Политика конфиденциальности текст

Что писать в политике конфиденциальности для лендинга?

Приветствую вас, уважаемые читатели!

Есть ли у вас Landing Page? Если да, то вы наверняка призываете посетителей совершить целевое действие – оставить заявку, купить, зарегистрироваться и т.д. Все эти действия подразумевают, что люди будут предоставлять вам информацию о себе – имя, фамилию, адрес электронной почты, мобильный телефон, а иногда даже адрес места жительства.

Согласно Федеральному закону №152 «О защите персональных данных», все эти сведения являются конфиденциальными и не подлежат публичному распространению. Вы обязаны сообщить посетителям своего сайта, для каких целей вы её собираете и как в дальнейшем планируете использовать.

Как это сделать? Опубликовать на своём ресурсе документ, именуемый «Политика безопасности» или «Политика конфиденциальности».

Я заметил, что многие владельцы веб-ресурсов не заморачиваются этим. Поставили форму заявки или кнопку заказа звонка, написали «Введите e-mail» или «Оставьте телефон» и всё. В Интернете есть сотни лендингов, на которых ни слова не говорится о том, куда мои контактные данные уйдут и кем будут использованы.

А ведь если следовать букве закона и делать всё юридически грамотно, то политика безопасности должна обязательно присутствовать даже тогда, когда запрашивается только один E-mail.

Честно говоря, я и сам раньше не думал об этом. Но совсем недавно исправился. Соответствующая страница появилась на моём сайте в апреле 2017 года. Посмотреть её вы можете .

Какой же должна быть политика конфиденциальности для лендинга? Есть определённые требования к этому разделу, которые мы с вами рассмотрим далее.

Содержание политики конфиденциальности

Что нужно прописать:

• Укажите, какая персональная информация собирается вами.
• Напишите, для чего это нужно (чтобы скачать файл, зарегистрироваться или оставить заявку на обратный звонок) и что вы будете делать с этими сведениями?
• Как будут защищены персональные сведения?
• Будут ли они передаваться третьим лицам? В каких случаях?
• Контакты администратора лендинга.
• Дата публикации документа, а также дата внесённых изменений.

Как видите, это достаточно ёмкий документ, в котором содержится только самое главное. Пройдёмся по всем пунктам более подробно.

Вид информации

По закону, любые данные, относящиеся к физическому лицу (такие как: имя, фамилия, дата рождения, адрес, e-mail, телефон, образование, профессия и т.д.), являются персональными. Посмотрите, что именно вы запрашиваете у посетителей на своём landing page и сообщите об этом открыто.

Для чего собираются и как будут использованы сведения?

Лид-формы на большинстве лендингов чаще всего запрашивают:

• Телефон (для прямой связи с клиентом).
• Имя (для вежливого обращения).
• E-mail (для регистрации, отправки коммерческого предложения и т.п.).

Нужно указать, что вся информация будет использована исключительно для связи с человеком. Передавать её третьим лицам вы не собираетесь.

Защита

Сообщите, где хранится информация (на сервере, на локальном компьютере). Напишите о том, что принимаете все меры для того, чтобы конфиденциальные данные были надёжно защищены:

• Работаете с надёжным хостингом.
• Проверяете сайт на наличие вирусов.
• У вас надёжные пароли.

Передача третьим лицам

Закон запрещает передавать персональные данные третьим лицам без согласия субъекта. Исключением является их разглашение по требованию правоохранительных органов или судебного решения.

Контакты администратора

С кем посетители лендинга могут связаться в случае возникновения каких-то вопросов? Необходимо указывать актуальную контактную информацию и время для связи. В случае смены e-mail или телефона, сразу же внесите необходимые изменения в политику конфиденциальности.

Дата

Когда был опубликован раздел? Вносились ли в него изменения и какого числа? Какие это были изменения? Желательно, чтобы посетители landing page имели доступ ко всем версиям данного документа.

Образец политики конфиденциальности

В качестве примера приведу текст, который мог бы использоваться на моём сайте. Он достаточно «сырой», поэтому не копируйте этот шаблон подчистую, а переработайте в соответствии с вашими потребностями.

Сбор информации

При оставлении заявки на ресурсе веб-студии «Три Дабл Ю» клиенты предоставляют следующие сведения:

• Имя.
• Контактный E-mail (обязательно).
• Контактный телефон (по желанию).

Также администрация веб-студии получает данные об IP-адресе посетителей, а также о типе браузера, времени нахождения на сайте и прочие подобные сведения. Сбор ведётся с помощью сервисов статистики.

Использование информации

Вся полученная информация используется администрацией веб-студии «Три Дабл Ю» исключительно в целях связи с клиентом. Веб-студия «Три Дабл Ю» имеет право направлять клиенту информационные сообщения (новостную рассылку), если он подписался на них.

Защита персональных данных

Веб-студия «Три Дабл Ю» обязуется не разглашать сведения, полученные от клиентов. Она хранится в базе данных на локальном компьютере администрации веб-студии. Доступ к компьютеру надёжно защищён паролем, который имеется только у администратора сайта.

Предоставление данных третьим лицам

Полученные сведения не могут быть переданы третьим лицам, за исключением следующих случаев:

• Для исполнения обязательств перед клиентом – только с его разрешения.
• В соответствии с обоснованными и применимыми требованиями закона.

