Что такое Политика конфиденциальности? Политика конфиденциальности – это обязательный документ, содержащий условия и порядок обработки персональных данных пользователей на сайте.
Когда на сайте должна быть опубликована Политика конфиденциальности? Политика конфиденциальности должна быть опубликована на сайте / лендинге, если на нем осуществляется сбор данных о пользователях.
Например, если на сайте есть:
Форма обратной связи;
Форма заказа звонка;
Форма подписки;
Форма регистрации;
Форма заказа;
Яндекс.Метрика / GoogleAnalytics.
За что владелец сайта может быть привлечен к ответственности?
На сайте отсутствует текст Политики конфиденциальности;
На сайте имеется Политика конфиденциальности, но документ не отражает реальные процессы сбора и обработки данных;
Не указаны принципы, условия, цели обработки, виды данных, способы обеспечения их безопасности, права и обязанности, контакты владельца сайта.
Требование закона: выполнено
Что такое Политика конфиденциальности? Политика конфиденциальности – это обязательный документ, содержащий условия и порядок обработки персональных данных пользователей на сайте.
Когда на сайте должна быть опубликована Политика конфиденциальности? Политика конфиденциальности должна быть опубликована на сайте / лендинге, если на нем осуществляется сбор данных о пользователях.
Например, если на сайте есть:
Форма обратной связи;
Форма заказа звонка;
Форма подписки;
Форма регистрации;
Форма заказа;
Яндекс.Метрика / GoogleAnalytics.
За что владелец сайта может быть привлечен к ответственности?
На сайте отсутствует текст Политики конфиденциальности;
На сайте имеется Политика конфиденциальности, но документ не отражает реальные процессы сбора и обработки данных;
Не указаны принципы, условия, цели обработки, виды данных, способы обеспечения их безопасности, права и обязанности, контакты владельца сайта.
Требование закона: не требуется сайту
Что такое Политика конфиденциальности? Политика конфиденциальности – это обязательный документ, содержащий условия и порядок обработки персональных данных пользователей на сайте.
Когда на сайте должна быть опубликована Политика конфиденциальности? Политика конфиденциальности должна быть опубликована на сайте / лендинге, если на нем осуществляется сбор данных о пользователях.
Например, если на сайте есть:
Форма обратной связи;
Форма заказа звонка;
Форма подписки;
Форма регистрации;
Форма заказа;
Яндекс.Метрика / GoogleAnalytics.
За что владелец сайта может быть привлечен к ответственности?
На сайте отсутствует текст Политики конфиденциальности;
На сайте имеется Политика конфиденциальности, но документ не отражает реальные процессы сбора и обработки данных;
Не указаны принципы, условия, цели обработки, виды данных, способы обеспечения их безопасности, права и обязанности, контакты владельца сайта.
Требование закона: нарушено
Что такое Согласие на обработку персональных данных? Согласие на обработку персональных данных – главное условие, которое позволяет работать с данными пользователей на законной основе.
В каких случаях владелец сайта должен получать Согласие на обработку персональных данных? Согласие на сбор и дальнейшую обработку персональных данных должно даваться пользователем сайта / лендинга во всех случаях, когда на таком сайте осуществляется обработка данных пользователей.
Аналогично случаям опубликования Политики конфиденциальности обработка данных происходит, если на сайте есть:
Форма обратной связи;
Форма заказа звонка;
Форма подписки;
Форма регистрации;
Форма заказа;
Яндекс.Метрика / GoogleAnalytics.
В каком виде требуется получать Согласие на обработку персональных данных? Закон предъявляет ряд требований к согласию. Согласие должно быть для пользователя:
Информированным;
Конкретным;
Сознательным.
По этой причине Согласие на обработку персональных данных рекомендуется подготовить в виде отдельного документа, ссылка на который будет размещена под всеми формами сбора данных на сайте.
За что владелец сайта может быть привлечен к ответственности?
На сайте отсутствует текст Согласия на обработку персональных данных пользователя;
В согласии заявлены одни цели обработки, а фактически владелец сайта обрабатывает данные пользователей в совершенно иных целях;
Владелец сайта передает персональные данные пользователя третьим лицам без его согласия;
Владелец сайта продолжает обработку персональных данных после реализации пользователем своего права на отзыв своего согласия.
Требование закона: выполнено
Что такое Согласие на обработку персональных данных? Согласие на обработку персональных данных – главное условие, которое позволяет работать с данными пользователей на законной основе.
В каких случаях владелец сайта должен получать Согласие на обработку персональных данных? Согласие на сбор и дальнейшую обработку персональных данных должно даваться пользователем сайта / лендинга во всех случаях, когда на таком сайте осуществляется обработка данных пользователей.
Аналогично случаям опубликования Политики конфиденциальности обработка данных происходит, если на сайте есть:
Форма обратной связи;
Форма заказа звонка;
Форма подписки;
Форма регистрации;
Форма заказа;
Яндекс.Метрика / GoogleAnalytics.
В каком виде требуется получать Согласие на обработку персональных данных? Закон предъявляет ряд требований к согласию. Согласие должно быть для пользователя:
Информированным;
Конкретным;
Сознательным.
По этой причине Согласие на обработку персональных данных рекомендуется подготовить в виде отдельного документа, ссылка на который будет размещена под всеми формами сбора данных на сайте.
За что владелец сайта может быть привлечен к ответственности?
На сайте отсутствует текст Согласия на обработку персональных данных пользователя;
В согласии заявлены одни цели обработки, а фактически владелец сайта обрабатывает данные пользователей в совершенно иных целях;
Владелец сайта передает персональные данные пользователя третьим лицам без его согласия;
Владелец сайта продолжает обработку персональных данных после реализации пользователем своего права на отзыв своего согласия.
Требование закона: не требуется сайту
Что такое Согласие на обработку персональных данных? Согласие на обработку персональных данных – главное условие, которое позволяет работать с данными пользователей на законной основе.
В каких случаях владелец сайта должен получать Согласие на обработку персональных данных? Согласие на сбор и дальнейшую обработку персональных данных должно даваться пользователем сайта / лендинга во всех случаях, когда на таком сайте осуществляется обработка данных пользователей.
