Политика конфиденциальности на сайте: кому нужна и как оформить

Большинство сайтов содержит раздел «Политика конфиденциальности». Это незаметная ссылка, которую обычно располагают в подвале страницы. Владельцы сайтов размещают её неслучайно: они защищают себя от штрафа и блокировки Роскомнадзором. Позаботьтесь о ней тоже, если на вашем сайте есть корзина или форма обратной связи.  

Попробовать Эльбу
30 дней бесплатно
Сервис рассчитает налог и подготовит отчётность для бизнеса на УСН, ЕНВД и патенте. А ещё поможет формировать счета, акты и накладные.

Почему важно правильно работать с персональными данными

Персональные данные — любая информация о посетителе страницы, которая позволяет его опознать. Например, имя, возраст, телефон, электронная почта, домашний адрес, фотография. Закон 152-ФЗ запрещает собирать, хранить и обрабатывать эти данные без согласия человека.  За нарушения владельцев сайтов штрафуют по ст. 13.11 КоАП.

Штрафы для ИП и ООО:

— Нет политики конфиденциальности: для ИП — от 5000 до 10 000 рублей, для ООО — от 15 000 до 30 000 рублей.

— Владелец сайта отказался сообщить пользователю, какие данные о нём собраны и с какой целью: для ИП — от 10 000 до 15 000 рублей, для ООО — от 20 000 до 40 000 рублей;

— Владелец сайта не удалил персональные данные по требованию пользователя: для ИП — от 10 000 до 20 000 рублей, для ООО — от 25 000 до 45 000 рублей

— Персональные данные оказались у третьих лиц: для ИП — от 10 000 до 20 000 рублей, для ООО — от 25 000 до 50 000 рублей.

— Обработка персональных данных противоречит целям сбора: для ИП — от 5 000 до 10 000, для ООО — от 30 000 до 50 000 рублей.

— Персональные данные обрабатывают без согласия посетителя сайта: для ИП — от 10 000 до 20 000 рублей, для ООО — от 15 000 до 75 000 рублей.

Кто находит нарушения и как

Сайты проверяет Роскомнадзор. Самая популярная причина проверки — жалоба клиента. Плановые проверки тоже бывают, но к малому бизнесу с ними приходят редко.

Пример:

Владимир планирует семейное путешествие в Грецию. Он оставил свои контакты на сайте компании «Горящие туры». Ему перезвонили и предложили слишком дорогую путёвку, поэтому он отказался. На следующий день Владимир получил СМС: «Турция, Стамбул, 22-28 марта, 30 000 руб./чел, отель 5 звёзд, подробности на сайте». Подобные СМС доставали его до самого отпуска. Когда он вернулся из поездки, рассылка продолжилась. Он позвонил в ООО «Горящие туры» и попросил больше не писать ему. На следующий день получил очередное СМС — и не выдержал, написал жалобу в Роскомнадзор.

Роскомнадзор заблокировал сайт на время проверки. Политики конфиденциальности на сайте не обнаружилось. Владелец «Горящих туров» получил два штрафа: за отсутствие политики конфиденциальности и отказ удалить данные пользователя. Он заплатил 75 000 рублей. 

Какие термины используют в законе

Знание терминов пригодится, если будете читать нормативно-правовые акты или другие статьи по теме.

Операторы персональных данных — владельцы сайтов.

Операторы собирают, обрабатывают и хранят персональные данные. Все три действия важно прописать в политике конфиденциальности.

  1. Сбор информации — получение сведений о человеке. Например, при заполнении формы.
  2. Обработка информации — передача сведений. Например, курьеру сообщают номер телефона покупателя, чтобы доставить товар.
  3. Хранение информации — это когда её не удаляют сразу после получения.

Что такое политика конфиденциальности

Владелец сайта берёт у каждого посетителя согласие на сбор, обработку и хранение персональных данных. Подписывать документ на бумаге — затруднительно, из-за этого сайт растеряет всех посетителей. Поэтому есть способ проще — выложить на сайт специальный документ.

