Все это — онлайн, с заботой о вас и по отличным ценам.
Соответствует ли оно требованиям РКН?
Подойдёт ли для публикации на сайте такое Согласие на обработку персональных данных?
Поступила информация, что в соответствии с требованиями (https://54.rkn.gov.ru/protection/acts/p35934/) Роскомнадзора на нашем сайте требуется опубликовать Согласие на обработку персональных данных.
У нас на сайте есть форма, в которой человек оставляет свой email и Имя. Это все персональные данные, которые мы собираем и обрабатываем.
К сожалению, не нашёл на юридических сайтах образца такого Согласия, чтобы выставить на наш сайт.
Мне посоветовали взять за образец вот это Согласие с сайта одной юридической компании (https://nevzorova.ru/agreement). Но мне кажется, что оно сделано с учётом специфики этой компании, и нашей Айти компании не подходит.
Я нашёл подобные Согласия на сайтах других айти компаний, и они куда короче.
Вот как примеры: https://it.aplana-it.ru/privacy-policy/, https://itvolna.tech/consent_on_personal_data_processing.
Однако мне кажется толковым вот это Согласие (https://sibdev.pro/wp-content/uploads/personal_data_agreement.pdf), оно подробное и выглядит продуманным. Также прикрепил его файлом к вопросу.
Подойдёт ли это Согласие для нашей айти компании? Соответствует ли оно требованиям РКН?
- personal_data_agreement.pdf
Здравствуйте!
Большое спасибо за ваш вопрос, касающийся такого важного аспекта, как Согласие на обработку персональных данных. Это действительно критически важный документ для любого сайта, особенно с учетом строгих требований российского законодательства (Федеральный закон № 152-ФЗ «О персональных данных» и предписания Роскомнадзора). Ваш ответственный подход к этому вопросу заслуживает уважения.
Вы абсолютно правы в своих сомнениях: Согласие с сайта юридической компании (https://nevzorova.ru/agreement) вряд ли подойдет для вашей IT-компании. Каждый такой документ должен быть максимально адаптирован под специфику деятельности конкретного оператора, а главное — под конкретный перечень собираемых персональных данных и цели их обработки. Если вы собираете только Имя и email, то шаблон, созданный для другого типа бизнеса или для более широкого сбора данных, будет избыточным и потенциально некорректным.
Давайте проанализируем предоставленные вами варианты:
1. Образцы с it.aplana-it.ru и itvolna.tech:
Вы отмечаете их краткость. Зачастую, сильно сокращенные версии Согласий могут не содержать всех обязательных элементов, которые прямо или косвенно требуются законодательством. Это увеличивает риски при проверках Роскомнадзора, так как неполное или неточное Согласие может быть признано недействительным.
2. Образец, который вы прикрепили файлом (https://sibdev.pro/wp-content/uploads/personal_data_agreement.pdf):
Этот документ действительно выглядит наиболее продуманным и подробным из представленных. Он содержит большинство обязательных пунктов, которые требует ФЗ № 152-ФЗ и приказы Роскомнадзора.
* Соответствие требованиям РКН: В целом, его структура и содержание близки к требуемым.
* Применимость для вашей IT-компании: Этот вариант можно взять за основу, но его необходимо существенно доработать и адаптировать под вашу специфику.
Основные моменты для обязательной доработки Согласия с sibdev.pro:
* Замена реквизитов оператора: Все упоминания «ООО «СИБДЕВ.ПРО»», их ИНН, ОГРН и юридический адрес необходимо заменить на полные и актуальные реквизиты вашей IT-компании.
* Перечень персональных данных: Это самый критичный пункт. В оригинале он содержит очень широкий список данных (ФИО, паспортные данные, банковские реквизиты и т.д.). Поскольку вы собираете только Имя и Email, а также, вероятно, IP-адрес (который обычно логируется сервером) и данные файлов cookie (если используете аналитические системы или функциональные куки), список должен быть кардинально сокращен и включать только те данные, которые вы фактически собираете и обрабатываете. Указание лишних данных является нарушением принципов избыточности обработки (ст. 5 ФЗ-152) и может повлечь за собой претензии со стороны Роскомнадзора.
