Не секрет, що більшість сучасних підприємств неможливо уявити без корпоративного веб-сайту. Потрібно розуміти, що розробка якісного веб-сайту, крім технічного етапу вимагає також юридичного втручання. Законодавство абсолютної більшості, якщо не всіх, розвинутих країн, а також деякі міжнародні акти, встановлюють вимоги до документації, що має розміщуватись на веб-сайті. Одним із елементів пакету документації для веб-сайту є Політика конфіденційності.
Політика конфіденційності (Privacy Policy) – що це
Політика конфіденційності – це угода між користувачем та власником веб-сайту, у якій визначаються умови збору, використання, захисту і т.п. персональної інформації, яку користувач надає або може надати під час використання веб-сайту. Персональні дані користувачів перебувають під суворою охороною в більшості країн, а відтак вимога наявності Політики конфіденційності наявна для бізнесу який працює із веб-сайтом фактично у будь-якій країні.
Навіщо потрібна Політика конфіденційності
Перш за все, коректно складена Політика конфіденційності підвищує довіру до веб-сайту та його власника. Переважна більшість користувачів дбають про безпеку своїх персональних даних, а неправильно складена Політика конфіденційності або ж взагалі її відсутність призведуть до втрати нових користувачів, тобто потенційних клієнтів.
По-друге, як ми вже згадували, більшість держав пристально слідкують за безпекою персональних даних своїх громадян. Відтак, у кожному регіоні в частині захисту персональних даних користувачів встановлюються свої вимоги до веб-сайтів. Відсутність Політики конфіденційності ставить власника веб-сайту під ризик накладення санкцій від держави. В переважній більшості це зводиться до накладення штрафів, що подекуди можуть сягати мільйонів євро.
По-третє, частина власників веб-сайтів вважають, що якщо працювати без Політики конфіденційності, однак не вчиняти протиправних дій з персональними даними користувачів – вони зможуть уникнути негативних наслідків (в т.ч. мільйонних штрафів). Однак, ця думка є неправильною, оскільки навіть отримання персональних даних від користувача без наявної Політики конфіденційності є протиправним та ставить бізнес під удар.
Політика конфіденційності необхідна, щоб забезпечити прозорість для користувачів, уникнути значних фінансових та репутаційних втрат. Відтак, рекомендуємо подбати про документацію для веб-сайту та звернутись до IT юриста ІНФЕРНО ДЛК ще на етапі розробки веб-сайту.
Законодавчі вимоги (GDPR, CCPA, CalOPPA, PIPEDA)
Як уже зазначалось, різні держави мають своє регулювання захисту персональної інформації користувачів. Для того, щоб мати змогу безпечно працювати на території конкретної країни, Політика конфіденційності має відповідати локальному законодавству. Якщо ж веб-сайт збирає дані користувачів з декількох країн – потрібно, щоб умови збору та обробки персональних даних на сайті відповідали законодавчим вимогам кожної з цих держав. Відтак, власникам веб-сайтів потрібно орієнтуватись на такі законодавчі акти:
-
- GDPR, європейський регламент про захист персональних даних. Його дія поширюється на всі держави, що є учасницями ЄС та їх громадян. Якщо, наприклад, веб-сайт працює на території Польщі, Німеччини, Франції тощо – Політика конфіденційності такого веб-сайту обов’язково має відповідати вимогам GDPR. Важливо зазначити, що цим документом встановлюються чи не найбільші штрафи за порушення умов збору та обробки персональних даних, які можуть сягати до двох мільйонів євро, в залежності масштабу порушень. Рекомендуємо враховувати положення GDPR при розробці Політики навіть, якщо користувачами є виключно громадяни України, оскільки після вступу України до ЄС адаптація Політики до GDPR буде вже обов’язковою.
- CCPA, CalOPPA, COPPA. При роботі з американським сегментом ринку обов’язково потрібно врахувати вимоги двох основних актів: Закону Каліфорнії про конфіденційність споживачів (CCPA), Закону Каліфорнії про онлайн конфіденційність (CalOPPA) та Закону Каліфорнії про онлайн приватність дітей (COPPA). Цими законами встановлюється пряма вимога публікації на веб-сайті Політики конфіденційності, якщо здійснюється збір та обробка персональних даних населення штату Каліфорнія. Законами також встановлюється низка вимог до процесу збирання, зберігання та обробки персональних даних різної категорії. Зауважимо, що порушення вимог цих актів також може спричинити накладення величезних штрафних санкцій. Загалом при розробці Політики конфіденційності для роботи на території США необхідно врахувати низку інших локальних актів, наприклад Colorado PA, Connecticut DPA, Delaware PDPA та багато інших, оскільки в США немає єдиного федерального закону, що працював би за принципом GDPR. Створити чи адаптувати Політику конфіденційності під вимоги американського законодавства допоможуть юристи ІНФЕРНО ДЛК.
