процес розроблення угоди, що регулює оброблення персональних даних користувачів веб-сайту. Конфіденційність є основним правом, яка стала активно обговорюваною темою з настанням цифрової доби. Регулювання конфіденційності – це складне завдання, оскільки щодня з'являються нові веб-сайти, а клієнти знаходяться по всьому світу, і закони про конфіденційність можуть відрізнятися в різних країнах.
Власнику сайту (або мобільного застосунку), що збирає персональну інформацію, потрібно зробити свій внесок шляхом розроблення політики конфіденційності сайту.
У цій статті пояснено, наскільки важливим є захист персональних даних для бізнесу, роз'яснено можливі наслідки та штрафи за недотримання політики конфіденційності даних, за невідповідність вимогам GDPR та іншим положенням про захист даних.
Що таке «privacy policy»?
Політика конфіденційності – це документ на веб-сайті, що пояснює, як сайт або організація будуть збирати, зберігати, захищати та використовувати персональну інформацію, яку надають користувачі.
Особисті дані – це характеристики, ознаки або атрибути особистості, які можуть використовуватися для ідентифікації конкретної особи. Вимоги до захисту персональних даних включають конкретні процедури, спрямовані на мінімізацію втручання в приватне життя людей, викликаного збиранням і використанням їх особистих даних.
Точне визначення особистої інформації варіюватиметься залежно від конкретної країни, але, як правило, вона включає:
- Імена.
- Дати народження.
- Адреси (поштовий та електронний).
- Платіжні реквізити (номери кредитних карток).
- Розташування (IP-адреса, геолокація).
- Номери соціального страхування.
При складанні політики конфіденційності, крім того, як компанія використовуватиме інформацію, необхідно роз'яснити, як компанія виконуватиме свої юридичні зобов'язання та як особи, особисті дані яких збираються, можуть звернутися за допомогою, якщо організація не виконає ці обов'язки.
При складанні конкретної політики конфіденційності сайту чи домену необхідно спиратися на законодавчу базу країни(-н), що охоплює діяльність ресурсу. Ці приписи призначені для захисту людей, які користуються послугами сайту та їхніми особистими даними. Відповідно, якщо Ви не поінформовані про законодавчі та юридичні аспекти захисту персональних даних конкретної країни, рекомендується запросити допомогу зі складання політики конфіденційності в профільних фахівців.
У чому важливість політики конфіденційності?
Законодавством більшості розвинених країн передбачено захист особистих даних політикою конфіденційності. Кожен сайт, для доступу до повного функціоналу якого необхідний збір індивідуальних даних користувача та автентифікація, має підпорядковуватися законодавству про захист даних. Спеціальні політики захисту інформації та персональних даних Європейського Союзу, Америки та Австралії мають низку особливостей.
Як і для якої мети власником веб-сторінки збираються дані, які дії можуть здійснюватися з отриманою інформацією та перелік способів захисту, можливість/неможливість розголошення третім особам обов'язково прописуються під час укладання угоди про політику конфіденційності. Відповідно, відповідальність за збереження конфіденційності персональної інформації користувачів власник сайту бере на себе.
Політика конфіденційності в Євросоюзі
Європейський Союз відомий тим, що тут діють одні з найсуворіших законів щодо конфіденційності у світі. Наріжний камінь законодавства про конфіденційність – Загальне положення про захист даних (GDPR) – містить докладну інформацію в статтях 12, 13 та 14 про важливість складання політики конфіденційності та сприяння здійсненню прав, які мають користувачі цих даних.
зведена політика захисту особистої інформації – найважливіший документ, який контролює систему індивідуальних даних в Європейському Союзі. Якщо Ви плануєте відкрити компанію в ЄС, зверніть увагу на те, що фірма повинна потурбуватися про розроблення політики захисту персональних даних згідно з GDPR.
GDPR прийнято в травні 2018 р. на заміну Директиви про збереження даних. Ціль політики – об'єднати процеси отримання персональних даних від осіб у межах Євросоюзу. Окрім зазначених вимог, діють директиви Організації розвитку економіки щодо зберігання індивідуальних клієнтських даних:
- оповіщення відвідувачів сайту, що їхні дані збирають;
- повідомлення про цілі отримання такої інформації;
- про нерозголошення даних, якщо користувач проти цього або не обізнаний із такими планами компанії.
