конструктор политики конфиденциальности для приложения

App Privacy Policy Generator

Generate a generic Privacy Policy and Terms & Conditions for your apps

Personally Identifiable Information

Policy Effective Date

Now sit back and choose the type of document you want to generate:

The accuracy of the generated privacy policy and terms & conditions on this website is not legally binding. Use at your own risk.

<< devOrCompanyName >> built the << appName >> app as <> app. This SERVICE is provided by << devOrCompanyName >> << atNoCost >> and is intended for use as is.

This page is used to inform visitors regarding <> policies with the collection, use, and disclosure of Personal Information if anyone decided to use <> Service.

If you choose to use << myOrOur >> Service, then you agree to the collection and use of information in relation to this policy. The Personal Information that <> collect is used for providing and improving the Service. <> will not use or share your information with anyone except as described in this Privacy Policy.

The terms used in this Privacy Policy have the same meanings as in our Terms and Conditions, which is accessible at << appName >> unless otherwise defined in this Privacy Policy.

Information Collection and Use

For a better experience, while using our Service, << iOrWe >> may require you to provide us with certain personally identifiable information<> The information that <> request will be <>.

The app does use third party services that may collect information used to identify you.

Link to privacy policy of third party service providers used by the app

Log Data

<> want to inform you that whenever you use <> Service, in a case of an error in the app <> collect data and information (through third party products) on your phone called Log Data. This Log Data may include information such as your device Internet Protocol (“IP”) address, device name, operating system version, the configuration of the app when utilizing << myOrOur >> Service, the time and date of your use of the Service, and other statistics.

Cookies

Cookies are files with a small amount of data that are commonly used as anonymous unique identifiers. These are sent to your browser from the websites that you visit and are stored on your device’s internal memory.

This Service does not use these “cookies” explicitly. However, the app may use third party code and libraries that use “cookies” to collect information and improve their services. You have the option to either accept or refuse these cookies and know when a cookie is being sent to your device. If you choose to refuse our cookies, you may not be able to use some portions of this Service.

Service Providers

<> may employ third-party companies and individuals due to the following reasons:

<> want to inform users of this Service that these third parties have access to your Personal Information. The reason is to perform the tasks assigned to them on our behalf. However, they are obligated not to disclose or use the information for any other purpose.

Security

<> value your trust in providing us your Personal Information, thus we are striving to use commercially acceptable means of protecting it. But remember that no method of transmission over the internet, or method of electronic storage is 100% secure and reliable, and << iOrWe >> cannot guarantee its absolute security.

Links to Other Sites

This Service may contain links to other sites. If you click on a third-party link, you will be directed to that site. Note that these external sites are not operated by << meOrUs >>. Therefore, << iOrWe >> strongly advise you to review the Privacy Policy of these websites. <> have no control over and assume no responsibility for the content, privacy policies, or practices of any third-party sites or services.

Children’s Privacy

These Services do not address anyone under the age of 13. <> do not knowingly collect personally identifiable information from children under 13 years of age. In the case << iOrWe >> discover that a child under 13 has provided << meOrUs >> with personal information, << iOrWe >> immediately delete this from our servers. If you are a parent or guardian and you are aware that your child has provided us with personal information, please contact << meOrUs >> so that << iOrWe >> will be able to do necessary actions.

Changes to This Privacy Policy

<> may update our Privacy Policy from time to time. Thus, you are advised to review this page periodically for any changes. <> will notify you of any changes by posting the new Privacy Policy on this page.

This policy is effective as of << effectiveFromDate >>

Contact Us

If you have any questions or suggestions about << myOrOur >> Privacy Policy, do not hesitate to contact <> at << appContact >>.

This privacy policy page was created at privacypolicytemplate.net and modified/generated by App Privacy Policy Generator

By downloading or using the app, these terms will automatically apply to you – you should make sure therefore that you read them carefully before using the app. You’re not allowed to copy, or modify the app, any part of the app, or our trademarks in any way. You’re not allowed to attempt to extract the source code of the app, and you also shouldn’t try to translate the app into other languages, or make derivative versions. The app itself, and all the trade marks, copyright, database rights and other intellectual property rights related to it, still belong to <>.