- PIPEDA – це законодавчий акт, дія якого поширюється на територію та громадян Канади. Важливо, що його дія не поширюється на провінції Квебек, Альберта та Британська Колумбія. Ці провінції мають власне регулювання, положення якого втім майже не відрізняються від PIPEDA. Особливістю цього закону є підхід до визначення персональної інформації. Наприклад, відповідно до PIPEDA, думки, коментарі, оцінки щодо особи також є персональною інформацією та їх обробка має бути передбачена у Політиці конфіденційності. Наслідками порушення PIPEDA можуть бути судові позови, затяжні судові процеси та відшкодування завданих користувачам збитків.
Як створити Політику конфіденційності
При розробці Політики конфіденційності обов’язково потрібно визначити які саме персональні дані будуть збиратись та оброблятись, а також способи їх обробки. Від цих моментів в основному залежить необхідність здійснення додаткових дій, як от призначення Data Protection Officer.
Також необхідно врахувати положення усіх законодавчих актів, під які може підпадати збір персональних даних веб-сайтом, зокрема й перераховані вище. При самій розробці комплаєнс можна реалізувати двома шляхами:
- Розробка декількох Плітик під кожен регіон;
- Розробка однієї універсальної Політики, у якій будуть враховані та відображені усі застосовні вимоги.
Тим не менш, незважаючи на те які законодавчі акти поширюють свою дію на веб-сайт, низка обов’язкових положень є спільними для усіх.
Обов’язкові розділи політики конфіденційності (Privacy Policy)
- Загальні відомості.
У цьому розділі слід коротко описати зміст документ, хто збиратиме персональні дані та які саме, з якою метою.
- Які дані збираються.
Обов’язково потрібно визначити перелік персональних даних, що можуть бути зібрані на веб-сайті. У більшості актів такі дані поділяються на окремі категорії, наприклад звичайні та особливо чутливі персональні дані. Рекомендуємо відображати таку класифікацію й у Політиці конфіденційності, вби дотриматись вимоги прозорості.
- Способи збору даних.
Стандартним та найбільш поширеним способом збору даних є їх добровільне та самостійне надання користувачем при використанні веб-сайту. Подекуди зустрічаються автоматизовані способи збору персональної інформації. Наприклад, інформація, що становить персональні дані може бути зібрана через cookie. Основне – це пересвідчитись, що способи збору не суперечать застосовним законодавчим актам та правильно відобразити це у Політиці.
- Цілі використання даних
також мають бути чітко та прозоро відображені у Політиці конфіденційності. Наприклад, використання персональних даних для надання послуг в межах веб-сайту, здійснення зворотного зв’язку із користувачем, тощо. Важливо визначити у Політиці усі цілі використання персональної інформації, адже її використання поза визначеними цілями буде порушенням законодавства.
- Передача даних третім особам.
Зазвичай така передача вимагає лише згоди користувача. Наприклад, персональна інформація може передаватись провайдерам, операторам зв’язку і т.п. Подекуди зустрічаються випадки продажу персональних даних. Зауважимо, що такі дії не є забороненими, однак автоматично породжують низку додаткових вимог для бізнесу, які потрібно врахувати у Політиці та реалізувати. Особливо це стосується актів США.
- Зберігання та захист персональних даних.
Компанія, що збирає персональні дані в будь-якому випадку зобов’язана повідомити користувача про строк їх зберігання та вжиті заходи захисту. За загальним правилом необхідно вказувати конкретний строк зберігання персональних даних, але якщо його визначити неможливо – допускається вжиття більш “розпливчастих” формулювань. Щодо заходів безпеки – необов’язково навантажувати користувача усією технічною інформацією, однак загальні положення вказати необхідно.
- Використання файлів cookie.
Оскільки файли cookie також можуть містити персональну інформацію – потрібно повідомити користувача про їх використання та отримати на це згоду. Додатково рекомендуємо розробити окреме Повідомлення про cookie, у якому потрібно вказати які cookie використовуються, як користувач може на це вплинути тощо.
- Права користувачів.
Цей розділ Політики є обов’язковим та має кореспондувати із відповідним законодавчим актом. Основні права користувача це знати про цілі та способи збору й обробки персональних даних, право на виправлення неправильної інформації, право заборонити використання персональної інформації (opt out) тощо.
- Оновлення політики конфіденційності
– обов’язково потрібно повідомити користувача про те, що положення Політики можуть змінюватись час від часу, та де можна ознайомитись із оновленою версією.
- Контактна інформація.
У цьому розділі зазначається адреса власника веб-сайту, адреса електронної скриньки та інші дані, які можуть знадобитись користувачу для комунікації, а також контактна інформація уповноваженого представника, якщо він призначався.
Де розмістити Політику конфіденційності (Privacy Policy)
Політика конфіденційності має бути розміщена на окремій веб-сторінці веб-сайту. Посилання на цю веб-сторінку обов’язково потрібно залишити у тексті самої Політики. Більше того, рекомендуємо розробити повідомлення для користувача, яке буде відображатись при першому відвідуванні веб-сайту та у якому міститиметься посилання на Політику.
Показати на карті