Контакты

По всем вопросам вы можете обращаться к администрации сайта.

Кому нужна политика конфиденциальности на сайте

Закон обязывает публиковать политику конфиденциальности только операторов персональных данных. Чтобы понять, нужен ли такой документ на вашем сайте, сначала надо разобраться, что это за данные и кто такие операторы.

Первому понятию 152-ФЗ дает такое определение:

Персональные данные — любая информация, относящаяся прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Точного перечня в законе нет, но исходя из определения, можно сделать вывод, что персональными можно считать все данные, которые относятся к конкретному человеку и позволяют его идентифицировать. Также в тексте встречаются понятия общие, специальные и биометрические данные.

С операторами все проще — это любой человек, компания или государственный орган, который собирает, хранит, обрабатывает и совершает другие действия с персональными данными. Владельца интернет-ресурса можно отнести к операторам, если на сайте есть формы заказа, комментариев, регистрации и обратной связи, в которые человек вводит имя, фамилию, электронный адрес, номер телефона и т. д.

Если при отправке комментария от пользователя требуют только имя или никнейм, политика конфиденциальности не нужна, так как по такой информации идентифицировать человека невозможно.

Как составить текст политики конфиденциальности

Утвержденной законом формы нет. Но есть перечень сведений, которые обязательно прописывать в документе.

• На каком основании и с какой целью вы собираете персональные данные.
• Ваши наименование, контактные данные и адрес.
• Сведения о том, кто обрабатывает данные, если этим занимается другая компания, а также о третьих лицах, у которых есть доступ к ним.
• Какие данные обрабатываете и из каких источников получаете, включая файлы cookie.
• Сроки обработки и хранения персональных данных.
• Каким образом вы соблюдаете права субъекта, предусмотренные законом «О персональных данных».
• Информация о том, что вы передаете данные за пределы России.

Всю эту информацию можно изложить в свободной форме. Главное — чтобы документ содержал все сведения, которые требует закон, а также понятно разъяснял пользователю, что происходит с его персональными данными, как вы можете их использовать и что делаете, чтобы защитить его право на неприкосновенность частной жизни и личную тайну.

Копировать политику конфиденциальности с других сайтов не стоит. Как минимум, нужно адаптировать текст под свои условия обработки данных.

Называться на сайте документ может по-разному: политика в отношении персональных данных, политика конфиденциальности, пользовательское соглашение и т. д. Сути это не меняет и нарушением не считается.

Как оформить документ и разместить на сайте

Единственное требование законодательства в этом плане, чтобы субъекты персональных данных имели свободный и неограниченный доступ к политике конфиденциальности. В остальном владелец сайт волен сам решать, как лучше реализовать ее на сайте.

Обычно документ публикуют на отдельной странице и обеспечивают доступ в один клик с любой другой. Ссылки на политику конфиденциальности стоит разместить рядом с формами, где пользователь дает согласие на обработку. Также сноску на документы зачастую размещают в подвале или верхнем меню сайта.

Флажок «Согласие на обработку персональных данных» рядом с формами тоже обязателен. Согласно закону, собирать и обрабатывать информацию о пользователях можно только с их согласия, за исключением нескольких случаев, которые к сайтам не относятся. Более того, в случае проверки владелец ресурса должен иметь возможность доказать, что согласие было.

Соблюсти это требование на конструкторах и популярных CMS несложно — большинство разработчиков быстро среагировали и добавили такую возможность в свои продукты.

Для WordPress появились новые плагины:

• Бесплатный — «Политика конфиденциальности для сайта. Согласие под формами Contact-Form 7».
• Платный — Privacy Policy, цена вопроса: 700-2500 руб., в зависимости от приоритетности техподдержки и количества сайтов.

Оба плагина соответствуют требованиям 152-ФЗ и схожи по функционалу:

• автоматически добавляют галочки к формам комментариев и тем, что созданы с помощью плагина «Контакт Форм 7»;
• позволяют создать и настроить страницу с политикой конфиденциальности;
• показывают оповещение об использовании cookies;
• настроить текст для флажка согласия на обработку;
• задать установку этой галочки по умолчанию, хотя делать этого все же не стоит — пользователь должен дать согласие, а значит отметить чекбокс сам;
• запретить отправку формы без нее.

Есть еще старые плагины, в том числе англоязычные, с помощью которых добавляются флажки для подписки на рассылку, принятия пользовательского соглашения и т. д. Однако новые продукты разрабатывались специально для соблюдения 152-ФЗ и настроить их под эти цели будет проще.

Политика конфиденциальности для сайта — образец 2017 года.

Не так давно я узнал о вступлении в силу с 1 июля 2017 года новой редакции федерального закона № 152-ФЗ, согласно которому все сайты, где есть форма обратной связи или корзина, а это 99,9% рынка коммерческих сайтов, должны прямо получать согласие на обработку персональных данных от своих пользователей.

То есть заходит посетитель на сайт, заказывает обратный звонок, в котором оставляет свой номер телефона — он должен быть уведомлен о том, что его персональные данные (номер мобильника, емейл, адрес проживания, номер паспорта и т.п.) не будут переданы ушлыми владельцами сайта куда-то на сторону, по крайней мере без его согласия.

