Venkovská kuchyně

Co by mělo být na webu pro zpracování osobních údajů?

Mnoho z nás se neustále registruje na různých zdrojích na internetu, přihlašuje se k odběru e-mailových konferencí, vyplňuje formuláře a zanechává komentáře. Všechny tyto akce tak či onak znamenají shromažďování osobních údajů. Řekneme vám, jak zpracovávat osobní údaje uživatelů stránek a zároveň se vyhnout závažným porušením a pokutám.

Pokud shromažďujete uživatelská data z Ruska, pak hlavním dokumentem, na který se musíte spolehnout, je federální zákon č. 152-FZ „O osobních údajích“. Pojďme zjistit, co to je a jak legálně organizovat shromažďování osobních údajů.

Co jsou osobní údaje?

Jak je definováno výše uvedeným zákonem: „Osobní údaje jsou jakékoli informace týkající se přímo nebo nepřímo identifikované nebo identifikovatelné fyzické osoby (předmětu osobních údajů).

To znamená, že mezi osobní údaje (dále jen OÚ) lze zařadit: celé jméno, datum narození, telefonní číslo, adresu, daňové identifikační číslo, pracovní údaje, odkazy na účty na sociálních sítích nebo osobní webové stránky a další obdobné informace.

U jakýchkoli údajů se najde někdo, kdo je zpracovává – tedy dělá všechny věci, které jsou popsány ve smlouvách o zpracování osobních údajů (asi to znáte, pokud jste takové dokumenty někdy četli). A to shromažďování, zaznamenávání, systematizace, shromažďování, uchovávání, objasňování (aktualizace, změna), vytěžování, používání, přenos (distribuce, poskytování, zpřístupňování), depersonalizace, blokování, mazání a ničení. Osoba zpracovávající osobní údaje se nazývá provozovatel osobních údajů. Odpovídá za nezákonné zpracování osobních údajů a může jím být jak právnická, tak fyzická osoba.

Za provozovatele osobních údajů můžete být považováni, pokud vaše webové stránky obsahují formuláře:

  • předplatné newsletterů;
  • registrace osobního účtu;
  • žádosti nebo zpětná vazba;
  • online chatovací systémy nebo online poradce;
  • zveřejňování komentářů.

Vezměte prosím na vědomí, že ne všechny údaje jsou samy o sobě osobní, ale jejich souhrn umožňuje takový stav získat. Pokud například uživatel uvádí pouze své jméno, pak to k jeho identifikaci zjevně nestačí. Ale jméno a e-mail již poskytují úplnější definici. Přitom informace jako telefonní číslo nebo daňové identifikační číslo samy o sobě jsou již osobními údaji, protože pokud máte přístup do příslušné databáze, umožňují vám získat úplné informace o osobě.

Proto můžete určit, zda jste provozovatelem PD v závislosti na tom, jaké údaje shromažďujete prostřednictvím formulářů zpětné vazby na webu.

Co mám dělat, když zpracovávám PD na svém webu?

Při shromažďování informací o uživatelích si můžete položit otázku: „Jak zpracovávat osobní údaje, abyste se vyhnuli sankcím?“ Pro zpracování osobních údajů pro stránky existuje řada podmínek. Potřebuješ:

  1. Nainstalujte na stránku zabezpečený protokol pro přenos osobních údajů (SSL certifikát). S výběrem certifikátu vám pomůže váš poskytovatel hostingu: například u REG.RU můžete získat základní SSL certifikát dokonce zdarma.
  2. Vypracujte zásady ochrany osobních údajů a zveřejněte je na webu.
  3. Požádejte návštěvníky o souhlas se zpracováním jejich PD.
  4. Informujte Roskomnadzor, že shromažďujete osobní údaje.

Pro jistotu zdůrazněme, co je třeba udělat vše tyto kroky. Pojďme si projít každý z bodů.

SSL certifikát

SSL certifikát je bezpečnostní standard pro výměnu dat mezi webem a uživatelem. Hlavní výhodou SSL certifikátu je šifrované spojení, které chrání provoz, zabraňuje jeho zachycení a zneužití osobních údajů na webu k podvodným účelům.