Аналогично случаям опубликования Политики конфиденциальности обработка данных происходит, если на сайте есть:
Форма обратной связи;
Форма заказа звонка;
Форма подписки;
Форма регистрации;
Форма заказа;
Яндекс.Метрика / GoogleAnalytics.
В каком виде требуется получать Согласие на обработку персональных данных? Закон предъявляет ряд требований к согласию. Согласие должно быть для пользователя:
Информированным;
Конкретным;
Сознательным.
По этой причине Согласие на обработку персональных данных рекомендуется подготовить в виде отдельного документа, ссылка на который будет размещена под всеми формами сбора данных на сайте.
За что владелец сайта может быть привлечен к ответственности?
На сайте отсутствует текст Согласия на обработку персональных данных пользователя;
В согласии заявлены одни цели обработки, а фактически владелец сайта обрабатывает данные пользователей в совершенно иных целях;
Владелец сайта передает персональные данные пользователя третьим лицам без его согласия;
Владелец сайта продолжает обработку персональных данных после реализации пользователем своего права на отзыв своего согласия.
Требование закона: нарушено
Что такое Согласие на рекламную рассылку? Согласие на рекламную рассылку – это единственное законное условие для рекламирования владельцем сайта своих товаров / работ / услуг по сетям электросвязи.
Условия Согласия на рекламную рассылку также могут быть включены в текст публичной оферты, политики конфиденциальности или иного документа, опубликованного на сайте, с которым соглашается пользователь.
В каких случаях владелец сайта должен получать Согласие на рекламную рассылку? Пользователь должен дать предварительное согласие на получение рекламных сообщений, которые могут быть отправлены с использованием:
SMS сообщений;
Email;
Телефонных звонков;
Push уведомлений.
За что владелец сайта может быть привлечен к ответственности?
Отсутствие на сайте текста Согласия на рекламную рассылку, с которым должен согласиться любой пользователь которому она осуществляется;
Осуществление рекламной рассылки без предварительного согласия адресата такой рассылки.
Требование закона: выполнено
Что такое Согласие на рекламную рассылку? Согласие на рекламную рассылку – это единственное законное условие для рекламирования владельцем сайта своих товаров / работ / услуг по сетям электросвязи.
Условия Согласия на рекламную рассылку также могут быть включены в текст публичной оферты, политики конфиденциальности или иного документа, опубликованного на сайте, с которым соглашается пользователь.
В каких случаях владелец сайта должен получать Согласие на рекламную рассылку? Пользователь должен дать предварительное согласие на получение рекламных сообщений, которые могут быть отправлены с использованием:
SMS сообщений;
Email;
Телефонных звонков;
Push уведомлений.
За что владелец сайта может быть привлечен к ответственности?
Отсутствие на сайте текста Согласия на рекламную рассылку, с которым должен согласиться любой пользователь которому она осуществляется;
Осуществление рекламной рассылки без предварительного согласия адресата такой рассылки.
Требование закона: не требуется сайту
Что такое Согласие на рекламную рассылку? Согласие на рекламную рассылку – это единственное законное условие для рекламирования владельцем сайта своих товаров / работ / услуг по сетям электросвязи.
Условия Согласия на рекламную рассылку также могут быть включены в текст публичной оферты, политики конфиденциальности или иного документа, опубликованного на сайте, с которым соглашается пользователь.
В каких случаях владелец сайта должен получать Согласие на рекламную рассылку? Пользователь должен дать предварительное согласие на получение рекламных сообщений, которые могут быть отправлены с использованием:
SMS сообщений;
Email;
Телефонных звонков;
Push уведомлений.
За что владелец сайта может быть привлечен к ответственности?
Отсутствие на сайте текста Согласия на рекламную рассылку, с которым должен согласиться любой пользователь которому она осуществляется;
Осуществление рекламной рассылки без предварительного согласия адресата такой рассылки.
Требование закона: нарушено
В каких случаях владелец сайта должен подать Уведомление об обработке персональных данных в Роскомнадзор? Каждый владелец сайта, на котором происходит сбор персональных данных обязан подать уведомление об обработке персональных данных в Роскомнадзор для включения его в реестр операторов персональных данных. Без уведомления Роскомнадзора может производиться обработка следующих персональных данных (часть 2 статьи 22 Закона о персональных данных).
Каков порядок подачи Уведомление об обработке персональных данных? Порядок подачи уведомлений об обработке персональных данных регулируется:
Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных»;
Методическими рекомендациями по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения № 94 (далее - Рекомендации).
Порядок подачи уведомления оператором состоит из 2 обязательных этапов: 1. Подача в электронном виде путем заполнения специальной формы на сайте Роскомнадзора: https://pd.rkn.gov.ru/operators-registry/notification/form/. Порядок заполнения уведомления описывается в Рекомендациях.
2. После заполнения и отправки формы в электронном виде, данную форму необходимо распечатать, подписать, проставить подпись (руководитель компании) и направить почтовым отправлением в территориальный орган Роскомнадзора - управление Роскомнадзора по субъекту РФ по месту регистрации в налоговом органе.
Срок рассмотрения уведомления исчисляется со дня его регистрации в Роскомнадзоре. Сведения об операторе вносятся в реестр не позднее 30 дней с даты регистрации уведомления (пункт 3.2 Рекомендаций).
Сведения, содержащиеся в реестре операторов, осуществляющих обработку персональных данных (за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке), являются общедоступными и размещаются для ознакомления на официальном сайте Роскомнадзора: https://rkn.gov.ru/personal-data/register/.
Требование закона: предупреждение
В каких случаях владелец сайта должен подать Уведомление об обработке персональных данных в Роскомнадзор? Каждый владелец сайта, на котором происходит сбор персональных данных обязан подать уведомление об обработке персональных данных в Роскомнадзор для включения его в реестр операторов персональных данных. Без уведомления Роскомнадзора может производиться обработка следующих персональных данных (часть 2 статьи 22 Закона о персональных данных).
Каков порядок подачи Уведомление об обработке персональных данных? Порядок подачи уведомлений об обработке персональных данных регулируется:
Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных»;
Методическими рекомендациями по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения № 94 (далее - Рекомендации).
