целей.

Главным образом указывается информация из полей онлайн-форм обратной связи, заказов, регистрации и подписки. Далее уделяем внимание содержанию сведений, вносимых пользователем при заполнении личного профиля (кабинета, аккаунта).

В дополнение указываются данные, запрашиваемые техподдержкой или отделом продаж при обработке, оформлении заявок в телефонном или ином режиме.

 

Правила обработки личных данных

В этом разделе Роскомнадзором рекомендовано указать список манипуляций с личными данными пользователей, а также перечислить задействуемые оператором способы и сроки обработки таких сведений.

ФЗ-152 предусматривает нижеследующий общий перечень допустимых процедур с ПД:

  • сбор,
  • фиксация,
  • аккумуляция,
  • систематизация,
  • архивация,
  • корректировка,
  • применение,
  • извлечение,
  • распространение,
  • обезличивание,
  • блокировка,
  • частичное или полное удаление (уничтожение).

Вариаций же обработки не так много: автоматизированная и механическая.

Если ПД не используются, не уточняются, не распространяются и не уничтожаются в базе данных вашего интернет-ресурса автоматически, то выбирают второй вариант.

Что касается сроков обработки, то лучше указать минимально срок действия договора, для исполнения которого запрашивались данные. Допустимо приплюсовать сюда период исковой давности (3 года).

При хранении ПД оператор обязан использовать базы данных, находящиеся на территории РФ согласно ч. 5 ст. 18 ФЗ-152. Данное положение отражать в ПК необязательно.

А вот условия передачи личных данных третьим лицам в ПК надо закрепить.

Чаще всего используются следующие основания передачи данных:

  1. 1. Посетитель письменно выразил свое согласие.
  2. 2. Передача необходима для юридического сопровождения сделок посредством данного интернет-ресурса.
  3. 3. По запросу правоохранительных, судебных органов.
  4. 4. В целях защиты прав сторон ввиду нарушения условий заключенных с пользователем сделок.

В некоторых пределах этот список можно расширить. Например, если вы собираетесь продавать интернет-ресурс.

Также в этом разделе ПК надо внести сведения о соблюдении конфиденциальности ПД согласно ст. 7 ФЗ-152, и принятии мер, указанных в ч. 2 ст. 18.1, ч. 1 ст. 19 ФЗ-152.

То есть требуется заявление, что администрация веб-ресурса хранит ПД и обеспечивает их защиту от нелегального доступа и распространения согласно внутренним правилам и регламенту.

 

Корректировка и доступ к личным данным

Роскомнадзором рекомендовано включать в ПК протокол реагирования на обращения субъектов ПД, их представителей, полномочных органов по поводу возможной корректировки ПД, неправомерности их обработки, отзыва согласия и доступа субъекта ПД к своей информации, а также соответствующие формы таких обращений.

В этой ситуации указывается, что пользователь вправе сам корректировать в своем аккаунте предоставленные им ранее сведения. А при прекращении действия заключенного договора он может удалить личный аккаунт самостоятельно либо обратившись в службу техподдержки.

 

Обработка обезличенных данных

Роскомнадзор не рассматривает вопрос обработки данных, не расцениваемых персональными. В то же время часть информации собирается зачастую сайтами автоматически: IP, cookie, вид используемого гаджета, геолокация и пр. На практике в ПК включают уведомление и порядок обработки таких сведений в целях полного информирования посетителей о последствиях использования интернет-ресурса.