<> is committed to ensuring that the app is as useful and efficient as possible. For that reason, we reserve the right to make changes to the app or to charge for its services, at any time and for any reason. We will never charge you for the app or its services without making it very clear to you exactly what you’re paying for.

The <> app stores and processes personal data that you have provided to us, in order to provide <> Service. It’s your responsibility to keep your phone and access to the app secure. We therefore recommend that you do not jailbreak or root your phone, which is the process of removing software restrictions and limitations imposed by the official operating system of your device. It could make your phone vulnerable to malware/viruses/malicious programs, compromise your phone’s security features and it could mean that the <> app won’t work properly or at all.

The app does use third party services that declare their own Terms and Conditions.

Link to Terms and Conditions of third party service providers used by the app

You should be aware that there are certain things that <> will not take responsibility for. Certain functions of the app will require the app to have an active internet connection. The connection can be Wi-Fi, or provided by your mobile network provider, but <> cannot take responsibility for the app not working at full functionality if you don’t have access to Wi-Fi, and you don’t have any of your data allowance left.

If you’re using the app outside of an area with Wi-Fi, you should remember that your terms of the agreement with your mobile network provider will still apply. As a result, you may be charged by your mobile provider for the cost of data for the duration of the connection while accessing the app, or other third party charges. In using the app, you’re accepting responsibility for any such charges, including roaming data charges if you use the app outside of your home territory (i.e. region or country) without turning off data roaming. If you are not the bill payer for the device on which you’re using the app, please be aware that we assume that you have received permission from the bill payer for using the app.

Along the same lines, <> cannot always take responsibility for the way you use the app i.e. You need to make sure that your device stays charged – if it runs out of battery and you can’t turn it on to avail the Service, <> cannot accept responsibility.

With respect to <>’s responsibility for your use of the app, when you’re using the app, it’s important to bear in mind that although we endeavour to ensure that it is updated and correct at all times, we do rely on third parties to provide information to us so that we can make it available to you. <> accepts no liability for any loss, direct or indirect, you experience as a result of relying wholly on this functionality of the app.

At some point, we may wish to update the app. The app is currently available on <> – the requirements for <>(and for any additional systems we decide to extend the availability of the app to) may change, and you’ll need to download the updates if you want to keep using the app. <> does not promise that it will always update the app so that it is relevant to you and/or works with the <> version that you have installed on your device. However, you promise to always accept updates to the application when offered to you, We may also wish to stop providing the app, and may terminate use of it at any time without giving notice of termination to you. Unless we tell you otherwise, upon any termination, (a) the rights and licenses granted to you in these terms will end; (b) you must stop using the app, and (if needed) delete it from your device.

Changes to This Terms and Conditions

<> may update our Terms and Conditions from time to time. Thus, you are advised to review this page periodically for any changes. <> will notify you of any changes by posting the new Terms and Conditions on this page.

These terms and conditions are effective as of << effectiveFromDate >>

Contact Us

If you have any questions or suggestions about << myOrOur >> Terms and Conditions, do not hesitate to contact << meOrUs >> at << appContact >>.

This Terms and Conditions page was generated by App Privacy Policy Generator

This template for privacy policy and terms & conditions is provided on «AS IS» basis, without warranties or conditions of any kind, either expressed or implied. It is intended for you as an inspirational document and you may use it when compiling your own privacy policy. The developer of App Privacy Policy Generator does not take any responsibility for the legal consequences associated with the use of this privacy policy or terms & conditions, and urges you to seek independent legal advice ensuring compliance with all rules applicable for the users of your application. The developer of App Privacy Policy Generator can in no way be found liable for any direct or indirect damage/loss suffered by individual/company due to the use of this document.

