Utformare av policy för behandling av personuppgifter. Hur man skapar användarvillkor och en företagsintegritetspolicy Sammansättning av information om Användare som Administrationen tar emot och bearbetar


Margarita Ledovskikh

Jag är glad att välkomna dig till vår hemsida. Jag heter Margarita Ledovskikh, jag är mediejurist. Jag har arbetat inom informationsjuridik i 19 år, varav 6 år har jag lett projektet ”Lagen om nätverket”.

Sidsök

Vi tillhandahåller tjänster för att registrera webbplatser som media

Förberedande skede Först behöver du tid för förberedande åtgärder. Jag skriver om detta för ibland tas inte hänsyn till dessa punkter. Som ett minimum måste enskilda grundare besöka banken och en notarie för att göra attesterade kopior av dokument. Du kommer att säga att du kan betala via nätbank utan att lämna ditt hem, och detta är den absoluta sanningen, men även i det här fallet måste du gå till […]

Vi förbereder dokument för din webbplats

När kunden, efter att du har tillhandahållit honom en tjänst, undertecknar lagen har du i dina händer dokumentbevis på fullgörandet av förpliktelser. Och om kunden plötsligt börjar vägra att acceptera resultatet av arbetet, kan du lösa alla problem med detta dokument. Men när det gäller tjänster på distans, såsom utbildning online eller konsultationer via Skype, undertecknas inte lagarna. Vid […]

Denna integritetspolicy (hädanefter kallad policyn) är en bilaga till användaravtalet och bestämmer förfarandet för behandling och skydd av personlig information om användare som Mann, Ivanov och Ferber Limited Liability Company (nedan kallat administrationen) kan ta emot under deras användning Administrationstjänster (nedan kallade tjänsterna).

Innan du använder tjänsten bör användare läsa villkoren i denna sekretesspolicy.

1. Allmänna bestämmelser

1.1. Användning av tjänsten i någon form innebär användarens ovillkorliga samtycke till villkoren i denna integritetspolicy och villkoren för behandling av hans personuppgifter som anges där. I händelse av oenighet med villkoren i integritetspolicyn måste Användaren avstå från att använda Tjänsten.

1.2. Integritetspolicyn (inklusive någon av dess delar) kan ändras av Administrationen utan något särskilt meddelande och utan betalning av någon ersättning i samband med detta. Den nya versionen av integritetspolicyn träder i kraft från det att den publiceras på administrationens webbplats.

1.3. Genom att acceptera villkoren i denna policy uttrycker användaren sitt samtycke till administrationens behandling av uppgifter om användaren för de ändamål som anges i denna policy, samt till överföring av uppgifter om användaren till tredje part i de fall som anges i denna policy.

Detta samtycke kan återkallas av Användaren endast om han underrättar Administrationen skriftligen minst 180 dagar före det förväntade datumet för upphörande av användningen av uppgifter från Administrationen.

Att använda Tjänsten med hjälp av en webbläsare som accepterar data från cookies innebär användarens samtycke till att administrationen kan samla in och bearbeta data från cookies för de ändamål som anges i denna policy, samt att överföra data från cookies till tredje part i de fall som anges. i denna policy.

Att inaktivera och/eller blockera av Användaren av webbläsarens möjlighet att ta emot data från cookies innebär ett förbud mot administrationens insamling och behandling av data från cookies i enlighet med villkoren i denna integritetspolicy.

1.4. Som en allmän regel verifierar administrationen inte riktigheten av den personliga information som tillhandahålls av Användare. I de fall som anges i Användaravtalet är Användaren dock skyldig att lämna bekräftelse på riktigheten av de personuppgifter om sig själv som han lämnat.

