Як власнику сайту (або мобільного застосунку), який збирає персональну інформацію, потрібно зробити свій внесок шляхом розробки політики конфіденційності сайту.
У цій статті пояснюється, наскільки важливим є захист персональних даних для бізнесу, роз'яснюються можливі наслідки та штрафи за недотримання політики конфіденційності даних, за невідповідність вимогам GDPR та іншим положенням про захист даних.
Що таке Privacy Policy?
Особисті дані користувачів належать до характеристик, рис або атрибутів особистості, які можуть використовуватися для ідентифікації конкретної особи. Вимоги до захисту персональних даних включають конкретні процедури, спрямовані на мінімізацію втручання в приватне життя людей, викликаного збиранням і використанням їх персональних даних.
Точне визначення особистої інформації змінюватиметься залежно від конкретної країни, але, як правило, воно включає таке:
- Імена.
- Дата народження.
- Адреси (поштова та електронна).
- Платіжні реквізити (номери кредитних карток).
- Розташування (IP-адреса, геолокація).
- Номери соціального страхування
На додаток до опису того, як компанія буде використовувати інформацію, при складанні політики конфіденційності, необхідно роз'яснити те, як компанія виконуватиме свої юридичні зобов'язання і як особи, особисті дані яких збираються, можуть звернутися за допомогою, якщо організація не виконає ці обов'язки.
У чому полягає важливість політики конфіденційності?
Законодавством більшості розвинених країн передбачено захист особистих даних політикою конфіденційності. Кожен сайт, для доступу до повного функціоналу якого необхідний збір індивідуальних даних користувача та аутентифікація, має підпорядковуватися законодавству щодо захисту даних. Спеціальні політики захисту інформації та персональних даних Європейського Союзу, Америки та Австралії мають низку особливостей.
Як і для якої мети власником вебсторінки збираються дані, які дії можуть виконуватися з отриманою інформацією та перелік способів захисту, можливість/неможливість розголошення третім особам обов'язково прописуються при складанні політики конфіденційності для сайту. Відповідно, відповідальність за збереження конфіденційності персональної інформації користувачів власник сайту бере на себе.
Політика конфіденційності в Євросоюзі
Європейський Союз відомий тим, що тут діють суворі закони щодо конфіденційності. Наріжний камінь законодавства про конфіденційність, Загальне положення про захист даних (GDPR), містить докладну інформацію у статтях 12, 13 та 14 про важливість складання політики конфіденційності та сприяння здійсненню прав, які мають користувачі цих даних.
GDPR прийнято в травні 2018 р. з метою замінити Директиву про збереження даних. Мета політики – об'єднати процеси отримання персональних даних від осіб у межах Євросоюзу. Понад зазначені вимоги діють Директиви Організації розвитку економіки щодо зберігання індивідуальних клієнтських даних:
- Сайт повинен інформувати відвідувачів про те, що їх дані збираються.
- У політиці конфіденційності мають чітко вказуватись цілі збору такої інформації.
- Користувачі повинні бути повідомлені про те, що їх дані не будуть розголошені без їхньої згоди, за винятком випадків, передбачених законом.
- Якщо для збору даних потрібна згода користувача, цей момент має бути відображений у політиці конфіденційності. Користувачам надаються інструкції про те, як відкликати свою згоду.
Щоб бути сумісною з GDPR, політика конфіденційності сайту має містити конкретні пункти. На відміну від інших законів про конфіденційність, GDPR активно застосовується, і за невідповідність вимогам політики GDPR можуть бути накладені величезні штрафи в мільйони доларів.
Щоб детальніше розібратися в поточному питанні, можете замовити консультацію щодо положень GDPR у фахівців нашої компанії.
Велика Британія: політика конфіденційності для сайту
З моменту набуття чинності GDPR ЄС у 2018 р. багато країн світу брали його як приклад і або оновили, або ввели нові правила захисту конфіденційності даних. Уряд Сполученого Королівства видав «Закон захисту даних», щоб захистити дані клієнта як на комп'ютері, так і в інших системах зберігання. Закон включає 8 положень:
- Особиста інформація обробляється чесно та легально.
- Збирання здійснюється лише для зазначених цілей у межах законодавства.
- Збираються лише достатні для наміченої мети дані, без зайвих питань.
- Персональні дані мають бути дійсними та точними на момент збору.
- Інформація збирається лише на період використання згідно з зазначеною метою, після чого знищується.
- Обробка даних здійснюється відповідно до прав користувачів.
- З дотриманням суворих заходів щодо боротьби з незаконною діяльністю щодо особистої інформації.
- Вимоги щодо захисту конфіденційних даних згідно із законом обмежують використання отриманих конфіденційних даних у межах ЄЕЗ, крім гарантії нерозголошення цих даних третьою стороною.
Зверніть увагу, до переліку послуг нашої компанії входять консультації та допомога в складанні політики конфіденційності для сайту англійської компанії.
Спеціальні процедури політики конфіденційності у Сполучених Штатах
Немає федерального закону, який вимагає від компаній встановлювати конкретну політику захисту та зберігання персональних даних у Сполучених Штатах. Однак існують закони, які обмежують це в окремих випадках:
- Закон про захист дітей (COPPA) — вимагає публікувати політику конфіденційності на дані, отримані від неповнолітніх (повнолітніми вважаються особи у 18-21 рік, залежить від штату).
- Закон GLBA (Гремма-Ліча-Блайлі), згідно з яким реєстрація фінансової компанії в США вимагає від її засновників надавати точну та повну текстову інформацію про те, як відбувається обмін даними.
