V tomto článku se podíváme na zásady zpracování osobních údajů pro web a řekneme vám, jaká ustanovení je třeba do nich zahrnout.
Každý uživatel by měl vědět, jakým způsobem jsou jeho osobní údaje shromažďovány, za jakým účelem, jak dlouho budou uchovávány a kdy budou vymazány. Proto by zásady zpracování osobních údajů měly být zveřejněny na webových stránkách společnosti.
V tomto článku se podíváme na zásady zpracování osobních údajů pro web a řekneme vám, jaká ustanovení je třeba do nich zahrnout.
%%type:widget, id:privacy, name:quiz%%
obsah
Stručný vzdělávací program: proč potřebujeme zásady zpracování osobních údajů?
Jste povinni získat od uživatele souhlas se zpracováním osobních údajů a umístit odkaz na vaše zásady týkající se zpracování osobních údajů, aby si je daná osoba mohla přečíst, souhlasit a teprve poté vám poskytnout své údaje. Dodržování Zásad by mělo zajistit důvěrnost a bezpečnost zpracovávaných osobních údajů.
Tato odpovědnost platí, pokud máte alespoň jeden formulář pro sběr dat:
- Zpravodaj;
- Předplatné;
- Registrace na webu a tak dále.
Dále se podíváme na to, jak sestavit zásady a co obvykle obsahují.
Obecná ustanovení zásad zpracování osobních údajů
V této části musíte popsat účel zásad a uvést základní pojmy, které se v nich používají:
- Zpracování osobních údajů;
- Objekt osobních údajů;
- Předmět osobních údajů a podobně.
Nesmíme zapomenout ani na podrobný popis základních práv a povinností organizace a subjektů osobních údajů.
Není třeba znovu vynalézat kolo. Všechny potřebné informace jsou uvedeny ve federálním zákoně:
- Převezměte podmínky z čl. 3 zákony;
- Práva a povinnosti jsou uvedeny v kapitolách 3 a 4 zákona.
Například z čl. 3 zákona si můžete vypůjčit definice jako:
- Osobní informace – jakékoli informace týkající se přímo či nepřímo identifikované nebo identifikovatelné fyzické osoby (předmět osobních údajů);
- zpracování osobních údajů – jakákoli akce (operace) nebo soubor akcí (operací) prováděné pomocí automatizačních nástrojů nebo bez použití takových prostředků s osobními údaji, včetně shromažďování, zaznamenávání, systematizace, shromažďování, ukládání, upřesňování (aktualizace, změny), vytěžování, používání, přenos (distribuce, poskytování, přístup), depersonalizace, blokování, mazání, likvidace osobních údajů;
- šíření osobních údajů – akce zaměřené na zpřístupnění osobních údajů neurčitému počtu osob;
- poskytování osobních údajů – akce zaměřené na zpřístupnění osobních údajů určité osobě nebo určitému okruhu osob;
- zničení osobních údajů – úkony, v jejichž důsledku znemožní obnovení obsahu osobních údajů v informačním systému osobních údajů a (nebo) v jejichž důsledku dojde ke zničení hmotných nosičů osobních údajů;
- depersonalizace osobních údajů – úkony, v jejichž důsledku je nemožné bez použití dodatečných informací určit vlastnictví osobních údajů ke konkrétnímu subjektu osobních údajů a podobně.
Právní důvody pro zpracování osobních údajů
V této části musíte uvést předpisy a další dokumenty, podle kterých a na základě kterých web shromažďuje a zpracovává osobní údaje.
Takovými dokumenty/akty mohou být:
- zákony a podzákonné předpisy upravující vztahy související s činností organizace v oblasti zpracování PD (zákon č. 27.07.2006-FZ ze dne 149. července 06.03.97; výnos prezidenta republiky č. 188 ze dne XNUMX. března XNUMX);
- Jednotlivé dokumenty;
- Souhlas subjektu osobních údajů se zpracováním osobních údajů a pod.
Zejména můžete uvést, jakým způsobem a v jakém okamžiku dává uživatel webu souhlas se zpracováním osobních údajů.
Mohlo by to vypadat nějak takto:
Provozovatel zpracovává Osobní údaje Uživatele pouze v případě, že je vyplní a/nebo odešle Uživatel samostatně prostřednictvím speciálních formulářů umístěných na Webu. Vyplněním příslušných formulářů a/nebo odesláním svých Osobních údajů Provozovateli vyjadřuje Uživatel svůj souhlas s těmito Zásadami.
