Нужны ли моему сайту или приложению Privacy Policy?

Есть ли у вас Landing Page? Если да, то вы наверняка призываете посетителей совершить целевое действие – оставить заявку, купить, зарегистрироваться и т.д. Все эти действия подразумевают, что люди будут предоставлять вам информацию о себе – имя, фамилию, адрес электронной почты, мобильный телефон, а иногда даже адрес места жительства.

Образец политики конфиденциальности

В качестве примера приведу текст, который мог бы использоваться на моём сайте. Он достаточно «сырой», поэтому не копируйте этот шаблон подчистую, а переработайте в соответствии с вашими потребностями.

Сбор информации

При оставлении заявки на ресурсе веб-студии «Три Дабл Ю» клиенты предоставляют следующие сведения:

  • Имя.
  • Контактный E-mail (обязательно).
  • Контактный телефон (по желанию).

Также администрация веб-студии получает данные об IP-адресе посетителей, а также о типе браузера, времени нахождения на сайте и прочие подобные сведения. Сбор ведётся с помощью сервисов статистики.

Использование информации

Вся полученная информация используется администрацией веб-студии «Три Дабл Ю» исключительно в целях связи с клиентом. Веб-студия «Три Дабл Ю» имеет право направлять клиенту информационные сообщения (новостную рассылку), если он подписался на них.

Защита персональных данных

Веб-студия «Три Дабл Ю» обязуется не разглашать сведения, полученные от клиентов. Она хранится в базе данных на локальном компьютере администрации веб-студии. Доступ к компьютеру надёжно защищён паролем, который имеется только у администратора сайта.

Предоставление данных третьим лицам

Полученные сведения не могут быть переданы третьим лицам, за исключением следующих случаев:

  • Для исполнения обязательств перед клиентом – только с его разрешения.
  • В соответствии с обоснованными и применимыми требованиями закона.

Контакты

По всем вопросам вы можете обращаться к администрации сайта.

Настоящая редакция политики конфиденциальности опубликована 27 марта 2016 года.

С уважением, Сергей Чесноков

Общие положения

2.1. Использование сайта Всё об Индии Пользователем означает согласие с настоящей Политикой конфиденциальности и условиями обработки персональных данных Пользователя.

2.2. В случае несогласия с условиями Политики конфиденциальности Пользователь должен прекратить использование сайта Всё об Индии .

2.3. Настоящая Политика конфиденциальности применяется к сайту Всё об Индии. Индиада не контролирует и не несет ответственность за сайты третьих лиц, на которые Пользователь может перейти по ссылкам, доступным на сайте Всё об Индии.

2.4. Администрация не проверяет достоверность персональных данных, предоставляемых Пользователем.

Что требует GDPR?

Все, что требует украинское законодательство — и даже больше:

  • указать свою роль — контролера или обработчика;
  • основания обработки (согласие пользователя, законные интересы контроллера, выполнения или заключения контракта и т.п.);
  • период хранения данных и порядок их удаления;
  • права, европейцам обеспечивает GDPR (right to access, rectification, erasure, restriction of processing, right to be informed, data portability, objection, right not to be subject to a decision based solely on automated processing)
  • порядок уведомления пользователей о нарушении безопасности их персональных данных;
  • cookies, web beacons, log policies (отдельные пункты, или даже отдельные политики);
  • перемещения данных за границу или получения их из-за пределов ЕС;
  • уровень охраны персональных данных и методы защиты от их повреждения или потери;
  • контактные данные — компании, а если имеются — то и Data Protection Officer;
  • дата принятия и обновления Privacy and Personal Data Protection Policy (лучшая практика — архив с более ранними редакциями Политик)
  • порядок получения и отзыва согласия на обработку персональных данных (и это неполный перечень полезных вещей!).

Вся Privacy and Personal Data Protection Policy должна быть изложена простым языком без специфического отраслевого жаргона — так, чтобы каждый пользователь (который может не иметь никакого представления об информационных технологиях) мог понять намерения будущего контроллера и последствия предоставления ему своих данных.

Учтите, что любая маркетинговая обработка требует информирования и добровольного согласия (другими словами — пользователю необходимо объяснить, какие данные собираются для дальнейших рассылок на почту и таргетированной рекламы через SDK), а принуждение пользователя к согласию под угрозой отказа в предоставлении услуги считается дурным тоном , особенно в наиболее обеспокоенных уровнем приватности своих граждан государствах (вроде Германии, в частности).

Что требует GDPR?

