Составление политики конфиденциальности для сайта
Составление политики конфиденциальности для сайта

Составление политики конфиденциальности для сайта – процесс разработки соглашения, регулирующего обработку персональных данных пользователей веб-сайта. Конфиденциальность является основополагающим правом и стала особенно обсуждаемой темой с наступлением цифровой эпохи. Регулирование конфиденциальности – это сложная задача, поскольку каждый день появляются новые веб-сайты, а клиенты находятся по всему миру, где законы о конфиденциальности могут отличаться в разных странах.

Как владельцу сайта (или мобильного приложения), который собирает персональную информацию, нужно внести свой вклад путем разработки политики конфиденциальности сайта.

В этой статье объясняется, насколько важна защита персональных данных для бизнеса, разъясняются возможные последствия и штрафы за несоблюдение политики конфиденциальности данных, за несоответствие требованиям GDPR и другим положениям о защите данных.

Что такое «privacy policy»?

Политика конфиденциальности – это документ, содержащийся на веб-сайте, который объясняет, как сайт или организация будут собирать, хранить, защищать и использовать персональную информацию, предоставляемую ее пользователями.

Личные данные относятся к характеристикам, чертам или атрибутам личности, которые могут использоваться для идентификации конкретного лица. Требования к защите персональных данных включают конкретные процедуры, направленные на минимизацию вмешательства в частную жизнь людей, вызванного сбором и использованием их личных данных.

Точное определение личной информации будет варьироваться в зависимости от законодательства, но, как правило, она включает следующее:

  • Имена.
  • Даты рождения.
  • Адреса (почтовый и электронный).
  • Платежные реквизиты (номера кредитных карт).
  • Местоположение (IP-адрес, геолокация).
  • Номера социального страхования.

В дополнение к описанию того, как компания будет использовать информацию, при составлении политики конфиденциальности необходимо разъяснить то, как компания будет выполнять свои юридические обязательства и как лица, личные данные которых собираются, могут обратиться за помощью, если организация не выполнит эти обязанности.

При составлении конкретной политики конфиденциальности сайта либо домена необходимо опираться на законодательную базу юрисдикции (-й), которые охватывает деятельность ресурса. Данные предписания предназначены для защиты людей, пользующихся услугами сайта, и их личных данных. Соответственно, если вы не осведомлены о законодательных и юридических аспектах защиты персональных данных конкретной юрисдикции, рекомендуется запросить помощь в составлении политики конфиденциальности у профильных специалистов.

В чем важность политики конфиденциальности?

Законодательством большинства развитых стран предусмотрена защита личных данных политикой конфиденциальности. Каждый сайт, для доступа к полному функционалу которого необходим сбор индивидуальных данных пользователя и аутентификация, должен подчиняться законодательству по защите данных. Специальные политики защиты информации и персональных данных Европейского Союза, Америки и Австралии имеют ряд особенностей.

Как и для какой цели владельцем веб-страницы собираются данные, какие действия могут производиться с полученной информацией и перечень способов защиты, возможность/невозможность разглашения третьим лицам обязательно прописываются при составлении соглашения о политике конфиденциальности. Соответственно, ответственность за сохранение конфиденциальности персональной информации пользователей владелец сайта берет на себя.

Политика конфиденциальности в Евросоюзе

Европейский Союз известен тем, что здесь действуют одни из самых строгих законов о конфиденциальности в мире. Краеугольный камень законодательства о конфиденциальности, Общее положение о защите данных (GDPR), содержит подробную информацию в статьях 12, 13 и 14 о важности составления политики конфиденциальности и содействия осуществлению прав, которыми обладают пользователи этих данных.

GDPR – сводная политика по защите личной информации – наиболее важный документ, который контролирует систему индивидуальных данных в Европейском Союзе. Если вы намереваетесь открыть компанию в ЕС, примите во внимание, что фирма должна позаботится о разработке политики защиты персональных данных согласно GDPR.

GDPR принят в мае 2018 г. на замену Директиве о сохранении данных. Цель политики – объединить процессы получения персональных данных от лиц в пределах Евросоюза. Сверх обозначенных требований, действуют директивы Организации развития экономики относительно хранения индивидуальных клиентских данных:

  • оповещение посетителей сайта, что их данные собирают;
  • уведомление о целях получения такой информации;
  • о неразглашении данных, если пользователь против этого или не осведомлен о таких планах компании.

