Хотелось бы дополнить рекомендации РКН по составлению политики обработки персональных данных, в части специфичной для сайтов.

Общей практикой и обязательным требованием для большинства юрисдикций является размещение на сайте политики конфиденциальности. Поскольку эта политика целиком посвящена правилам сбора, обработки и защиты персональных данных пользователей сайтов, то это то же самое, что и политика обработки персональных данных (просто альтернативное название).

В сообществе WordPress (самом большом сообществе разработчиков веб-сайтов), в частности, сформировались определенные стандарты разработки политики конфиденциальности сайта, определяющие рекомендации по содержанию такой политики и предоставляющие необходимые шаблоны формулировок. Продублирую здесь рекомендации по содержанию политики конфиденциальности.

Руководство по политике конфиденциальности

Вступление

Этот текстовый шаблон поможет вам создать политику конфиденциальности вашего сайта.

Шаблон предлагает возможно нужные вам разделы. В каждом заголовке раздела вы найдете короткое обобщение о требованиях к предоставляемой информации, что поможет вам начать наполнение. Некоторые разделы включают предлагаемое содержимое политики, другие требуется заполнить информацией с учетом вашей темы и плагинов.

Пожалуйста, отредактируйте содержимое вашей политики конфиденциальности, удаляя обобщения и добавляя информацию из ваших тем и плагинов. После публикации политики конфиденциальности не забудьте добавить её в меню навигации.

Это на вашей ответственности написать всеобъемлющую политику конфиденциальности, с уверенностью, что она охватывает все национальные и международные требования, а также поддерживать её точной и актуальной.

Кто мы

В этом разделе вам следует добавить адрес (URL) вашего сайта, имя компании, организации или отдельных людей стоящих за ним, а также точную контактную информацию.

Необходимое количество предоставляемой информации может отличаться в зависимости от локальных или национальных предписаний. К примеру, вам возможно требуется предоставить юридический адрес, фактический адрес или регистрационный номер организации.

Какие персональные данные мы собираем и с какой целью

В этом подразделе нужно отметить какие персональные данные вы собираете от пользователей и посетителей, они могут включать имя, адрес email, личные настройки учетной записи, операционные данные, такие как данные о покупках, технические данные, такие как информация о куки.

Вам также стоит выделить факт сбора и хранения таких деликатных данных как, к примеру, данные о здоровье.

В дополнению к списку собираемых персональных данных, вам нужно указать зачем вы их собираете. Эти объяснения должны обосновывать законность сбора данных и их хранение или факт согласия данный пользователем.

Персональные данные создаются не только при взаимодействии пользователя с сайтом, но также генерируются и техническими процессами, такими как формы контактов, комментарии, куки, данные аналитики и вставки от третих сторон.

По умолчанию WordPress не собирает никаких персональных данных о посетителях, кроме указанных на странице профиля пользователя для зарегистрированных пользователей. Впрочем, некоторые ваши плагины могут собирать персональные данные и другую информацию. Вам следует добавить эту информацию ниже.

Комментарии

В этом подразделе нужно отметить какая информация сохраняется вместе с комментариями. Мы уже отметили то, что собирает WordPress по умолчанию.

Медиафайлы

В этом подразделе нужно указать какая информация становится открытой от пользователей с возможностью загрузки медиафайлов. Все загруженные файлы обычно публично доступны.

Формы контактов

WordPress не имеет своей формы контактов. Если вы используете плагин контактной формы, используйте этот раздел для указания какие данные собираются при заполнении формы контактов и как долго вы будете хранить их. К примеру, вам можно указать, что вы будете сохранять данные от форм в течение какого-то периода с целью предоставления обслуживания клиенту, но вы не будете использовать эти данные с целью маркетинга.

Куки

В этом подразделе вам нужно перечислить куки используемые вашим сайтом, включая устанавливаемые плагинами, социальными сетями и аналитикой. Мы предоставили список куки используемых WordPress по умолчанию.

Веб-аналитика

В этом подразделе следует добавить каким пакетом веб-аналитики вы пользуетесь, как пользователи могут исключить себя из отслеживания и ссылку на политику конфиденциальности поставщика веб-аналитики, если такая имеется.