Порядок подачи уведомления оператором состоит из 2 обязательных этапов: 1. Подача в электронном виде путем заполнения специальной формы на сайте Роскомнадзора: https://pd.rkn.gov.ru/operators-registry/notification/form/. Порядок заполнения уведомления описывается в Рекомендациях.
2. После заполнения и отправки формы в электронном виде, данную форму необходимо распечатать, подписать, проставить подпись (руководитель компании) и направить почтовым отправлением в территориальный орган Роскомнадзора - управление Роскомнадзора по субъекту РФ по месту регистрации в налоговом органе.
Срок рассмотрения уведомления исчисляется со дня его регистрации в Роскомнадзоре. Сведения об операторе вносятся в реестр не позднее 30 дней с даты регистрации уведомления (пункт 3.2 Рекомендаций).
Сведения, содержащиеся в реестре операторов, осуществляющих обработку персональных данных (за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке), являются общедоступными и размещаются для ознакомления на официальном сайте Роскомнадзора: https://rkn.gov.ru/personal-data/register/.
Требование закона: выполнено
В каких случаях владелец сайта должен подать Уведомление об обработке персональных данных в Роскомнадзор? Каждый владелец сайта, на котором происходит сбор персональных данных обязан подать уведомление об обработке персональных данных в Роскомнадзор для включения его в реестр операторов персональных данных. Без уведомления Роскомнадзора может производиться обработка следующих персональных данных (часть 2 статьи 22 Закона о персональных данных).
Каков порядок подачи Уведомление об обработке персональных данных? Порядок подачи уведомлений об обработке персональных данных регулируется:
Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных»;
Методическими рекомендациями по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения № 94 (далее - Рекомендации).
Порядок подачи уведомления оператором состоит из 2 обязательных этапов: 1. Подача в электронном виде путем заполнения специальной формы на сайте Роскомнадзора: https://pd.rkn.gov.ru/operators-registry/notification/form/. Порядок заполнения уведомления описывается в Рекомендациях.
2. После заполнения и отправки формы в электронном виде, данную форму необходимо распечатать, подписать, проставить подпись (руководитель компании) и направить почтовым отправлением в территориальный орган Роскомнадзора - управление Роскомнадзора по субъекту РФ по месту регистрации в налоговом органе.
Срок рассмотрения уведомления исчисляется со дня его регистрации в Роскомнадзоре. Сведения об операторе вносятся в реестр не позднее 30 дней с даты регистрации уведомления (пункт 3.2 Рекомендаций).
Сведения, содержащиеся в реестре операторов, осуществляющих обработку персональных данных (за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке), являются общедоступными и размещаются для ознакомления на официальном сайте Роскомнадзора: https://rkn.gov.ru/personal-data/register/.
Требование закона: не требуется сайту
В каких случаях владелец сайта должен подать Уведомление об обработке персональных данных в Роскомнадзор? Каждый владелец сайта, на котором происходит сбор персональных данных обязан подать уведомление об обработке персональных данных в Роскомнадзор для включения его в реестр операторов персональных данных. Без уведомления Роскомнадзора может производиться обработка следующих персональных данных (часть 2 статьи 22 Закона о персональных данных).
Каков порядок подачи Уведомление об обработке персональных данных? Порядок подачи уведомлений об обработке персональных данных регулируется:
Федеральным законом от 27 июля 2006 года № 152-ФЗ «О персональных данных»;
Методическими рекомендациями по уведомлению уполномоченного органа о начале обработки персональных данных и о внесении изменений в ранее представленные сведения № 94 (далее - Рекомендации).
Порядок подачи уведомления оператором состоит из 2 обязательных этапов: 1. Подача в электронном виде путем заполнения специальной формы на сайте Роскомнадзора: https://pd.rkn.gov.ru/operators-registry/notification/form/. Порядок заполнения уведомления описывается в Рекомендациях.
2. После заполнения и отправки формы в электронном виде, данную форму необходимо распечатать, подписать, проставить подпись (руководитель компании) и направить почтовым отправлением в территориальный орган Роскомнадзора - управление Роскомнадзора по субъекту РФ по месту регистрации в налоговом органе.
Срок рассмотрения уведомления исчисляется со дня его регистрации в Роскомнадзоре. Сведения об операторе вносятся в реестр не позднее 30 дней с даты регистрации уведомления (пункт 3.2 Рекомендаций).
Сведения, содержащиеся в реестре операторов, осуществляющих обработку персональных данных (за исключением сведений о средствах обеспечения безопасности персональных данных при их обработке), являются общедоступными и размещаются для ознакомления на официальном сайте Роскомнадзора: https://rkn.gov.ru/personal-data/register/.
Требование закона: нарушено
Что такое Локальные акты об обработке персональных данных? Локальные акты об обработке персональных данных - обязательные организационно-распорядительные внутренние документы, определяющие правила и процедуры, реализуемые для защиты персональных данных.
Локальные акты определяют:
Общие принципы обработки данных;
Порядок обработки данных на бумажных носителях;
Порядок обработки данных в информационных системах;
Порядок хранения и передачи персональных данных.
Когда владелец сайта должен разработать и утвердить Локальные акты об обработке персональных данных? Локальные акты необходимо подготовить и утвердить, если владелец сайта работает с персональными данными:
Работников;
Клиентов;
Соискателей на вакантные места;
Пользователей;
и др.