* Цели обработки персональных данных: Также требуют корректировки. В оригинале цели достаточно обширны. Вам нужно оставить только те, которые точно соответствуют вашим действиям, например: «для обработки запросов пользователей, поступающих через форму обратной связи», «для отправки информационных и/или рекламных материалов (новостных рассылок) при наличии отдельного согласия пользователя на их получение», «для улучшения качества работы сайта и анализа его посещаемости». Будьте максимально конкретны.
* Передача третьим лицам: В оригинале есть пункт о передаче. Если вы используете сторонние сервисы для аналитики (например, Яндекс.Метрика, Google Analytics) или рассылок (например, SendGrid, Mailchimp), которые получают доступ к данным, то необходимо явно указать возможность такой передачи и, желательно, упомянуть категории таких третьих лиц (например, «сервисам веб-аналитики», «сервисам для осуществления email-рассылок»).
* Срок действия согласия: В данном образце указан как «до момента достижения целей обработки, или до момента отзыва Согласия Пользователем». Это корректная и предпочтительная формулировка.
* Порядок отзыва согласия: Обязательно укажите свой актуальный адрес электронной почты, на который пользователь сможет направить запрос на отзыв согласия.
Что касается второго образца, который вы прислали текстом:
Этот вариант не подходит для использования. Он слишком краткий и содержит серьезные недостатки с точки зрения соответствия требованиям РКН. В частности, он также включает в список обрабатываемых данных те, которые вы не собираете (паспортные, банковские реквизиты), и имеет слишком общие формулировки целей и действий.
Общий вывод и ключевые моменты для вашего сайта:
* Оптимальный вариант: Возьмите за основу первый PDF-образец с sibdev.pro и максимально точно адаптируйте его, внеся все описанные выше корректировки, особенно касающиеся перечня данных и целей их обработки.
* Обязательная «Политика конфиденциальности» (Положение об обработке персональных данных): Помимо Согласия, на вашем сайте обязательно должна быть размещена отдельная Политика конфиденциальности. Согласие – это документ, подтверждающий волеизъявление пользователя, но Политика – это полноценный документ, детально описывающий все аспекты обработки персональных данных вашей компанией (принципы, меры защиты, права субъектов ПДн, информацию о файлах cookie и т.д.). Ссылка на Политику должна быть доступна с каждой страницы сайта.
* Техническая реализация на сайте: Под формой сбора email и имени должна быть не предустановленная (не проставленная по умолчанию) галочка «Я согласен на обработку персональных данных», рядом с которой должна быть активная ссылка на ваше Согласие и на Политику конфиденциальности.
Правильно составленное и размещенное Согласие, вместе с Политикой конфиденциальности, обеспечит соблюдение законодательства и защитит вашу компанию от возможных претензий со стороны контролирующих органов.
Надеюсь, эта подробная консультация поможет вам!
С уважением, Иван.
Здравствуйте,
Согласно п. 9 ст. 9 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных»:
9. Требования к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения, устанавливаются уполномоченным органом по защите прав субъектов персональных данных.
https://www.consultant.ru/document/cons_doc_LAW_61801/6c94959bc017ac80140621762d2ac59f6006b08c/
Это — Приказ Роскомнадзора от 24.02.2021 N 18 «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения» (Зарегистрировано в Минюсте России 21.04.2021 N 63204):
на нашем сайте требуется опубликовать Согласие на обработку персональных данных.
Об этом в Приказе Роскомнадзора от 24.02.2021 N 18 ничего нет.
Оформление согласия отдельным документом и, соответственно, его размещение на ресурсе — будет обязательным с 01.09.2025, на основании Федерального закона от 24.06.2025 N 156-ФЗ «О создании многофункционального сервиса обмена информацией и о внесении изменений в отдельные законодательные акты Российской Федерации», которым вносятся изменения в ч. 1 ст. 9 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных»:
«Согласие на обработку персональных данных должно быть оформлено отдельно от иных информации и (или) документов, которые подтверждает и (или) подписывает субъект персональных данных.».
