Составление политики конфиденциальности для сайта

Законодательством большинства развитых стран в мире предусмотрена защита личных данных политикой конфиденциальности. Каждый сайт или веб-приложение, для доступа к полному функционалу которых необходим сбор личных данных пользователя и его аутентификация, должен быть в обязательном порядке подчиненным законодательству по защите данных. Специальные политики Европейского союза, Америки и Австралии в этом отношении имеют ряд особенностей.

Читать также:

Понятие политики конфиденциальности включает несколько уровней защиты данных – от имени пользователя до данных максимально конфиденциальных, таких как паспортные данные, адрес или очень индивидуальные сведения. Как и для какой цели владельцем веб-страницы собираются данные, какие действия могут производиться с полученной информацией и перечень способов защиты, возможность/невозможность разглашения третьим лицам обязательно прописываются в соглашении о политике конфиденциальности. Соответственно, ответственность за сохранение конфиденциальности личной информации от посетителей или клиентов ресурсов владелец этого сайта берет на себя.

Что включает в себя понятие «личная информация»?

Все данные, которые могут быть использованы для идентификации личности. Например, идентификационный номер, местожительства или и-мейл, контактный телефон, паспортные данные и прочее.

Политика конфиденциальности

Для написания конкретной политики сайта либо домена необходимо опираться на законодательную базу юрисдикции/ий, которые охватывает деятельность ресурса. Данные предписания предназначены для защиты людей, пользующихся услугами сайта, и их личных данных.

Политика конфиденциальности информации в Евросоюзе

GDPR – сводная политика по защите личной информации – это наиболее важный документ, который контролирует систему индивидуальных данных в Европейском союзе. Если вы намереваетесь зарегистрировать фирму в ЕС, компания должна позаботится о разработке определенной политики.

GDPR принят в мае 2018 года на замену Директивы о сохранении данных. Цель политики – объединить процессы получения индивидуальных данных от лиц в рамках Евросоюза.

Сверх обозначенных требований, действуют директивы Организации развития экономики относительно хранения индивидуальных клиентских данных:

  1. оповещение посетителей сайта, что их данные собирают,
  2. уведомление о целях получения такой информации,
  3. о неразглашении данных, если пользователь против этого или не осведомлен о таких планах компании.
Специальная политика UK

Парламентарное правительство Великобритании издало «Закон по защите данных», чтобы защитить данные клиента как на компьютере, так и в других системах хранения.

Закон включает 8 положений:

  1. Личная информация обрабатывается честно и легально;
  2. Сбор осуществляется только для обозначенных целей в рамках законности;
  3. Собираются только достаточные для намеченной цели данные, без излишних вопросов;
  4. Персональные данные должны быть действительными и точными на момент сбора;
  5. Информация собирается только на период использования согласно обозначенной цели, после чего уничтожается;
  6. Обработка данных осуществляется в соответствии с правами пользователей;
  7. С соблюдением строгих мер по борьбе с незаконной деятельностью в отношении личной информации;
  8. Требования закона ограничивают использование полученных конфиденциальных данных в пределах ЕЭЗ, кроме гарантии неразглашения этих данных третьей стороной.
Специальные процедуры политики конфиденциальности в Соединенных Штатах

Не существует федерального закона, требующего от компаний устанавливать конкретную политику хранения персональных данных в Соединенных Штатах. Однако существуют законы, которые ограничивают это в особых случаях:

  1. «Закон о защите детей» (COPPA) – требует публиковать политику конфиденциальности на данные, полученные от несовершеннолетних (совершеннолетними считаются лица в 18-21 год, зависит от штата).
  2. По закону GLBA (Грэмма-Лича-Блайли) от компаний финансового сектора требуется предоставлять точную и четкую текстовую информацию о том, как происходит обмен информацией.
  3. Закон HIPAA о медицинском страховании и подотчетности требует от медицинских учреждений письменных уведомлений о соблюдении конфиденциальности.

Дополнительно в некоторых штатах действуют локальные законы о конфиденциальности, например, в Калифорнии действует «Закон о защите конфиденциальности в Интернете»: на сайтах, собирающих личную информацию у жителей Калифорнии, в обязательном порядке публикуется политика конфиденциальности.

Если вы решили зарегистрировать компанию в США, необходимо соблюсти требования по политике конфиденциальности, которая раскрывает следующие вопросы:

  • какую информацию и как будет собирать компания;
  • как будет обеспечиваться защита безопасности информации;
  • как будут использовать собранную информацию;
  • будут ли данные переданы третьим лицам;
  • каковы права клиента на свою личную информацию, основании ее подачи?
Политика защиты конфиденциальной информации в Австралии

«Закон по конфиденциальной информации» действует в Австралии с 1988 года. Если вы решили зарегистрировать компанию в Австралии, согласно поправкам в законе на корпоративном сайте необходимо размещение политики конфиденциальности, которая включает 13 пунктов, в частности:

  • получение от пользователей сайта только прямо связанной с бизнесом информации;
  • при сборе личной информации резидент Австралии должен быть осведомлен, для каких целей собирается информация и кто может ее видеть.
Как разработать политику конфиденциальности?

Составление плана privacy policy: запрос данных, их хранение, обработка.

Далее вы должны определить тип информации, необходимой для вашей услуги. Запрашиваемая информация адекватно сопоставляется с целями запроса. Чем меньше информации требуется, тем проще будет составить privacy policy. Например, если личные данные запрашиваются с целью создания информационного бюллетеня рассылки, требуется только адрес электронной почты.

Пункты, которые может включать подготовка политики конфиденциальности:

  • Текст «О нас» (деятельность и миссия предприятия);
  • Пункты privacy policy;
  • Сбор личных данных;
  • Использование личных данных;
  • Передача конфиденциальной информации третьим лицам;
  • Защита личной информации;
  • Права пользователя;
  • Кукиз;
  • Уведомление об обновлениях политики;
  • Телефоны, и-мейл офиса компании.

Если у вас остались вопросы, какие методы сбора данных можно использовать для составления политики конфиденциальности, где и как хранить личную информацию, как аргументировать пользователям необходимость сбора информации, как сделать скорректировать структуру политики безопасности, запросите консультацию эксперта по защите конфиденциальности данных у сотрудников YB Case по указанным на сайте контактам.

Читать также: