Политика конфиденциальности для сайта и Положение о персональных данных
Разберемся, кому нужно иметь на сайте Политику конфиденциальности, или Политику по обработке персональных данных, и кому лучше составить Положение об обработке персональных данных.
Закон называет оператором персональных данных любое лицо, которое осуществляет любые действия с персональными данными.
Статья 3 федерального закона от 27.07.2006 №152-ФЗ "О персональных данных". Основные понятия, используемые в настоящем Федеральном законе
2) оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными;
3) обработка персональных данных - любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных…Закон
Хочется верить, цель законодателя едва ли была настолько глупой и абсурдной, чтобы фактически любое лицо провозгласить оператором персональных данных (смысл тогда вводить отдельный термин "оператор персональных данных"). Любое – это практически действительно любое лицо. Скажем, физическое лицо заключило договор с индивидуальным предпринимателем, в договоре, разумеется, содержатся персональные данные предпринимателя. Выходит, физлицо тоже обрабатывает персональные данные.
Спасительным кругом от такого буквального толкования не совсем корректно сформулированных норм должна была бы стать сфера действия закона о персональных данных, которая в ст. 1 закона 152-ФЗ сводится к следующему:
отношения, связанные с обработкой персональных данных, осуществляемой… лицами с использованием средств автоматизации, в том числе в информационно-телекоммуникационных сетях, или без использования таких средств, если обработка персональных данных без использования таких средств соответствует характеру действий (операций), совершаемых с персональными данными с использованием средств автоматизации, то есть позволяет осуществлять в соответствии с заданным алгоритмом поиск персональных данных, зафиксированных на материальном носителе и содержащихся в картотеках или иных систематизированных собраниях персональных данных, и (или) доступ к таким персональным данным.
Однако то, что хорошо начиналось, заканчивается фразой о доступе, который лицо, получившее персональные данные, будет иметь всегда.
Из сферы действия закона выведены только физические лица, получившие персональные данные при личных и семейных нуждах, и то только в том случае, если не нарушают права субъекта персональных данных. Выведены, да опять коряво, ибо какие права? Ведь лицо наделяется правами субъекта персональных данных именно этим законом. Или речь как раз о других правах, в том числе на неприкосновенность частной жизни, например?
Так что пока закон о персональных данных не изменили, всем предпринимателям (от мала до велика) желательно принимать внутренний, локальный акт, регулирующий обработку персональных данных, называемый обычно "Положение об обработке персональных данных", а при получении персональных данных через сайт – размещать на нем т.н. "Политику конфиденциальности", и последнее уже в обязательном порядке.
Однако далеко не через каждую форму обратной связи собираются персональные данные и лишь в исключительных случаях может быть действительно необходимо получать согласие на обработку персональных данных, если они действительно собираются какой-то формой связи. Подробнее о дезинформации в СМИ и составе персональных данных читайте в статье 152-ФЗ: Согласие на обработку персональных данных и пресловутая Политика конфиденциальности. Тем не менее, Роскомнадзор, конечно, любит тянуть одеяло на себя, относя к персональным данным даже ту информацию, по которой лицо никак не установить, в суд не подать.
Роскомнадзор, кстати, нередко трактует положения закона так, что Положение об обработке персональных данных как локальный документ (для внутреннего использования) должен быть у любого оператора персональных данных, иными словами – фактически у каждого предпринимателя.
Статья 18.1 федерального закона от 27.07.2006 №152-ФЗ "О персональных данных". Меры, направленные на обеспечение выполнения оператором обязанностей, предусмотренных настоящим Федеральным законом
1. Оператор обязан принимать меры, необходимые и достаточные для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами. Оператор самостоятельно определяет состав и перечень мер, необходимых и достаточных для обеспечения выполнения обязанностей, предусмотренных настоящим Федеральным законом и принятыми в соответствии с ним нормативными правовыми актами, если иное не предусмотрено настоящим Федеральным законом или другими федеральными законами. К таким мерам могут, в частности, относиться…
6) ознакомление работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.
2. Оператор обязан опубликовать или иным образом обеспечить неограниченный доступ к документу, определяющему его политику в отношении обработки персональных данных, к сведениям о реализуемых требованиях к защите персональных данных. Оператор, осуществляющий сбор персональных данных с использованием информационно-телекоммуникационных сетей, обязан опубликовать в соответствующей информационно-телекоммуникационной сети документ, определяющий его политику в отношении обработки персональных данных, и сведения о реализуемых требованиях к защите персональных данных, а также обеспечить возможность доступа к указанному документу с использованием средств соответствующей информационно-телекоммуникационной сети.
4. Оператор обязан представить документы и локальные акты, указанные в части 1 настоящей статьи, и (или) иным образом подтвердить принятие мер, указанных в части 1 настоящей статьи, по запросу уполномоченного органа по защите прав субъектов персональных данных.