Перечень Локальных актов об обработке персональных данных Данный список может отличаться в зависимости от отдельных особенностей обработки персональных данных:
1. Приказ о назначении ответственного за организацию обработки персональных данных 2. Положение об обработке и защите персональных данных 3. Последствия отказа предоставить персональные данные 4. Соглашение о неразглашении информации, содержащей персональные данные 5. Перечень форм, содержащих персональные данные 6. Правила рассмотрения запросов субъектов персональных данных 7. Правила осуществления внутреннего контроля 8. Модель угроз безопасности 9. Договор поручения на обработку персональных данных 10. Приказ о назначении ответственного за безопасность персональных данных 11. Приказ о хранении бумажных носителей персональных данных 12. Приказ об утверждении перечня персональных данных 13. Приказ о допуске к обработке персональных данных 14. Приказ об утверждении перечня ИСПДн 15. Приказ об определении контролируемой территории 16. Инструкция ответственного за организацию обработки персональных данных 17. Инструкция ответственного за обеспечение безопасности персональных данных 18. Инструкция по учету лиц, допущенных к работе с персональными данными в ИСПДн 19. Инструкция по проведению инструктажа, допущенных к работе в ИСПДн 20. Инструкция пользователя ИСПДн 21. Инструкция по учёту и хранению съёмных носителей 22. Инструкция по резервному копированию и восстановлению 23. Инструкция по организации антивирусной защиты в ИСПДн 24. Инструкция пользователя при возникновении нештатной ситуации 25. Журнал учета запросов субъектов персональных данных 26. Журнал учета съемных носителей, содержащих персональные данные 27. Журнал учета прохождения первичного инструктажа работниками 28. Журнал регистрации нарушения и восстановления работоспособности 29. Журнал учёта прав доступа к ИСПДн 30. Журнал учёта средств защиты информации 31. Журнал учёта проверок контролирующими органами 32. Форма запроса о наличии и ознакомлении с персональными данными 33. Форма запроса на уточнение персональных данных 34. Форма запроса на уничтожение персональных данных 35. Форма запроса на блокирование персональных данных 36. Форма запроса с отзывом согласия на обработку персональных данных 37. Форма уведомления об устранении неправомерных действий с персональными данными 38. Форма уведомления об отказе внесения изменений в персональные данные субъекта 39. Форма уведомления органа по защите прав субъектов персональных данных 40. Акт определения уровня защищённости персональных данных 41. Акт оценки потенциального вреда субъектам персональных данных 42. Акт об уничтожении персональных данных
Требование закона: предупреждение
Что такое Локальные акты об обработке персональных данных? Локальные акты об обработке персональных данных - обязательные организационно-распорядительные внутренние документы, определяющие правила и процедуры, реализуемые для защиты персональных данных.
Локальные акты определяют:
Общие принципы обработки данных;
Порядок обработки данных на бумажных носителях;
Порядок обработки данных в информационных системах;
Порядок хранения и передачи персональных данных.
Когда владелец сайта должен разработать и утвердить Локальные акты об обработке персональных данных? Локальные акты необходимо подготовить и утвердить, если владелец сайта работает с персональными данными:
Работников;
Клиентов;
Соискателей на вакантные места;
Пользователей;
и др.
Перечень Локальных актов об обработке персональных данных Данный список может отличаться в зависимости от отдельных особенностей обработки персональных данных:
1. Приказ о назначении ответственного за организацию обработки персональных данных 2. Положение об обработке и защите персональных данных 3. Последствия отказа предоставить персональные данные 4. Соглашение о неразглашении информации, содержащей персональные данные 5. Перечень форм, содержащих персональные данные 6. Правила рассмотрения запросов субъектов персональных данных 7. Правила осуществления внутреннего контроля 8. Модель угроз безопасности 9. Договор поручения на обработку персональных данных 10. Приказ о назначении ответственного за безопасность персональных данных 11. Приказ о хранении бумажных носителей персональных данных 12. Приказ об утверждении перечня персональных данных 13. Приказ о допуске к обработке персональных данных 14. Приказ об утверждении перечня ИСПДн 15. Приказ об определении контролируемой территории 16. Инструкция ответственного за организацию обработки персональных данных 17. Инструкция ответственного за обеспечение безопасности персональных данных 18. Инструкция по учету лиц, допущенных к работе с персональными данными в ИСПДн 19. Инструкция по проведению инструктажа, допущенных к работе в ИСПДн 20. Инструкция пользователя ИСПДн 21. Инструкция по учёту и хранению съёмных носителей 22. Инструкция по резервному копированию и восстановлению 23. Инструкция по организации антивирусной защиты в ИСПДн 24. Инструкция пользователя при возникновении нештатной ситуации 25. Журнал учета запросов субъектов персональных данных 26. Журнал учета съемных носителей, содержащих персональные данные 27. Журнал учета прохождения первичного инструктажа работниками 28. Журнал регистрации нарушения и восстановления работоспособности 29. Журнал учёта прав доступа к ИСПДн 30. Журнал учёта средств защиты информации 31. Журнал учёта проверок контролирующими органами 32. Форма запроса о наличии и ознакомлении с персональными данными 33. Форма запроса на уточнение персональных данных 34. Форма запроса на уничтожение персональных данных 35. Форма запроса на блокирование персональных данных 36. Форма запроса с отзывом согласия на обработку персональных данных 37. Форма уведомления об устранении неправомерных действий с персональными данными 38. Форма уведомления об отказе внесения изменений в персональные данные субъекта 39. Форма уведомления органа по защите прав субъектов персональных данных 40. Акт определения уровня защищённости персональных данных 41. Акт оценки потенциального вреда субъектам персональных данных 42. Акт об уничтожении персональных данных
Требование закона: выполнено
Что такое Локальные акты об обработке персональных данных? Локальные акты об обработке персональных данных - обязательные организационно-распорядительные внутренние документы, определяющие правила и процедуры, реализуемые для защиты персональных данных.
Локальные акты определяют:
Общие принципы обработки данных;
Порядок обработки данных на бумажных носителях;
Порядок обработки данных в информационных системах;
Порядок хранения и передачи персональных данных.
Когда владелец сайта должен разработать и утвердить Локальные акты об обработке персональных данных? Локальные акты необходимо подготовить и утвердить, если владелец сайта работает с персональными данными:
Работников;
Клиентов;
Соискателей на вакантные места;
Пользователей;
и др.