2. Sammansättning av information om Användare som Administrationen tar emot och bearbetar

2.1 Denna policy gäller för följande typer av personlig information:

2.1.1. Personlig information som lagts upp av Användare, inkl. om dig själv när du fyller i formuläret för att skicka ett meddelande, annan personlig information som Användaren ger åtkomst till Administrationen via webbplatser eller tjänster från tredje part, eller personlig information som lagts upp av Användare i processen att använda Tjänsten. Personlig information som erhålls på detta sätt kan i synnerhet inkludera Användarens efternamn, förnamn, telefonnummer, e-postadress och leveransadress för beställningen. Övrig information tillhandahålls av Användaren efter eget gottfinnande.

Det är förbjudet för Användaren att tillhandahålla personuppgifter från tredje part utan tillstånd för sådan distribution som erhållits från tredje part eller om sådana personuppgifter från tredje parter inte har erhållits av Användaren själv från allmänt tillgängliga informationskällor.

2.1.2. Denna policy gäller även för kandidater till befintliga lediga tjänster inom administrationen, tillsammans med andra användare. Kandidater för lediga tjänster, som skickar ett CV till administrationen med hjälp av Tjänsten, eller via e-post, för en intervju och ytterligare anställning, uttrycker således sitt samtycke till behandlingen av följande personuppgifter: efternamn, förnamn, patronym, datum för födelse, medborgarskap, bostadsort, kontakter (telefonnummer, e-postadress), arbetsplats och arbetsdatum, samt andra uppgifter som anges av kandidater för lediga tjänster i deras CV.

2.1.3. Säljaren garanterar köparen att sekretessen för följande personliga information om köparen:

— information om användarens kort (de sista 4 siffrorna);

— information om inköp och beställningar.

Den specificerade informationen överförs av Säljaren till tredje part enbart i syfte att betala för beställningen av betalningssystemet; andra fall av överföring av denna information till tredje part är inte tillåtna.

2.1.4. Data överförs automatiskt till Tjänsten under deras användning med programvara installerad på Användarens enhet, inkl. IP-adress, enhetens individuella nätverksnummer (MAC-adress, enhets-ID), elektroniskt serienummer (IMEI, MEID), data från cookies, information om webbläsaren, operativsystem, åtkomsttid, användarens sökfrågor.

2.1.5. Data som dessutom tillhandahålls av Användare på begäran av Administrationen för att uppfylla Administrationens skyldigheter gentemot Användare angående användningen av Tjänsten.

2.1.6. Annan information om Användare, vars insamling och/eller behandling fastställs av Administrationens användaravtal.

3. Syfte med att samla in och bearbeta information om Användare

3.1. Administrationen samlar in och behandlar endast information om Användare, inkl. deras personuppgifter, som är nödvändiga för att uppfylla Administrationens skyldigheter att tillhandahålla Tjänsten, svara på den fråga som Användaren ställer när han skickar ett meddelande med hjälp av Tjänsten, samt uppfylla de skyldigheter som anges i användaravtalet.

3.2. Administrationen kan använda Användarnas personliga information i syfte att:

3.2.1. identifiering av part inom ramen för avtal mellan Användaren och Administrationen.

3.2.2. tillhandahålla tjänster till Användare som använder Tjänsten och att fullgöra sina skyldigheter gentemot dem, inkl. förtydligande av betalningsdata, hantering av beställningar och förfrågningar samt ytterligare förbättring av Tjänsten, utveckling av nya tjänster.

3.2.3. informera användare om utseendet på nytt material på webbplatsen, skicka förfrågningar om användningen av tjänsten, feedback från användaren.

3.2.4. utföra marknadsföringsuppgifter, utföra statistisk och annan forskning baserad på anonymiserad data,

3.2.5. informera användaren genom elektroniska utskick. Genom att tillhandahålla sina uppgifter samtycker Användaren till att ta emot reklam-, informations- och servicemeddelanden (nyhetsbrev).

3.3. Syften med att behandla personuppgifter om kandidater till lediga tjänster är:

— Säkerställa efterlevnad av kraven i Ryska federationens lagstiftning.
— Lösning av anställningsfrågor, registrering och reglering av arbetsrelationer.
— Reflektion av information i personaldokument.
— Andra ändamål för behandling av personuppgifter kan godkännas på uppdrag av Operatören.