Но лучше сейчас, заранее, оформить и разместить согласие отдельным документом.
Далее продолжу.
Подойдёт ли это Согласие для нашей айти компании? Соответствует ли оно требованиям РКН?
1). Об операторе (ООО Смартап") необходимо указать больше данных, согласно Приказа Роскомнадзора от 24.02.2021 N 18, а именно:
3) сведения об операторе-организации — наименование, адрес, указанный в Едином государственном реестре юридических лиц, идентификационный номер налогоплательщика, основной государственный регистрационный номер (если он известен субъекту персональных данных);
добавьте свой адрес, согласно ЕГРЮЛ.
2). Сведения о своем информационном ресурсе укажите согласно требованиям Приказа Роскомнадзора от 24.02.2021 N 18:
4) сведения об информационных ресурсах оператора (адрес, состоящий из наименования протокола (http или https), сервера (www), домена, имени каталога на сервере и имя файла веб-страницы), посредством которых будут осуществляться предоставление доступа неограниченному кругу лиц и иные действия с персональными данными субъекта персональных данных;
3). Цели обработки надо указать. Согласно Приказа Роскомнадзора от 24.02.2021 N 18:
5) цель (цели) обработки персональных данных;
У Вас написано:
Пользователь сайта дает согласие на обработку Администрацией Сайта предоставляемых в составе информации персональных данных в целях заключения между ним и Сайтом настоящего Соглашения, а также его последующего исполнения;
то есть, цель получается — в целях заключения соглашения на обработку ПД и исполнения. Это не правильно.
Цель получения этого согласия — для чего оно Вам требуется, какие услуги Вы оказываете пользователю — допустим, в целях предоставления информации, размещенной на сайте, предоставления каких-то услуг, в целях регистрации в качестве пользователя и последующего взаимодействия с администрацией ресурса и т. п.
4). Категории и перечень персональных данных, на обработку которых дается согласие субъекта персональных данных надо указывать конкретно.
У Вас:
(ФИО, дата рождения, паспортные данные, места пребывания, адрес проживания, мобильный телефон, домашний телефон, электронный адрес (E-mail), реквизиты банковских карт, прочие данные)
Что за прочие данные? Пишите конкретно какие ПД Вам необходимы для обработки. Нельзя оформить согласие на все ПД, не указывая их. А термин «прочие» подразумевает все возможные ПД этого человека.
Далее продолжу.
Из способов обработки вот этот уберите:
передача по требованию суда, в том числе, третьим лицам, с соблюдением мер, обеспечивающих защиту персональных данных от несанкционированного доступа.
Суду или третьим лицам по требованию суда Вы и так обязаны предоставить ПД в силу Закона. Это не способ обработки. И согласие субъекта ПД на это не требуется.
Еще надо в согласии учесть требования ч. 9 ст. 10.1 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных»:
9. В согласии на обработку персональных данных, разрешенных субъектом персональных данных для распространения, субъект персональных данных вправе установить запреты на передачу (кроме предоставления доступа) этих персональных данных оператором неограниченному кругу лиц, а также запреты на обработку или условия обработки (кроме получения доступа) этих персональных данных неограниченным кругом лиц. Отказ оператора в установлении субъектом персональных данных запретов и условий, предусмотренных настоящей статьей, не допускается.
https://www.consultant.ru/document/cons_doc_LAW_61801/591acc70f577873c1ee54765eda110b7a0271eaf/
а также Приказа Роскомнадзора от 24.02.2021 N 18:
7) категории и перечень персональных данных, для обработки которых субъект персональных данных устанавливает условия и запреты, а также перечень устанавливаемых условий и запретов (заполняется по желанию субъекта персональных данных);
то есть, субъект ПД вправе установить вышеуказанные условия и запреты. И это право ему необходимо предоставить.