Чтобы быть совместимой с GDPR, политика конфиденциальности сайта должна включать конкретные пункты. В отличие от некоторых других законов о конфиденциальности, GDPR активно применяется, и за несоответствие требованиям политики GDPR могут быть наложены огромные штрафы в миллионы долларов.

Чтобы подробнее разобраться в текущем вопросе, вы можете заказать консультацию по положениям GDPR у специалистов нашей компании.

ВЕЛИКОБРИТАНИЯ: политика конфиденциальности для сайта

С момента вступления в силу GDPR ЕС в 2018 г. многие страны мира последовали его примеру и либо обновили, либо ввели новые правила защиты конфиденциальности данных. Парламентарное правительство Соединенного Королевства издало «Закон по защите данных», чтобы защитить данные клиента как на компьютере, так и в других системах хранения. Закон включает 8 положений:

  1. Личная информация обрабатывается честно и легально.
  2. Сбор осуществляется только для обозначенных целей в рамках законодательства.
  3. Собираются только достаточные для намеченной цели данные, без излишних вопросов.
  4. Персональные данные должны быть действительными и точными на момент сбора.
  5. Информация собирается только на период использования согласно обозначенной цели, после чего уничтожается.
  6. Обработка данных осуществляется в соответствии с правами пользователей.
  7. С соблюдением строгих мер по борьбе с незаконной деятельностью в отношении личной информации.
  8. Требования о защите конфиденциальных данных согласно закону ограничивают использование полученных конфиденциальных данных в пределах ЕЭЗ, кроме гарантии неразглашения этих данных третьей стороной.

Обратите внимание, в перечень услуг нашей компании входят консультации и помощь в составлении политики конфиденциальности для сайта английской компании.

Специальные процедуры политики конфиденциальности в Соединенных Штатах

Не существует федерального закона, требующего от компаний устанавливать конкретную политику защиты и хранения персональных данных в Соединенных Штатах. Однако существуют законы, которые ограничивают это в особых случаях:

  1. «Закон о защите детей» (COPPA) – требует публиковать политику конфиденциальности на данные, полученные от несовершеннолетних (совершеннолетними считаются лица в 18-21 год, зависит от штата).
  2. Закон GLBA (Грэмма-Лича-Блайли), согласно которому регистрация финансовой компании в США требует от ее учредителей предоставлять точную и полную текстовую информацию о том, как происходит обмен данными.
  3. Закон HIPAA о медстраховании и подотчетности требует от медицинских учреждений письм. уведомлений о соблюдении политики конфиденциальности данных для сайта.

Дополнительно в некоторых штатах действуют локальные законы о конфиденциальности, например, в Калифорнии принят Закон о защите конфиденциальности в Интернете (CalOPPA). Он предусматривает, что любой коммерческий сайт, собирающий или использующий личную информацию от жителей Калифорнии, должен иметь явно размещенную политику конфиденциальности для сайта американской компании, где подробно описано, как данные собираются, используются и передаются.

Более того, в 2020 г. в дополнение к CalOPPA вступил в силу Закон о конфиденциальности потребителей Калифорнии (CCPA). Этот законодательный акт поощряет прозрачность и, в частности, требует, чтобы предприятия направляли пользователям уведомление при сборе или до того, как они начнут собирать личную информацию. Это уведомление при сборе должно содержать ссылку на политику конфиденциальности для сайта, которая должна обновляться не реже одного раза в год.

Таким образом, решив зарегистрировать компанию в США, необходимо соблюдать требования по защите конфиденциальных данных, которые раскрывают такие вопросы:

  • какую информацию и каким способом будет собирать компания;
  • как будет обеспечиваться защита безопасности информации;
  • как будут использовать собранную информацию;
  • будут ли данные переданы третьим лицам;
  • каковы права клиента на свою личную информацию?

Для получения дополнительной информации о CalOPPA и CCPA, вы можете заказать консультацию по защите персональных данных в США у специалистов компании.