3.4. Mobilapplikationer kan samla in anonym data om användarens plats för att ge en mer korrekt upplevelse av valet av betalningsmetod. Mobilapplikationer kan samla in anonym användningsstatistik.

3.5. Användaren uttrycker härmed sitt samtycke till överföring av personlig information om honom till Administrationens partners och tredje parter för de ändamål som anges i punkt 3.2 i denna integritetspolicy.

3.6. Om det är nödvändigt att använda personlig information om användaren för ändamål som inte anges i denna policy, begär administrationen användarens samtycke till sådana åtgärder.

4. Bearbetning av information om användare

4.1. Personuppgifter om Användare lagras i enlighet med gällande lagstiftning.

4.2. Personlig information om Användare överförs inte till tredje part, förutom i följande fall:

4.2.1. Användaren gick med på sådana åtgärder.

4.2.2. Överföringen är nödvändig för att säkerställa tjänstens funktion och/eller dess individuella funktionalitet.

4.2.3. Överlåtelsen omfattas av tillämplig lag.

4.2.4. För att säkerställa möjligheten att skydda Administrationens och/eller tredje parts rättigheter och legitima intressen i de fall Användaren bryter mot villkoren i användaravtalet.

4.2.5. Om förvaltningen deltar i en fusion, ett förvärv eller någon annan form av försäljning av delar av eller alla dess tillgångar. I detta fall överförs alla skyldigheter att följa villkoren i denna policy till förvärvaren av administrationens tillgångar.

4.3. Användaren meddelas härmed och samtycker till att Administrationen kan ta emot personuppgifter från tredje part som tillhandahålls av Användaren vid användning av Tjänsten och använda dem för att implementera vissa funktioner i Tjänsten, förutsatt att Användaren garanterar samtycke från tredje part, data som tillhandahålls av Användaren vid användning av Tjänsten, för behandling av administrationen för de ändamål som anges i denna policy, samt för överföring av sådana uppgifter i de fall som anges i denna policy.

4.4. Dessutom meddelas Användaren härmed och samtycker till att Administrationen kan ta emot statistisk anonymiserad (utan referens till Användaren) data om Användarens handlingar vid användning av Tjänsten.

4.5. Användare har rätt att på begäran få information från Administrationen om behandlingen av deras personuppgifter.

5. Åtgärder för att skydda information om Användare

5.1. Administrationen vidtar alla nödvändiga och tillräckliga organisatoriska och tekniska åtgärder för att skydda personlig information om Användare från obehörig eller oavsiktlig åtkomst till den, förstörelse, modifiering, blockering, spridning av personlig information, samt från andra olagliga handlingar med den. Dessa åtgärder inkluderar, men är inte begränsade till, intern granskning av datainsamling, lagring och bearbetningsprocesser och säkerhetsåtgärder, inklusive fysiska datasäkerhetsåtgärder för att förhindra obehörig åtkomst till personlig information.

5.2. Vid behandling av användares personuppgifter vägleds administrationen av den federala lagen "om personuppgifter" daterad den 27 juli 2006 nr 152-FZ.

6. Slutbestämmelser

6.1. Denna policy, förhållandet mellan användaren och administrationen som uppstår i samband med tillämpningen av denna policy, såväl som frågor som inte regleras av denna policy, styrs av den nuvarande lagstiftningen i Ryska federationen.

På många förfrågningar från arbetande webbansvariga och webbplatsägare har vi publicerat ett kostnadsfritt exempel på sekretesspolicy för webbplatser med feedback, prenumeration eller formulär för begäran om samtal.

Vi beslutade att ta det här steget eftersom denna form av policyn inte ger bestämmelser om behandling av personuppgifter och som ett resultat inte innebär mycket variation i beslutet. Det är viktigt att komma ihåg att det inte är lämpligt för sajter som behandlar personuppgifter. Till exempel kräver nätbutiker och andra tjänster där användaren, förutom ett telefonnummer eller e-post, dessutom tillhandahåller annan information om sig själv, mer uppmärksamhet kring frågorna om behandling av personuppgifter.

