Tipy

Zásady ochrany osobních údajů lidí / Habr

Porušení federálního zákona 152 o ochraně osobních údajů s sebou nese poměrně vážnou odpovědnost: pokuty mohou dosáhnout 500 000 rublů, přičemž za každé zjištěné nedodržení bude účtována samostatná částka. Pojďme tedy zjistit, kdo potřebuje zásady ochrany osobních údajů a jak je přidat na web.

  • Celé jméno osoby;
  • datum narození;
  • adresa bydliště;
  • kontaktní číslo;
  • e-mail;
  • identifikátory v sociálních sítích a messengerech;
  • informace o rodinném stavu a příbuzných;
  • údaje o pasech nebo jiných dokladech;
  • informace o vzdělání, místě výkonu práce, výdělku;
  • rasa, národnost;
  • postoj k náboženství;
  • Politické názory;
  • zdravotní stav;
  • biometrie, jmenovitě výška, váha, duhovka, genetické informace a informace o otiscích prstů.

Provozovatel je fyzická osoba, společnost nebo vládní agentura, která provádí jakékoli akce s obdrženými osobními údaji, jako je shromažďování, zpracování nebo uchovávání.

Provozovatel osobních údajů bude považován za vlastníka zdroje tam, kde existuje formulář zpětného volání s nabídkou zanechání vašeho jména, kontaktního telefonního čísla nebo e-mailu pro komunikaci. A shromážděné informace v tomto případě musí být zpracovány v souladu s federálním zákonem 152.

Pokud však stránka obsahuje pouze formulář pro zasílání komentářů, kde uživatel uvádí svou přezdívku nebo skutečné jméno bez patronyma a příjmení, není nutné zveřejňovat zásady ochrany osobních údajů, protože je nepravděpodobné, že tyto údaje budou použity k identifikaci osoby.

Jak správně připravit web pro 152-FZ

Je povinné umístit:

1. Zásady ochrany osobních údajů – samostatný dokument o zpracování osobních údajů zveřejněný ve veřejné doméně. Uživatel by neměl mít žádné potíže, pokud se rozhodne si jej přečíst před udělením souhlasu se zpracováním osobních údajů. Není zákonem přesně stanovený formulář, ale existuje seznam údajů, které v dokumentu musí být. Na základě toho stojí za to zahrnout do textu:

  • název společnosti, vládní organizace nebo jednotlivé údaje, kontakty a adresa;
  • jak přesně a proč jsou údaje shromažďovány;
  • jak je lze použít;
  • jaké údaje, které dostáváte, jsou zpracovávány, z jakých zdrojů je získáváte – zde si pamatujte na cookies;
  • jak dlouho jsou data uložena, jak jsou chráněna;
  • zda jsou údaje předávány třetím stranám;
  • co se se shromážděnými daty nestane.

Jako příklady si prohlédněte texty zásad ochrany osobních údajů na oficiálních stránkách společností na federální úrovni – tam je vše podrobně zpracováno. Ale mějte na paměti: dokumenty byste neměli slepě kopírovat – přinejmenším je musíte pečlivě upravit, aby vyhovovaly vašim potřebám.

Zásady ochrany osobních údajů jsou zpravidla umístěny na samostatné stránce webu – to je uživatelům známější. Navíc usnadňují čtení – strukturují jej stejně jako jakýkoli jiný dokument.

2. Odkazy na zásady ochrany osobních údajů – Je zvykem je umístit do sklepa a poblíž všech dostupných formulářů, kde návštěvník webu vyjadřuje souhlas se zpracováním osobních údajů. Odkazy jsou potřebné pro snadný přístup k zásadám ochrany osobních údajů.

Přečtěte si více
Jak zasadit rajčata: kdy a v jaké půdě, pokyny krok za krokem | Život RBC

3. Potvrzení souhlasu se zpracováním osobních údajů – Podle federálního zákona 152 mohou být jakékoli osobní údaje o lidech shromažďovány a zpracovávány pouze s jejich souhlasem. Proto je na webu potřeba odpovídající možnost. Nejčastěji se používají zaškrtávací políčka, kde je třeba zaškrtnout – bez toho nemůžete opustit aplikaci ani se zaregistrovat.