Все это называется красиво «Политика конфиденциальности» и используется на западе уже довольно давно, что, впрочем, им не мешает одновременно шпионить без спроса за всем миром

Обычно эти страницы в шаблонах интернет-магазинов безжалостно удалялись сразу после установки за ненадобностью. Ну вот и в России теперь с июля 2017 они пользуются спросом, так как за неисполнение закона могут быть реальные штрафные санкции.

Не вдаваясь в юридические нюансы, сейчас расскажу что это значит практически для каждого владельца сайта.

Что делать владельцам сайтов с политикой конфиденциальности

Если вы являетесь владельцем сайта компании, интернет-магазина или даже обычного блога, то я крайне рекомендую сделать следующие довольно простые работы, чтобы обезопасить себя от ненужного внимания со стороны проверяющих органов:

Сделать страницу «Политика конфиденциальности»

На сайте должна быть размещена статья «Политика конфиденциальности» с общим текстом, мол, мы собираем персональные данные, но не передаем никому на сторону, кроме, курьеров и т.п.

Где взять этот образец текста политики безопасности для сайта? Да их сейчас полно в сети. Можно просто скопировать с любого сайта, который уже использует такую политику. Можете хоть у меня вот отсюда скачать: https://moytop.com/politika-konfidencialnosti

Если у вас конкретное юрлицо, то можете прямо в текст ваши реквизиты добавить, это будет в духе закона

Плюс если вы берете образец текста политики конфиденциальности с других источников, то я бы еще рекомендовал исключить эту страницу из индексации, то есть прописать запрет в robots.txt (читайте подробнее как составить 100% правильный robots.txt для сайта) на индексацию этой страницы.

Ведь, скорее всего, у вас там будет совсем неуникальный текст, а зачем вам лишняя страница для поискового робота с неуникальным текстом?

Вы же помните, что для успешного SEO в идеале все страницы на сайте желательно иметь уникальными (читайте чем проверить уникальность текста).

Таким образом, если чтобы убрать вот такую страницу из индекса /politika-konfidencialnosti нужно дописать короткое правило, вот так, например:

Disallow: /politika-konfidencialnosti

Должно получиться что-то такое:

Или вы используете WordPress, то можете просто запретить эту страницу к индексации прямо из админки с помощью плагина Yoast Seo,

и выключить ее из карты сайта с помощью плагина XML-Sitemap.

WordPress — сила

Получаем согласие пользователя на обработку персональных данных

Теперь вы должны уведомить пользователей о том, что на вашем сайте применяется данная политика безопасности и получить его согласие на обработку оставляемых персональных данных по этим вашим правилам.

Понятно, что это уведомление должно размещаться в тот момент, когда пользователь оставляет вам свои персональные данные, например, пишет в форму обратной связи или в момент регистрации на сайте, или при оформлении заказа в магазине и т.п.

Фактически внешне используются два варианта на выбор:

Самый простой вариант

Вы просто пишете обычный текст, мол, отправляя мне сообщение, вы соглашаетесь с политикой конфиденциальности. Прочитал человек этот текст или нет, как говорится, вопрос уже второй.

Вариант простой, легко реализуемый, я встречал его на самых разных сайтах. Вот как это может выглядеть:

Если нет возможности добавлять тексты в формы или какие-то другие хитрые места на сайте, то хотя бы разместите подобный текст в футере на всех страницах вашего сайта.

Посложнее (рекомендуется, если есть возможность)

В первом случае есть нюанс, что какие-нибудь дотошные проверяющие органы могут оказаться совсем невменяемо дотошными и требовать от сайтов, чтобы они не просто уведомляли пользователей о политики конфиденциальности, которая тут применяется, но еще их фактическое согласие получали на это дело.

Говоря проще, чтобы народ ставил галочку, мол, я все прочитал, со всем согласен.

Поэтому вы можете сделать именно такую галочку везде, где ее можно всунуть.

Я например, на блоге использую первый вариант, как наиболее простой в реализации (я активно использую плагины соцзамка для контента — там просто некуда галочку всунуть), а в готовом магазине, который предлагаю клиентам, второй вариант, как наиболее понятный и однозначный.

Шаблон политики конфиденциальности

Политика конфиденциальности обязана быть на каждом сайте, где осуществляется сбор персональных данных пользователей. Именно из-за отсутствия политики конфиденциальности могут не пропустить рекламу ВКонтакте. Мы подготовили для вас шаблон политики конфиденциальности для сайта. Можно просто скачать и поменять адрес сайта на свой. Сохранить в PDF и загрузить на сервер сайта. В подвале сайта укажите ссылку на этот PDF документ. Остальная информация в статье для любознательных.

Простой текст политики конфиденциальности. Подходит для большинства сайтов и годится для прохождения модерации рекламы ВКонтакте.

Согласно Федеральному закону «О персональных данных» необходимо опубликовать на сайте или как-то обеспечить постоянный доступ к Политике конфиденциальности. В ней определены отношения по сбору и обработке персональных данных пользователей (п.2 ст.18.1 ФЗ «О персональных данных»).