Источник

Как написать Privacy Policy

Команда VERSUS.legal продолжает публиковать статьи о правовых вопросах геймдева. В прошлый раз вы могли прочитать о множестве юридических подсказок для игровых разработчиков. А сегодня мы начинаем серию материалов о базовых документах, которые могут понадобиться на релизе вашей игры. В первой статье расскажем об одном из самых распространенных соглашений в индустрии – о политике конфиденциальности или Privacy Policy.

Без privacy policy сейчас не может обойтись, пожалуй, ни одно приложение. Так или иначе собирают персональные данные почти все. Если в вашей игра есть регистрация, встроенные покупки, аналитика использования в любом виде (в частности, логи ошибок) – то есть если клиент игры отправляет обратно разработчику любую информацию – то вам нужен такой документ. Его размещения в публичном доступе требуют как и законы многих стран (правда, иногда их требования к содержанию политики разнятся), так и правила App Store (начиная с 8 декабря 2020 года) и Google Play. По ссылкам вы можете ознакомиться с детальным перечнем функционала, который требует политику конфиденциальности.

Что будет, если у меня нет такой политики?

Вы можете быть признаны нарушающими закон и правила маркетплейса.

Штрафы за отсутствие опубликованной политики разнятся в зависимости от страны. Например, в России штраф составит от 15 000 рублей для юридических лиц. По правилам GDPR он может составить куда больше, вплоть до 20 миллионов евро. Но на практике самый большой штраф на сегодня составил 1800 евро – в Испании была оштрафована компания Solo Embrague за отсутствие политики конфиденциальности и баннера cookie на главной странице корпоративного сайта.

Что касается санкций от маркетплейсов, то они могут быть весомее, вплоть до удаления приложения. Например, Google присылает сообщения “Warning of Google Play Developer policy violation: Action Required Policy issue” («Предупреждение о нарушении политики Google Play Developer: Необходимо принять меры»).

Источник

Соблюдать нельзя нарушать: всё о Политике конфиденциальности

На главные вопросы о персональных данных пользователей вашего приложения или сайта отвечает Анастасия Булатова, юрист 65apps.
Этот материал — конспект нашей статьи на Rusbase.

Уверены, вы не раз ставили галочку рядом с фразой «Согласен с политикой конфиденциальности», не изучив документ и даже не задумываясь о том, что он в себе несет. Однако если пользователь приложения или сайта может позволить себе игнорировать существование Политики конфиденциальности и не знать о том, кто и как хранит его персональные данные, то владелец того же сайта или приложения обязан разбираться в таких вопросах.

Privacy Policy или Политика конфиденциальности (ПК) — это документ, в котором декларируется IT-продукт — приложение или сайт. Его цель — информировать пользователя о том, как компания использует его данные. ПК определяет, что относится к персональным данным пользователя, как владелец приложения или сайта их собирает, обрабатывает, хранит и кому передает.

Любая информация, которая относится к конкретному физическому лицу, позволяющая определить его.

Например, к персональным данным не относят отдельный номер телефона как набор цифр или отдельный e-mail адрес. Но если телефон связан с конкретными ФИО человека, а e-mail состоит из имени и фамилии владельца — это уже персональные данные.

Известен случай в судебной практике, когда персональными данными были признаны обезличенный id пользователя вместе со временем просмотра веб-страницы, URL, HTTP referer, User Agent и куки.

Нет, этот документ требуется для любых информационных ресурсов и IT-продуктов, которые используют персональные данные.

При наличии любой обратной связи, отслеживании и идентификации пользователя по его мобильному устройству — уже необходима ПК.

При отсутствии у приложения ПК его невозможно будет загрузить в маркет приложений AppStore и Google Play.

В 2018 году AppStore потребовал, чтобы для всех приложений была опубликована Privacy Policy, соответствующая новым требованиям. Тогда же произошла самая массовая блокировка приложений в маркете — многие правообладатели не успели обновить ПК в согласно новым правилам.

