Co jsou osobní údaje? Jak se Zásady ochrany osobních údajů liší od Souhlasu se zpracováním osobních údajů a od Uživatelské smlouvy? Co ještě musíte udělat se stránkou, abyste nedostali pokutu nebo zákaz od Roskomnadzoru? Trvalo nám skoro měsíc, než jsme na to přišli. O všem mluvíme jednoduchým jazykem.
O čem je tento zákon?
Ve zkratce jde o zákon o tom, co jsou osobní údaje, kdo má právo je uchovávat a zpracovávat a jak to správně dělat. Hlavním účelem zákona je ochrana osobních údajů.
Co jsou osobní údaje?
Na tuto otázku stále neexistuje jednoznačná odpověď. O výkladu zákona právníky a soudy proto krátce hovoříme dnes, po vydání nového usnesení vlády v září 2019.
Zákon říká, že osobním údajem je vše, co je s osobou spojeno a podle čeho ji lze identifikovat. Obvykle se jedná o soubor dat. Osobním údajem je určitě křestní jméno s příjmením a telefonním číslem.
Zdálo by se, že e-mail sám o sobě není osobním údajem, pokud se neskládá ze jména a příjmení. Pokud však na tento e-mail zasíláte reklamní korespondenci bez smlouvy o zpracování osobních údajů, porušujete tím také zákon. (usnesení č. j. 4A-288/2016 ze dne 4. října 2016 ve věci č. j. 4A-288/2016).
Přibližně stejná situace je s celým jménem a dokonce jen křestním jménem bez příjmení a patronyma. Společnost musí i nadále dodržovat zákon o osobních údajích a zveřejnit zásady ochrany osobních údajů (usnesení č. 4A-288/2016 ze dne 4. října 2016 ve věci č. 4A-288/2016).
Podobná situace je s cookies, Yandex.Metrica a Google Analytics. Vyskytlo se několik významných případů, kdy to ruské soudy uznaly za osobní údaje.
Pokud jsou vaši uživatelé oprávněni zadat svůj osobní účet pomocí přihlašovacího jména a hesla, nejedná se o osobní údaje. Ale ve vašem osobním účtu je s největší pravděpodobností uživatelský profil, který obsahuje vaše jméno a e-mail, protože téměř žádná registrace není dokončena bez potvrzení e-mailem nebo telefonicky. A to jsou osobní údaje.
I anonymizované ID uživatele spolu s časem zobrazení webové stránky, URL, HTTP referer, User Agent a cookies byly v kauze Rostelecom uznány jako osobní údaje (usnesení č. 13 ZÚS ze dne 01.07.2016. 56. 6698 v věc č. A2016-XNUMX/XNUMX).
Jaký závěr lze vyvodit?
Pokud máte na svých webových stránkách zpětnou vazbu, předplatné, registrační nebo autorizační formuláře nebo používáte cookies a počítadla návštěvnosti, shromažďujete osobní údaje.
Jakákoli moderní webová stránka je nemyslitelná bez formulářů, souborů cookie nebo analytických počítadel. Můžeme tedy říci, že pokud máte webové stránky, pak jste s největší pravděpodobností Provozovatelem osobních údajů. V tomto případě doporučujeme hrát na jistotu a dodržovat všechny zákonné požadavky.
Co je třeba na webu udělat?
- Pod každý formulář na webu umístěte text „Kliknutím na tlačítko „Odeslat“ souhlasíte se Zásadami zpracování osobních údajů. Odkaz by měl vést na stránku se Zásadami zpracování osobních údajů. Pokud se jedná o formulář pro přihlášení k odběru newsletteru, měl by text obsahovat zaškrtávací políčko, kde musí uživatel zaškrtnout políčko.
- Vytvořte stránku „Zásady zpracování osobních údajů“. Co by na něm mělo být, prozradíme dále.
- Upozorněte uživatele, že shromažďujete soubory cookie, a také získejte jejich souhlas. To lze provést pomocí malého vyskakovacího bloku s tlačítkem „Souhlasím“.
- Zaregistrujte se na webu Roskomnadzor, abyste byli zařazeni do registru provozovatelů osobních údajů.
Jak sestavit Zásady zpracování osobních údajů?
