Podle lidové poptávky pracující lidé webmasteři a majitelé stránek, které jsme zveřejnili Ukázka zásad ochrany osobních údajů zdarma pro weby s formulářem zpětné vazby, předplatným nebo objednáním hovoru.
K tomuto kroku jsme se rozhodli z toho důvodu, že tato forma Zásad nepočítá se zpracováním osobních údajů a v důsledku toho nepředstavuje velkou variabilitu řešení. Je důležité si uvědomit, že není vhodný pro stránky, které zpracovávají PD. Větší pozornost zpracování osobních údajů vyžadují například internetové obchody a další služby, kde uživatel kromě telefonního čísla nebo e-mailu uvede ještě další informace o sobě.
Proto jsme se zamysleli nad možnostmi sestavení „lidovky“ Zásady ochrany osobních údajů se zpracováním PD. Jednoduchá šablona zde nebude stačit. Vycházeli jsme z Doporučení Roskomnadzoru (dále jen „Doporučení“) zveřejněných v roce 2017 o přípravě dokumentu definujícího zásady provozovatele týkající se zpracování osobních údajů (dále jen „Zásady“). . Doplněno živými ukázkami.
Uvidíme, co se stane.
Procházíme první 2 sekce Doporučení kvůli jejich nedostatečnému obsahu
V části 1 Roskomnadzor uvádí, že Doporučení jsou vypracována za účelem rozvoje jednotných přístupů ke struktuře a formě Politiky. Ochotně věříme a řídíme se přáním oddělení usnadnit další práci s auditory.
Oddíl 2 cituje hlavní pojmy z federálního zákona „o osobních údajích“. Míjíme jako zbytečné. Pokud si přejete, je lepší zavést do Zásad své vlastní podmínky a vyjasnit ty právní.
V části 3 konečně přišly dlouho očekávané rady o struktuře a obsahu Zásad. Pojďme se jim podrobně věnovat.
1. Obecná ustanovení Zásad
V této části je doporučeno popsat účel Zásad, jakož i uvést základní pojmy v nich používané (zpracování osobních údajů, provozovatel, subjekt osobních údajů, důvěrnost osobních údajů atd.), uvést hlavní práva a povinnosti provozovatele a subjektu (subjektů) osobních údajů.
V pojetí autorů Doporučení by Politika, jako každý seriózní dokument, měla mít působivou velikost, aby každý byl prodchnut respektem a třásl se při pouhé zmínce.
Začněme tedy definicemi. Aby se neopakoval federální zákon 152, doporučujeme uvést odkazy na konkrétní ustanovení a části zásad, které specifikují použité pojmy. Níže je uveden příklad s podmínkami a definicemi zásad ochrany osobních údajů pro internetový obchod.
1.1. V tomto dokumentu a výsledných nebo souvisejících vztazích mezi Stranami platí následující termíny a definice:
Osobní informace – údaje poskytnuté subjektem osobních údajů nebo jeho zástupcem, jejichž objem a složení je uvedeno v bodě X.X. Politici.
Správa – Romashka LLC, TIN XXX, OGRN XXX, adresa: XXXXXX, v jejímž legálním vlastnictví a/nebo správě se stránka nachází. V případech uvedených v těchto Zásadách vystupuje Správa jako provozovatel osobních údajů.
ПоР»ÑŒÐ · овРn, Ðμл Noe – osoba používající Stránku za účelem uzavírání a/nebo plnění Smluv.
Smlouva – uživatelská smlouva o používání Stránek, kupní smlouva, dodavatelská smlouva, přepravní smlouva a/nebo jiná smlouva navržená k uzavření a/nebo uzavřená Uživatelem na základě jakékoliv nabídky zveřejněné na Stránce.
Zpracování osobních údajů – akce (operace) nebo soubor akcí (operací) s osobními údaji uvedenými v bodě X.X. Politici.
Site – automatizovaný informační systém dostupný na internetu na adrese sítě: /URL/.
1.2. Tyto Zásady používají termíny a definice stanovené Smlouvou, jakož i dalšími Smlouvami uzavřenými s Uživatelem, pokud tyto Zásady nestanoví jinak nebo nevyplývá z jejich podstaty. V ostatních případech se výklad termínu použitého v Zásadách provádí v souladu s aktuální legislativou Ruské federace, případně obchodními zvyklostmi.
2. Účely shromažďování osobních údajů
Podle Doporučení by mělo být zpracování osobních údajů omezeno na dosažení konkrétních, předem stanovených a legitimních účelů. Není dovoleno zpracovávat osobní údaje, které jsou neslučitelné s účely shromažďování osobních údajů.
Pokud si nepřejete registrovat se u Roskomnadzor a podstupovat následné povinné kontroly, doporučujeme propojit všechny účely zpracování PD s uzavíráním a plněním smluv.