В политике конфиденциальности прописывают, какую информацию и с какой целью собирают. Сообщают также, какое действие считается согласием на обработку персональных данных. Например, оформление заказа или заполнение формы — ч. 2 ст. 18.1 152-ФЗ.

Как принять политику конфиденциальности

  1. Составьте документ

Подготовьте политику конфиденциальности в виде отдельного документа. Также можно включить правила обработки персональных данных в пользовательское соглашение или договор-оферту, если работаете по ним.

Проще всего подготовить политику конфиденциальности при помощи специальных сервисов — например, конструктора Тильды.

Пример политики конфиденциальности

В документе отразите:

— Перечень персональных данных. Например, имя, адрес, телефон. Не забудьте перечислить файлы cookie — обезличенные данные о посетителях, которые собирают Яндекс.Метрика и Гугл.Аналитика.

— Цели сбора и обработки. Например, исполнение договора, создание рекламных акций, продвижение товаров, улучшение сайта.

— Срок хранения. Он должен соответствовать целям.

— Меры защиты персональных данных. Например, резервное копирование.

— Какое действие считать согласием пользователя. Например, проставление галочки, создание личного кабинета, заполнение формы.

2. Опубликуйте политику конфиденциальности на сайте

Пользователю должно быть понятно, на что он соглашается. Когда он заполняет форму или регистрируется, покажите ему ссылку на политику конфиденциальности. При заходе на сайт — предупредите, что обрабатываете файлы cookie. Обычно используют всплывающее окно с кнопкой «ок».

Опубликуйте документ в доступном месте. У посетителей должна быть возможность в любой момент ознакомиться с ним. Обычно политику конфиденциальности прячут в подвал, чтобы ссылка не отвлекала от содержания сайта.

3. Уведомьте Роскомнадзор

Владельцы сайтов, которые собирают персональные данные, обязаны уведомлять Роскомнадзор. За отсутствие уведомления штрафуют по ст. 19.7 КоАП РФ: ИП — на сумму до 500 рублей, ООО — до 5000 рублей.

Роскомандзор необязательно уведомлять, только если:

  1. Пользователи сами выкладывают свои данные в открытый доступ. Например, пишут ФИО и телефон на площадке для объявлений.
  2. Пользователи отправляют только ФИО.
  3. Вы получаете персональные данные только для исполнения конкретного договора с клиентом. Например, на сайте киносалона открыта онлайн-запись на платную встречу с режиссером. Посетитель оставляет имя, телефон и электронную почту. После мероприятия эти данные удаляются.

Лучше всё равно подстраховаться: уведомление бесплатное. 

Форма уведомления

4. Назначьте ответственного за хранение персональных данных

Обычно ответственность возлагают на сотрудника, который работает с данными — кадровика, оператора колл-центра, менеджера продаж. Если вы ИП и работаете один — на самого себя.

5. Храните данные на серверах в России. Хранить персональные данные за пределами России запрещено по ст. 18 152-ФЗ. Если арендуете хранилище, узнайте, в какой стране расположены серверы.

Почему важно защищать персональные данные

Брать согласие с посетителей сайта — недостаточно. Важно не передавать сведения третьим лицам и физически защитить их от утечки. Установите пароли к компьютерам и серверам, где храните информацию. Ограничьте к ним доступ своих сотрудников без необходимости. Бумажные документы храните в сейфе.

Если персональные данные стали известны кому-то ещё — это плохо. Пострадавший имеет право пойти в суд и потребовать компенсацию за моральный вред по ст. 24 152-ФЗ.

Пример из судебной практики:

Мама Евгения взяла кредит. Рассчитаться по нему она не успела: умерла. На сына обрушились звонки от коллекторов. Он пошёл в суд и заявил, что не принимал наследство, поэтому не отвечает по долгам. Что важно для нашей темы, Евгений добавил: банк передал коллекторам номер его телефона, а он не подписывал на это согласия. Суд встал на сторону Евгения. Банк выплатил ему компенсацию за моральный вред.

Апелляционное определение Хабаровского краевого суда № 33-2412/2013

Статья актуальна на 28.02.2019

ТОЛЬКО ПОЛЕЗНАЯ
ТЕОРИЯ И ПРАКТИКА

Нажимая кнопку Подписаться, я даю согласие
на обработку персональных данных.
3 МЕСЯЦА
ЭЛЬБЫ
В ПОДАРОК
6 комментариев
Представьтесь через
фейсбук контакте
Написать комментарий
  • Пользователь 15 апреля, 15:10
    Добрый день! Немного правок:
    1) "Хранение информации — это когда её не удаляют после получения."
    Даже если утром получили, а вечером удалили - всё равно хранение имеет место.
    2) "Сообщают также, какое действие считается согласием на обработку персональных данных"
    РКН сообщал о том, что проставление галочки в чекбоксе может считаться получением согласия, например, здесь https://rkn.gov.ru/news/rsoc/news51712.htm.
    А можно ссылку на разъяснения о том, что текст "Нажимая на кнопку, вы соглашаетесь..." равнозначен согласию (при условии отсутствия публичной оферты и условий её акцепта и, соответственно, конклюдентных действий)?
    3) "Когда не нужно уведомлять Роскомнадзор:"
    В постатейном комментарии к ФЗ-152 сказано, что при применении исключений оператор должен соответствовать всем исключениям, а не какому-то одному (пример предписания о нарушении есть вот здесь https://personaldata-uspenskaya.ru/articles/402844). Как показывает практика, такая ситуация невозможна. Поэтому лучше сразу подать уведомление, тем более это ничем не грозит.
    Ответить
    • Носков Михаил 24 апреля, 15:46
      Добрый день!
      Спасибо за полезный комментарий.
      1) Добавил слово «сразу».
      2) Галочку ставят в форме, а про форму мы написали.
      3) Под все одновременно исключения невозможно попасть. Но вы правы, лучше подстраховаться и подать уведомление. Добавил фразу об этом.
      Ответить
      • Пользователь 24 апреля, 15:59
        Здравствуйте, Михаил!
        2) Да, про форму всё верно написано. Я спрашивала о том, на основании чего вы считаете, что другие действия пользователя на сайте также приравниваются к согласию на обработку? Например, "создание личного кабинета, заполнение формы".
        Ответить
        • Носков Михаил 25 апреля, 14:44
          О прямом разрешении писать «нажимая на кнопку, вы соглашаетесь» я не слышал. А какая норма запрещает так поступать? Если вы знаете подробности, почему это плохой способ выполнить требования закона о персональных данных, расскажите, пожалуйста, подробнее
          Ответить
  • Дарья 22 апреля, 08:22
    Здравствуйте, в своём интернет-магазине процесс купли-продажи и сопутствующее кассовое обслуживание планирую реализовать через посредника - курьерские службы. Я правильно понимаю, что онлайн касса мне не нужна, так как у меня нет интернет эквайринга?
    И нужна ли мне в таком случае публичная оферта на сайте? Это требование наравне с политикой конфиденциальности и обязательно для всех или я могу его размещать по своему усмотрению?
    Ответить
    • Носков Михаил 24 апреля, 15:50
      Курьерская служба будет выдавать клиентам чеки? Об этом сказано в договоре? Если да, онлайн-касса не нужна. Если нет, выдавайте электронные чеки.

      Публичную оферту размещать на сайте интернет-магазина не обязательно. Если хотите прописать дополнительные условия продажи товаров — создайте и опубликуйте документ. Если нет — никто вас не оштрафует.
      Ответить

Устали от предпринимательской рутины?