Roskomnadzor dal doporučení k přípravě takového dokumentu. Pokud tomu všemu nechcete rozumět, můžete použít speciální bezplatné generátory. Například generátor Tilda: https://tilda.cc/ru/privacy-generator/
Zásady ochrany osobních údajů, Zásady zpracování osobních údajů a Uživatelská smlouva. Jaký je rozdíl?
Zásady ochrany osobních údajů a Zásady zpracování osobních údajů jsou jedno a totéž. Jedná se o souhlas s použitím a zpracováním osobních údajů.
Uživatelská smlouva je ujednání o podmínkách používání vašich webových stránek jako služby pro poskytování určitých služeb. Zahájením používání vaší služby nebo registrací se má za to, že uživatel přijal podmínky smlouvy. Co bude v této dohodě, je na vás, abyste se rozhodli. Uživatelská smlouva může obsahovat mnoho částí, včetně zásad zpracování osobních údajů.
Jaká bude pokuta, když nic neuděláte?
Pokud zákon ignorujete, hrozí vám pokuta až 300 000 rublů. Ale obvykle je to 50 000 rublů. Pokud Roskomnadzor věnuje pozornost vašemu webu, pak zpravidla nejprve obdržíte dopis, který bude obsahovat seznam porušení zjištěných na webu souvisejících s nezákonným zpracováním osobních údajů. V některých případech může Roskomnadzor kromě udělování pokut zablokovat stránky i bez soudního rozhodnutí.
Porozumět tomu, co jsou osobní údaje, je poměrně obtížné. V každém případě může soud učinit své vlastní rozhodnutí, které se liší od vašeho. Pokud máte webové stránky, pak téměř jistě v nějaké formě shromažďujete osobní údaje. Abyste nedostali pokutu a zákaz od Roskomnadzor, musíte se zaregistrovat u Roskomnadzor a získat souhlas uživatelů se zpracováním osobních údajů a k tomu umístit odkaz na Zásady ochrany osobních údajů pod všechny formuláře, připravit stránku Zásady ochrany osobních údajů a vytvoří vyskakovací blok upozorňující uživatele na shromažďování souborů cookie.
29 zobrazení
20 tisíc objevů
12 komentáře
Napsat komentář.
Dobrý článek a dobře zvolená soudní praxe!
Jen pár nepřesností:
1) Souhlas se zpracováním osobních údajů není samotnou politikou. Jedná se o samostatný dokument, který vychází ze zásad zpracování PD. To znamená, že musí být konkrétní, informované, vědomé a musí obsahovat to, co se shromažďuje a jak se to používá, účel, komu jsou data předávána;
2) Pro vyjádření souhlasu musí být povinné zaškrtávací políčko s textem o souhlasu a odkazem na tento souhlas a zásady. Pro cookie jako varování stačí vyskakovací okno. A pokud se řídíte globální praxí, pak je také lepší poskytnout možnost deaktivovat soubory cookie a sledování na vašich webových stránkách;
3) Uživatelská smlouva je úplně jiné odvětví. Jedná se o občanskoprávní smlouvu, která vymezuje práva a povinnosti držitele autorských práv a uživatele (návštěvníka stránek). Může doplňovat některá ustanovení zásad zpracování PD (jsou-li k dispozici), ale nemůže je nahrazovat, protože zásady musí být zveřejněny samostatně.
1) Které formuláře mám zaškrtnout? Pro registraci – pochopitelné. A k přihlašovacímu formuláři, formulář pro komentáře (pokud je formulář dostupný pouze pro registrované uživatele). Hledat formulář?
2) Není řečeno, kam je uložit. Co se stane, když zaškrtnu všechna políčka, upozorním na soubory cookie, podám žádost na Roskomnadzor, ale servery se nacházejí v Německu?
3) V oznamovacím formuláři Roskomnadzor, co napsat do pole „Datum zahájení zpracování osobních údajů“, pokud stránka shromažďuje údaje po dobu 20 let. Nebo můžete uvést dnešní datum s tím, že jste právě dnes začali sbírat. V jakém případě vám klobouk nedají?
Zásady zpracování osobních údajů jsou povinným dokumentem pro weby, které od uživatelů vyžadují osobní údaje, jako je e-mail nebo telefonní číslo. V tomto článku se dozvíte, jak shromažďovat osobní údaje a jaké body by měly obsahovat vaše zásady zpracování.
- Jak sestavit zásady zpracování osobních údajů pro web v roce 2024
- Proč společnosti potřebují osobní údaje?