В России «Политика обработки и защиты персональных данных» регулируется федеральным законом «О защите персональных данных». В Европе есть регламентируемые требования — «General Data Protection Regulation» (GDPR); в США нет единого документа — требования различны для каждого штата..

В международном законодательстве политика конфиденциальности (Privacy Policy) заточена на конкретный продукт. То есть, для каждого нового приложения или сайта, в рамках которого будет происходить обработка персональных данных, должна быть разработана своя собственная подробная ПК.

В России же акцент делается на пользователя и предоставляемую с его стороны информацию. По сути, описывается не продукт, а то, как и какие данные будут предоставляться, обрабатываться, храниться и будут ли они передаваться третьим лицам. В отличие от зарубежного аналога, российский документ может содержать более общие формулировки, но он так же должен разрабатываться для конкретного приложения.

Если приложение будет распространяться в России и за ее пределами, оно должно соответствовать не только местным, российским, но и международным актам.

Это довольно сложно, но возможно. Если изначально пользователь дал согласие на использование одних данных, а приложение начинает требовать другие — это повод подозревать нарушение ПК.

Например, неправомерную передачу данных третьим лицам можно обнаружить, если приходит уведомление от стороннего сервиса с информацией, которая должна храниться только у определенного приложения. Но сейчас пользователи каждый день оставляют свои данные множеству сервисов — от интернет-магазинов до службы такси — поэтому отследить, кто конкретно нарушил ПК и «слил» информацию практически невозможно.

В российском законодательстве предусмотрена ответственность за нарушение Политики обработки и защиты персональных данных, а также за недоведение до пользователя условий использования его персональных данных. Размер штрафа — до 70-100 тысяч рублей за каждое нарушение. А за несоблюдение требований GDPR придется выплатить сумму побольше — можно лишиться до 4% оборота компании при регулярных нарушениях.

Другой вид санкций — блокировка приложения. Как правило, это происходит после проверки ПК со стороны маркетплейсов. AppStore и Google Play диктуют собственные требования к политике конфиденциальности — в соответствии с международным законодательством, а разработчики приложений из России руководствуются местными законами. Как итог — приложение блокируется за несоблюдение требований маркетплейса. Появляется конкуренция норм права — по факту приложение используется в России и соответствует всем ее законам, но площадки предъявляют повышенные требования, за несоблюдение которых и наказывают.

В России инициатором блокировки сайта или приложения за неправомерное использование данных часто выступает Роскомнадзор. Он является уполномоченным органом по защите прав субъектов персональных данных; ведет реестры операторов и нарушителей прав субъектов персональных данных.

Помочь выявить нарушителя могут не только специализированные органы. Любой пользователь, заметивший нарушение Политики конфиденциальности, вправе написать жалобу на правообладателя и потребовать привлечь его к ответственности. Особо внимательные и жаждущие справедливости пользователи могут писать такие заявления ежедневно — компании это будет стоить десятки тысяч рублей штрафа.

Многие крупные международные компании сталкивались со сложностями именно из-за проблем с Политикой конфиденциальности:

В 2012 году Instagram обновил ПК, теперь в ней говорилось следующее: «Чтобы помочь нам с поставкой интересного платного контента, вы соглашаетесь с тем, что другие юридические лица могут платить нам за предоставление вашего имени пользователя, информации о том, что вам понравилось, фотографий и/или действий, которые вы осуществили в контексте с платным и коммерческим контентом, без какой-либо компенсации для вас».

Пользователи решили, что соцсеть будет продавать их фотографии рекламодателям, поэтому стали массово удалять аккаунты. Представителям Instagram пришлось объяснять — они лишь хотели персонализировать рекламные предложения. Они признали, что неправильная формулировка могла запутать пользователей и пообещали исправить текст.

WhatsApp: недовольство пользователей изменением Политики конфиденциальности

Согласно обновленной Политики конфиденциальности пользователи мессенджера обязаны предоставлять компании Facebook доступ к номерам телефонов, именам и фото профилей, сведениям о транзакциях, диагностическим данными из приложений и IP-адресами; Facebook также оставляла за собой право делиться данными с другими своими компаниями. На фоне этих событий выросло количество загрузок других мессенджеров: Telegram — на 91% за неделю, Signal на — 4200%. Недовольство и массовый уход пользователей заставили WhatsApp отложить обновление ПК.

Google: недостаточное информирование пользователей

Национальная комиссия по информатике и свободам Франции оштрафовала Google на 50 миллионов евро за недостаточное информирование пользователей при получении согласия на обработку и использование их данных. Комиссия утверждает, что пользователям не сообщается следующее: какие сайты имеют доступ к данным, в каком объеме они собираются и как долго хранятся. К тому же, информация разбросана по нескольким документам — из-за этого пользователям сложнее понять, что именно происходит с их данными.

Шаг 1. Проанализировать объемы данных, которые будут обрабатываться и храниться.

Шаг 2. Разработать положения в соответствии с российским законодательством (если приложение будет выходить в других странах — в соответствии с международными требованиями).

Шаг 3. Изучить требования Apple и Google, дополнить положение в соответствии с ними — так, чтобы приложение соответствовало всем правилам.

Дополнительно можно ориентироваться на другие положения — например, на рекомендации Роскомнадзора по составлению документа, регулирующего сбор и обработку персональных данных.

Политика конфиденциальности должна быть ориентирована на обычного пользователя — быть краткой и однозначно понятной. Несмотря на то, что использование технических терминов неизбежно, сложный для восприятия юридический язык и мелкий шрифт недопустимы в документе.

Вариант 1. Использовать в качестве ПК стандартный шаблон из интернета или воспользоваться конструктором ПК.

Риски : получить штраф или столкнуться с блокировкой из-за нарушения ПК. В документе из интернета, скорее всего, будет описан стандартный порядок использования персональных данных. Но нет гарантии, что в действительности конкретное приложение или сайт собирает, хранит и передает данные точно таким же образом. Конструкторы ПК так же опираются на стандартные положения и не могут учесть всех тонкостей.

Вариант 2. Скачать шаблон ПК из интернета, отдать его на доработку штатному юристу.

Риски : потратить много времени — юристу, не работающему с ПК, на изучение и доработку документа понадобится несколько недель.

Вариант 3. Обратиться к аутсорсу — найти специалиста по созданию ПК. Крупные компании-разработчики предлагают такую услугу в дополнение к разработке приложения. В этом случае описать, как и какие данные обрабатываются, получиться наиболее точно и подробно.

Риски : отсутствуют (при условии высокого качества услуг). Опытные специалисты разработают документ меньше, чем за неделю.

Недавно Apple выпустила обновление iOS 14, которое запрещает передавать личные данные владельцев устройств без их личного соглашения. Специальные ярлыки в App Store сообщают, к каким данным приложение получит доступ после установки.

По следам Apple следует и Google — компания задумалась о создании аналога «ярлыка конфиденциальности» для приложений на Android. Компания ищет способ ограничить сбор и отслеживание данных в приложениях, чтобы одновременно угодить разработчикам и рекламодателям.

Политика конфиденциальности — это, прежде всего, защищенность бизнеса. Правильно составленный документ обезопасит приложение от блокировки и штрафов, а значит — от потери потребителей и прибыли. Как показывает практика, большинство проблем, связанных с ПК, можно предупредить. Поэтому перед релизом приложения лучше потратить ресурсы на качественную разработку документа у профессионалов, чем сэкономить деньги сейчас, но иметь риск в будущем потратить в десятки раз больше денег на выплату штрафов.

Тем не менее, многие компании продолжают игнорировать важность ПК. Так, к январю 2020 года было зафиксировано 160 тысяч нарушений GDPR, а общая сумма штрафов достигла 114 миллионов евро.