Текст политики конфиденциальности включает:

Общие положения политики (что будет происходить с данными сбор, анализ, хранение и т.д.)

Персональная информация (какие данные пользователя собирает сайт)

Цели обработки персональных данных (например основное условие предоставления услуг или любые исследования на основе обезличенных данных)

Требования к защите Персональной информации (о том при каких ситуациях данные будут переданы третьим лицам)

Изменение Персональной информации (как можно изменить или вообще удалить данные пользователю)

Изменение Политики конфиденциальности (как будет меняться политика конфиденциальности)

Политика конфиденциальности

Политика конфиденциальности.
1. Назначение
Настоящее Положение о конфиденциальности (Далее – Положение) является развитием Политики информационной безопасности ООО «Ростелеком – Розничные системы».
Положение разработано с целью обеспечения защиты персональных данных Клиентов (Посетителей сайта) в соответствии с требованиями действующего Законодательства Российской Федерации.
2. Общие положения
2.1 Область применения
Настоящее Положение о конфиденциальности персональных данных Посетителей сайта принято ООО «Ростелеком – Розничные системы», (ИНН 7840306212, КПП 775101001, адрес местонахождения: 108811, город Москва, Киевское шоссе 22–й километр (п. Московский), домовладение 6, строение 1) (далее —Общество) и действует в отношении всей информации, которую Общество может получить о Посетителе сайта (далее – «Cайт») с любого устройства и при коммуникации с Обществом в любой форме.
Используя Cайт (просмотр, чтение текста, отправка или загрузка информации) и предоставляя свои персональные данные, Посетитель сайта дает согласие на обработку персональных данных в соответствии с данным Положением.
2.2 Нормативные ссылки
В настоящем Положении использованы ссылки на следующие нормативные документы:
· Законодательство РФ
· Внутренние нормативные документы ООО «Ростелеком – Розничные системы»
2.3 Термины,определения и сокращения
Для целей настоящего Положения в нем определены следующие термины и сокращения:
Персональные данные – любая информация, относящаяся прямо или косвенно к определенному или определяемому физическому лицу (субъекту персональных данных);
Обработка персональных данных – любое действие (операция) или совокупность действий (операций), совершаемых с использованием средств автоматизации или без использования таких средств с персональными данными, включая сбор, запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение, использование, передачу (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Cookies – небольшие по размеру текстовые файлы, хранящиеся в браузере Посетителей сайта.
Посетитель сайта – Покупатель, физическое лицо имеющее намерение заказать или приобрести товары, либо заказывающее, приобретающее или использующее товары для личного, семейного, домашнего или иного использования, не связанного с предпринимательской деятельностью.
Общество — ООО «Ростелеком – Розничные системы».
3. Цели сбора и обработки персональных данных Посетителя сайта
Общество производит обработку персональных данных Посетителя сайта, включая фамилию, имя, отчество, дату и место рождения, контактный телефон, реквизиты документа, удостоверяющего личность, адрес регистрации, адрес электронной почты, адрес доставки и др.
Общество осуществляет обработку персональных данных способом сбора, систематизации, накопления, хранения, уточнения (обновления, изменения), использования, распространения (в том числе передачи), обезличивания, блокирования, уничтожения.
Общество обрабатывает персональные данные Посетителя исключительно в целях, для которых они предоставлялись, в том числе: идентификации Посетителя сайта, регистрации в системе самообслуживания (личном кабинете), оформления договора об оказании услуг связи, оформления договора купли-продажи товара, предоставления Посетителю сайта информации об Обществе и оказываемых услугах, ознакомления Посетителя сайта с правовыми документами Общества, а также реализации полномочий и обязанностей, возложенных на Общество законодательством Российской Федерации, установления обратной связи, включая направление уведомлений, запросов, касающихся, оказания услуг, обработка запросов и заявок от Посетителя сайта, определения локации Посетителя сайта для обеспечения безопасности, предотвращения мошенничества, предоставления доступа Посетителю на сайты или к сервисам партнеров Общества с целью получения продуктов, обновлений и услуг, для других целей в соответствии с акцептируемой Офертой или с согласия Посетителя сайта.
По достижению целей обработки, а также наступления иных оснований, предусмотренных законодательством Российской Федерации в области обработки и защиты персональных данных, персональные данные Посетителей сайта уничтожаются.
4. Права Посетителя сайта
Посетитель сайта вправе реализовать свои права, предусмотренные законодательством Российской Федерации о персональных данных, в том числе, но не ограничиваясь:
— уточнять, обновлять свои персональные данные, требовать их блокирования или уничтожения;
— запрашивать у Общества: перечень обрабатываемых персональных данных, правовых оснований обработки, источники их получения, информацию о сроках обработки и хранения, а также иные сведения, связанные с обработкой своих персональных данных.
5. Срок обработки персональных данных Посетителя сайта
Посетитель сайта дает согласие на обработку его персональных данных бессрочно. Посетитель сайта вправе в любое время отозвать согласие на обработку его персональных данных путем направления письменного заявления по адресу: 108811, город Москва, Киевское шоссе 22–й километр (п. Московский), домовладение 6, строение 1.
6. Обеспечение безопасности персональных данных Посетителя сайта
Общество гарантирует Посетителю сайта надлежащую защиту персональных данных при их обработке.
Общество применяет правовые, организационные и технические меры для защиты персональных данных от несанкционированного или случайного доступа к ним, а также от иных неправомерных действий в отношении персональных данных, в том числе: разграничение доступа к информационным системам, обрабатывающим персональные данные, предотвращение внедрения в информационные системы, обрабатывающие персональные данные, вредоносных программ и программных закладок, межсетевое экранирование с целью управления доступом, фильтрации сетевых пакетов и трансляции сетевых адресов для скрытия структуры информационных систем, обрабатывающих персональные данные, обнаружение вторжений в информационные системы, обрабатывающие персональные данные, нарушающие или создающие предпосылки к нарушению установленных требований по обеспечению безопасности персональных данных, анализ защищенности информационных систем персональных данных, предполагающий применение специализированных программных средств.
В Обществе приняты локальные нормативные акты по вопросам безопасности персональных данных.
Доступ к персональным данным Посетителей сайта предоставляется только уполномоченным сотрудникам Общества.
7. Применение технологии «cookies».
При просмотре веб-сайта Общества происходит автоматический сбор (из Cookies) следующих обезличенных статистических данных о Посетителе сайта, в том числе:
— Тип выполненного на сайте действия (клик, наведение курсора и т.п.);
— Дата и время выполнения действия;
— URL страницы;
— Referer;
— IP (без возможности работы с IP-адресами в статистике);
— User-Agent;
— ClientID (идентификатор браузера по файлу Cookie);
— Экранное разрешение;
— Класс HTML-элемента, на который происходит клик;
— Данные о просматриваемых, подключаемых или отключаемых пользователем услугах связи в системах самообслуживания, включая: идентификаторы услуг, названия услуг, стоимость подключения / отключения услуг, абонентскую плату за услуги на момент подключения;
— Данные о количестве просмотров карточек товаров в различных товарных списках, кликах по выбранным карточкам товаров, добавлениях в корзину, удалениях из корзины в связке с данными о стоимости таких товаров;
— Данные о содержании, стоимости, статусе выполнения заказов товаров, оформленных пользователями на веб-проектах;
— Данные о фактах заполнения форм на веб-сайтах, включая ошибки при их заполнении.
Пользуясь сайтом, Посетитель соглашается на то, что Общество может использовать статистические данные и файлы Cookies для их последующей обработки системами Google Analytics, Яндекс.Метрика, Google Firebase, Appmetrica и может передавать третьему лицу для проведения исследований, выполнения работ или оказания услуг по поручению Общества.
Посетитель сайта может самостоятельно управлять файлами Cookies путем изменения настроек браузера. Изменения пользовательских настроек, в результате которых файлы Cookies будут заблокированы, могут привести к недоступности отдельных компонентов Сайта.
8. Заключительные положения
Общество вправе вносить изменения или дополнения в настоящее Положение, в случае необходимости, а также в случае внесения соответствующих изменений в действующее законодательство Российской Федерации о персональных данных. Посетитель сайта всегда может ознакомиться с актуальными версиями Положения на сайте Общества. Продолжая пользоваться сайтом Посетитель подтверждает согласие с внесенными изменениями в Положение. Дата обновления Положения о конфиденциальности «___» ___________ 2018 г.
9. Хранение и архивирование
Подлинник настоящего Положения хранится в Управлении административно-хозяйственного обеспечения и недвижимости Головного офиса у Делопроизводителя в соответствии с требованиями Инструкции по делопроизводству в ООО «Ростелеком-Розничные системы».
10. Рассылка и актуализация
Периодическая проверка настоящего Положения осуществляется Управлением стратегии и бизнес-анализа ООО «Ростелеком-Розничные системы» по мере необходимости.
Решение об инициации процесса внесения изменений в документ принимает Генеральный директор Общества на основании предложений других подразделений, результатов применения документа в ООО «Ростелеком – Розничные системы», анализа зарегистрированных и устраненных несоответствий, а также рекомендаций внутренних или внешних аудитов.