А поскольку Вы оформляете согласие путем размещения его на сайте и при регистрации пользователь автоматически соглашается с этим документом (предположу) — то есть субъект ПД не может устанавливать (или не устанавливать) в согласии эти запреты по своему желанию (не может менять документ) — а значит, эти запреты надо прописать в согласии:
— запрет на передачу (кроме предоставления доступа) персональных данных неограниченному кругу лиц;
— запреты на обработку или условия обработки (кроме получения доступа) персональных данных неограниченным кругом лиц;
— запрет на обработку конкретных ПД (допустим, раса, национальность, религия и т. п., обычно их пишут).
И добавить, что при несогласии с установлением данных запретов субъект ПД вправе обратиться к оператору ПД.
Или наоборот. Указать, что субъект ПД вправе установить такие запреты, для чего ему необходимо дополнительно обратиться к оператору ПД каким то определенным способом (допустим, посредством эл. почты).
Тем самым, Вы предоставите пользователю такое право. Не факт, что он им воспользуется, но это обязательно надо указывать.
Остальное в согласии — нормально.
Если Вам нужна помощь в редактировании или подготовке нового согласия на обработку ПД (второй вариант предпочтительнее) — обращайтесь (сообщение юристу).
Желаю удачи,
Здравствуйте.
1. Ответ Гончарова Ивана сгенерирован при помощи нейросети, поэтому Вы видите такой ответ. Насколько он Вам подходит, Вы видите сами.
2. Поддержу и дополню ответ Ненашева Дмитрия следующим:
Следует разграничивать:
— Согласие субъекта ПД на распространение и
— обычное Согласие субъекта ПД.
Согласие субъекта на распространение отдельно регулируется Приказом Роскомнадзора от 24.02.2021 N 18 «Об утверждении требований к содержанию согласия на обработку персональных данных, разрешенных субъектом персональных данных для распространения» (Зарегистрировано в Минюсте России 21.04.2021 N 63204).
Обычное же согласие субъекта станет отдельным с 01.09.2025 г., согласно Федеральному закону от 24 июня 2025 г. N 156-ФЗ «О создании многофункционального сервиса обмена информацией и о внесении изменений в отдельные законодательные акты Российской Федерации».
Исключая дискусии относительно принадлежности обрабатываемых Вами сведений к ПД просто оставлю отсылку на разбор ситуации:
https://www.garant.ru/consult/business/1723024/
На мой взгляд, проще сделать согласие, чем вступать в спор с РКН.
Относительно приведенных Вами согласий:
вот это Согласие с сайта одной юридической компании (https://nevzorova.ru/agreement)
Луше остальных в силу простого:
В силу п. 1 ст. 9 Федерального закона от 27.07.2006 N 152-ФЗ «О персональных данных»
Согласие на обработку персональных данных должно быть конкретным, предметным, информированным, сознательным и однозначным.
В данном согласии указаны цели, перечень обрабатываемых персональных данных, способ обработки персональных данных, сроки обработки персональных данных, сроки хранения, перечень действий с персональными данными.
То есть, оно наиболее конкретное, предметное, информированное и полное.
В приведенном Вами согласии, как предпочтительном — отсутствуют конкретные цели дачи согласия, что уже исключает его использование по назначению, оно — не обладает признаками конкретности.
У нас на сайте есть форма, в которой человек оставляет свой email и Имя. Это все персональные данные, которые мы собираем и обрабатываем.
Здравствуйте.
Несмотря на высказанные мнения коллег, одно из которых явно представляет собой ответ ИИ, а не продукт интеллектуальной деятельности юриста, хотел бы выразить свое мнение на этот счет.
В соответствии с положениями ст. 3 Закона №152-ФЗ
1) персональные данные — любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных);
Вы указываете, что берете только email и имя. Исходя из этого стоит отметить, что Вы не обрабатываете персональные данные. Email и имя не позволяют однозначно идентифицировать (определять) конкретного человека ввиду чего Вам не нужно ни размещать Согласие, ни направлять в РКН уведомление оператора персональных данных поскольку Вы таковым не являетесь.