Политика защиты конфиденциальной информации в АВСТРАЛИИ

Австралия регулирует, как предприятия должны обрабатывать личную информацию, в своем Законе о конфиденциальности 1988 г. Планируя зарегистрировать компанию в Австралии, обратите внимание, что согласно поправкам к Закону необходимо составить политику конфиденциальности для сайта и разместить ее на корпоративном сайте. Политика должна включать 13 пунктов, среди которых:

  • получение от пользователей прямо связанной с бизнесом информации;
  • при сборе личной информации резидент Австралии должен быть осведомлен, для каких целей собирается информация и кто может ее видеть.

Организациям, которые должны соблюдать австралийские принципы конфиденциальности, прежде всего нужно иметь актуальную и четко выраженную политику конфиденциальности, доступную бесплатно в подходящем формате и содержащую всю информацию, требуемую в соответствии с настоящим Законом.

Как составить политику конфиденциальности для сайта?

То, что вы должны включить в политику конфиденциальности, будет зависеть от характера бизнеса, того, где вы работаете и где находятся ваши клиенты, законов, применимых к регулированию деятельности компании в ЕС, США, Австралии и т.д. Однако составление privacy policy включает некоторые термины, которые являются довольно стандартными и их можно найти в большинстве политик конфиденциальности:

  1. Личная информация. Какой тип персональных данных вы хотите собирать, прямо или косвенно/автоматически, от имен до местоположения и от номеров телефонов до адресов электронной почты.
  2. Процесс сбора. Вы должны быть прозрачны и объяснить, как вы планируете собирать персональные данные своих пользователей. Если вы собираете данные об использовании, отслеживаете географическое местоположение или используете какие-либо сторонние сервисы, например, для рекламы и ретаргетинга, следует упомянуть об этом, поскольку пользователи могут не осознавать, что вы собираете данные в фоновом режиме.
  3. Использование. Это важный раздел политики конфиденциальности для сайта, поскольку использование этих данных для улучшения работы вашего веб-сайта отличается от продажи данных третьим лицам. Если у вас есть европейские пользователи, здесь следует указать правовую основу для сбора данных. Например, если вы работаете на веб-сайте электронной коммерции, вы должны указать, что личная информация будет использоваться для обработки платежей и доставки продуктов клиентам.
  4. Безопасность. Необходимо сообщить пользователям, какие способы защиты личной информации политикой конфиденциальности (от несанкционированного доступа) вы планируете использовать.
  5. Хранение и совместное использование. Пользователи должны знать, где будут храниться их данные, как долго они будут храниться и будут ли они переданы за границу (это может иметь место, например, если ваши серверы расположены за рубежом). Точно так же вы должны быть прозрачны в отношении того, кому вы передаете пользовательские данные и с какой целью.
  6. Файлы cookie. Если вы используете файлы cookie, то необходимо указать это в политике конфиденциальности, опубликовать ссылку на страницу на вашем веб-сайте, где размещена политика в отношении файлов cookie. Пользователям следует предоставить возможность отказаться. Вы можете объяснить, как это может повлиять на их пользовательский интерфейс.
  7. Отказ и права субъекта данных. Необходимо объяснить, что обмен личной информацией не является обязательным и что пользователи могут ограничить то, чем они делятся, отказаться или отозвать свое согласие в любое время. В этом разделе должны быть подробно описаны все права пользователей данных, которые могут быть привязаны к конкретной стране или региону, согласно положениям GDPR.
  8. Контактная информация. Следует указать свой адрес эл. почты, адрес улицы и номер телефона, а также контактные данные сотрудника по защите данных, если на сайт распространяется действие GDPR.
  9. Другое. В зависимости от характера бизнеса может потребоваться добавить некоторые дополнительные условия в политику конфиденциальности. Важно регулярно обновлять политику конфиденциальности данных для сайта, чтобы соответствовать постоянно меняющимся законам и учитывать любые изменения на веб-сайте.

Заключение

Если вас интересует, какие методы сбора персональных данных можно использовать для составления политики конфиденциальности, где и как хранить личную информацию, как аргументировать пользователям необходимость сбора информации, как скорректировать структуру политики безопасности, рекомендуем запросить консультацию по защите конфиденциальности данных в Европе у специалистов YB Case. Мы также оказываем сопровождение в составлении политики конфиденциальности для сайта английской компании.

Поле должно быть заполнено
Как нам связаться с вами?*
Введите корректный e-mail
Введите корректный номер