4. Vyloučení odpovědnosti – nejnutnější zlo – vyskakovací okno upozorňující uživatele, že stránka shromažďuje statistická data (hovoříme o cookies, faktorech chování, informacích o geolokaci federální zákon 152 striktně neupravuje umístění prohlášení o vyloučení odpovědnosti na stránce, ale většina právníků jej každopádně doporučuje nainstalovat). A abyste uživatele nedráždili, nastavte imprese – ať se zobrazí pouze těm, kteří web navštívili poprvé.

Na co dalšího je důležité dbát?

  • Zjistěte, kde se hosting fyzicky nachází – podle požadavků federálního zákona 152 musí být v Rusku, aby tam byly uloženy osobní údaje. Pokud jsou databáze v jiné zemi, budete si muset pro přesun hledat nový hosting.
  • Upozorněte Roskomnadzor, že plánujete pracovat s osobními údaji – můžete tak učinit na oficiálních stránkách služby. Bude vyžadován balíček dokumentů – podívejte se na seznam požadovaných informací ve federálním zákoně 152.
  • Sledujte změny federálního zákona č. 152, abyste na ně mohli reagovat a v případě potřeby se chránit.

Co se stane, když porušíte federální zákon 152

Zpracování osobních údajů bez souhlasu subjektu s sebou nese odpovědnost:

Toto je jen špička ledovce, více podrobností zde. A mějte na paměti, že nyní je kontrola úřadů Roskomnadzor poměrně jednoduchá: stačí pořídit snímek obrazovky, abyste potvrdili absenci požadovaných formulářů, dokumentů a odkazů na webu.

Je jednodušší a levnější připravit web pro federální zákon 153, než později řešit problémy, které vzniknou v důsledku porušení zákona.

Podle lidové poptávky pracující lidé webmasteři a majitelé stránek, které jsme zveřejnili Ukázka zásad ochrany osobních údajů zdarma pro weby s formulářem zpětné vazby, předplatným nebo objednáním hovoru.

K tomuto kroku jsme se rozhodli z toho důvodu, že tato forma Zásad nepočítá se zpracováním osobních údajů a v důsledku toho nepředstavuje velkou variabilitu řešení. Je důležité si uvědomit, že není vhodný pro stránky, které zpracovávají PD. Větší pozornost zpracování osobních údajů vyžadují například internetové obchody a další služby, kde uživatel kromě telefonního čísla nebo e-mailu uvede ještě další informace o sobě.

Proto jsme se zamysleli nad možnostmi sestavení „lidovky“ Zásady ochrany osobních údajů se zpracováním PD. Jednoduchá šablona zde nebude stačit. Vycházeli jsme z Doporučení Roskomnadzoru (dále jen „Doporučení“) zveřejněných v roce 2017 o přípravě dokumentu definujícího zásady provozovatele týkající se zpracování osobních údajů (dále jen „Zásady“). . Doplněno živými ukázkami.

Uvidíme, co se stane.

Procházíme první 2 sekce Doporučení kvůli jejich nedostatečnému obsahu

V části 1 Roskomnadzor uvádí, že Doporučení jsou vypracována za účelem rozvoje jednotných přístupů ke struktuře a formě Politiky. Ochotně věříme a řídíme se přáním oddělení usnadnit další práci s auditory.

Přečtěte si více
Jak vypnout autoalarm - Pult57 na DTF

Oddíl 2 cituje hlavní pojmy z federálního zákona „o osobních údajích“. Míjíme jako zbytečné. Pokud si přejete, je lepší zavést do Zásad své vlastní podmínky a vyjasnit ty právní.

V části 3 konečně přišly dlouho očekávané rady o struktuře a obsahu Zásad. Pojďme se jim podrobně věnovat.

1. Obecná ustanovení Zásad

V této části je doporučeno popsat účel Zásad, jakož i uvést základní pojmy v nich používané (zpracování osobních údajů, provozovatel, subjekt osobních údajů, důvěrnost osobních údajů atd.), uvést hlavní práva a povinnosti provozovatele a subjektu (subjektů) osobních údajů.