Идея о том, что политика конфиденциальности — это нудный, сложный для восприятия текст, легла в основу подкаста Ts&Zzz. В нем ведущий читает пользовательские соглашения и политики конфиденциальности известных организаций, чтобы помочь слушателям быстрее заснуть. «Героями» выпусков уже стали ПК Instagram, Discord, Airbnb, TikTok и WhatsApp 🙂

Источник

Народная Политика конфиденциальности

По многочисленным просьбам трудящихся вебмастеров и владельцев сайтов мы опубликовали бесплатный образец Политики конфиденциальности для сайтов с формой обратной связи, подписки или заказа звонка.

Решились на такой шаг, потому что данная форма Политики не предусматривает обработку персональных данных, и в результате не предполагает большой вариативности решения. Важно помнить, что она не подходит для сайтов, на которых обрабатываются ПДн. Например, интернет-магазины и прочие сервисы, на которых помимо номера телефона или email пользователем дополнительно предоставляются иные сведения о себе, требуют большего внимания к вопросам обработки персональных данных.

Поэтому мы подумали над вариантами составления «народной» Политики конфиденциальности с обработкой ПДн. Простым шаблоном здесь не обойдешься. Взяли за основу вышедшие в 2017 году Рекомендации Роскомнадзора (далее – «Рекомендации») по составлению документа, определяющего политику оператора в отношении обработки персональных данных (далее – «Политика). Дополнили ее живыми примерами.

Смотрим, что получилось.

Пролистываем первые 2 раздела Рекомендаций в связи с их бессодержательностью

В разделе 1 Роскомнадзора заявляет, что Рекомендации разработаны в целях выработки унифицированных подходов к структуре и форме Политики. Охотно верим и следуем пожеланиям ведомства для облегчения дальнейшей работы с ревизорами.

В разделе 2 процитированы основные понятия из ФЗ «О персональных данных». Пропускаем за ненадобностью. При желании в Политику лучше ввести собственные термины, уточняющие легальные.

В разделе 3 наконец пошли долгожданные советы по структуре и наполнению Политики. Остановимся на них подробно.

1. Общие положения Политики

В указанном разделе рекомендуется описать назначение Политики, а также включить основные понятия, используемые в ней (обработка персональных данных, оператор, субъект персональных данных, конфиденциальность персональных данных и т.д.), перечислить основные права и обязанности оператора и субъекта (ов) персональных данных.

По задумке авторов Рекомендаций Политика, как любой серьезный документ, должна иметь внушительные размеры, чтоб все прониклись уважением и трепетали от одного ее упоминания.

Итак, начнем с определений. Чтоб не повторять ФЗ 152, предлагаем делать отсылки к конкретным пунктам и разделам Политики, которые конкретизируют используемые понятия. Ниже приведен пример с терминами и определениями Политики конфиденциальности для интернет-магазина.

1.1. В настоящем документе и вытекающих или связанных с ним отношениях Сторон применяются следующие термины и определения:

Персональные данные – предоставляемые субъектом персональных данных или его представителем данные, объем и состав которых указаны в п.Х.Х. Политики.

Администрация – ООО «Ромашка», ИНН ХХХ, ОГРН ХХХ, Адрес: ХХХХХ, в законном владении и/или управлении которого находится Сайт. В предусмотренных настоящей Политикой случаях Администрация выступает в качестве оператора персональных данных.

Пользователь – лицо, использующее Сайт в целях заключения и/или исполнения Договоров.

Договор – пользовательское соглашение использование Сайта, договор купли-продажи, договор поставки, договор перевозки и/или иное соглашение, предлагаемое к заключению и/или заключенное Пользователем на основании любой оферты, размещенной на Сайте.

Обработка персональных данных – действие (операция) или совокупность действий (операций) с персональными данными, перечисленные в п.Х.Х. Политики.

Сайт – автоматизированная информационная система, доступная в сети Интернет по сетевому адресу: /URL/.