Политика конфиденциальности для интернет магазина с примером

Перечень документов, представление которых необходимо для достижения целей и задач проведения проверки. За перечень спасибо Максиму Лагутину и его статье источнику на cossa.ru.

С целью проверки соблюдения проверяемым юридическим лицом (далее –Оператор) требований законодательства в области персональных данных (далее – ПДн) необходимо, чтобы Оператор представил следующие документы или заверенные копии документов в пронумерованном порядке, полностью совпадающим с нумерацией соответствующего пункта Перечня.

1. Общие сведения

1.1. Копия документа о назначении законного представителя Оператора, уполномоченного представлять интересы юридического лица при проведении проверки.

1.2. Справка о статусе Оператора как субъекта малого предпринимательства с указанием типа предприятия (малое предприятие, микропредприятие, иное).

1.3. Копия Устава юридического лица.

1.4. По каждому из видов деятельности Оператора, перечисленных в Уставе Общества указать:

– категории субъектов ПДн, ПДн которых обрабатываются;

– перечень обрабатываемые категории ПДн отдельно по каждой категории субъектов ПДн;

– цели обработки ПДн по каждой категории субъектов ПДн;

– информационную систему ПДн (далее – ИСПДн), в которой осуществляется обработка ПДн, отдельно по каждой категории субъектов ПДн;

– правовое основание обработки ПДн (согласие, договор, норма/статья/пункт закона или подзаконного акта, иное).