V pojetí autorů Doporučení by Politika, jako každý seriózní dokument, měla mít působivou velikost, aby každý byl prodchnut respektem a třásl se při pouhé zmínce.

Začněme tedy definicemi. Aby se neopakoval federální zákon 152, doporučujeme uvést odkazy na konkrétní ustanovení a části zásad, které specifikují použité pojmy. Níže je uveden příklad s podmínkami a definicemi zásad ochrany osobních údajů pro internetový obchod.

1.1. V tomto dokumentu a výsledných nebo souvisejících vztazích mezi Stranami platí následující termíny a definice:

Osobní informace – údaje poskytnuté subjektem osobních údajů nebo jeho zástupcem, jejichž objem a složení je uvedeno v bodě X.X. Politici.

Správa – Romashka LLC, TIN XXX, OGRN XXX, adresa: XXXXXX, v jejímž legálním vlastnictví a/nebo správě se stránka nachází. V případech uvedených v těchto Zásadách vystupuje Správa jako provozovatel osobních údajů.

ПоР»ÑŒÐ · овРn, Ðμл Noe – osoba používající Stránku za účelem uzavírání a/nebo plnění Smluv.

Smlouva – uživatelská smlouva o používání Stránek, kupní smlouva, dodavatelská smlouva, přepravní smlouva a/nebo jiná smlouva navržená k uzavření a/nebo uzavřená Uživatelem na základě jakékoliv nabídky zveřejněné na Stránce.

Zpracování osobních údajů – akce (operace) nebo soubor akcí (operací) s osobními údaji uvedenými v bodě X.X. Politici.

Site – automatizovaný informační systém dostupný na internetu na adrese sítě: /URL/.

1.2. Tyto Zásady používají termíny a definice stanovené Smlouvou, jakož i dalšími Smlouvami uzavřenými s Uživatelem, pokud tyto Zásady nestanoví jinak nebo nevyplývá z jejich podstaty. V ostatních případech se výklad termínu použitého v Zásadách provádí v souladu s aktuální legislativou Ruské federace, případně obchodními zvyklostmi.

2. Účely shromažďování osobních údajů

Podle Doporučení by mělo být zpracování osobních údajů omezeno na dosažení konkrétních, předem stanovených a legitimních účelů. Není dovoleno zpracovávat osobní údaje, které jsou neslučitelné s účely shromažďování osobních údajů.

Pokud si nepřejete registrovat se u Roskomnadzor a podstupovat následné povinné kontroly, doporučujeme propojit všechny účely zpracování PD s uzavíráním a plněním smluv.

Roli takové smlouvy může plnit Uživatelská smlouva přijatá kterýmkoli uživatelem na začátku používání Stránky, nebo jiná smlouva nabízená vlastníkem Stránky.

Výsledkem je poměrně standardní sada cílů:

  1. Uzavření smluv s uživatelem o používání nebo používání Stránek.
  2. Identifikace uživatele v rámci plnění povinností ze smluv uzavřených s ním.
  3. Plnění závazků z uzavřených smluv, včetně poskytování přístupu na Stránky a technické podpory uživateli, s využitím funkcionality Stránky uživatelem.
  4. Vystavování faktur a vrácení zůstatku finančních prostředků v případě ukončení placených smluv uzavřených s uživatelem.
  5. Notifikace v rámci informačních služeb, mailingu a zlepšování kvality služby dle uzavřených Smluv, a to i se zapojením třetích stran.
Přečtěte si více
Výsadba vodních rostlin - Zahradnictví

3. Právní základ pro zpracování osobních údajů

Podle upřesnění Roskomnadzoru je právním základem zpracování osobních údajů soubor právních úkonů, v souladu s nimiž a v souladu s nimiž provozovatel zpracovává osobní údaje.

V případě výše uvedeného odkazu mohou být jako právní základ pro zpracování osobních údajů uvedeny smlouvy uzavřené mezi provozovatelem a subjektem osobních údajů.

Pokud je OÚ zpracovávána pro jiné účely, musí být jako základ uveden samostatný souhlas se zpracováním osobních údajů.