Важно, что информация, которая не может собираться без прямого на то согласия пользователя (например, чувствительные данные и данные для маркетинговых целей), не должны собираться до того момента, пока пользователь не согласится с условиями сбора (например, не поставит галочку в соответствующем Privacy Notice).

Читайте также:  COVID по коже: симптомами коронавируса могут быть семь видов сыпи

И да — для рекламных Cookies Notice, Privacy Policy тоже нужны.

Принципы и условия обработки персональных данных Пользователей

В соответствии с требованиями Закона о персональных данных условиями и принципами обработки Оператором персональных данных Пользователей являются:

  • Обработка персональных данных осуществляется с согласия Пользователя на обработку его персональных данных. Нажимая кнопку «Я прочитал и согласен с условиями» Пользователь выражает свое согласие на обработку его персональных данных Оператором в соответствии с настоящей Политикой и подтверждает, что такое согласие дано им свободно, своей волей и в своем интересе. В случае недееспособности субъекта персональных данных согласие на обработку его персональных данных дает законный представитель Пользователя.
  • Согласие на обработку персональных данных может быть отозвано Пользователем. В случае отзыва субъектом персональных данных согласия на обработку персональных данных оператор вправе продолжить обработку персональных данных без согласия субъекта персональных данных только при наличии оснований, предусмотренных Законом о персональных данных.
  • В случае отзыва Пользователем согласия на обработку его персональных данных Оператор обязан прекратить их обработку и в случае, если сохранение персональных данных более не требуется для целей обработки персональных данных, уничтожить персональные в срок, не превышающий тридцати дней с даты поступления указанного отзыва.
  • В случае отсутствия возможности уничтожения персональных данных в течение указанного срока, указанного Оператор осуществляет блокирование таких персональных данных и обеспечивает уничтожение персональных данных в срок не более чем шесть месяцев.

Сбор и обработка персональных данных Оператором осуществляется с помощью формы сбора заявок, расположенной на сайте Пользователь Сайта предоставляет Оператору свои персональные данные путем заполнения формы сбора заявок на Сайте. Нажимая кнопку подтверждения подписки Пользователь дает Оператору согласие на обработку предоставленных им персональных данных в соответствии с условиями настоящей Политики.

Пользователь имеет право на получение от Оператора следующей информации, касающейся обработки его персональных данных, в том числе при сборе его персональных данных (за исключением случаев, предусмотренных Законом о персональных данных):

  • подтверждение факта обработки персональных данных Оператором;
  • правовые основания и цели обработки персональных данных;
  • цели и применяемые оператором способы обработки персональных данных;
  • наименование и место нахождения Оператора, сведения о лицах (за исключением работников Оператора), которые имеют доступ к персональным данным или которым могут быть раскрыты персональные данные на основании договора с оператором или на основании федерального закона;
  • обрабатываемые персональные данные, относящиеся к соответствующему Пользователю, источник их получения, если иной порядок представления таких данных не предусмотрен федеральным законом;
  • сроки обработки персональных данных, в том числе сроки их хранения;
  • информацию об осуществленной или о предполагаемой трансграничной передаче данных;
  • иные сведения, предусмотренные федеральными законами.
Читайте также:  Гиперкератоз ногтей на руках

Пользователь вправе требовать от Оператора уточнения его персональных данных, их блокирования или уничтожения в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки, а также принимать предусмотренные законом меры по защите своих прав. В срок, не превышающий семи рабочих дней со дня предоставления Пользователем сведений, подтверждающих, что его персональные данные, находящиеся у Оператора, являются неполными, неточными или неактуальными, Оператор обязан внести в них необходимые изменения. В срок, не превышающий семи рабочих дней со дня представления Пользователем сведений, подтверждающих, что такие персональные данные являются незаконно полученными или не являются необходимыми для заявленной цели обработки, Оператор обязан уничтожить такие персональные данные. Оператор обязан уведомить Пользователя о внесенных изменениях и предпринятых мерах и принять разумные меры для уведомления третьих лиц, в случае если им были переданы персональные данные этого Пользователя.

Перечень персональных данных, обрабатываемых в ПАО «Газпром»

6.1. Перечень персональных данных, обрабатываемых в ПАО «Газпром», определяется в соответствии с законодательством Российской Федерации и локальными нормативными актами ПАО «Газпром» с учетом целей обработки персональных данных, указанных в разделе 4 Политики.

6.2. Обработка специальных категорий персональных данных, касающихся расовой, национальной принадлежности, политических взглядов, религиозных или философских убеждений, интимной жизни, в ПАО «Газпром» не осуществляется.