Därför funderade vi på alternativ för att utarbeta en "folks" sekretesspolicy. En enkel mall duger inte här. Vi utgick från Roskomnadzors rekommendationer (hädanefter kallade "Rekommendationerna") som utfärdades 2017 om utarbetandet av ett dokument som definierar operatörens policy angående behandling av personuppgifter (nedan kallad "policyn"). Vi kompletterade det med levande exempel.

Låt oss se vad som hände.

Avsnitt 2 citerar de grundläggande begreppen från den federala lagen "Om personuppgifter". Vi hoppar över det som onödigt. Om så önskas är det bättre att införa dina egna villkor i policyn och förtydliga de juridiska.

Avsnitt 3 gav slutligen de efterlängtade råden om policyns struktur och innehåll. Låt oss titta på dem i detalj.

1. Allmänna bestämmelser i policyn

I det här avsnittet rekommenderas det att beskriva syftet med policyn, samt inkludera de grundläggande begrepp som används i den (behandling av personuppgifter, operatör, föremål för personuppgifter, konfidentialitet för personuppgifter, etc.), lista de grundläggande rättigheter och skyldigheter för operatören och föremålen för personuppgifter.

Så låt oss börja med definitioner. För att inte upprepa federal lag 152 föreslår vi att du gör hänvisningar till specifika klausuler och avsnitt i policyn som specificerar de begrepp som används. Nedan finns ett exempel på villkoren och definitionerna av integritetspolicyn för en webbutik.

1.1. I detta dokument och de relationer mellan parterna som uppstår eller är relaterade till dessa, gäller följande termer och definitioner:

Personlig information- uppgifter som tillhandahålls av föremålet för personuppgifter eller dennes ombud, vars omfattning och sammansättning anges i punkt X.X. Politiker.

Administrering- Romashka LLC, INN XXX, OGRN XXX, Adress: XXXXX, i den lagliga ägo och/eller förvaltning som webbplatsen är belägen för. I de fall som anges i denna policy agerar administrationen som personuppgiftsansvarig.

Användare- en person som använder webbplatsen i syfte att ingå och/eller verkställa avtal.

3. Rättsliga grunder för behandling av personuppgifter

Enligt förklaringen från Roskomnadzor är den rättsliga grunden för behandling av personuppgifter den uppsättning rättsakter i enlighet med vilka och i enlighet med vilka operatören behandlar personuppgifter.

Om ovanstående länk finns kan den rättsliga grunden för behandlingen av personuppgifter vara de avtal som ingåtts mellan operatören och föremålet för personuppgifter.

Om personuppgifter behandlas för andra ändamål ska ett separat samtycke till behandling av personuppgifter anges som grund.

4. Volym och kategorier av personuppgifter som behandlas, kategorier av personuppgiftsansvariga

Roskomnadzor varnar för att innehållet och volymen av personuppgifter som behandlas måste motsvara de angivna ändamålen för behandlingen. De personuppgifter som behandlas ska inte vara överflödiga i förhållande till de angivna ändamålen med deras behandling.

Först och främst anger vi data från områdena onlinefeedback, beställning, prenumeration och registreringsformulär. Sedan ägnar vi stor uppmärksamhet åt sammansättningen av informationen som användaren anger när han fyller i en profil på sitt personliga konto.

Dessutom anger vi de uppgifter som efterfrågas av support eller försäljningsavdelning när vi fyller i eller behandlar ansökningar via telefon eller på serviceställen.

5. Förfarande och villkor för behandling av personuppgifter

Låt oss välja. Federal Law 152 tillhandahåller följande lista över operationer med personuppgifter: insamling, inspelning, systematisering, ackumulering, lagring, förtydligande (uppdatering, ändring), extrahering, användning, överföring (distribution, tillhandahållande, åtkomst), depersonalisering, blockering, radering, förstörelse av personuppgifter.