Provozovatel zpracovává anonymizované údaje o Uživateli, pokud
to je povoleno v nastavení prohlížeče Uživatele (je povoleno ukládání cookies a používání technologie JavaScript).
%%type:widget, id:privacy, name:quiz%%
Účely zpracování osobních údajů
Účel zpracování osobních údajů musí být uveden v zásadách zveřejněných na webových stránkách. V opačném případě bude shromažďování osobních údajů považováno za nezákonné.
Zákon uvádí následující „zásady“, které byste měli dodržovat při přípravě zásad zpracování osobních údajů pro web:
- Zpracování osobních údajů musí být prováděno na zákonném a spravedlivém základě;
- Zpracování osobních údajů musí být omezeno na dosažení konkrétních, předem stanovených a legitimních účelů. Zpracování osobních údajů, které je neslučitelné s účely shromažďování osobních údajů, není povoleno;
- Není dovoleno spojovat databáze obsahující osobní údaje, jejichž zpracování je prováděno pro účely, které jsou vzájemně neslučitelné;
- Předmětem zpracování jsou pouze osobní údaje, které splňují účely jejich zpracování;
- Obsah a objem zpracovávaných osobních údajů musí odpovídat uvedeným účelům zpracování;
- Při zpracování osobních údajů musí být zajištěna přesnost osobních údajů, jejich dostatečnost a případně relevance ve vztahu k účelům zpracování osobních údajů. Provozovatel musí přijmout nezbytná opatření nebo zajistit jejich přijetí k vymazání nebo objasnění neúplných nebo nepřesných údajů;
- Uchovávání osobních údajů musí být prováděno ve formě, která umožňuje identifikovat subjekt osobních údajů, ne déle, než to vyžadují účely zpracování osobních údajů, pokud není lhůta pro uchovávání osobních údajů stanovena federálním zákonem, smlouvy, jejíž smluvní stranou, příjemcem nebo ručitelem je subjekt osobních údajů. Zpracovávané osobní údaje podléhají zničení nebo depersonalizaci při dosažení cílů zpracování nebo pokud již není potřeba těchto cílů dosáhnout.
Účely zpracování uvedené v této části zásad mohou být formulovány na základě oblastí činnosti organizace a analýzy předpisů, které se na ně vztahují.
Zvažte příklad
Účelem zpracování Osobních údajů Uživatele je poskytnout Uživateli přístup ke službám, informacím a/nebo materiálům obsaženým na Webu.
Provozovatel má dále právo zasílat Uživateli upozornění na nové produkty a služby, speciální nabídky a různé akce. Uživatel může vždy odmítnout zasílání informačních zpráv zasláním dopisu Provozovateli na e-mailovou adresu ______ s poznámkou „Odhlásit se ze zasílání upozornění na nové produkty a služby a speciální nabídky“.
Objem a kategorie osobních údajů, kategorie subjektů osobních údajů
Zásady musí přímo uvádět kategorie subjektů, jejichž osobní údaje shromažďujete a zpracováváte.
Znění by mohlo být následující:
Společnost shromažďuje a uchovává osobní údaje ____, jakož i osobní údaje dalších subjektů osobních údajů obdržené od dodavatelů, nezbytné pro poskytování služeb, plnění smlouvy nebo smlouvy, jejíž je subjekt osobních údajů smluvní stranou, příjemcem nebo ručitel.
Druhá možnost návrhu pro tuto sekci:
Provozovatel může zpracovávat následující Osobní údaje Uživatelů:
- Celé jméno;
- telefon;
- E-mailová adresa.
Webová stránka také shromažďuje a zpracovává anonymizované údaje o Uživatelích (včetně souborů cookie) pomocí internetových statistických služeb (včetně služeb Yandex.Metrica a Google Analytics).
Jak se chránit před tím, aby Roskomnadzor rozpoznal objem zpracovávaných dat jako nadměrný?
Je nutné jasně uvést, jaké osobní údaje organizace nebude zpracovávat. Nejčastěji uvádějí, že „organizace neshromažďuje ani nezpracovává zvláštní kategorie osobních údajů týkajících se rasy, národnosti, politických názorů, náboženského nebo filozofického přesvědčení nebo intimního života“.
Postup a podmínky zpracování osobních údajů pro stránky
V této sekci se doporučuje uvést:
- Akce, které organizace provede s osobními údaji;
- Metody používané k jejich zpracování;
- Podmínky zpracování osobních údajů.
Zvažme každou položku podrobněji.
