Политика конфиденциальности персональных данных

Политика в отношении обработки персональных данных

Политика конфиденциальности — документ, который обязаны размещать у себя на сайте все, кто собирают и обрабатывают персональные данные пользователей.

Что такое политика конфиденциальности

Прежде чем говорить о политике конфиденциальности, важно понять, что в этой теме есть три важных понятия: оператор, субъект и персональные данные.

Оператор — человек, индивидуальный предприниматель или компания, которые собирают личные данные пользователей.

Субъект — человек, персональные данные которого собирает оператор. То есть пользователь, который зашел на сайт и решил, например, оставить заявку.

Персональные данные — это любая информация о пользователе, которая помогает его опознать. Например:

  • фамилия и имя,
  • телефон,
  • email,
  • домашний адрес,
  • фото,
  • дата рождения,
  • ссылки на профили в соцсетях.

Политика конфиденциальности — это документ, в котором оператор рассказывает, как и зачем он использует персональные данные своих субъектов (пользователей).

Кстати, политику конфиденциальности могут называть по-разному:

  • пользовательское соглашение,
  • положение об обработке персональных данных,
  • политика обработки данных для сайта,
  • политика приватности,
  • политика защиты персональных данных,
  • privacy policy.

Когда нужна политика конфиденциальности

На сайте есть формы для сбора контактов. Например, люди регистрируются, оставляют обратную связь, подписываются на рассылку или оформляют корзину — во всех эти случаях пользователи заполняют формы и передают свои персональные данные.

На сайте используют cookies. Это маленькие текстовые файлы, в которых хранится информация о посетителе сайта и его действиях. Например, логин, пароль, язык, время посещения, просмотренные страницы. В Словаре есть подробный материал о том, что такое cookies.

Куки тоже относят к персональным данным. Так что если на сайте установлен счетчик Яндекс.Метрики или Google Analytics, то и политика конфиденциальности должна быть. Для cookies можно даже опубликовать отдельный документ.

Из чего состоит политика конфиденциальности

Суть документа — объяснить пользователю, какую информацию о нем собирают и зачем. Писать можно в свободной форме. Главное — отразить все важные пункты.

Основные пункты

Информация об операторе. Обычно это наименование, адрес и контактные данные. Эти сведения могут быть в первом пункте «‎Общие положения».

Основания обработки персональных данных. Это законы, договоры оператора, пользовательское соглашение — те формальности, которые дают право использовать персональную информацию пользователей. Важно указать, что считается согласием на обработку личных данных — например, поставленная галочка рядом с соответствующим текстом.

Цели сбора и обработки персональных данных. Здесь нужно доступно и исчерпывающе рассказать, зачем оператору данные. Например, интернет-магазин собирает их, чтобы сделать сайт более удобным, персонализировать контент, отправлять маркетинговые сообщения.

Перечень персональных данных, которые собирает оператор. Здесь обычно указывают все данные, которые посетители передают в формы на сайте (имя, почта, телефон). Или указывают информацию о поведении пользователя на сайте, которая будет содержаться в cookies (например, какой товар добавили в корзину).

Порядок и условия использования персональных данных. Объемный пункт (или даже несколько), где оператор рассказывает, как он будет обращаться с данными пользователей. То есть собирать их, обрабатывать, хранить, уничтожать. Нужно указать сроки обработки и хранения. Важно учесть все действия и написать так, чтобы у пользователей не осталось вопросов.

Безопасность данных. В этом пункте оператор объясняет, как защищает персональные данные и не допускает их утечки. Например, применяет резервное копирование и не передает третьим лицам. Здесь же можно показать, как пользователь может защитить свои персональные данные — к примеру, отозвать согласие на использование.

Дополнительные пункты

Иногда операторам недостаточно основных пунктов и нужны дополнительные. Они делают политику более понятной и исчерпывающей:

Определение терминов. Так как политика — это документ, а документы мы читаем не каждый день, в ней могут быть непонятные определения. Лучше расшифровать такие термины, как оператор, обработка персональных данных или их уничтожение.

Передача персональных данных третьим лицам. Этот пункт важен, если оператор передает личную информацию субъектов кому-то еще — например, сервисам аналитики. Чтобы успокоить пользователя, можно объяснить, что от этой передачи не будет ничего плохого. Никто не начнет одолевать навязчивыми звонками, просто сайт будет более удобным.

Трансграничная передача данных. Пункт нужен, если оператор передает данные пользователей на территорию иностранных государств. Например, когда у компании есть филиалы в нескольких странах.

Часто задаваемые вопросы. Пункт здорово прояснит все то, что потенциально беспокоит аудиторию конкретного оператора. Например, есть спортивный клуб, который собирает телефоны посетителей. Тогда в политике он может написать, что не будет постоянно звонить и предлагать купить новый абонемент.

Связь с оператором. Этим пунктом можно дополнительно позаботиться о человеке. Написать, куда он может обращаться, если возникнут вопросы по документу. Также пункт выручит, если у пользователя возникнут претензии.

Нет строго порядка, в котором нужно располагать пункты в политике конфиденциальности. Но можно ориентироваться на простую логику:

  • Сначала вводные положения, которые постепенно погрузят читателя в тему.
  • Потом самое важное — зачем оператор собирает данные и как с ними работает.
  • И, наконец, — дополнительные положения.