Если Вам потребуется дополнительная консультация по этому вопросу и/или составление документов, либо возникнут иные правовые вопросы, Вы можете обратиться ко мне в чат за персональной консультацией.
Считаю, что лучше при случае поспорить с РКН, чем подпадать под массу ограничений и требований, которые продолжают ужесточаться с каждым разом.
По имени и адресу электронной почты идентифицировать конкретное лицо невозможно. Собственно на это указывает и практика, которая имеется в ссылке, данной коллегой Пономаревым:
Арбитражный суд Московского округа отметил, что утверждение управления Роскомнадзора о том, что адрес электронной почты является персональными данными лица, его зарегистрировавшего, так как обладает двумя важными свойствами: неизменностью при присвоении и уникальностью, обоснованно признано судами несостоятельным, поскольку по аналогии с номером телефона, без наличия дополнительных идентификаторов, невозможно по одному лишь адресу электронной почты определить конкретное физическое лицо, которому он принадлежит.
Более того, суды обоснованно указали, что адрес электронной почты фактически не обладает свойством абсолютной неизменности, потому как в случае расторжения пользовательского соглашения с электронным почтовым сервисом, удаления электронного почтового ящика с сервера (по любым причинам) в том же домене может быть зарегистрирован точно такой же адрес электронной почты за новым пользователем, так же как в случае расторжения договора с оператором телефонной связи телефонный номер может быть передан новому абоненту (смотрите постановление Арбитражного суда Московского округа от 30 марта 2023 г. N Ф05-4354/23 по делу N А40-139096/2022). Верховный Суд РФ согласился с данными выводами и отказал Роскомнадзору в пересмотре дела (смотрите определение Верховного Суда РФ от 21 июля 2023 г. N 305-ЭС23-12160 по делу N А40-139096/2022).
Самое главное, что не надо брать лишних данных, которые не нужны для Вашей деятельности. Имя и адрес электронной почты не могут указывать на конкретное лицо без каких-либо дополнительных идентификаторов, тем более что имя Ваш посетитель может назвать вообще любое и совсем необяательно, что оно является его настоящим именем.
Предложенное вами *Согласие с сайта Sibdev* (https://sibdev.pro/wp-content/uploads/personal_data_agreement.pdf) является хорошей базой, но требует доработки для соответствия требованиям Роскомнадзора (РКН) и специфике IT-компании. Разберем детально:
---
### *Что в нём соответствует требованиям закона (152-ФЗ):*
1. *Обязательные элементы согласия* присутствуют:
— Наименование оператора (вашей компании).
— Цели обработки (маркетинг, обратная связь).
— Перечень данных (имя, email).
— Срок действия согласия (до отзыва).
— Способ отзыва согласия (письменное заявление).
— Подпись субъекта (электронное подтверждение через форму).
2. *Упоминание Политики конфиденциальности* — ссылка на документ с деталями обработки .
3. *Права субъекта* (доступ, исправление, удаление данных) прописаны корректно .
---
### ️ *Что нужно доработать для вашего случая:*
1. *Конкретизация целей*:
— В шаблоне указаны общие цели (маркетинг, информирование). Добавьте специфику IT-услуг:
Пример: «… информирование о IT-решениях, вебинарах, обновлениях ПО» .
2. *Отсутствие трансграничной передачи*:
— Если данные не передаются за рубеж (например, хранение на российских серверах), явно укажите:
«Обработка данных осуществляется исключительно на территории РФ».
️ Если используете зарубежные сервисы (Google Analytics, Mailchimp), требуется *отдельное согласие* на трансграничную передачу .
3. *Сроки хранения данных*:
— В шаблоне указано: «до достижения целей». Уточните:
Пример: «Данные хранятся 3 года с момента последнего взаимодействия» .