- Jak pracovat s důvěrnými daty na webu
- Jak vypracovat zásady a souhlas se zpracováním osobních údajů
- Za co můžete dostat pokutu?
- Stručně
Co jsou osobní údaje
Termín je uveden v 152-FZ „O osobních údajích“. PD neboli osobní údaj je podle zákona informace, která přímo či nepřímo identifikuje jednotlivce. Jinými slovy, údaje, které pomáhají identifikovat osobu.
Mezi osobní údaje patří například:
- Celé jméno
- Datum narození
- Telefonní číslo
- Místo bydliště nebo pobytu
- Série a číslo pasu, DIČ
- Odkazy na sociální sítě
- Krevní skupina, otisk prstu
- Praxe, plat, termíny dovolené
Když vlastník webové stránky nebo aplikace shromažďuje osobní údaje od uživatelů, stává se automaticky provozovatelem osobních údajů. Provozovatel je právnická nebo fyzická osoba, která údaje zpracovává – eviduje, shromažďuje, systematizuje a aktualizuje. Osobní údaje jsou považovány za soukromé informace a každý, kdo s nimi nakládá, je odpovědný za zachování jejich důvěrnosti.
Chcete-li zjistit, zda jste považováni za operátora PD, určete, co přesně od návštěvníků požadujete. Zde je několik situací, ve kterých je odpověď ano:
- Vyzvete uživatele, aby zanechali e-mailovou adresu, aby mohli dostávat informační bulletiny
- Chcete-li se zaregistrovat na zdroji, musíte uvést své jméno, telefonní číslo nebo e-mail
- Pro zjištění přesné ceny služeb musí potenciální klient požádat o zpětné zavolání
Provozovatelem se stáváte pouze v případě, že se údaje týkají konkrétní osoby. Křestní jméno bez příjmení a patronyma tedy není osobní údaj, protože z něj nelze identifikovat jednotlivce. Pokud anonymně požádáte návštěvníky webu, aby zhodnotili jeho pohodlí, pak také nevystupujete jako provozovatel PD.
Pokud vaše stránky shromažďují technické informace, jako jsou IP adresy, data prohlížeče nebo soubory cookie, jste považováni za provozovatele, protože tyto informace jsou také považovány za důvěrné.
Proč společnosti potřebují osobní údaje?
Účely, pro které majitelé webových stránek požadují údaje, mohou být následující:
- Přijměte platbu za produkt bankovní kartou
- Doručte zboží kupujícímu na správnou adresu
- Otevřený přístup do vzdělávacího kurzu
- Odeslat newsletter
- Podrobnosti objednávky zkontrolujte telefonicky
- Proveďte analýzu cílového publika
Zpracování osobních údajů musí být ze zákona omezeno na dosažení cílů stanovených společností v příslušných dokumentech. Organizace si například vyžádala domovskou adresu zákazníka pro doručení položky a poté ji použila k cílení reklam, aniž by uváděla reklamu jako účel vyzvednutí. Pak je to považováno za porušení – osoba se může odvolat k Roskomnadzoru nebo soudu.
Cíle také určují obsah a rozsah citlivých informací, které požadujete. Pokud například vlastník zdroje potřebuje připojit osobu k online hudební službě, neměl by při registraci uvádět svůj rodinný stav. Jediné, co musíte udělat, je zjistit své jméno a telefonní číslo.
Jak pracovat s důvěrnými daty na webu
Chcete-li legálně shromažďovat a ukládat informace, postupujte takto:
1. Vypracujte dokumenty. Spolkový zákon o osobních údajích stanoví, že provozovatel je povinen osobě sdělit, jaké informace shromažďuje, za jakým účelem a co s nimi plánuje udělat. Z tohoto důvodu by měl vlastník internetového zdroje vytvořit politiku zpracování PD. Říká se tomu také zásada důvěrnosti nebo ochrany osobních údajů.
Provozovatel navíc ve většině případů nemá právo zpracovávat osobní údaje bez jejich souhlasu. K vyžádání tohoto oprávnění od uživatelů je tedy potřeba dokument. Obvykle je tímto dokumentem souhlas se zpracováním osobních údajů.
2. Zveřejněte zásady a souhlas na webu. Dokumenty by měly být zveřejněny na veřejně přístupném místě, aby se s nimi mohl seznámit každý návštěvník zdroje. Často jsou umístěny v „zápatí“ webu, tedy v dolní části stránky.