Где размещать политику обработки данных на сайте

Закон не определяет точного места на сайте, где должна быть Политика. На практике документ размещают прямо там, где пользователь делится своими данными или дает согласие на их сбор. Например:

Во всплывающем окне с оповещением о cookies. Специальное меню со ссылкой на политику конфиденциальности появляется внизу страницы, когда человек заходит на сайт. Пользователю остается нажать «‎Принимаю», «Соглашаюсь» или «‎ОК».

При регистрации на сайте. Человек вводит свое имя и почту, ставит галочку, что согласен на обработку персональных данных. И около этой галочки как раз и дают ссылку на политику конфиденциальности.

При заполнении форм на сайте. Когда нужно оставить заявку, зарегистрировать личный кабинет или дать обратную связь. В любой форме всегда уместна ссылка на политику.

В подвале сайта. Документ с названием «Политика конфиденциальности‎» или похожим часто размещают в футере, чтобы человек на любой странице сайта мог быстро уточнить, зачем компании его данные.

Ознакомиться https://rkn.gov.ru/

Памятка о правилах работы с конфиденциальной информацией

Памятка по информационной безопасности педагогическим работникам

Парольная защита

  • Никогда не сохраняйте ваши пароли в программах. Большинство программ хранят их в открытом виде и тот, кто получит доступ к вашему компьютеру, получит доступ и к ним.
  • Сохраняйте в тайне личный пароль. Никогда не сообщайте пароль другим лицам, и не храните записанный пароль в общедоступных местах.
  • В случае производственной необходимости (командировка, отпуск и т.п.), при проведении проверочных мероприятий, выполняемых отделом по защите информации, работ, проводимых отделом информационных технологий и требующих знания пароля пользователя, допускается раскрытие значений своего пароля начальникам этих подразделений. По окончанию производственных, или проверочных работ работники самостоятельно производят немедленную смену значений «раскрытых» паролей.
  • Не используйте пароль доступа в локальную сеть МБОУ «СГ №14» в других программах и на сайтах, где требуется регистрация;
  • Следует помнить, что для печати документов на принтере, подключенном к другому компьютеру, не требуется знать пароль от этого компьютера. Достаточно включить компьютер, к которому присоединен нужный принтер, дождаться приглашения: «Нажмите Ctrl+Alt+Del для входа в систему». После появления приглашения можно осуществлять печать. Для выключения компьютера нужно нажать кнопку «Завершить работу» не вводя пароль.

Антивирусная защита

  • Никогда не отключайте установленное на АРМ антивирусное программное обеспечение.
  • Обязательно проверяйте на наличие вирусов все внешние носители информации (дискеты, диски, флешки и т.п.), поступающие со стороны (из внешних организаций, других подразделений Организации и т.п.)
  • Во всех случаях возможного проявления действия вирусов или подозрении на наличие вируса не пытайтесь удалить вирус самостоятельно, незамедлительно сообщите об этом ответственному за антивирусный контроль и оцените с ним возможные пути заражения и распространения данного вируса.

Интернет и электронная почта

  • Содержание Интернет-ресурсов, а также файлы, загружаемые из Интернета, обязательно проверяйте на отсутствие вредоносных программ и вирусов.
  • Не переходите по ссылкам, не запускайте программы и не открывайте файлы, полученные по электронной почте от неизвестного Вам отправителя.
  • Не передавать по электронной почте Ваши пароли.
  • Не принимайте никаких соглашений при посещении сайтов, смысла которых Вы не понимаете.

Прочее

  • Не устанавливайте самостоятельно программное обеспечение, если это не входит в Ваши обязанности. Запрещается устанавливать и запускать нелицензионное или не относящееся к выполнению Ваших должностных обязанностей программное обеспечение;
  • Располагайте мониторы и печатающие устройства таким образом, чтобы исключить несанкционированный доступ к отображаемой и печатаемой информации.
  • При временном оставлении рабочего места в течение рабочего дня в обязательным порядке блокируйте компьютер нажатием комбинации клавиш «Win + L».

Федеральный закон от 27.07.2006 г. № 152-ФЗ «О персональных данных»  Федеральный закон от 27.07.2006 N 152

Федеральный закон от 23.12.2010 г. № 359-ФЗ «О внесении изменения в статью 25 ФЗ «О персональных данных»    Федеральный закон от 23.12.2010 г. № 359

Федеральный закон от 27.07.2006 г. № 149-ФЗ «Об информации, информационных технологий и о защите информации»  Федеральный закон от 27.07.2006 г. № 149

Федеральный закон от 02.05.2006 г. № 59-ФЗ «О порядке рассмотрения обращений граждан РФ»  Федеральный закон от 02.05.2006 N 59

Постановление Правительства РФ от 01.11.2012 N 1119
«Об утверждении требований к защите персональных данных при их обработке в информационных системах персональных данных»  Постановление Правительства РФ от 01.11.2012 N 1119

Постановление Правительства РФ от 15.09.2008 г. № 687 «Об утверждении Положения об особенностях обработки персональных данных, осуществляемых без использования средств автоматизации» Постановление Правительства РФ от 15.09.2008 г. № 687

Постановление Правительства РФ от 17.11.2007 г. № 781 «Об утверждении Положения об обеспечении безопасности персональных данных при их обработке в информационных системах персональных данных»Постановление Правительства РФ от 17.11.2007 г. № 781