- Закон HIPAA про медстрахування та підзвітність вимагає від медичних закладів письмового повідомлення про дотримання політики конфіденційності даних для сайту.
Додатково в деяких штатах діють локальні закони про конфіденційність, наприклад, у Каліфорнії ухвалено Закон про захист конфіденційності в інтернеті (CalOPPA). Він передбачає, що будь-який комерційний сайт, який збирає або використовує особисту інформацію від жителів Каліфорнії, повинен мати явно розміщену політику конфіденційності для сайту американської компанії, де докладно описано, як дані збираються, використовуються та передаються.
Отже, вирішивши зареєструвати компанію в США, необхідно дотримуватись вимог щодо захисту конфіденційних даних, які розкривають такі питання:
- яку інформацію та яким способом буде збирати компанія;
- як забезпечуватиметься захист безпеки інформації;
- як використовуватимуть зібрану інформацію;
- чи будуть дані передані третім особам;
- які права клієнта на особисту інформацію?
Для отримання додаткової інформації про CalOPPA та CCPA, Ви можете замовити консультацію щодо захисту персональних даних у США у фахівців компанії.
Політика захисту конфіденційної інформації в Австралії
Австралія регулює, як підприємства мають обробляти особисту інформацію, у своєму Законі про конфіденційність 1988 р. Плануючи зареєструвати компанію в Австралії, зверніть увагу, що згідно з поправками до Закону необхідно скласти політику конфіденційності для сайту та розмістити її на корпоративному сайті. Політика має включати 13 пунктів, з-поміж яких:
- отримання від користувачів прямо пов'язаної з бізнесом інформації;
- при зборі особистої інформації резидент Австралії повинен бути обізнаний, з якою метою збирається інформація і хто може її бачити.
Організаціям, які повинні дотримуватись австралійських принципів конфіденційності, насамперед потрібно мати актуальну та чітко виражену політику конфіденційності, доступну безкоштовно у відповідному форматі та яка містить всю інформацію, необхідну відповідно до цього Закону.
Як складати політику конфіденційності для сайту?
Те, що Ви повинні включити в політику конфіденційності, буде залежати від характеру бізнесу, того, де Ви працюєте і де знаходяться Ваші клієнти, закони, що застосовуються до регулювання діяльності компанії в ЄС, США, Австралії тощо. Однак складання privacy policy включає деякі терміни, які є досить стандартними і їх можна знайти в більшості політик конфіденційності:
- Особиста інформація. Який вид персональних даних Ви хочете збирати, прямо чи опосередковано/автоматично, від імен до розташування та від номерів телефонів до адрес електронної пошти.
- Процес збирання. Ви повинні бути прозорі та пояснити, як Ви плануєте збирати персональні дані своїх користувачів. Якщо Ви збираєте дані про використання, відстежуєте географічне розташування або використовуєте будь-які сторонні сервіси, наприклад, для реклами та ретаргетингу, варто згадати про це, оскільки користувачі можуть не усвідомлювати, що Ви збираєте дані у фоновому режимі.
- Використання. Це важливий розділ політики конфіденційності для сайту, оскільки використання цих даних для покращення роботи Вашого вебсайту відрізняється від продажу даних третім особам. Якщо у Вас є європейські користувачі, потрібно вказати правову основу для збору даних. Наприклад, якщо Ви працюєте на вебсайті електронної комерції, Ви повинні вказати, що особиста інформація буде використовуватися для обробки платежів і доставки продуктів клієнтам.
- Безпека. Необхідно повідомити користувачам, які засоби захисту особистої інформації політикою конфіденційності (від несанкціонованого доступу) Ви плануєте використовувати.
- Зберігання та спільне використання. Користувачі повинні знати, де зберігатимуться дані, як довго вони зберігатимуться і чи будуть вони передані за кордон (це може мати місце, наприклад, якщо Ваші сервери розташовані за кордоном). Так само Ви повинні бути прозорими щодо того, кому Ви передаєте дані користувача і з якою метою.
- Файли cookie. Якщо Ви використовуєте файли cookie, необхідно вказати це в політиці конфіденційності, опублікувати посилання на сторінку на Вашому вебсайті, де розміщена політика щодо файлів cookie. Користувачам потрібно надати можливість відмовитись. Ви можете пояснити, як це може вплинути на їх інтерфейс користувача.
- Відмова та права суб'єкта даних. Необхідно пояснити, що обмін особистою інформацією не є обов'язковим і що користувачі можуть обмежити те, чим вони діляться, відмовитись чи відкликати свою згоду в будь-який момент. У цьому розділі мають бути докладно описані всі права користувачів даних, які можуть бути прив'язані до конкретної країни або регіону згідно з положеннями GDPR.
- Контактна інформація. Необхідно зазначити свою адресу ел. пошти, адресу вулиці та номер телефону, а також контактні дані співробітника із захисту даних, якщо на сайт поширюється дія GDPR.
- Інше. Залежно від характеру бізнесу може знадобитися додати деякі додаткові умови до політики конфіденційності. Важливо регулярно оновлювати політику конфіденційності даних для сайту, щоб відповідати законам, які постійно змінюються, і враховувати будь-які зміни на вебсайті.
Висновок
Якщо Вас цікавить, які методи збору персональних даних можна використовувати для складання політики конфіденційності, де і як зберігати особисту інформацію, як аргументувати користувачам необхідність збору інформації, як скоригувати структуру політики безпеки, рекомендуємо запросити консультацію щодо захисту конфіденційності даних у Європі у фахівців YB Case. Ми також надаємо супроводження складання політики конфіденційності для сайту англійської компанії.