1.5. Справка о правовых основаниях осуществления обработки ПДн без подачи Уведомления об обработке ПДн с приложением подтверждающих документов (в случае непредставления Уведомления);

1.6. Документы, позволяющие установить адрес местонахождения, территориальное расположение зданий, сооружений, помещений, офисов и т.п., принадлежащих Оператору либо арендуемых Оператором и сдаваемых в субаренду другим лицам. Приложить копии договоров аренды со всеми приложениями в отношении адреса фактического осуществления деятельности, документы и схемы, позволяющие точно разграничить офисные помещения (рабочие места), используемые Оператором единолично и/или совместно с субарендаторами.

1.7. Копия штатного расписания (действующего на момент проверки).

1.8. Справка, в соответствии со штатным расписанием, о структурных подразделениях, в которых Оператором организована обработка ПДн: их адрес местонахождения, этаж, № кабинета, контактная информация.

1.9. Копию документа о назначении ответственного за организацию обработки ПДн. Копия должностного регламента (должностные обязанности) или должностная инструкция ответственного за организацию обработки ПДн.

1.10. Копии документов, определяющих политику Оператора в отношении обработки ПДн;

1.11. Все изданные Оператором действующие локальные акты, отражающие следующие вопросы обработки ПДн (в случае издания общего документа указать соответствующий пункт, раздел и т.п.):

1) Цели обработки ПДн;

2) Правое основание обработки ПДн (согласие, договор, норма/статья/пункт закона или подзаконного акта);

3) Категории субъектов ПДн, чьи ПДн обрабатываются;

4) Категории ПДн по каждой категории субъектов ПДн соответственно;

5) Описание порядка, способов и методов обезличивания ПДн, для каких целей осуществляется обезличивание ПДн, в отношении каких субъектов ПДн и категорий ПДн осуществляется обезличивание;

6) Срок обработки ПДн субъектов ПДн (в электронной форме, на материальных носителях);

7) Срок хранения ПДн субъектов ПДн (в электронной форме, на материальных носителях);

8) Места хранения материальных носителей ПДн;

9) Условия уничтожения ПДн субъектов ПДн и порядок его осуществления (в электронной форме, на материальных носителях), копии актов об уничтожении ПДн;

10) Перечень лиц, имеющих доступ и непосредственно допущенных к работе с ПДн субъектов ПДн (в электронной форме, на материальных носителях).

1.12. Копии локальных актов, устанавливающих процедуры, направленные на предотвращение и выявление нарушений законодательства Российской Федерации, устранение последствий таких нарушений;

1.13. Копии документов, подтверждающих применение правовых, организационных и технических мер по обеспечению безопасности ПДн;

1.14. Копии документов, подтверждающих осуществление внутреннего контроля и (или) аудита соответствия обработки ПДн Федеральному закону «О персональных данных» и принятым в соответствии с ним нормативным правовым актам, требованиям к защите ПДн, политике оператора в отношении обработки ПДн, локальным актам оператора.

1.15 Копии документов, подтверждающих осуществление ознакомления работников оператора, непосредственно осуществляющих обработку персональных данных, с положениями законодательства Российской Федерации о персональных данных, в том числе требованиями к защите персональных данных, документами, определяющими политику оператора в отношении обработки персональных данных, локальными актами по вопросам обработки персональных данных, и (или) обучение указанных работников.

1.16. Типовые формы документов (анкеты, опросные листы и т.п.), характер информации в которых предполагает или допускает включение в них ПДн. Приказы, утверждающие указанные типовые формы

1.17. Копии журналов (реестров, книг), содержащих ПДн, необходимых для однократного пропуска субъекта ПДн на территорию, на которой находится Оператор;

1.18. Документы, подтверждающие принятие мер при обработке персональных данных по обеспечению в отношении каждой категории персональных данных возможности определить места хранения персональных данных (материальных носителей) и установить перечень лиц, осуществляющих обработку персональных данных либо имеющих к ним доступ.

1.19. Документы, подтверждающие принятие мер по обеспечению раздельного хранения персональных данных (материальных носителей), обработка которых осуществляется в различных целях.

1.20. Документы, подтверждающие принятие мер по соблюдению условий, обеспечивающих сохранность персональных данных и исключающих несанкционированный к ним доступ при хранении материальных носителей. Представить установленный Оператором перечень мер, необходимых для обеспечения таких условий, порядок их принятия, а также представить перечень лиц, ответственных за реализацию указанных мер.

1.21. Документы, подтверждающие информирование лиц, осуществляющих обработку ПДн без использования средств автоматизации (сотрудников Оператора и (или) лиц, осуществляющих такую обработку по договору с Оператором) о факте обработки ими ПДн, обработка которых осуществляется Оператором без использования средств автоматизации, категориях обрабатываемых ПДн, а также об особенностях и правилах осуществления такой обработки, установленных нормативными правовыми актами федеральных органов исполнительной власти, органов исполнительной власти субъектов Российской Федерации, а также локальными правовыми актами Оператора (при их наличии).