Попробовать Эльбу 30 дней бесплатно

Справочная / Бизнес-будни

Политика конфиденциальности на сайте: кому нужна и как оформить

Большинство сайтов содержит раздел «Политика конфиденциальности». Это незаметная ссылка, которую обычно располагают в подвале страницы. Владельцы сайтов размещают её неслучайно: они защищают себя от штрафа и блокировки Роскомнадзором. Позаботьтесь о ней тоже, если на вашем сайте есть корзина или форма обратной связи.  

Попробовать Эльбу
30 дней бесплатно
Сервис рассчитает налог и подготовит отчётность для бизнеса на УСН, ЕНВД и патенте. А ещё поможет формировать счета, акты и накладные.

Почему важно правильно работать с персональными данными

Персональные данные — любая информация о посетителе страницы, которая позволяет его опознать. Например, имя, возраст, телефон, электронная почта, домашний адрес, фотография. Закон 152-ФЗ запрещает собирать, хранить и обрабатывать эти данные без согласия человека.  За нарушения владельцев сайтов штрафуют по ст. 13.11 КоАП.

Штрафы для ИП и ООО:

— Нет политики конфиденциальности: для ИП — от 5000 до 10 000 рублей, для ООО — от 15 000 до 30 000 рублей.

— Владелец сайта отказался сообщить пользователю, какие данные о нём собраны и с какой целью: для ИП — от 10 000 до 15 000 рублей, для ООО — от 20 000 до 40 000 рублей;

— Владелец сайта не удалил персональные данные по требованию пользователя: для ИП — от 10 000 до 20 000 рублей, для ООО — от 25 000 до 45 000 рублей

— Персональные данные оказались у третьих лиц: для ИП — от 10 000 до 20 000 рублей, для ООО — от 25 000 до 50 000 рублей.

— Обработка персональных данных противоречит целям сбора: для ИП — от 5 000 до 10 000, для ООО — от 30 000 до 50 000 рублей.

— Персональные данные обрабатывают без согласия посетителя сайта: для ИП — от 10 000 до 20 000 рублей, для ООО — от 15 000 до 75 000 рублей.

Кто находит нарушения и как

Сайты проверяет Роскомнадзор. Самая популярная причина проверки — жалоба клиента. Плановые проверки тоже бывают, но к малому бизнесу с ними приходят редко.

Пример:

Владимир планирует семейное путешествие в Грецию. Он оставил свои контакты на сайте компании «Горящие туры». Ему перезвонили и предложили слишком дорогую путёвку, поэтому он отказался. На следующий день Владимир получил СМС: «Турция, Стамбул, 22-28 марта, 30 000 руб./чел, отель 5 звёзд, подробности на сайте». Подобные СМС доставали его до самого отпуска. Когда он вернулся из поездки, рассылка продолжилась. Он позвонил в ООО «Горящие туры» и попросил больше не писать ему. На следующий день получил очередное СМС — и не выдержал, написал жалобу в Роскомнадзор.

Роскомнадзор заблокировал сайт на время проверки. Политики конфиденциальности на сайте не обнаружилось. Владелец «Горящих туров» получил два штрафа: за отсутствие политики конфиденциальности и отказ удалить данные пользователя. Он заплатил 75 000 рублей. 

Какие термины используют в законе

Знание терминов пригодится, если будете читать нормативно-правовые акты или другие статьи по теме.

Операторы персональных данных — владельцы сайтов.

Операторы собирают, обрабатывают и хранят персональные данные. Все три действия важно прописать в политике конфиденциальности.

  1. Сбор информации — получение сведений о человеке. Например, при заполнении формы.
  2. Обработка информации — передача сведений. Например, курьеру сообщают номер телефона покупателя, чтобы доставить товар.
  3. Хранение информации — это когда её не удаляют сразу после получения.