Akce, které organizace provede s osobními údaji
Zákon zahrnuje takové akce: shromažďování, záznam, systematizace, shromažďování, uchovávání, objasňování (aktualizace, změna), vytěžování, použití, převod (distribuce, poskytování, přístup), depersonalizace, blokování, vymazání, zničení.
Metody používané ke zpracování osobních údajů
Existují dva typy:
- Automatizované (pomocí počítačové technologie);
- Neautomatizované (pouze manuální).
V zásadě musí být uvedena použitá metoda. Nemusíte si vybrat jen jeden, můžete si vybrat oba.
Podmínky zpracování osobních údajů
Jedná se o dobu od počátku zpracování osobních údajů do jeho ukončení.
Pokud jste zpočátku uvedli různé typy subjektů, pak je v zásadách lepší rozlišovat začátek lhůty pro zpracování osobních údajů ve vztahu ke každé kategorii.
Doba zpracování nemusí být vždy omezena na jakékoli časové období/výskyt události. Zejména máte právo uvést, že osobní údaje jsou zpracovávány po dobu neurčitou, avšak s možností ukončit jejich ukládání a zpracování na první žádost klienta.
Tato sekce může vypadat nějak takto:
Doba zpracování Osobních údajů je neomezená. Uživatel může svůj souhlas se zpracováním osobních údajů kdykoli odvolat zasláním oznámení Provozovateli e-mailem na e-mailovou adresu Provozovatele ______ s označením „Odvolání souhlasu se zpracováním osobních údajů“.
Aktualizace, opravy, výmaz a likvidace osobních údajů, odpovědi na žádosti subjektů o přístup k osobním údajům
Zákon stanoví, že v případě nepřesnosti osobních údajů nebo nezákonnosti jejich zpracování je provozovatel povinen aktualizovat informace nebo ukončit zpracování osobních údajů.
Z tohoto důvodu by v zásadách mělo být uvedeno, že organizace je povinna upravit, zničit nebo zablokovat osobní údaje, pokud subjekt poskytne informace o tom, že údaje jsou zastaralé, nepřesné nebo získané nezákonně.
Dobře připravený dokument hraje pro organizace důležitou roli, protože osobní údaje uživatelů jsou státem poměrně vážně chráněny, a to i z důvodu narůstajícího počtu případů „úniku“ těchto údajů. Abyste zajistili, že zásady budou v souladu se zákonem a budou plně odrážet specifika vaší společnosti a že nebudou žádné další stížnosti ze strany uživatelů stránek nebo vládních úředníků, můžete svěřit přípravu zásad našemu právníkovi. Pomůže vám naše řešení „Připravme dokumenty pro web“: musíte odpovědět na několik otázek a systém určí, jaké dokumenty pro web potřebujete, a nabídne pomoc právníka. A co je nejdůležitější, to vše lze provést bez opuštění domova.
Požadavky na obsah zásad ochrany osobních údajů se změnily poté, co byly dne 1. září 2022 provedeny změny zákona „O osobních údajích“. Jsou rozptýleni podle zákona a různých dopisů od regulačních úřadů. Vše jsme shromáždili a zabalili do podrobného průvodce.
Článek pro vás připravila Alisa Golenishcheva
Článek upravil German Yaschenko
Zásady ochrany osobních údajů jsou dokument, ve kterém deklarujete, jaké údaje shromažďujete, pro jaké účely je shromažďujete a co s nimi děláte.
Zásady ochrany osobních údajů jsou nezbytné, pokud zpracováváte osobní údaje svých uživatelů. Vzhledem k tomu, že zpracování je jakákoli akce s osobními údaji a osobní údaje jsou jakékoli údaje o osobě, každá stránka, která má formulář zpětné vazby, možnost přijímat žádosti, registrace uživatele atd., potřebuje zásady ochrany osobních údajů.
Zásady ochrany osobních údajů (odkaz na ně) musí být zveřejněny na vašich stránkách, na každé stránce, kde se shromažďují osobní údaje. V opačném případě vám hrozí:
- pokuta od 30 do 60 tisíc rublů. (CAO část 3 čl. 13.11);
- hrozba zablokování internetového zdroje (článek 15.5 federálního zákona ze dne 27.07.2006. července 149 N XNUMX-FZ).
Rovněž pokud zpracováváte osobní údaje, musíte to oznámit Roskomnadzor (dále jen RKN). Oznámení můžete podat prostřednictvím webových stránek RKN. Poté budete zařazeni do registru provozovatelů osobních údajů (odkaz).