Щоб бути сумісною з GDPR, політика конфіденційності сайту має містити конкретні пункти. На відміну від інших законів про конфіденційність, GDPR активно застосовується. За невідповідність вимогам політики GDPR можуть бути накладені величезні штрафи в мільйони доларів.
Щоб докладніше розібратися в цьому питанні, Ви можете замовити консультацію щодо положень GDPR у фахівців нашої компанії.
Велика Британія: політика конфіденційності для сайту
З моменту набуття чинності GDPR в ЄС у 2018 р. багато країн світу наслідували його приклад й або оновили, або ввели нові правила захисту конфіденційності даних. Уряд Сполученого Королівства видав «Закон захисту даних», щоб захистити дані клієнта як на комп'ютері, так і в інших системах зберігання. Закон включає 8 положень:
- Особиста інформація обробляється чесно та легально.
- Збір здійснюється лише для зазначених цілей у межах законодавства.
- Збираються лише достатні для поставленої мети дані, без зайвих питань.
- Персональні дані мають бути дійсними та точними на момент збору.
- Інформація збирається лише на період використання згідно із зазначеною метою, після чого знищується.
- Оброблення даних здійснюється відповідно до прав користувачів.
- Із дотриманням суворих заходів щодо боротьби з незаконною діяльністю щодо особистої інформації.
- Вимоги щодо захисту конфіденційних даних згідно із законом обмежують використання отриманих конфіденційних даних у межах ЄЕЗ, крім гарантії нерозголошення цих даних третьою стороною.
Зверніть увагу, до переліку послуг нашої компанії входять консультації та допомога в складанні політики конфіденційності для сайту англійської компанії.
Спеціальні процедури політики конфіденційності в Сполучених Штатах
Немає федерального закону, що вимагає від компаній встановлювати конкретну політику захисту та зберігання персональних даних у Сполучених Штатах. Однак є закони, які обмежують це в окремих випадках:
- Закон про захист дітей (COPPA) – вимагає публікувати політику конфіденційності на дані, отримані від неповнолітніх (повнолітніми є особи у віці від 18 до 21 року, залежить від штату).
- Закон GLBA (Гремма-Ліча-Блайлі), згідно з яким реєстрація фінансової компанії в США вимагає від її засновників надавати точну та повну текстову інформацію про те, як відбувається обмін даними.
- Закон HIPAA про медстрахування та підзвітність вимагає від медичних закладів письмових повідомлень про дотримання політики конфіденційності даних для сайту.
Додатково в деяких штатах діють локальні закони про конфіденційність, наприклад, у Каліфорнії ухвалено Закон про захист конфіденційності в Інтернеті (CalOPPA). Він передбачає, що будь-який комерційний сайт, який збирає або використовує особисту інформацію від жителів Каліфорнії, повинен мати явно розміщену політику конфіденційності для сайту американської компанії, де докладно описано, як дані збираються, використовуються та передаються.
Ба більше, у 2020 р. на додаток до CalOPPA набув чинності Закон про конфіденційність споживачів Каліфорнії (CCPA). Цей законодавчий акт заохочує прозорість і, зокрема, вимагає, щоб підприємства надсилали користувачам повідомлення під час збору або до того, як вони почнуть збирати особисту інформацію. Це повідомлення має містити покликання на політику конфіденційності для сайту, яка повинна оновлюватися не менше одного разу на рік.
Отже, вирішивши зареєструвати компанію в США, необхідно дотримуватись вимог щодо захисту конфіденційних даних, які розкривають такі питання:
- яку інформацію та яким способом буде збирати компанія;
- як забезпечуватиметься захист безпеки інформації;
- як використовуватимуть зібрану інформацію;
- чи будуть дані передані третім особам;
- які права клієнта на особисту інформацію?
Для отримання додаткової інформації про CalOPPA та CCPA, Ви можете замовити консультацію щодо захисту персональних даних у США у фахівців компанії.