Что такое политика конфиденциальности

Владелец сайта берёт у каждого посетителя согласие на сбор, обработку и хранение персональных данных. Подписывать документ на бумаге — затруднительно, из-за этого сайт растеряет всех посетителей. Поэтому есть способ проще — выложить на сайт специальный документ.

В политике конфиденциальности прописывают, какую информацию и с какой целью собирают. Сообщают также, какое действие считается согласием на обработку персональных данных. Например, оформление заказа или заполнение формы — ч. 2 ст. 18.1 152-ФЗ.

Как принять политику конфиденциальности

  1. Составьте документ

Подготовьте политику конфиденциальности в виде отдельного документа. Также можно включить правила обработки персональных данных в пользовательское соглашение или договор-оферту, если работаете по ним.

Проще всего подготовить политику конфиденциальности при помощи специальных сервисов — например, конструктора Тильды.

Пример политики конфиденциальности

В документе отразите:

— Перечень персональных данных. Например, имя, адрес, телефон. Не забудьте перечислить файлы cookie — обезличенные данные о посетителях, которые собирают Яндекс.Метрика и Гугл.Аналитика.

— Цели сбора и обработки. Например, исполнение договора, создание рекламных акций, продвижение товаров, улучшение сайта.

— Срок хранения. Он должен соответствовать целям.

— Меры защиты персональных данных. Например, резервное копирование.

— Какое действие считать согласием пользователя. Например, проставление галочки, создание личного кабинета, заполнение формы.

2. Опубликуйте политику конфиденциальности на сайте

Пользователю должно быть понятно, на что он соглашается. Когда он заполняет форму или регистрируется, покажите ему ссылку на политику конфиденциальности. При заходе на сайт — предупредите, что обрабатываете файлы cookie. Обычно используют всплывающее окно с кнопкой «ок».

Опубликуйте документ в доступном месте. У посетителей должна быть возможность в любой момент ознакомиться с ним. Обычно политику конфиденциальности прячут в подвал, чтобы ссылка не отвлекала от содержания сайта.

3. Уведомьте Роскомнадзор

Владельцы сайтов, которые собирают персональные данные, обязаны уведомлять Роскомнадзор. За отсутствие уведомления штрафуют по ст. 19.7 КоАП РФ: ИП — на сумму до 500 рублей, ООО — до 5000 рублей.

Роскомандзор необязательно уведомлять, только если:

  1. Пользователи сами выкладывают свои данные в открытый доступ. Например, пишут ФИО и телефон на площадке для объявлений.
  2. Пользователи отправляют только ФИО.
  3. Вы получаете персональные данные только для исполнения конкретного договора с клиентом. Например, на сайте киносалона открыта онлайн-запись на платную встречу с режиссером. Посетитель оставляет имя, телефон и электронную почту. После мероприятия эти данные удаляются.

Лучше всё равно подстраховаться: уведомление бесплатное. 

Форма уведомления

4. Назначьте ответственного за хранение персональных данных

Обычно ответственность возлагают на сотрудника, который работает с данными — кадровика, оператора колл-центра, менеджера продаж. Если вы ИП и работаете один — на самого себя.

5. Храните данные на серверах в России. Хранить персональные данные за пределами России запрещено по ст. 18 152-ФЗ. Если арендуете хранилище, узнайте, в какой стране расположены серверы.

Почему важно защищать персональные данные

Брать согласие с посетителей сайта — недостаточно. Важно не передавать сведения третьим лицам и физически защитить их от утечки. Установите пароли к компьютерам и серверам, где храните информацию. Ограничьте к ним доступ своих сотрудников без необходимости. Бумажные документы храните в сейфе.

Если персональные данные стали известны кому-то ещё — это плохо. Пострадавший имеет право пойти в суд и потребовать компенсацию за моральный вред по ст. 24 152-ФЗ.