1.22. Копии подписанных письменных согласий субъектов ПДн (по одному по каждой категории субъектов ПДн) на обработку их ПДн, в том числе копии подписанных письменных согласий субъектов ПДн на обработку биометрических ПДн, специальных категорий ПДн, на принятие решений на основании исключительно автоматизированной обработки ПДн, на осуществление трансграничной передачи ПДн на территорию иностранного государства, не обеспечивающего адекватную защиту ПДн.

1.23. Материальные носители (заполненные анкеты, заявления, резюме и т.п.) содержащие ПДн, полученные от субъектов ПДн, отдельно для каждой категории субъектов.

1.24. Материальные носители (заполненные анкеты, заявления, резюме и т.п.), содержащие ПДн, полученные на законном основании (договор, закон и иное), отдельно для каждой категории субъектов.

1.25. Электронные носители (заполненные анкеты, реестры, заявления, резюме и т.п.), содержащие ПДн, полученные от субъектов или (и) на законном основании (договор, закон и иное), отдельно для каждой категории субъектов.

1.26. Сведения, подтверждающие правомерность обработки биометрических ПДн. Приложить подтверждающие документы.

1.27. Сведения, подтверждающие правомерность обработки специальных

категорий ПДн. Приложить подтверждающие документы.

1.28. Сведения, подтверждающие правомерность принятия решений на основании исключительно автоматизированной обработки ПДн. Приложить подтверждающие документы.

1.29. Сведения, подтверждающие правомерность осуществления трансграничной передачи персональной данных. Приложить подтверждающие документы.

1.30. Сведения, подтверждающие правомерность осуществления обработки ПДн в целях продвижения товаров, работ, услуг на рынке путем осуществления прямых контактов с потенциальным потребителем с помощью средств связи, а также в целях политической агитации. Приложить подтверждающие документы.

1.31. Справка о порядке получения Оператором согласия субъекта ПДн на предоставление доступа неограниченному кругу лиц к его ПДн в случае необходимости такого доступа.

1.32. Справка о порядке осуществлении обработки ПДн в случаях, необходимых для защиты жизни, здоровья или иных жизненно важных интересов субъектов ПДн.

1.33. Копии договоров, одной из сторон которых является субъект ПДн (работник, клиент и т.п.), по одному договору для каждой категории субъектов.

1.34. Копии всех договоров, заключенных с третьими лицами, касающихся поручения (поручение обработки другому лицу и обработка по поручению другого лица) на обработку ПДн, по одному договору для каждой категории субъектов.

1.35 Копии обращений от граждан (за два последних календарных года, включая текущий) по вопросам уточнения, удаления, уничтожения ПДн, рассмотренные Оператором. Копии ответов Оператора и принятые меры по обращениям граждан с приложением копий документов о принятых мерах.

2. Кадровый блок

2.1. Справка о порядке поиска и подбора персонала с приложением подтверждающих документов. В справке в отношении ПДн соискателей на замещение вакантных должностей указать: источник получения ПДн; правовое основание обработки; цель обработки; порядок получения, записи, использования хранения (место хранения, испдн); лиц имеющих доступ; порядок и условия уничтожения. Дополнительно указать лиц, которым осуществляется передача ПДн, а также поручение обработки ПДн, приложить копии договоров со всеми приложениями.

2.2. Форма согласия соискателя на замещение вакантной должности на обработку ПДн. Копию заполненной формы, содержащую ПДн соискателя.

2.3. Форма согласия посетителя офиса на обработку ПДн. Копию заполненной формы, содержащую ПДн посетителя.

2.4. Форма согласия работника Оператора на обработку ПДн. Копию заполненной формы, содержащую ПДн работника.

2.5 Форма согласия родственников работников на обработку ПДн. Копию заполненной формы, содержащую ПДн родственников работников

2.6 Справка о составе документов, входящих в личное дело работника Оператора.

2.7 Справка о порядке передачи ПДн работников третьим лицам. С приложением подтверждающих документов.

2.8 Справка о порядке оформления зарплатного проекта с приложением следующих документов. Приложить Копию договора, заключенного с банком.

2.9. Справка об осуществлении медицинского страхования работников и их родственников с приложением копии договора.

2.10. Справка о порядке оформления и бронирования гостиничных номеров, проездных билетов и т.п. при командировании работников с приложением подтверждающих документов.

2.11 Справка о сроках хранения личных дел уволенных работников Оператора до момента их передачи на архивное хранение, осуществляемое в соответствии с законодательством об архивном деле в Российской Федерации (далее – архив), а также до момента поручения хранения личных дел третьему лицу. Указать состав документов работников, передаваемых в архив (третьему лицу, осуществляющему хранение документов по поручению Оператора). Копии документов, устанавливающих порядок ведения (отнесение к архиву) архивного хранения в соответствии с законодательством об архивном деле в Российской Федерации (при наличии).

2.12. Копии договоров, заключенных с третьими лицами, касающихся поручения на обработку ПДн работников, родственников работников.

2.13. Справка о порядке обработки ПДн уволенных работников.

3. Информационные системы ПДн

3.1. Перечень информационных систем ПДн, обрабатывающих ПДн всех категорий субъектов ПДн.