Uživatel musí vědět, kdo bude zpracovávat jeho osobní údaje. Proto musíte v zásadách uvést:
- Na kterou stránku (službu) se zásady vztahují;
- Kdo bude osobní údaje zpracovávat (kdo je provozovatelem osobních údajů uživatelů).
Tyto údaje můžete umístit do kterékoli části zásad: na začátek nebo na konec.
Osobní údaje můžete zpracovávat pouze se souhlasem subjektu osobních údajů. Před zahájením zpracování údajů tedy musíte získat souhlasy. Měli byste být schopni potvrdit, že vám určitá osoba dala svůj souhlas.
Stránky například nejčastěji umísťují zaškrtávací políčko, bez kterého nelze aplikaci opustit, zaregistrovat se na stránce. Také informace o kliknutích jsou zaznamenány v souborech protokolu webu.
Základní požadavky na souhlas:
- Specifické – mlčení či nečinnost subjektu nelze uznat jako souhlas;
- Informován – subjekt si může před udělením souhlasu přečíst zásady ochrany osobních údajů;
- Vědomý – souhlas musí být dán dobrovolně a ne pod nátlakem;
- Subjekt – subjekt musí rozumět účelům shromažďování, jaké osobní údaje jsou zpracovávány a výčtu úkonů s osobními údaji.
- Jednoznačný.
V zásadách by mělo být uvedeno, jak tyto souhlasy získáváte. Napište například, že „souhlas se uděluje zaškrtnutím políčka, když se uživatel na webu zaregistruje“.
Je to důležité. Rovněž není možné získat souhlas od nezletilých. Proto v zásadách píšeme, že uživatel garantuje, že je plnoletý.
Účelem zpracování je účel, pro který osobní údaje shromažďujete. Cíl musí být konkrétní. Například poskytování služeb na základě smlouvy, registrace uživatele na stránce atp.
Zpracování osobních údajů by mělo být omezeno na dosažení konkrétních, předem stanovených a legitimních účelů. Není dovoleno zpracovávat osobní údaje, které jsou neslučitelné s účely shromažďování osobních údajů (bod 3.2. Doporučení Roskomnadzor).
Nová pravidla přinesla významné změny související s účely zpracování. Nyní ohledně každý gól je nutné předepsat (odst. 2, část 1, čl. 18.1. FZ-152): kategorie subjektů osobních údajů, seznam a kategorie zpracovávaných údajů, způsoby a podmínky zpracování údajů a postup při likvidaci osobních údajů.
Protože cíle musí být konkrétní a jasné, může jich být zpravidla několik a tyto údaje musí být uvedeny u každého cíle.
1. Kategorie předmětůjehož údaje jsou pro daný účel zpracovávány. Nikde není uvedeno, co znamená kategorie subjektů. V praxi se vyvinulo, že obvykle uvádějí, jaký máte vztah k tomuto předmětu: uživatelé stránek, potenciální zákazníci, vypůjčovatelé atd.
2. Seznam zpracovávaných údajů. Jednoduše pojmenujte seznam všech osobních údajů, které zpracováváte (jméno, číslo, adresa atd.).
3. Kategorie dat. Upřesněte, do které kategorie osobní údaje patří (viz tabulka níže).
4. Akce s daty – uveďte, jak budete data zpracovávat, můžete například určit tyto akce: sběr, záznam, systematizace, shromažďování, ukládání, objasnění (aktualizace, změna), vytěžování, použití, přenos (distribuce, poskytování, přístup), depersonalizace , blokování, vymazání, zničení osobních údajů (článek 3, článek 3 federálního zákona „o osobních údajích“).
Dále je nutné uvést způsoby zpracování osobních údajů. Způsoby zpracování jsou:
- automatizované (data jsou zpracovávána na počítači, serveru);
- neautomatizované (data jsou ukládána a zpracovávána na papíře).
5. Podmínky zpracování a uchovávání údajů – uveďte, jak dlouho osobní údaje uchováváte.
Uveďte také, kde a jak je skladujete.
6. Zničení PD – navždy je vymazat ze všech médií.
Pokud byly osobní údaje zpracovávány automatizovaným způsobem, mohou být zničeny vymazáním z databáze, zformátováním média nebo mechanickým poškozením pevných disků.
Pokud byly osobní údaje zpracovávány neautomatizovaným způsobem, mohou být zničeny spálením, drcením (rozemletím), chemickým rozkladem.
Postup při dokládání skutečnosti zničení osobních údajů stanoví provozovatel samostatně. Pro likvidaci PD je zpravidla svolána zvláštní komise a na základě výsledků její činnosti je sestaven zákon o likvidaci PD.