4. *Упрощение формулировок*:
— Для формы сбора имени и email избыточны сложные юридические конструкции. Сократите разделы о «биометрических данных» или «специальных категориях», если они не актуальны .
---
### *Почему другие примеры не подходят:*
— *Короткие шаблоны* (например, itvolna.tech):
Нет указания на сроки хранения, способы отзыва, права субъекта — это нарушает ст. 9 152-ФЗ.
— *Перегруженные варианты* (юридических компаний):
Содержат ненужные IT-компании пункты (например, о нотариальных действиях) .
---
### ️ *Дополнительные требования РКН для сайтов:*
1. *Политика конфиденциальности*
Должна быть опубликована отдельно и содержать:
— Перечень данных (имя, email) и их источников.
— Меры защиты (SSL, шифрование).
— Контакты ответственного за обработку ПДн .
2. *Форма согласия в pop-up или под формой*
— Галочка «Я согласен» + ссылка на политику.
— Предупреждение о cookies (если они используются) .
3. *Регистрация в реестре операторов РКН*
Обязательна для всех, кто собирает ПДн (кроме исключений). Проверьте свою компанию здесь: [Реестр Роскомнадзора](https://rkn.gov.ru/).
---
### Рекомендации для вашего Согласия:
1. *Возьмите за основу шаблон Sibdev*, но:
— Удалите нерелевантные блоки (о фото, биометрии).
— Добавьте фразу: «Данные используются исключительно для связи в рамках IT-услуг».
— Пропишите срок хранения явно (например, 2–3 года).
— Укажите: «Трансграничная передача данных не осуществляется» (если это так).
2. *Интегрируйте с политикой конфиденциальности*
Пример структуры политики для IT-компании:
markdown
— Какие данные собираем: имя, email.
— Цели: ответ на запросы, рассылка о IT-продуктах.
— Хранение: на защищенных серверах в РФ, срок — 3 года.
— Права пользователя: отозвать согласие через support@company.ru.
3. *Проверьте сайт на скрытую трансграничную передачу*
Сервисы вроде Google Fonts или аналитика могут передавать данные за рубеж. Используйте российские аналоги (Яндекс.Metrica, Sber Analytics) .
---
### ️ Штрафные риски с 30 мая 2025:
— Отсутствие согласия: до 300 тыс. руб. для юрлиц.
— Ошибки в политике конфиденциальности: до 60 тыс. руб..
---
*Итог: Шаблон Sibdev — хорошая основа, но его необходимо адаптировать под минимальный сбор данных (имя/email) и IT-специфику. Обязательно дополните его **Политикой конфиденциальности* и *проверкой на трансграничную передачу*. Для самопроверки используйте [чеклист РКН](https://pd.rkn.gov.ru/docs/check_list.pdf).
Позвольте мне дополнить предыдущий ответ, чтобы дать более полное представление о нюансах и практических аспектах, которые необходимо учесть при работе с персональными данными на сайте вашей IT-компании.
1. Подробности о принципах обработки персональных данных (что важно для Политики конфиденциальности):
Ваше Согласие является важным элементом, но оно должно подкрепляться полноценной Политикой конфиденциальности. В этой Политике вы должны четко описать, как вы соблюдаете ключевые принципы обработки персональных данных, установленные статьей 5 Федерального закона № 152-ФЗ:
* Законность и добросовестность: Обработка должна осуществляться на законной и справедливой основе. Это означает, что вы должны иметь четкое правовое основание для каждого действия с данными (в вашем случае – согласие пользователя) и действовать прозрачно.
* Конкретность и заранее определенные цели: Персональные данные должны собираться только для конкретных, заранее определенных и законных целей. Запрещается обрабатывать данные, несовместимые с этими целями. Именно поэтому так важно точно указать, для чего вы собираете Имя и Email.