Перечень Локальных актов об обработке персональных данных Данный список может отличаться в зависимости от отдельных особенностей обработки персональных данных:
1. Приказ о назначении ответственного за организацию обработки персональных данных 2. Положение об обработке и защите персональных данных 3. Последствия отказа предоставить персональные данные 4. Соглашение о неразглашении информации, содержащей персональные данные 5. Перечень форм, содержащих персональные данные 6. Правила рассмотрения запросов субъектов персональных данных 7. Правила осуществления внутреннего контроля 8. Модель угроз безопасности 9. Договор поручения на обработку персональных данных 10. Приказ о назначении ответственного за безопасность персональных данных 11. Приказ о хранении бумажных носителей персональных данных 12. Приказ об утверждении перечня персональных данных 13. Приказ о допуске к обработке персональных данных 14. Приказ об утверждении перечня ИСПДн 15. Приказ об определении контролируемой территории 16. Инструкция ответственного за организацию обработки персональных данных 17. Инструкция ответственного за обеспечение безопасности персональных данных 18. Инструкция по учету лиц, допущенных к работе с персональными данными в ИСПДн 19. Инструкция по проведению инструктажа, допущенных к работе в ИСПДн 20. Инструкция пользователя ИСПДн 21. Инструкция по учёту и хранению съёмных носителей 22. Инструкция по резервному копированию и восстановлению 23. Инструкция по организации антивирусной защиты в ИСПДн 24. Инструкция пользователя при возникновении нештатной ситуации 25. Журнал учета запросов субъектов персональных данных 26. Журнал учета съемных носителей, содержащих персональные данные 27. Журнал учета прохождения первичного инструктажа работниками 28. Журнал регистрации нарушения и восстановления работоспособности 29. Журнал учёта прав доступа к ИСПДн 30. Журнал учёта средств защиты информации 31. Журнал учёта проверок контролирующими органами 32. Форма запроса о наличии и ознакомлении с персональными данными 33. Форма запроса на уточнение персональных данных 34. Форма запроса на уничтожение персональных данных 35. Форма запроса на блокирование персональных данных 36. Форма запроса с отзывом согласия на обработку персональных данных 37. Форма уведомления об устранении неправомерных действий с персональными данными 38. Форма уведомления об отказе внесения изменений в персональные данные субъекта 39. Форма уведомления органа по защите прав субъектов персональных данных 40. Акт определения уровня защищённости персональных данных 41. Акт оценки потенциального вреда субъектам персональных данных 42. Акт об уничтожении персональных данных
Требование закона: нарушено
В какой стране должны находиться сервера с персональными данными? Сервер, на котором расположен сайт / лендинг должен находиться на территории России, если на нем осуществляется обработка данных о пользователях – гражданах России (требование о "локализации").
В чем состоит требование о локализации обработки персональных данных граждан России и при каких условиях оно применяется к владельцам сайтов?
Согласно части 5 статьи 18 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.
При толковании приведенных правовых норм следует учитывать разъяснения Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации, доступные на сайте министерства.
Для правильного понимания требования о локализации важно обратить внимание на значение понятий, используемых в приведенных правовых нормах:
Сбор персональных данных. Согласно разъяснениям Министерства цифрового развития под сбором можно понимать целенаправленный процесс получения персональных данных оператором непосредственно от субъекта персональных данных либо через специально привлеченных для этого третьих лиц.
Таким образом, требование о локализации не распространяется на персональные данные, полученные оператором не в результате сбора персональных данных (например, на персональные данные, полученные от другого оператора).
Персональные данные. В соответствии с пунктом 1 статьи 3 Закона о персональных данных персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Следовательно, требование о локализации не распространяется на данные, не являющиеся персональными данными (например, на анонимизированные данные).
Оператор. Согласно пункту 2 статьи 3 Закона о персональных данных оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Таким образом, требование о локализации не распространяется на лиц, которые не являются операторами, то есть лицами, которые обрабатывают персональные данные по поручению оператора, - провайдеров «облачных» сервисов, организации, осуществляющие расчет заработной платы и т. п.).
Запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных. Требование о локализации не распространяется на другие операции с персональными данными, такие как использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Граждане Российской Федерации. Согласно разъяснениям Министерства цифрового развития вопрос о порядке определения гражданства субъектов персональных данных не урегулирован в нормативном порядке. Законодатель тем самым предоставил возможность оператору персональных данных самостоятельно решать данный вопрос исходя из специфики его деятельности. Если же этот вопрос не был решен оператором самостоятельно, то возможно применение требования о локализации ко всем персональным данным, сбор которых был осуществлен на территории Российской Федерации.
База данных. Согласно комментарию сотрудников Роскомнадзора база данных - это упорядоченный массив данных, независимый от вида материального носителя информации и используемых средств его обработки (архивы, картотеки, электронные базы данных). Так, например, базой данных можно считать таблицу в формате Excel, Word, в которой содержатся персональные данные граждан.
Согласно разъяснениям Министерства цифрового развития требование о локализации применяется к иностранным компаниям, которые не имеют физического присутствия в России, если они осуществляют деятельность, направленную на территорию России. Например, о наличии направленности интернет-сайта на территорию Российской Федерации могут свидетельствовать следующие обстоятельства:
1. Использование доменного имени, связанного с Российской Федерацией или субъектом РФ (.ru, .рф., .su, .москва., moscow и т.п.) и (или);
2. Наличие русскоязычной версии интернет-сайта, созданной владельцем такого сайта или по его поручению иным лицом. При этом поскольку русский язык широко используется в некоторых странах за пределами Российской Федерации, для определения направленности интернет-сайта именно на территорию Российской Федерации дополнительно необходимо наличие как минимум одного из следующих элементов:
возможности осуществления расчетов в российских рублях;
возможности исполнения заключенного на таком интернет-сайте договора на территории Российской Федерации (доставки товара, оказания услуги или пользования цифровым контентом на территории России);
использование рекламы на русском языке, отсылающей к соответствующему интернет-сайту;
иные обстоятельства, явно свидетельствующие о намерении владельца интернет-сайта включить российский рынок в свою бизнес-стратегию.
Требование о локализации не препятствует трансграничной передаче персональных данных. Трансграничная передача персональных данных - это передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу (пункт 11 статьи 3 Закона о персональных данных). Согласно разъяснениям Министерства цифрового развития, персональные данные гражданина Российской Федерации, первоначально внесенные в базу данных на территории Российской Федерации и актуализируемые в ней («первичная база данных»), могут далее передаваться в базы данных, расположенные за пределами России («вторичные базы данных»), администрируемые иными лицами, с соблюдением положений о трансграничной передаче данных.