Bearbetningsmetoder kan innefatta:

a) automatiserad behandling av personuppgifter

b) behandling av personuppgifter utan användning av automationsverktyg.

Enligt definitionen i federal lag 152 är automatiserad behandling av personuppgifter behandling av personuppgifter med hjälp av datorteknik.

Det verkar som om detta inkluderar alla handlingar med personuppgifter som utförs med hjälp av datorteknik. Men det är inte så enkelt. Vi tittar på bestämmelserna om särdragen vid behandling av personuppgifter som utförs utan användning av automationsverktyg, godkända av dekret från Ryska federationens regering den 15 september 2008 N 687.

Av punkt 1 framgår att behandlingen av personuppgifter som finns i peeller utvunnits ur ett sådant system (nedan kallat personuppgifter) anses ske utan användning av automationsverktyg (icke-automatiserade), om t.ex. handlingar med personuppgifter som användning, förtydligande, distribution, förstörelse av personuppgifter i relation till var och en av ämnena för personuppgifter utförs med direkt deltagande av personen.

Behandlingen av personuppgifter kan inte erkännas som utförd med hjälp av automationsverktyg endast på grundval av att personuppgifter finns i peeller har extraherats från det (klausul 2).

Med andra ord, om personuppgifter inte används, specificeras, distribueras och förstörs i IPDN på din webbplats automatiskt utan mänskligt ingripande, kan du säkert välja den andra behandlingsmetoden - att behandla personuppgifter utan användning av automatiseringsverktyg.

Resultatet av denna enkla åtgärd kommer att bli en juridisk vägran att tillämpa de drakoniska kraven i federal lag 152 för behandling av automatiserad behandling av personlig inkomstskatt i informationssystemet.

Angående tidpunkten för PD-behandling Vi föreslår att åtminstone ange giltighetstiden för det avtal för vilka PD begärdes. Du kan lägga till avtalets giltighetstid 3 år av preskription för skydd av rättigheter i samband med dess utförande.

Roskomnadzor påminner om att vid lagring av personuppgifter är personuppgiftsoperatören skyldig att använda databaser som finns på Ryska federationens territorium, i enlighet med del 5 i art. 18 i den federala lagen "Om personuppgifter". Det är inte nödvändigt att återspegla denna punkt i policyn, eftersom den är relaterad till faktiska omständigheter. Även om du, som en formfråga, kan inkludera en deklarativ artikel i policyn om behandlingen av personuppgifter i Ryssland.

  • Användaren har uttryckt sitt samtycke till sådana åtgärder;
  • Överföringen krävs för ingående och fullgörande av kontrakt på eller användning av webbplatsen;
  • På begäran av domstol eller annat auktoriserat statligt organ inom ramen för det förfarande som fastställs i lag
  • För att skydda rättigheter och legitima intressen i samband med brott mot avtal som slutits med användaren.

Inom vissa gränser kan denna lista utökas till att omfatta fall av försäljning av webbplatsen eller överföring av PD i anonymiserad form.

Dessutom rekommenderar Roskomnadzor att du i detta avsnitt av policyn anger information om efterlevnad av kraven för konfidentialitet för personuppgifter som fastställs i art. 7 i den federala lagen "Om personuppgifter", samt information om operatören som vidtar åtgärder enligt del 2 i art. 18.1, del 1 art. 19 i den federala lagen "Om personuppgifter".

I praktiken kokar denna information ner till ett uttalande om att webbplatsens administration lagrar personuppgifter och säkerställer deras skydd mot obehörig åtkomst och distribution i enlighet med interna regler och förordningar.