1.2. В настоящей Политике используются термины и определения, предусмотренные Соглашением, а также иными заключаемыми с Пользователем Договорами, если иное не предусмотрено настоящей Политикой или не вытекает из ее существа. В иных случаях толкование применяемого в Политике термина производится в соответствии с действующим законодательством Российской Федерации, или обычаями делового оборота.

2. Цели сбора персональных данных

Согласно Рекомендациям, обработка персональных данных должна ограничиваться достижением конкретных, заранее определенных и законных целей. Не допускается обработка персональных данных, несовместимая с целями сбора персональных данных.

Если нет желания вставать на учет в Роскомнадзоре и проходить последующие обязательные проверки, мы предлагаем связать все цели обработки ПДн с заключением и исполнением договоров.

Роль такого договора может выполнять Пользовательское соглашение, принимаемое всяким пользователем в начале использования Сайта, либо иное соглашение, предлагаемое владельцем Сайта.

В результате мы получаем достаточно стандартный набор целей:

3. Правовые основания обработки персональных данных

Согласно разъяснению Роскомнадзора, правовым основанием обработки персональных данных является совокупность правовых актов, во исполнение которых и в соответствии с которыми оператор осуществляет обработку персональных данных.

При наличии указанной выше связки в качестве правового основания обработки персональных данных могут быть указаны договоры, заключаемые между оператором и субъектом персональных данных.

Если ПДн обрабатываются в иных целях, в качестве основания необходимо указывать отдельное согласие на обработку персональных данных.

4. Объем и категории обрабатываемых персональных данных, категории субъектов персональных данных

Роскомнадзор предупреждает, что содержание и объем обрабатываемых персональных данных должны соответствовать заявленным целям обработки. Обрабатываемые персональные данные не должны быть избыточными по отношению к заявленным целям их обработки.

С учетом данных рекомендаций Роскомнадзора указываем в Политике те сведения, персонального характера, которые вы собираете с использованием Сайта.

В первую очередь приводим данные из полей онлайн-форм обратной связи, заказа, подписки и регистрации. Затем обращаем пристальное внимание на состав информации, вносимой пользователем при заполнении профиля в личном кабинете.

Дополнительно указываем данные, которые запрашиваются поддержкой или отделом продаж при оформлении или обработке заявок по телефону или в местах обслуживания.

5. Порядок и условия обработки персональных данных

В данном разделе Роскомнадзор рекомендует указывать перечень действий, совершаемых оператором с персональными данными субъектов, а также используемые оператором способы обработки персональных данных и сроки обработки персональных данных.

Выбираем. ФЗ 152 предусмотрен следующий перечень операций с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.

Способы обработки могут включать:

а) автоматизированную обработку персональных данных

б) обработку персональных данных без использования средств автоматизации.

Согласно определению, данному в ФЗ 152, автоматизированная обработка персональных данных представляет собой обработка персональных данных с помощью средств вычислительной техники.

Казалось бы, что сюда попадают любые действия с ПДн, выполняемые с использованием вычислительной техники. Но не все так просто. Смотрим Положение об особенностях обработки персональных данных, осуществляемой без использования средств автоматизации, утверждено постановлением Правительства РФ от 15 сентября 2008 г. N 687.

В п.1 указано, что обработка персональных данных, содержащихся в информационной системе персональных данных либо извлеченных из такой системы (далее — персональные данные), считается осуществленной без использования средств автоматизации (неавтоматизированной), если такие действия с персональными данными, как использование, уточнение, распространение, уничтожение персональных данных в отношении каждого из субъектов персональных данных, осуществляются при непосредственном участии человека.

Обработка персональных данных не может быть признана осуществляемой с использованием средств автоматизации только на том основании, что персональные данные содержатся в информационной системе персональных данных либо были извлечены из нее (п.2).

Иными словами, если ПДн не используется, не уточняются, не распространяются и не уничтожаются в ИПДН вашего сайта в автоматическом режиме без участия человека, можно смело выбирать второй способ обработки — обработку персональных данных без использования средств автоматизации.