Політика захисту конфіденційної інформації в Австралії
Австралія регулює те, як підприємства мають обробляти особисту інформацію, у своєму Законі про конфіденційність 1988 р. Плануючи зареєструвати компанію в Австралії, зверніть увагу, що згідно з поправками до Закону необхідно скласти політику конфіденційності для сайту та розмістити її на корпоративному сайті. Політика має включати 13 пунктів, серед яких:
- отримання від користувачів безпосередньо пов'язаної з бізнесом інформації;
- при зборі особистої інформації резидент Австралії повинен бути обізнаний, з якою метою збирається інформація і хто може її бачити.
Організаціям, які повинні дотримуватись австралійських принципів конфіденційності, насамперед потрібно мати актуальну та чітко виражену політику конфіденційності, що доступна безкоштовно у відповідному форматі та містить всю інформацію, яка необхідна відповідно до цього Закону.
Як скласти політику конфіденційності для сайту?
Що саме необхідно включити в політику конфіденційності залежатиме від характеру бізнесу, від того, де Ви працюєте та де знаходяться Ваші клієнти, від законів, що застосовуються до регулювання діяльності компанії в ЄС, США, Австралії тощо. Складання privacy policy містить певні терміни, які є типовими і їх можна знайти в більшості політик конфіденційності:
Який тип персональних даних Ви хочете збирати, прямо чи опосередковано/автоматично, від імен до розташування та від номерів телефонів до адрес електронної пошти.
Необхідно бути прозорим та пояснити, як Ви плануєте збирати персональні дані своїх користувачів. Якщо Ви збираєте дані про використання, відстежуєте географічне розташування або використовуєте будь-які сторонні сервіси, наприклад, для реклами та ретаргетингу, варто згадати про це, оскільки користувачі можуть не усвідомлювати, що Ви збираєте дані у фоновому режимі.
Це важливий розділ політики конфіденційності для сайту, оскільки використання цих даних для покращення роботи Вашого веб-сайту відрізняється від продажу даних третім особам. Якщо у Вас є європейські користувачі, варто вказати правову основу для збору даних. Наприклад, якщо Ви працюєте на веб-сайті електронної комерції, Ви повинні вказати, що особиста інформація буде використовуватися для оброблення платежів і доставки продуктів клієнтам.
Необхідно повідомити користувачам, які засоби для захисту особистої інформації політикою конфіденційності (від несанкціонованого доступу) Ви плануєте використовувати.
Користувачі повинні знати, де зберігатимуться дані, як довго вони зберігатимуться і чи будуть вони передані за кордон (це може мати місце, наприклад, якщо Ваші сервери розташовані за кордоном). Так само Ви повинні бути прозорі щодо того, кому Ви передаєте дані користувача та з якою метою.
Якщо Ви використовуєте файли cookie, необхідно вказати це в політиці конфіденційності, опублікувати посилання на сторінку на Вашому веб-сайті, де розміщена політика щодо файлів cookie. Користувачі повинні мати право відмовитись від використання файлів cookie. Ви можете пояснити, як це може вплинути на їх інтерфейс користувача.
Необхідно пояснити, що обмін особистою інформацією не є обов'язковим і що користувачі можуть обмежити те, чим вони діляться, відмовитись чи відкликати свою згоду в будь-який час. У цьому розділі мають бути докладно описані всі права користувачів даних, які можуть бути прив'язані до конкретної країни або регіону, відповідно до положень GDPR.
Варто зазначити свою адресу електронної пошти, адресу вулиці та номер телефону, а також контактні дані співробітника захисту даних, якщо на сайт поширюється дія GDPR.
Залежно від характеру бізнесу може знадобитися внесення деяких додаткових умов до політики конфіденційності. Важливо регулярно оновлювати політику конфіденційності даних для сайту, щоб відповідати законам, які постійно змінюються, і враховувати будь-які зміни на веб-сайті.
Висновок
Якщо Вас цікавить, які методи збору персональних даних можна використовувати для складання політики конфіденційності, де і як зберігати особисту інформацію, як аргументувати користувачам необхідність збору інформації, як скоригувати структуру політики безпеки, рекомендуємо запросити консультацію щодо захисту конфіденційності даних у Європі у фахівців YB Case. Ми також надаємо супровід складання політики конфіденційності для сайту англійської компанії.