Требование закона: выполнено
В какой стране должны находиться сервера с персональными данными? Сервер, на котором расположен сайт / лендинг должен находиться на территории России, если на нем осуществляется обработка данных о пользователях – гражданах России (требование о "локализации").
В чем состоит требование о локализации обработки персональных данных граждан России и при каких условиях оно применяется к владельцам сайтов?
Согласно части 5 статьи 18 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.
При толковании приведенных правовых норм следует учитывать разъяснения Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации, доступные на сайте министерства.
Для правильного понимания требования о локализации важно обратить внимание на значение понятий, используемых в приведенных правовых нормах:
Сбор персональных данных. Согласно разъяснениям Министерства цифрового развития под сбором можно понимать целенаправленный процесс получения персональных данных оператором непосредственно от субъекта персональных данных либо через специально привлеченных для этого третьих лиц.
Таким образом, требование о локализации не распространяется на персональные данные, полученные оператором не в результате сбора персональных данных (например, на персональные данные, полученные от другого оператора).
Персональные данные. В соответствии с пунктом 1 статьи 3 Закона о персональных данных персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Следовательно, требование о локализации не распространяется на данные, не являющиеся персональными данными (например, на анонимизированные данные).
Оператор. Согласно пункту 2 статьи 3 Закона о персональных данных оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Таким образом, требование о локализации не распространяется на лиц, которые не являются операторами, то есть лицами, которые обрабатывают персональные данные по поручению оператора, - провайдеров «облачных» сервисов, организации, осуществляющие расчет заработной платы и т. п.).
Запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных. Требование о локализации не распространяется на другие операции с персональными данными, такие как использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Граждане Российской Федерации. Согласно разъяснениям Министерства цифрового развития вопрос о порядке определения гражданства субъектов персональных данных не урегулирован в нормативном порядке. Законодатель тем самым предоставил возможность оператору персональных данных самостоятельно решать данный вопрос исходя из специфики его деятельности. Если же этот вопрос не был решен оператором самостоятельно, то возможно применение требования о локализации ко всем персональным данным, сбор которых был осуществлен на территории Российской Федерации.
База данных. Согласно комментарию сотрудников Роскомнадзора база данных - это упорядоченный массив данных, независимый от вида материального носителя информации и используемых средств его обработки (архивы, картотеки, электронные базы данных). Так, например, базой данных можно считать таблицу в формате Excel, Word, в которой содержатся персональные данные граждан.
Согласно разъяснениям Министерства цифрового развития требование о локализации применяется к иностранным компаниям, которые не имеют физического присутствия в России, если они осуществляют деятельность, направленную на территорию России. Например, о наличии направленности интернет-сайта на территорию Российской Федерации могут свидетельствовать следующие обстоятельства:
1. Использование доменного имени, связанного с Российской Федерацией или субъектом РФ (.ru, .рф., .su, .москва., moscow и т.п.) и (или);
2. Наличие русскоязычной версии интернет-сайта, созданной владельцем такого сайта или по его поручению иным лицом. При этом поскольку русский язык широко используется в некоторых странах за пределами Российской Федерации, для определения направленности интернет-сайта именно на территорию Российской Федерации дополнительно необходимо наличие как минимум одного из следующих элементов:
возможности осуществления расчетов в российских рублях;
возможности исполнения заключенного на таком интернет-сайте договора на территории Российской Федерации (доставки товара, оказания услуги или пользования цифровым контентом на территории России);
использование рекламы на русском языке, отсылающей к соответствующему интернет-сайту;
иные обстоятельства, явно свидетельствующие о намерении владельца интернет-сайта включить российский рынок в свою бизнес-стратегию.
Требование о локализации не препятствует трансграничной передаче персональных данных. Трансграничная передача персональных данных - это передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу (пункт 11 статьи 3 Закона о персональных данных). Согласно разъяснениям Министерства цифрового развития, персональные данные гражданина Российской Федерации, первоначально внесенные в базу данных на территории Российской Федерации и актуализируемые в ней («первичная база данных»), могут далее передаваться в базы данных, расположенные за пределами России («вторичные базы данных»), администрируемые иными лицами, с соблюдением положений о трансграничной передаче данных.
Требование закона: не требуется сайту
В какой стране должны находиться сервера с персональными данными? Сервер, на котором расположен сайт / лендинг должен находиться на территории России, если на нем осуществляется обработка данных о пользователях – гражданах России (требование о "локализации").
В чем состоит требование о локализации обработки персональных данных граждан России и при каких условиях оно применяется к владельцам сайтов?
Согласно части 5 статьи 18 Федерального закона от 27 июля 2006 года № 152-ФЗ «О персональных данных» при сборе персональных данных, в том числе посредством информационно-телекоммуникационной сети «Интернет», оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации.
При толковании приведенных правовых норм следует учитывать разъяснения Министерства цифрового развития, связи и массовых коммуникаций Российской Федерации, доступные на сайте министерства.
Для правильного понимания требования о локализации важно обратить внимание на значение понятий, используемых в приведенных правовых нормах:
Сбор персональных данных. Согласно разъяснениям Министерства цифрового развития под сбором можно понимать целенаправленный процесс получения персональных данных оператором непосредственно от субъекта персональных данных либо через специально привлеченных для этого третьих лиц.
Таким образом, требование о локализации не распространяется на персональные данные, полученные оператором не в результате сбора персональных данных (например, на персональные данные, полученные от другого оператора).
Персональные данные. В соответствии с пунктом 1 статьи 3 Закона о персональных данных персональные данные - любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).
Следовательно, требование о локализации не распространяется на данные, не являющиеся персональными данными (например, на анонимизированные данные).
Оператор. Согласно пункту 2 статьи 3 Закона о персональных данных оператор - государственный орган, муниципальный орган, юридическое или физическое лицо, самостоятельно или совместно с другими лицами организующие и (или) осуществляющие обработку персональных данных, а также определяющие цели обработки персональных данных, состав персональных данных, подлежащих обработке, действия (операции), совершаемые с персональными данными.
Таким образом, требование о локализации не распространяется на лиц, которые не являются операторами, то есть лицами, которые обрабатывают персональные данные по поручению оператора, - провайдеров «облачных» сервисов, организации, осуществляющие расчет заработной платы и т. п.).