6. Uppdatering, rättelse, radering och förstörelse av personuppgifter, svar på förfrågningar från försökspersoner om tillgång till personuppgifter

Roskomnadzor rekommenderar att i policyföreskrifterna för att svara på förfrågningar/överklaganden från personuppgiftspersoner och deras företrädare inkluderas auktoriserade organ angående felaktigheten av personuppgifter, olagligheten i deras behandling, återkallande av samtycke och åtkomst till de personuppgifter som är föremål för deras data, såväl som lämpliga former av förfrågningar/förfrågningar.

I sådana fall anges vanligtvis att användaren när som helst har rätt att självständigt redigera informationen som tillhandahålls av honom i sitt personliga konto. Vid uppsägning av det ingångna avtalet har användaren rätt att radera sitt eget personliga konto självständigt eller genom att kontakta supporttjänsten på e-postadressen XXX@ХХХ.ХХ.

Om så önskas kan du skärpa villkoren i reglerna för att behandla förfrågningar om att ändra/ta bort PD, vilket kräver att användaren skickar värdefulla brev till din adress i Bobruisk.

7. Behandling av anonymiserade uppgifter

Det är anmärkningsvärt att Roskomnadzor, som alltid, undvek frågan om att behandla lika viktiga uppgifter för användare som inte anses vara personliga. Vi talar om information som samlas in automatiskt på webbplatsen: cookies, IP, information om enheten och dess plats, etc.

Tydligen vill Roskomnadzor envist inte avslöja sammansättningen av personuppgifter, inte ens genom uteslutning genom information som inte är personlig. I praktiken är det dock vanligt att inkludera ett meddelande och ett förfarande för behandling av sådana uppgifter i integritetspolicyn för att fullständigt informera användaren om konsekvenserna av att använda webbplatsen.

Nedan finns ett exempel på en sådan anmälan.

Du förstår och accepterar möjligheten att använda programvara från tredje part på webbplatsen, som ett resultat av vilket sådana parter kan ta emot och överföra data i anonymiserad form.
Dessa program från tredje part inkluderar Google Analytics insamlingssystem för besöksstatistik.

Sammansättningen och villkoren för att samla in anonymiserad data med hjälp av programvara från tredje part bestäms direkt av deras upphovsrättsinnehavare och kan innefatta:

  • webbläsardata (typ, version, cookie);
  • enhetsdata och dess plats;
  • operativsystemsdata (typ, version, skärmupplösning);
  • begära data (tid, referenskälla, IP-adress).

En fullständig beskrivning av villkoren för behandling av anonymiserade uppgifter finns i provet sekretesspolicy som vi började vår artikel med.

Vi önskar dig framgång med att utveckla din egen integritetspolicy i enlighet med rekommendationerna från Roskomnadzor och de metoder som utvecklats i praktiken.

Del 3

Överensstämmelse med lagkrav för integritetspolicy

    Behöver du en integritetspolicy? Samlar du in personlig information om kunder, oavsett om det sker via webbplatstransaktioner eller sidor på sociala medier? Då måste du skapa och följa en integritetspolicy. Med andra ord kommer dessa att vara dina villkor för insamling, användning, överföring och skydd av tredje parts data. Konsumentskyddsbyrån beskriver vikten av integritet och policy på sin webbplats. Den amerikanska Small Business Administration inser också vikten av konfidentialitet och integritet, som beskrivs på organisationens webbplats.

    Granska typerna av klausuler i integritetspolicyn. Integritetspolicyn innehåller ett antal olika bestämmelser. Det inkluderar, men är inte begränsat till, dessa bestämmelser:

    Se till att du inte lovar något du inte kan leverera. Mycket ofta gör människor ett allvarligt misstag när de använder fraser som "Vi delar inte din personliga information med tredje part." Tyvärr ger köp- och försäljningstransaktioner och internettransaktioner som sådana inte möjligheten att undvika utbyte av denna information. Till exempel måste en förmedlande bank som hanterar en kunds kreditkortsbetalningar ha åtminstone viss information om kunden. Sådana uttalanden kan vara kostsamma för dig, så det är viktigt att sekretesspolicyn granskas av en jurist.







2024 gtavrl.ru.