Результатом этого простого действия будет легальный отказ от применения драконовских требований ФЗ 152 по обработке автоматизированной обработке ПНн в информационной системе.

В отношении сроков обработки ПДн предлагаем указывать как минимум срок действия договора, во исполнение которого запрашивались ПДн. Можно добавить к сроку действия договора 3 года исковой давности на защиту прав в связи с его исполнением.

Роскомнадзор напоминает, что при осуществлении хранения персональных данных оператор персональных данных обязан использовать базы данных, находящиеся на территории Российской Федерации, в соответствии с ч. 5 ст. 18 Федерального закона «О персональных данных». Отражать данный пункт в Политике не обязательно, поскольку он связан с фактическими обстоятельствами. Хотя для проформы можно включить в Политику декларативную статью об обработке ПДн на территории России.

Далее Роскомнадзор рекомендует указывать условия передачи персональных данных в адрес третьих лиц. Важный момент. Обычно данный перечень сводится к следующим основаниям передачи ПДн:

Помимо этого Роскомнадзор рекомендует указывать в данном разделе Политики сведения о соблюдении требований конфиденциальности персональных данных, установленных ст. 7 Федерального закона «О персональных данных», а также информацию о принятии оператором мер, предусмотренных ч. 2 ст. 18.1, ч. 1 ст. 19 Федерального закона «О персональных данных».

На практике данные сведения сводятся к заявлению, что администрация Сайта осуществляет хранение Персональных данных и обеспечивает ее охрану от несанкционированного доступа и распространения в соответствии с внутренними правилами и регламентами.

6. Актуализация, исправление, удаление и уничтожение персональных данных, ответы на запросы субъектов на доступ к персональным данным

Роскомнадзор рекомендует включить в Политику регламент(ы) реагирования на запросы/обращения субъектов персональных данных и их представителей, уполномоченных органов по поводу неточности персональных данных, неправомерности их обработки, отзыва согласия и доступа субъекта персональных данных к своим данным, а также соответствующие формы запросов/обращений.

В таких случаях обычно указывают, что пользователь вправе в любой момент самостоятельно отредактировать в своем личном кабинете предоставленную им информацию. В случае прекращения заключенного договора, пользователь вправе удалить собственный личный кабинет самостоятельно либо обратившись в службу поддержки по адресу электронной почты ХХХ@ХХХ.ХХ.

При желании можно ужесточить условия регламента обработки запросов на изменение/удаление ПДн, требуя от пользователя высылать ценные письма на ваш адрес в Бобруйске.

Таковы основные Рекомендации в отношении формы и содержания Политики.

7. Обработка обезличенных данных

Заслуживает внимания тот факт, что Роскомнадзор, как всегда, обошел вопрос обработки не менее важных для пользователей данных, которые не считаются персональными. Речь идет об информации, собираемой на сайте в автоматическом режиме: cookie, IP, сведения об устройстве и месте его расположения, и т.п.

По всей видимости, Роскомнадзор упорно не хочет раскрывать состав ПДн даже методом исключения через сведения, не относящиеся к персональным. Однако на практике в Политику конфиденциальности принято включать уведомление и порядок обработки таких данных в целях наиболее полного информирования пользователя о последствиях использования сайта.

Ниже пример такого уведомления.

Вы осознаете и принимаете возможность использования на Сайте программного обеспечения третьих лиц, в результате чего такие лица могут получать и передавать данные в обезличенном виде.
К указанному программному обеспечению третьих лиц относятся системы сбора статистики посещений Google Analytics.

Состав и условия сбора обезличенных данных с использованием программного обеспечения третьих лиц определяются непосредственно их правообладателями и могут включать:

Желаем вам успехов в разработке собственной Политики конфиденциальности в соответствии с рекомендациями Роскомнадзора и выработанными на практике подходами.

Источник