Запись, систематизация, накопление, хранение, уточнение (обновление, изменение), извлечение персональных данных. Требование о локализации не распространяется на другие операции с персональными данными, такие как использование, передача (распространение, предоставление, доступ), обезличивание, блокирование, удаление, уничтожение персональных данных.
Граждане Российской Федерации. Согласно разъяснениям Министерства цифрового развития вопрос о порядке определения гражданства субъектов персональных данных не урегулирован в нормативном порядке. Законодатель тем самым предоставил возможность оператору персональных данных самостоятельно решать данный вопрос исходя из специфики его деятельности. Если же этот вопрос не был решен оператором самостоятельно, то возможно применение требования о локализации ко всем персональным данным, сбор которых был осуществлен на территории Российской Федерации.
База данных. Согласно комментарию сотрудников Роскомнадзора база данных - это упорядоченный массив данных, независимый от вида материального носителя информации и используемых средств его обработки (архивы, картотеки, электронные базы данных). Так, например, базой данных можно считать таблицу в формате Excel, Word, в которой содержатся персональные данные граждан.
Согласно разъяснениям Министерства цифрового развития требование о локализации применяется к иностранным компаниям, которые не имеют физического присутствия в России, если они осуществляют деятельность, направленную на территорию России. Например, о наличии направленности интернет-сайта на территорию Российской Федерации могут свидетельствовать следующие обстоятельства:
1. Использование доменного имени, связанного с Российской Федерацией или субъектом РФ (.ru, .рф., .su, .москва., moscow и т.п.) и (или);
2. Наличие русскоязычной версии интернет-сайта, созданной владельцем такого сайта или по его поручению иным лицом. При этом поскольку русский язык широко используется в некоторых странах за пределами Российской Федерации, для определения направленности интернет-сайта именно на территорию Российской Федерации дополнительно необходимо наличие как минимум одного из следующих элементов:
возможности осуществления расчетов в российских рублях;
возможности исполнения заключенного на таком интернет-сайте договора на территории Российской Федерации (доставки товара, оказания услуги или пользования цифровым контентом на территории России);
использование рекламы на русском языке, отсылающей к соответствующему интернет-сайту;
иные обстоятельства, явно свидетельствующие о намерении владельца интернет-сайта включить российский рынок в свою бизнес-стратегию.
Требование о локализации не препятствует трансграничной передаче персональных данных. Трансграничная передача персональных данных - это передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу (пункт 11 статьи 3 Закона о персональных данных). Согласно разъяснениям Министерства цифрового развития, персональные данные гражданина Российской Федерации, первоначально внесенные в базу данных на территории Российской Федерации и актуализируемые в ней («первичная база данных»), могут далее передаваться в базы данных, расположенные за пределами России («вторичные базы данных»), администрируемые иными лицами, с соблюдением положений о трансграничной передаче данных.
Рекомендация: не выполнена
Что такое Пользовательское соглашение? Пользовательское соглашение – договор с пользователями сайта, содержащий условия использования сайта, в котором владелец сайта устанавливает правила использования сайта пользователями.
Пользовательское соглашение рекомендуется опубликовать на каждом сайте независимо от направленности такого сайта.
Преимущества от наличия Пользовательского соглашения на сайте:
Ограничивает ответственность владельца сайта;
Защищает контент сайта от плагиата;
Определяет условия использования сайта (порядок использования контента, порядок регистрации, условия размещения пользовательского контента на сайте и т.п.);
Минимизирует риск распространения ненадлежащей рекламы.
Риски для владельца сайта, без опубликованного Пользовательского соглашения:
Плагиат контента сайта конкурентами и иные злоупотребления функционалом сайта;
Причинение вреда пользователю;
Недобросовестная конкуренция;
Нарушение условий договора.
Рекомендация: выполнена
Что такое Пользовательское соглашение? Пользовательское соглашение – договор с пользователями сайта, содержащий условия использования сайта, в котором владелец сайта устанавливает правила использования сайта пользователями.
Пользовательское соглашение рекомендуется опубликовать на каждом сайте независимо от направленности такого сайта.
Преимущества от наличия Пользовательского соглашения на сайте:
Ограничивает ответственность владельца сайта;
Защищает контент сайта от плагиата;
Определяет условия использования сайта (порядок использования контента, порядок регистрации, условия размещения пользовательского контента на сайте и т.п.);
Минимизирует риск распространения ненадлежащей рекламы.
Риски для владельца сайта, без опубликованного Пользовательского соглашения:
Плагиат контента сайта конкурентами и иные злоупотребления функционалом сайта;
Причинение вреда пользователю;
Недобросовестная конкуренция;
Нарушение условий договора.
Рекомендация: не выполнена
Какие договоры могут заключаться путем акцепта публичной оферты клиентом? Публичная оферта – способ заключения договора, который представлен в виде документа, содержащего все необходимые условия будущего договора и позволяющего упростить процесс заключения такого договора с клиентами на сайте. Не существует ограничений по видам договоров, которые могут быть заключены путем акцепта публичной оферты. Единственное условие для признания договора заключенным - наличие всех существенных условий нужного договора в тексте публичной оферты.
Например, такие договоры как:
Купли-продажи товаров для интернет-магазинов;
Оказания услуг;
Лицензионные договоры для онлайн-сервисов;
Агентские договоры для маркетплейсов и агрегаторов.
Преимущества от наличия на сайте текста условий будущего договора с клиентами (публичной оферты):
Упрощенный документооборот с клиентами;
Дистанционное заключение договора без необходимости обмениваться бумажными вариантами;
Не требуется согласовывать договор с клиентом - единые условия для всех;
Содержит условия, которые выгодны владельцу сайта.
Риски для владельца сайта, без опубликованного текста условий будущего договора с клиентами (публичной оферты):
Издержки на документооборот;
Незаключенность договора;
Причинение вреда пользователю;
Нарушение условий договора;
Нарушение отдельных требований законодательства (например законодательства о защите прав потребителей).