4. Rozsah a kategorie zpracovávaných osobních údajů, kategorie subjektů osobních údajů

Roskomnadzor upozorňuje, že obsah a rozsah zpracovávaných osobních údajů musí odpovídat uvedeným účelům zpracování. Zpracovávané osobní údaje by neměly být nadměrné ve vztahu k uvedeným účelům jejich zpracování.

S ohledem na tato doporučení Roskomnadzor uvádíme v Zásadách osobní údaje, které shromažďujete pomocí webu.

V první řadě poskytujeme údaje z polí online formulářů zpětné vazby, objednávky, předplatného a registrace. Poté věnujeme velkou pozornost složení informací zadaných uživatelem při vyplňování profilu v osobním účtu.

Dále uvádíme údaje, které požaduje oddělení podpory nebo prodeje při vyplňování nebo zpracování žádostí po telefonu nebo na servisních místech.

5. Postup a podmínky zpracování osobních údajů

V této části Roskomnadzor doporučuje upřesnit výčet úkonů, které provozovatel s osobními údaji subjektů provádí, dále způsoby zpracování osobních údajů provozovatelem a podmínky zpracování osobních údajů.

Vybrat. Federální zákon 152 stanoví následující seznam operací s osobními údaji: shromažďování, zaznamenávání, systematizace, shromažďování, ukládání, objasňování (aktualizace, změna), vytěžování, používání, přenos (distribuce, poskytování, přístup), depersonalizace, blokování, vymazání, zničení osobních údajů.

Způsoby zpracování mohou zahrnovat:

a) automatizované zpracování osobních údajů

b) zpracování osobních údajů bez použití nástrojů automatizace.

Podle definice uvedené ve federálním zákoně 152 je automatizované zpracování osobních údajů zpracováním osobních údajů pomocí výpočetní techniky.

Zdálo by se, že sem spadají jakékoliv akce s PD prováděné pomocí výpočetní techniky. Ale ne všechno je tak jednoduché. Podíváme se na Nařízení o vlastnostech zpracování osobních údajů prováděné bez použití automatizačních nástrojů, schválené nařízením vlády Ruské federace ze dne 15. září 2008 N 687.

Odstavec 1 uvádí, že zpracování osobních údajů obsažených v informačním systému osobních údajů nebo extrahovaných z takového systému (dále jen osobní údaje) se považuje za prováděné bez použití nástrojů automatizace (neautomatizované), pokud takové jednání s osobních údajů, jako je použití, objasňování, distribuce, likvidace osobních údajů ve vztahu ke každému ze subjektů osobních údajů, jsou prováděny za přímé účasti osoby.

Zpracování osobních údajů nelze uznat jako prováděné pomocí nástrojů automatizace pouze na základě toho, že osobní údaje jsou obsaženy v informačním systému osobních údajů nebo z něj byly extrahovány (bod 2).

Jinými slovy, pokud PD není používáno, specifikováno, distribuováno nebo zničeno v PDIS vašich stránek automaticky bez lidského zásahu, můžete bezpečně zvolit druhý způsob zpracování – zpracování osobních údajů bez použití nástrojů automatizace.

Přečtěte si více
Jak malovat dlaždice v kuchyni vlastníma rukama

Výsledkem této jednoduché akce bude právní odmítnutí aplikace drakonických požadavků federálního zákona 152 na zpracování automatizovaného zpracování PIT v informačním systému.

S ohledem na dobu zpracování PD navrhujeme uvést alespoň dobu trvání smlouvy, na základě které byla PD požadována. K době trvání smlouvy je možné připočíst 3 roky promlčecí lhůty na ochranu práv v souvislosti s jejím uzavřením.

Roskomnadzor připomíná, že při uchovávání osobních údajů je provozovatel osobních údajů povinen využívat databáze umístěné na území Ruské federace v souladu s částí 5 čl. 18 spolkového zákona „o osobních údajích“. Tuto položku není nutné reflektovat v Zásadách, protože souvisí se skutečnými okolnostmi. I když z důvodu formality lze do Zásad zahrnout deklarativní článek o zpracování PD v Rusku.