WordPress самостоятельно не собирает никаких аналитических данных. Тем не менее, многие хостинги совершают сбор анонимных данных. Вы также могли установить плагин предоставляющий возможности веб-аналитики. В таком случае добавьте информацию из этого плагина сюда.

С кем мы делимся вашими данными

Тут следует назвать и перечислить все третьи стороны с кем вы делитесь данными сайта, включая партнеров, облачные сервисы, платежные шлюзы и другие провайдеры услуг. Укажите какие данные вы предоставляете им и зачем. Дайте ссылки на их уведомления о конфиденциальности, если возможно.

По умолчанию, WordPress не делится никакими персональными данными.

Как долго мы храним ваши данные

В этом разделе нужно объяснить как долго хранятся персональные данные собранные или обработанные сайтом. Это в рамках вашей ответственности определить планы на каждый набор данных и причины, по которым вы будете их хранить, тем не менее стоит указать данную информацию здесь. Например, можете указать то, что данные контактных форм хранятся полгода, веб-аналитика - год, а данные о покупках клиентов - 10 лет.

Какие у вас права на ваши данные

В этом разделе нужно объяснить какие права есть у пользователей на их данные и как они могут воспользоваться ими.

Куда отправляются ваши данные

В этом разделе нужно перечислить все пересылки данных за пределы ЕС и привести меры защиты данных по стандартам ЕС. Это может включать ваш веб-хостинг, облачное хранилище и другие услуги третьих сторон.

Общий регламент по защите данных ЕС требует защиты передаваемых за пределы ЕС данных о европейских резидентах по тем же стандартам как и в ЕС. Так в дополнение к перечислению того, куда передаются данные, вам нужно указать как соблюдаются стандарты вами или третьей стороной, по соглашению типа "Privacy Shield", оговоркам в контрактам или обязывающим корпоративным правилам.

Контактная информация

Здесь вам следует указать метод связи с вами по вопросам конфиденциальности. Если у вас есть офицер по защите данных, укажите его/её имя и полные контактные данные.

Дополнительная информация

Если вы используете ваш сайт в коммерческих целях и совершаете более сложный сбор или обработку персональных данных, то вам дополнительно нужно указать следующую информацию в уведомлении о конфиденциальности.

Как мы защищаем ваши данные

В этом разделе нужно объяснить меры, принимаемые для защиты данных ваших пользователей. Это включает технические меры, такие как шифрование, меры безопасности типа 2-факторной авторизации и меры на стороне персонала (пройденные ими курсы по защите данных). Если вы проводили оценку воздействия (Privacy Impact Assessment (PIA)), вы также можете упомянуть это.

Какие принимаются процедуры против взлома данных

Тут следует перечислить какие процедуры принимаются для защиты от взлома, возможного или реального, например внутренние системы обнаружения, механизм контактов или программы поощрения за поиск ошибок.

От каких третьих сторон мы получаем данные

Если ваш сайт получает данные о пользователях от третьей стороны, включая рекламодателей, эта информация должна быть включена в раздел уведомления о конфиденциальности по обработке данных третьей стороны.

Какие автоматические решения принимаются на основе данных пользователей

Если ваш сайт предоставляет услуги, включающие автоматическое принятие решений, к примеру возможность клиенту получить кредит или сбор данных для рекламного профиля, то вам нужно указать, что подобное имеет место быть, как используется информация, какие решения принимаются на основе собраных данных и какие права пользователь имеет по принимаемым без вмешательства человека решениям.

Требования к раскрытию отраслевых нормативных требований

Если вы являетесь членом регулируемой отрасли или субъектом дополнительных законов по конфиденциальности, возможно вам стоит включить эту информацию здесь.

Спасибо.

Мы постарались привести Политику конфиденциальности данного сайта в соответствие с рекомендациями WordPress, добавив туда конкретики и отразив специфику обработки данных на нашем сайте. Теперь, надеюсь, она сможет послужить образцом и для других сайтов.