3.2 Сведения о местонахождении (адрес) баз данных информации Оператора, содержащих персональные данные граждан Российской Федерации. Описание информационных систем, с указанием наименования, версии ПО, разработчика ПО, места нахождения компонент.

3.3. Перечень субъектов ПДн, перечень групп субъектов ПДн, обрабатываемых в ИСПДн, если субъекты ПДн объединяются в группы.

3.4. Источники получения ПДн по каждой категории субъектов ПДн соответственно (сам субъект их предоставил или они получены другим законным путем).

3.5. перечень категорий ПДн субъектов ПДн обрабатываемых в ИСПДн.

3.6. Описание и назначение ИСПДн, в которой осуществляется обработка ПДн по каждой категории субъектов ПДн. Инструкция к ИСПДн, руководство пользователя и любые аналогичные документы по функционалу ИСПДн, порядку доступа, резервирования.

3.7. Перечень операций, действий, совершаемых с ПДн субъектов ПДн в ИСПДн.

3.8. Описание порядка обработки ПДн (пошаговое описание порядка ввода, сбора, загрузки, хранения, чтения, использования, передачи, доступа,

распространения, изменения, удаления, уничтожения) в ИСПДн по каждой категории субъектов ПДн соответственно.

3.9. Информация о порядке резервного копирования информации, включая периодичность копирования, порядок и места хранения резервных копий и порядок уничтожения резервных копий.

3.10. Описание технологического и информационного сопровождения ИСПДн.

3.11. Копии договоров аренды серверных мощностей, используемых для размещения баз данных ПДн.

3.12. Копии документов подтверждающих наличие собственных серверных мощностей, на которых размещены базы данных ПДн;

3.13. Сведения и документы о лице (лицах) в ведении которого находятся обслуживание, администрирование, использование серверных мощностей, на которых размещены база данных ПДн абонентов.

3.14. Заверенную блок-схему обмена информации, содержащей ПДн субъектов ПДн, отражающую направления информационных потоков и участников информационного обмена, с указанием наименования ИСПДн, адреса размещения базы данных и серверных мощностей.

4. Интернет-сервисы (Яндекс.Метрика, Google Analytics и т.п.), мобильные приложения.

4.1. Справка об используемых на сайтах Оператора интернет-сервисах, разработанных и принадлежащих Оператору, а также разработанных и принадлежащих сторонним организациям, с помощью которых обрабатываются данные о посетителях и пользователях сайтов Оператора, с указанием назначения и функционала интернет-сервисов.

4.2. Приложить копии договоров, заключенных с указанными в п. 4.1 сторонними организациями и все изданные приложения к договорам.

4.3. Справка о функционале используемых интернет-сервисов в части, касающейся сбора данных о посетителях на сайтах и в мобильных приложениях Оператора, отдельно по каждому сервису.

4.4. Перечень данных о посетителях и зарегистрированных пользователях сайтов и мобильных приложений Оператора, получаемых при помощи указанных сервисов, отдельно по каждому сервису. Приложить подтверждающие документы.

4.5. Сведения о базах данных (их адрес, кому принадлежат) на которых хранятся данные, полученные с помощью интернет-сервисов, когда и как уничтожаются данные.

4.6. Копии документов и локальных актов, изданных Оператором, по вопросам обработки ПДн пользователей мобильных программных приложений Оператора. Копии технической документации по функционалу мобильных приложений Оператора. Справку о содержании данных пользователей, обрабатываемых в мобильных приложениях Оператора для операционных систем iOS, Android, Windows, с указанием мест хранения данных, целей обработки, лиц, которым данные передаются, сроках обработки и хранения, порядка и условий уничтожения;

4.7. Копии договоров со всеми приложениями, заключенные с третьими лицами, на основании которых оказываются услуги рекламного характера, осуществляется передача данных посетителей, пользователей сайтов, клиентов (физических лиц) Оператора. Копии договоров, на основании которых осуществляется передача статистических обезличенных данных, полученных после агрегации и любой другой модификации (изменения) данных посетителей, пользователей сайтов, клиентов Оператора.

4.8. Перечень сайтов принадлежащих Оператору.

Под данными посетителей и зарегистрированных пользователей сайтов и мобильных приложений Оператора понимаются все данные о посетителях, собираемые с помощью функционала указанных сервисов, а также те данные, которые сервисы сами собирают и обрабатывают на своих вычислительных мощностях, а именно: псевдоним пользователя, адрес пользователя или адрес устройства пользователя, посредством которого пользователь зашел на сайт Оператора, а также сведения о пользователе, включающие ip-адрес, поисковые запросы пользователя, интернет-адреса веб-страниц, посещаемых пользователем, тематику информации, размещённой на посещаемых пользователем интернет-ресурсах Оператора, идентификатор пользователя, преобразованный Оператором при помощи хеш-функции или других модификаций, географический адрес точки подключения пользователя к сети Интернет, информация, не позволяющая однозначно идентифицировать пользователя или конкретное физическое лицо, но обеспечивающая формирование достаточного для предоставления пользователю рекламной информации.

4.9 Документы, устанавливающие порядок резервного копирования информации, содержащей ПДн.