Přepnout na protokol SSL je kriticky důležité pro všechny stránky, které obsahují informace první a druhé kategorie (více informací o kategoriích informací naleznete zde). Jedná se například o údaje o bankovních kartách, přihlašovací údaje a hesla k účtům, formuláře s uvedením celého jména a adresy atd.

Zásady ochrany osobních údajů

Při sestavování zásad ochrany osobních údajů dbejte na zásady zpracování osobních údajů. Musí obsahovat následující informace:

  1. Jméno operátora zpracování osobních údajů. Pokud web patří jednotlivému podnikateli nebo pouze fyzické osobě, uveďte své celé jméno; pokud patří právnické osobě, uveďte název společnosti a DIČ.
  2. Adresa operátora: právní (pro právnické osoby) nebo skutečné (pro fyzické osoby).
  3. Seznam shromážděných dat: Celé jméno, e-mail, telefon, soubory cookie, údaje o pasu a další. Seznam by měl být co nejúplnější a nejpodrobnější.
  4. Účel sběru dat. Nezapomeňte uvést, k čemu bude PD použit. Sbírejte pouze nezbytná data.
  5. Časové rámce zpracování dat. Osobní údaje musí být po použití k určenému účelu vymazány. Jejich zpracování je možné pouze po omezenou dobu.
  6. Skutečnost zapojení třetích stran ke zpracování dat. Patří sem také různé affiliate programy, například affiliate program REG.RU. Pokud přivedete nové klienty do jiné společnosti, pak je to třetí strana, která zpracuje PD.
  7. Vaše kontaktní údaje. V podrobnostech zásad ochrany osobních údajů uveďte kontakty, na kterých vás lze kontaktovat. Tyto informace budou užitečné pro vaše zákazníky, pokud si přejí smazat nebo změnit své osobní údaje.
  8. Opatření pro zabezpečení dat. Sdělte klientům, že jejich osobní údaje jsou uloženy na zabezpečených serverech umístěných v Rusku (ano, ze zákona mohou být data ruských občanů uložena pouze na serverech umístěných v Ruské federaci).

Návštěvníci vašeho webu by měli mít možnost snadno si přečíst vaše zásady ochrany osobních údajů, proto je doporučujeme umístit do zápatí každé stránky.

Souhlas se zpracováním osobních údajů

V souladu se zákonem o osobních údajích se uživatel musí samostatně rozhodnout, zda vám své údaje poskytne a souhlasí s jejich zpracováním. Souhlas se zpracováním osobních údajů musí být zároveň konkrétní, informovaný a vědomý. Zaškrtněte políčko oznamující, že klient souhlasí se zpracováním PD a přečetl si zásady ochrany osobních údajů (nezapomeňte uvést odkaz na ně). Návštěvník webu musí nezávisle zaškrtnout políčko a nedoporučujeme to dělat za něj.

Existuje ale řada případů, kdy lze souhlas se zpracováním OÚ získat i jiným způsobem. Patří mezi ně například podpis smlouvy, jejíž jednou ze stran je uživatel.

Oznámení Roskomnadzoru

Zákon o osobních údajích uvádí, že musíte Roskomnadzor informovat o shromažďování a zpracování osobních údajů návštěvníků vašich webových stránek. To lze provést prostřednictvím speciálního formuláře.

Existují ale výjimky, kdy není nutné Roskomnadzor hlásit. Mezi nimi například zpracování veřejně dostupných informací (tedy těch, které uživatel zpřístupnil neurčitému počtu osob, např. údaje o sobě zveřejněné na osobní webové stránce nebo v otevřeném profilu sociální sítě) popř. údaje, které obsahují pouze jeho celé jméno.

Závěry

1. Osobní údaje jsou jakékoli informace, které lze použít k přímé nebo nepřímé identifikaci osoby.

2. Pokud zpracováváte osobní údaje, připojte ke stránce certifikát SSL, zveřejněte zásady ochrany osobních údajů a informujte Roskomnadzor.

3. Návštěvníci stránek musí souhlasit se zpracováním osobních údajů – pod formulář pro zadávání údajů umístěte odpovídající řádek se zaškrtávacím políčkem a odkazem na zásady ochrany osobních údajů.

4. Ukládat osobní údaje lidí žijících v Ruské federaci na serverech umístěných v Rusku.

Photo of John

John

Leave a Reply

Your email address will not be published. Required fields are marked *

Back to top button