Zničení PD se provádí v těchto případech:
- poskytnutí informace uživatelem potvrzující, že OÚ byla získána nezákonně nebo není nezbytná pro uvedený účel zpracování – do 7 pracovních dnů ode dne předložení takové informace (část 1 § 14, část 3 § 20 zákona č. 152-FZ);
- odhalení nezákonného zpracování osobních údajů – do 10 pracovních dnů (část 3 článku 21 zákona N 152-FZ);
- stažení osobních údajů Uživatelem – do 30 dnů (část 5 článku 21 zákona N 152-FZ;
- dosažení účelu zpracování osobních údajů – do 30 dnů (část 4 § 21 zákona N 152-FZ);
- uplynutí doby uchovávání osobních údajů – do 30 dnů (část 4 článku 21 zákona N 152-FZ).
Znění nového zákona musí obsahovat veškeré informace týkající se každý gól zpracovává se. Je dobré, když existuje pouze jeden cíl zpracování, ale pokud je jich mnoho, text začne hodně bobtnat.
Vidíme několik možností, jak to lze provést.
Možnost 1 – plný text
Základem je, že se řídíme textem pro každý jednotlivý cíl, tento formát nelze nazvat pohodlným z hlediska vnímání informací a srozumitelnosti politiky. Pohled bude vypadat nějak takto:
Účel: registrace na webu. Kategorie předmětu: uživatelé webu. Zpracovávané údaje: příjmení, jméno, patronymie, datum narození, telefonní číslo. Kategorie dat: obecné osobní údaje. Způsob zpracování osobních údajů: automatizované shromažďování, evidence, systematizace, shromažďování, uchovávání, upřesňování (aktualizace, změna), vytěžování, použití. Doba zpracování: do 3 let od data poslední aktivity na stránce. Osobní údaje jsou zlikvidovány výmazem osobních údajů ze serverů provozovatele.
Účel: nákup Předmětová kategorie: uživatelé webu. Zpracovávané údaje: příjmení, jméno, patronymie, datum narození, telefonní číslo, doručovací adresa, platební údaje. Kategorie dat: obecné osobní údaje. Způsob zpracování osobních údajů: automatizované shromažďování, evidence, systematizace, shromažďování, uchovávání, upřesňování (aktualizace, změna), vyhledávání, použití. Doba zpracování: do 3 let od data poslední aktivity na stránce. Osobní údaje jsou zlikvidovány výmazem ze serverů provozovatele osobních údajů.
Účel: zpracování vrácení zboží.
Možnost 2 – stůl
Výše uvedené informace uspořádáme do podoby tabulky, kde každý řádek představuje nový cíl zpracování. Tato možnost je již lepší, protože je mnohem snazší číst a pochopit, než ty předchozí. Stále to však není příliš pohodlné, protože. mnoho informací bude duplikováno. Přibližný pohled:
Možnost 3 – tabulka + text
Variabilní informace uspořádáme ve formě tabulky a konstantní informace v samostatných odstavcích. V našem příkladu, stejně jako ve většině společností, zůstane nezměněno: způsob a podmínky uchovávání osobních údajů a postup při jejich likvidaci.
A píšeme v samostatných odstavcích:
1. Pro všechny účely zpracování osobních údajů je doba zpracování osobních údajů 3 roky ode dne poslední aktivity na stránce.
2. Osobní údaje jsou zlikvidovány vymazáním ze serverů provozovatele osobních údajů.
Obecně platí, že převod PD na třetí osoby je zakázán. Výjimky jsou:
1. Převod se souhlasem uživatele. To znamená, že uživatel dává samostatný písemný souhlas s předáním svých osobních údajů té či oné společnosti.
2. Předání oprávněným orgánům v souladu se zákonem.
3. Předávání osobních údajů zpracovatelům. Zpracovatelé jsou firmy, které zpracovávají PD na zvláštní dokument-pokyn provozovatele. Zde se vyplatí zaregistrovat seznam zpracovatelů a jejich kontakty.
přeshraniční převod. Pokud předáváte PD uživatelů zahraničním společnostem, měli byste o tom také napsat a uvést země, do kterých jsou osobní údaje předávány.
Uživatelé mají ze zákona řadu práv při zpracování jejich PD, je lepší je popsat ve svých zásadách ochrany osobních údajů.
Roskomnadzor doporučuje zaregistrovat si seznam dokumentů, na základě kterých zpracováváte osobní údaje.