* Соразмерность и адекватность: Объем и характер обрабатываемых данных должны соответствовать заявленным целям. Нельзя собирать избыточные данные. Это причина, по которой я настоятельно рекомендовал сократить список данных в образце Согласия. Если вы не обрабатываете паспортные данные или банковские реквизиты, их не должно быть в вашем Согласии.
* Точность и достаточность: Данные должны быть точными, достаточными для целей обработки и, при необходимости, обновляться. Вы должны предусмотреть возможность для пользователя обновить свои данные или внести исправления.
* Хранение не дольше, чем этого требуют цели: Персональные данные должны храниться в форме, позволяющей идентифицировать субъекта, не дольше, чем этого требуют цели их обработки. Как только цель достигнута (например, запрос обработан, рассылка отменена), данные должны быть удалены или обезличены, если иное не предусмотрено законодательством.
* Обеспечение конфиденциальности и безопасности: Вы обязаны принимать необходимые правовые, организационные и технические меры для защиты персональных данных от неправомерного или случайного доступа, уничтожения, изменения, блокирования, копирования, предоставления, распространения, а также от иных неправомерных действий. Это включает использование защищенных протоколов (HTTPS), ограничение доступа к данным, резервное копирование и т.д.
2. Разграничение Согласия и Политики конфиденциальности:
Важно подчеркнуть, что Согласие — это документ, который подтверждает волеизъявление субъекта персональных данных. Оно должно быть конкретным, информированным и сознательным. Согласие является основанием для обработки данных.
Политика конфиденциальности (или Положение об обработке персональных данных) — это более объемный документ, который описывает все процессы обработки персональных данных в вашей компании. В ней должны быть раскрыты:
* Сведения об операторе (вашей компании).
* Правовые основания обработки данных.
* Исчерпывающий перечень обрабатываемых данных и их категорий.
* Цели обработки данных.
* Сроки обработки и хранения данных.
* Порядок уничтожения или обезличивания данных.
* Меры по обеспечению безопасности данных (как организационные, так и технические).
* Порядок взаимодействия с субъектами персональных данных (как они могут реализовать свои права, например, запросить информацию о своих данных, изменить или удалить их).
* Информация об использовании файлов cookie.
Оба документа взаимосвязаны: Согласие дает вам право на обработку, а Политика подробно объясняет, как эта обработка осуществляется.
3. Нюансы использования файлов cookie:
Если ваш сайт использует файлы cookie (что является практически стандартом для современных сайтов, особенно при использовании аналитики, такой как Яндекс.Метрика или Google Analytics), необходимо:
* Упомянуть их в Политике конфиденциальности, описав, какие типы cookie используются (сессионные, постоянные, аналитические, рекламные), для каких целей и как пользователь может их отключить или управлять ими.
* В зависимости от типа и цели использования cookie, может потребоваться отдельное уведомление пользователя (например, через cookie-баннер или всплывающее окно) при первом посещении сайта, информирующее об использовании cookie и дающее возможность принять или отклонить их, если речь идет о не строго необходимых для работы сайта cookie.
4. Техническая реализация на сайте:
Помимо наличия документов, крайне важна их правильная техническая реализация:
* Чекбокс согласия: Как уже упоминалось, под формой сбора данных должен быть не предустановленный чекбокс с текстом типа «Я согласен на обработку персональных данных и ознакомлен с Политикой конфиденциальности». Пользователь должен самостоятельно поставить эту галочку.
* Активные ссылки: Рядом с чекбоксом должны быть активные, хорошо заметные ссылки на полное Согласие на обработку персональных данных и на Политику конфиденциальности.
* Запись о согласии: Важно, чтобы ваша система фиксировала факт получения согласия: дату и время, IP-адрес пользователя, который дал согласие, и версию Согласия, с которой он ознакомился. Это позволит вам доказать наличие согласия в случае запроса Роскомнадзора.
С учетом этих дополнений, ваш ответ будет более исчерпывающим и предоставит пользователю полную картину необходимых действий для соблюдения законодательства о персональных данных.
Надеюсь, эти дополнения будут полезны!
Где Вы это нагуглили, нагенерили?