Рекомендация: выполнена
Какие договоры могут заключаться путем акцепта публичной оферты клиентом? Публичная оферта – способ заключения договора, который представлен в виде документа, содержащего все необходимые условия будущего договора и позволяющего упростить процесс заключения такого договора с клиентами на сайте. Не существует ограничений по видам договоров, которые могут быть заключены путем акцепта публичной оферты. Единственное условие для признания договора заключенным - наличие всех существенных условий нужного договора в тексте публичной оферты.
Например, такие договоры как:
Купли-продажи товаров для интернет-магазинов;
Оказания услуг;
Лицензионные договоры для онлайн-сервисов;
Агентские договоры для маркетплейсов и агрегаторов.
Преимущества от наличия на сайте текста условий будущего договора с клиентами (публичной оферты):
Упрощенный документооборот с клиентами;
Дистанционное заключение договора без необходимости обмениваться бумажными вариантами;
Не требуется согласовывать договор с клиентом - единые условия для всех;
Содержит условия, которые выгодны владельцу сайта.
Риски для владельца сайта, без опубликованного текста условий будущего договора с клиентами (публичной оферты):
Издержки на документооборот;
Незаключенность договора;
Причинение вреда пользователю;
Нарушение условий договора;
Нарушение отдельных требований законодательства (например законодательства о защите прав потребителей).
Рекомендация: не требуется сайту
Какие договоры могут заключаться путем акцепта публичной оферты клиентом? Публичная оферта – способ заключения договора, который представлен в виде документа, содержащего все необходимые условия будущего договора и позволяющего упростить процесс заключения такого договора с клиентами на сайте. Не существует ограничений по видам договоров, которые могут быть заключены путем акцепта публичной оферты. Единственное условие для признания договора заключенным - наличие всех существенных условий нужного договора в тексте публичной оферты.
Например, такие договоры как:
Купли-продажи товаров для интернет-магазинов;
Оказания услуг;
Лицензионные договоры для онлайн-сервисов;
Агентские договоры для маркетплейсов и агрегаторов.
Преимущества от наличия на сайте текста условий будущего договора с клиентами (публичной оферты):
Упрощенный документооборот с клиентами;
Дистанционное заключение договора без необходимости обмениваться бумажными вариантами;
Не требуется согласовывать договор с клиентом - единые условия для всех;
Содержит условия, которые выгодны владельцу сайта.
Риски для владельца сайта, без опубликованного текста условий будущего договора с клиентами (публичной оферты):
Издержки на документооборот;
Незаключенность договора;
Причинение вреда пользователю;
Нарушение условий договора;
Нарушение отдельных требований законодательства (например законодательства о защите прав потребителей).
Требование закона: предупреждение
Что такое файлы cookie? Файлы cookie - небольшие текстовые файлы, передаваемые с сайта на компьютер пользователя, которые записывают и хранят информацию о действиях пользователя на сайте. Например, товары, добавленные в корзину, предпочитаемый язык и местоположение. Существуют различные виды файлов cookie в зависимости от цели обработки информации:
Необходимые для работы сайта, - позволяют корректно использовать функции сайта (например, сохранять товары в корзине пока пользователь совершает онлайн-покупки);
Функциональные, - позволяют веб-сайту запоминать выбор, который пользователь сделал в прошлом (например, логин и пароль для последующего автоматического входа в личный кабинет на сайте);
Статистические - собирают информацию о том, как используется сайт, какие страницы посещаются. Их единственной целью является улучшение функций сайта. К статистическим cookies можно отнести файлы от сторонних аналитических служб, если они предназначены исключительно для использования владельцем посещаемого сайта;
Маркетинговые, - отслеживают онлайн-активность, чтобы помочь рекламодателям предоставлять персонифицированную рекламу.
Кроме того, выделяют основные файлы cookie - создаются владельцами сайта, и сторонние файлы cookie - сохраняются на компьютере пользователя третьими лицами (например, сервисом для предоставления веб-аналитики или рекламодателем). Если cookie содержат какой-либо уникальный идентификатор, то информация о посещениях различных сайтов может быть связана такой третьей стороной и на ее основе сформирован рекламный профиль пользователя. Использование сторонних cookie зачастую связано с неосведомленностью пользователей об участии иных сайтов и отсутствием информированного согласия на такую обработку данных.
С точки зрения законодательства, информация, полученная с помощью файлов cookie признается в качестве персональных данных. Таким образом, в политике использования cookie-файлов целесообразно указать, какие это файлы и с какой целью используются, а также получить согласие пользователя на их обработку.
Требование закона: выполнено
Что такое файлы cookie? Файлы cookie - небольшие текстовые файлы, передаваемые с сайта на компьютер пользователя, которые записывают и хранят информацию о действиях пользователя на сайте. Например, товары, добавленные в корзину, предпочитаемый язык и местоположение. Существуют различные виды файлов cookie в зависимости от цели обработки информации:
Необходимые для работы сайта, - позволяют корректно использовать функции сайта (например, сохранять товары в корзине пока пользователь совершает онлайн-покупки);
Функциональные, - позволяют веб-сайту запоминать выбор, который пользователь сделал в прошлом (например, логин и пароль для последующего автоматического входа в личный кабинет на сайте);
Статистические - собирают информацию о том, как используется сайт, какие страницы посещаются. Их единственной целью является улучшение функций сайта. К статистическим cookies можно отнести файлы от сторонних аналитических служб, если они предназначены исключительно для использования владельцем посещаемого сайта;
Маркетинговые, - отслеживают онлайн-активность, чтобы помочь рекламодателям предоставлять персонифицированную рекламу.
Кроме того, выделяют основные файлы cookie - создаются владельцами сайта, и сторонние файлы cookie - сохраняются на компьютере пользователя третьими лицами (например, сервисом для предоставления веб-аналитики или рекламодателем). Если cookie содержат какой-либо уникальный идентификатор, то информация о посещениях различных сайтов может быть связана такой третьей стороной и на ее основе сформирован рекламный профиль пользователя. Использование сторонних cookie зачастую связано с неосведомленностью пользователей об участии иных сайтов и отсутствием информированного согласия на такую обработку данных.
С точки зрения законодательства, информация, полученная с помощью файлов cookie признается в качестве персональных данных. Таким образом, в политике использования cookie-файлов целесообразно указать, какие это файлы и с какой целью используются, а также получить согласие пользователя на их обработку.