Roli takové smlouvy může plnit Uživatelská smlouva přijatá kterýmkoli uživatelem na začátku používání Stránky, nebo jiná smlouva nabízená vlastníkem Stránky.
Výsledkem je poměrně standardní sada cílů:
- Uzavření smluv s uživatelem o používání nebo používání Stránek.
- Identifikace uživatele v rámci plnění povinností ze smluv uzavřených s ním.
- Plnění závazků z uzavřených smluv, včetně poskytování přístupu na Stránky a technické podpory uživateli, s využitím funkcionality Stránky uživatelem.
- Vystavování faktur a vrácení zůstatku finančních prostředků v případě ukončení placených smluv uzavřených s uživatelem.
- Notifikace v rámci informačních služeb, mailingu a zlepšování kvality služby dle uzavřených Smluv, a to i se zapojením třetích stran.
3. Právní základ pro zpracování osobních údajů
Podle upřesnění Roskomnadzoru je právním základem zpracování osobních údajů soubor právních úkonů, v souladu s nimiž a v souladu s nimiž provozovatel zpracovává osobní údaje.
V případě výše uvedeného odkazu mohou být jako právní základ pro zpracování osobních údajů uvedeny smlouvy uzavřené mezi provozovatelem a subjektem osobních údajů.
Pokud je OÚ zpracovávána pro jiné účely, musí být jako základ uveden samostatný souhlas se zpracováním osobních údajů.
4. Rozsah a kategorie zpracovávaných osobních údajů, kategorie subjektů osobních údajů
Roskomnadzor upozorňuje, že obsah a rozsah zpracovávaných osobních údajů musí odpovídat uvedeným účelům zpracování. Zpracovávané osobní údaje by neměly být nadměrné ve vztahu k uvedeným účelům jejich zpracování.
S ohledem na tato doporučení Roskomnadzor uvádíme v Zásadách osobní údaje, které shromažďujete pomocí webu.
V první řadě poskytujeme údaje z polí online formulářů zpětné vazby, objednávky, předplatného a registrace. Poté věnujeme velkou pozornost složení informací zadaných uživatelem při vyplňování profilu v osobním účtu.
Dále uvádíme údaje, které požaduje oddělení podpory nebo prodeje při vyplňování nebo zpracování žádostí po telefonu nebo na servisních místech.
5. Postup a podmínky zpracování osobních údajů
V této části Roskomnadzor doporučuje upřesnit výčet úkonů, které provozovatel s osobními údaji subjektů provádí, dále způsoby zpracování osobních údajů provozovatelem a podmínky zpracování osobních údajů.
Vybrat. Federální zákon 152 stanoví následující seznam operací s osobními údaji: shromažďování, zaznamenávání, systematizace, shromažďování, ukládání, objasňování (aktualizace, změna), vytěžování, používání, přenos (distribuce, poskytování, přístup), depersonalizace, blokování, vymazání, zničení osobních údajů.
Způsoby zpracování mohou zahrnovat:
a) automatizované zpracování osobních údajů
b) zpracování osobních údajů bez použití nástrojů automatizace.
Podle definice uvedené ve federálním zákoně 152 je automatizované zpracování osobních údajů zpracováním osobních údajů pomocí výpočetní techniky.
Zdálo by se, že sem spadají jakékoliv akce s PD prováděné pomocí výpočetní techniky. Ale ne všechno je tak jednoduché. Podíváme se na Nařízení o vlastnostech zpracování osobních údajů prováděné bez použití automatizačních nástrojů, schválené nařízením vlády Ruské federace ze dne 15. září 2008 N 687.
Odstavec 1 uvádí, že zpracování osobních údajů obsažených v informačním systému osobních údajů nebo extrahovaných z takového systému (dále jen osobní údaje) se považuje za prováděné bez použití nástrojů automatizace (neautomatizované), pokud takové jednání s osobních údajů, jako je použití, objasňování, distribuce, likvidace osobních údajů ve vztahu ke každému ze subjektů osobních údajů, jsou prováděny za přímé účasti osoby.
Zpracování osobních údajů nelze uznat jako prováděné pomocí nástrojů automatizace pouze na základě toho, že osobní údaje jsou obsaženy v informačním systému osobních údajů nebo z něj byly extrahovány (bod 2).
Jinými slovy, pokud PD není používáno, specifikováno, distribuováno nebo zničeno v PDIS vašich stránek automaticky bez lidského zásahu, můžete bezpečně zvolit druhý způsob zpracování – zpracování osobních údajů bez použití nástrojů automatizace.
Výsledkem této jednoduché akce bude právní odmítnutí aplikace drakonických požadavků federálního zákona 152 na zpracování automatizovaného zpracování PIT v informačním systému.