Статья 13.11 КоАП. Нарушение законодательства Российской Федерации в области персональных данных
3. Невыполнение оператором предусмотренной законодательством Российской Федерации в области персональных данных обязанности по опубликованию или обеспечению иным образом неограниченного доступа к документу, определяющему политику оператора в отношении обработки персональных данных, или сведениям о реализуемых требованиях к защите персональных данных -
влечет предупреждение или наложение административного штрафа на граждан в размере от 700 до 1.500 рублей; на должностных лиц - от 3.000 до 6.000 рублей; на индивидуальных предпринимателей - от 5.000 до 10.000 рублей; на юридических лиц - от 15.000 до 30.000 рублей.Закон
Непринципиально, как документ назвать: Политика конфиденциальности, Положение об обработке персональных данных, Политика по обработке персональных данных или как-то иначе. Положения Политики конфиденциальности для сайта могут быть вообще частью Пользовательского соглашения, Правил сайта, договора-оферты или иного подобного документа.
Важно – содержание. К нему закон предъявляет целый ряд требований. Поэтому лучше получить консультацию юриста и заказать разработку документа именно юристу. Документ должен отражать действительное положение дел у вас. Поэтому не ищите шаблонов, образцов Положений о персональных данных (для внутреннего использования или для публичного размещения на сайте). Если вы неверно отразите фактическую ситуацию, вы можете быть оштрафованы.
Штраф за отсутствие на сайте Политики конфиденциальности (в той или иной форме, в том числе как часть Пользовательского соглашения) для юрлиц от 15.000 до 30.000 руб.
Юристы Kolosov.Law составят нужный вам документ примерно за равное штрафу вознаграждение, а если он будет частью Пользовательского соглашения, то обойдется еще дешевле.
Как в Политике конфиденциальности, размещаемой на сайте, так и в Положении об обработке персональных данных, принимаемом в качестве внутреннего документа, желательно предусмотреть несколько моментов и, соответственно, реализовать их:
- кто конкретно и к каким конкретно персональным данным имеет доступ, и как данный доступ осуществляется;
- установление паролей на компьютерах и серверах, на которых хранятся персональные данные, желательно в зашифрованном виде;
- при хранении персональных данных на бумажных и иных подобных носителях таковые желательно держать в сейфах;
- факты доступа к персональным данным нужно логировать (кто, к чему и когда получил доступ);
- компьютер в целом должен быть защищен, то есть взлом, несанкционированный доступ должен быть максимально осложнен, что можно достигать за счет: установки пароля на включение компьютера, на доступ к операционной системе, использование антивирусной программы, использование фаерволов и иных подобных программ для защиты;
- внедрение системы мониторинга подозрительных попыток доступа (взлома) и необычных запросов на доступ.
Приказ ФСТЭК России от 18.02.2013 №21 "Об утверждении Состава и содержания организационных и технических мер по обеспечению безопасности персональных данных при их обработке в информационных системах персональных данных"
8. В состав мер по обеспечению безопасности персональных данных, реализуемых в рамках системы защиты персональных данных с учетом актуальных угроз безопасности персональных данных и применяемых информационных технологий, входят:
идентификация и аутентификация субъектов доступа и объектов доступа;
управление доступом субъектов доступа к объектам доступа;
ограничение программной среды;
защита машинных носителей информации, на которых хранятся и (или) обрабатываются персональные данные (далее - машинные носители персональных данных);
регистрация событий безопасности;
антивирусная защита;
обнаружение (предотвращение) вторжений;
контроль (анализ) защищенности персональных данных;
обеспечение целостности информационной системы и персональных данных;
обеспечение доступности персональных данных;
защита среды виртуализации;
защита технических средств;
защита информационной системы, ее средств, систем связи и передачи данных;
выявление инцидентов (одного события или группы событий), которые могут привести к сбоям или нарушению функционирования информационной системы и (или) к возникновению угроз безопасности персональных данных (далее - инциденты), и реагирование на них;
управление конфигурацией информационной системы и системы защиты персональных данных.Закон
Вообще, ряд нормативных документов предъявляет конкретные требования к обеспечению безопасности персональных данных. В частности, Постановление Правительства РФ от 01.11.2012 №1119 "Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных" устанавливает уровни защищенности персональных данных, критерии возложения на оператора персональных данных обязанностей по соблюдению соответствующего уровня и минимальные конкретные действия для защиты персональных данных, которые должен предпринять оператор.
Приказ ФСБ России от 10.07.2014 №378 устанавливает требования для операторов, осуществляющих шифрование персональных данных.
Еще раз напоминалка прочесть статью 152-ФЗ: Согласие на обработку персональных данных и пресловутая Политика конфиденциальности, если еще этого не сделали.