Пример из судебной практики:

Мама Евгения взяла кредит. Рассчитаться по нему она не успела: умерла. На сына обрушились звонки от коллекторов. Он пошёл в суд и заявил, что не принимал наследство, поэтому не отвечает по долгам. Что важно для нашей темы, Евгений добавил: банк передал коллекторам номер его телефона, а он не подписывал на это согласия. Суд встал на сторону Евгения. Банк выплатил ему компенсацию за моральный вред.

Апелляционное определение Хабаровского краевого суда № 33-2412/2013

Статья актуальна на 28.02.2019

ТОЛЬКО ПОЛЕЗНАЯ
ТЕОРИЯ И ПРАКТИКА

3 МЕСЯЦА ЭЛЬБЫ В ПОДАРОК
Нажимая кнопку Подписаться, я даю согласие
на обработку персональных данных.
Оставить комментарий
Комментарии (6)
  • Пользователь 15 апреля, 15:10
    Добрый день! Немного правок:
    1) "Хранение информации — это когда её не удаляют после получения."
    Даже если утром получили, а вечером удалили - всё равно хранение имеет место.
    2) "Сообщают также, какое действие считается согласием на обработку персональных данных"
    РКН сообщал о том, что проставление галочки в чекбоксе может считаться получением согласия, например, здесь https://rkn.gov.ru/news/rsoc/news51712.htm.
    А можно ссылку на разъяснения о том, что текст "Нажимая на кнопку, вы соглашаетесь..." равнозначен согласию (при условии отсутствия публичной оферты и условий её акцепта и, соответственно, конклюдентных действий)?
    3) "Когда не нужно уведомлять Роскомнадзор:"
    В постатейном комментарии к ФЗ-152 сказано, что при применении исключений оператор должен соответствовать всем исключениям, а не какому-то одному (пример предписания о нарушении есть вот здесь https://personaldata-uspenskaya.ru/articles/402844). Как показывает практика, такая ситуация невозможна. Поэтому лучше сразу подать уведомление, тем более это ничем не грозит.
    Ответить
    • Носков Михаил 24 апреля, 15:46
      Добрый день!
      Спасибо за полезный комментарий.
      1) Добавил слово «сразу».
      2) Галочку ставят в форме, а про форму мы написали.
      3) Под все одновременно исключения невозможно попасть. Но вы правы, лучше подстраховаться и подать уведомление. Добавил фразу об этом.
      Ответить
      • Пользователь 24 апреля, 15:59
        Здравствуйте, Михаил!
        2) Да, про форму всё верно написано. Я спрашивала о том, на основании чего вы считаете, что другие действия пользователя на сайте также приравниваются к согласию на обработку? Например, "создание личного кабинета, заполнение формы".
        Ответить
        • Носков Михаил 25 апреля, 14:44
          О прямом разрешении писать «нажимая на кнопку, вы соглашаетесь» я не слышал. А какая норма запрещает так поступать? Если вы знаете подробности, почему это плохой способ выполнить требования закона о персональных данных, расскажите, пожалуйста, подробнее
          Ответить
  • Дарья 22 апреля, 08:22
    Здравствуйте, в своём интернет-магазине процесс купли-продажи и сопутствующее кассовое обслуживание планирую реализовать через посредника - курьерские службы. Я правильно понимаю, что онлайн касса мне не нужна, так как у меня нет интернет эквайринга?
    И нужна ли мне в таком случае публичная оферта на сайте? Это требование наравне с политикой конфиденциальности и обязательно для всех или я могу его размещать по своему усмотрению?
    Ответить
    • Носков Михаил 24 апреля, 15:50
      Курьерская служба будет выдавать клиентам чеки? Об этом сказано в договоре? Если да, онлайн-касса не нужна. Если нет, выдавайте электронные чеки.

      Публичную оферту размещать на сайте интернет-магазина не обязательно. Если хотите прописать дополнительные условия продажи товаров — создайте и опубликуйте документ. Если нет — никто вас не оштрафует.
      Ответить