S ohledem na dobu zpracování PD navrhujeme uvést alespoň dobu trvání smlouvy, na základě které byla PD požadována. K době trvání smlouvy je možné připočíst 3 roky promlčecí lhůty na ochranu práv v souvislosti s jejím uzavřením.
Roskomnadzor připomíná, že při uchovávání osobních údajů je provozovatel osobních údajů povinen využívat databáze umístěné na území Ruské federace v souladu s částí 5 čl. 18 spolkového zákona „o osobních údajích“. Tuto položku není nutné reflektovat v Zásadách, protože souvisí se skutečnými okolnostmi. I když z důvodu formality lze do Zásad zahrnout deklarativní článek o zpracování PD v Rusku.
Dále Roskomnadzor doporučuje upřesnit podmínky předávání osobních údajů třetím stranám. Důležitý bod. Obvykle je tento seznam redukován na následující důvody pro převod PD:
- Uživatel vyjádřil svůj souhlas s takovým jednáním;
- Převod je nutný pro uzavření a plnění smluv na nebo používání Stránek;
- Na žádost soudu nebo jiného oprávněného státního orgánu v rámci zákonem stanoveného postupu
- K ochraně práv a oprávněných zájmů v souvislosti s porušováním dohod uzavřených s uživatelem.
Kromě toho Roskomnadzor doporučuje v této části Zásad specifikovat informace o dodržování požadavků na důvěrnost osobních údajů stanovených v čl. 7 spolkového zákona „o osobních údajích“, jakož i informace o tom, jak provozovatel přijal opatření stanovená v části 2 čl. 18.1, část 1 Čl. 19 spolkového zákona „o osobních údajích“.
V praxi se tato informace scvrkává na prohlášení, že správa stránek uchovává osobní údaje a zajišťuje jejich ochranu před neoprávněným přístupem a distribucí v souladu s vnitřními pravidly a předpisy.
6. Aktualizace, opravy, výmaz a likvidace osobních údajů, odpovědi na žádosti subjektů o přístup k osobním údajům
Roskomnadzor doporučuje, aby Zásady obsahovaly nařízení(a) pro odpovídání na žádosti/odvolání subjektů osobních údajů a jejich zástupců, oprávněných orgánů ohledně nepřesnosti osobních údajů, nezákonnosti jejich zpracování, odvolání souhlasu a přístupu subjektu osobních údajů na jejich údaje, jakož i na příslušné formuláře žádostí/odvolání.
V takových případech je obvykle uvedeno, že uživatel má právo kdykoli nezávisle upravit informace, které poskytl ve svém osobním účtu. V případě ukončení uzavřené smlouvy má uživatel právo smazat svůj osobní účet sám nebo kontaktováním služby podpory na e-mailové adrese XXX@XXX.XX.
Pokud si přejete, můžete zpřísnit podmínky předpisů pro zpracování žádostí o změnu/smazání PD, které vyžadují, aby uživatel zasílal cenné dopisy na vaši adresu v Bobruisku.
Toto jsou hlavní Doporučení týkající se formy a obsahu Zásad.
7. Zpracování anonymních údajů
Pozoruhodný je fakt, že Roskomnadzor jako vždy obešel otázku zpracování neméně důležitých údajů pro uživatele, které nejsou považovány za osobní. Hovoříme o informacích shromážděných na webu v automatickém režimu: cookies, IP, informace o zařízení a jeho umístění atd.
Roskomnadzor zjevně tvrdošíjně nechce zveřejňovat složení PD, a to ani vyloučením prostřednictvím informací, které nejsou osobní. V praxi je však obvyklé zahrnout upozornění a postup zpracování takových údajů do Zásad ochrany osobních údajů, aby byl uživatel co nejúplněji informován o důsledcích používání stránek.
Níže je uveden příklad takového oznámení.
Berete na vědomí a přijímáte možnost použití softwaru třetích stran na Stránkách, v důsledku čehož mohou tyto strany přijímat a přenášet data v anonymizované podobě.
Tento software třetí strany zahrnuje systémy shromažďování statistik návštěvnosti Google Analytics.
Složení a podmínky pro shromažďování anonymizovaných dat pomocí softwaru třetích stran určují přímo jejich držitelé autorských práv a mohou zahrnovat:
- údaje o prohlížeči (typ, verze, cookie);
- údaje o zařízení a jeho umístění;
- data operačního systému (typ, verze, rozlišení obrazovky);
- data požadavku (čas, zdroj doporučení, IP adresa).
Přejeme vám úspěch při vytváření vlastních Zásad ochrany osobních údajů v souladu s doporučeními Roskomnadzor a přístupy vyvinutými v praxi.