Dále Roskomnadzor doporučuje upřesnit podmínky předávání osobních údajů třetím stranám. Důležitý bod. Obvykle je tento seznam redukován na následující důvody pro převod PD:

  • Uživatel vyjádřil svůj souhlas s takovým jednáním;
  • Převod je nutný pro uzavření a plnění smluv na nebo používání Stránek;
  • Na žádost soudu nebo jiného oprávněného státního orgánu v rámci zákonem stanoveného postupu
  • K ochraně práv a oprávněných zájmů v souvislosti s porušováním dohod uzavřených s uživatelem.

Kromě toho Roskomnadzor doporučuje v této části Zásad specifikovat informace o dodržování požadavků na důvěrnost osobních údajů stanovených v čl. 7 spolkového zákona „o osobních údajích“, jakož i informace o tom, jak provozovatel přijal opatření stanovená v části 2 čl. 18.1, část 1 Čl. 19 spolkového zákona „o osobních údajích“.

V praxi se tato informace scvrkává na prohlášení, že správa stránek uchovává osobní údaje a zajišťuje jejich ochranu před neoprávněným přístupem a distribucí v souladu s vnitřními pravidly a předpisy.

6. Aktualizace, opravy, výmaz a likvidace osobních údajů, odpovědi na žádosti subjektů o přístup k osobním údajům

Roskomnadzor doporučuje, aby Zásady obsahovaly nařízení(a) pro odpovídání na žádosti/odvolání subjektů osobních údajů a jejich zástupců, oprávněných orgánů ohledně nepřesnosti osobních údajů, nezákonnosti jejich zpracování, odvolání souhlasu a přístupu subjektu osobních údajů na jejich údaje, jakož i na příslušné formuláře žádostí/odvolání.

V takových případech je obvykle uvedeno, že uživatel má právo kdykoli nezávisle upravit informace, které poskytl ve svém osobním účtu. V případě ukončení uzavřené smlouvy má uživatel právo smazat svůj osobní účet sám nebo kontaktováním služby podpory na e-mailové adrese [email protected].

Pokud si přejete, můžete zpřísnit podmínky předpisů pro zpracování žádostí o změnu/smazání PD, které vyžadují, aby uživatel zasílal cenné dopisy na vaši adresu v Bobruisku.

Toto jsou hlavní Doporučení týkající se formy a obsahu Zásad.

7. Zpracování anonymních údajů

Pozoruhodný je fakt, že Roskomnadzor jako vždy obešel otázku zpracování neméně důležitých údajů pro uživatele, které nejsou považovány za osobní. Hovoříme o informacích shromážděných na webu v automatickém režimu: cookies, IP, informace o zařízení a jeho umístění atd.

Roskomnadzor zjevně tvrdošíjně nechce zveřejňovat složení PD, a to ani vyloučením prostřednictvím informací, které nejsou osobní. V praxi je však obvyklé zahrnout upozornění a postup zpracování takových údajů do Zásad ochrany osobních údajů, aby byl uživatel co nejúplněji informován o důsledcích používání stránek.

Přečtěte si více
Jak funguje obojek proti blechám: design, typy obojků

Níže je uveden příklad takového oznámení.

Berete na vědomí a přijímáte možnost použití softwaru třetích stran na Stránkách, v důsledku čehož mohou tyto strany přijímat a přenášet data v anonymizované podobě.
Tento software třetí strany zahrnuje systémy shromažďování statistik návštěvnosti Google Analytics.

Složení a podmínky pro shromažďování anonymizovaných dat pomocí softwaru třetích stran určují přímo jejich držitelé autorských práv a mohou zahrnovat:

  • údaje o prohlížeči (typ, verze, cookie);
  • údaje o zařízení a jeho umístění;
  • data operačního systému (typ, verze, rozlišení obrazovky);
  • data požadavku (čas, zdroj doporučení, IP adresa).

Přejeme vám úspěch při vytváření vlastních Zásad ochrany osobních údajů v souladu s doporučeními Roskomnadzor a přístupy vyvinutými v praxi.

Napsat komentář

Vaše e-mailová adresa nebude zveřejněna. Vyžadované informace jsou označeny *

Back to top button