г. Киев, ул. Кудряшова 3
ПН-ПТ: 9:00-19:00 СБ: 10:00-17:00

Политика конфиденциальности – MustHave для Вашего сайта или ненужная формальность

Политика конфиденциальности – MustHave для Вашего сайта или ненужная формальность
27.09.20

Почему личную информацию нужно защищать и как мир к этому пришел

В процессе демократических изменений личность ушла под защиту закона и забрала с собою личную информацию, поскольку неприкосновенность частной жизни невозможна без её сокрытия. Дело в том, что после «утечки» личная информация попадает в распоряжение других людей, что принесет владельцу такой информации немало проблем и неприятностей - от «забитого» рекламой электронного почтового ящика до мошеннических операций с личным имуществом.

Работая на украинском рынке нужно помнить о необходимости соблюдения национальных нормативных актов, защищающих персональные данные - Закона «О защите персональных данных», «О доступе к публичной информации», «О предотвращении коррупции». Выходя на европейский рынок нужно считаться с Общим регламентом защиты персональных данных Европейского парламента и совета (GDPR). 

Именно поэтому администраторы размещают на сайтах документы, которые регулируют обработку персональных данных пользователей сайта и позволяют защитить посетителя от «утечки» личной информации, а собственника сайта – от проблем с законом.

 

Где провести четкие границы между персональными и не персональными данными

Персональные данные - это, как правило, информация о человеке, идентифицирующая его:

  • Номера банковских карт, а также история оплаты услуг или товара;
  • Контактные данные (телефонный номер, электронная почта);
  • Дата и место рождения;
  • ФИО;
  • Геоданные и адрес проживания;
  • Паспортные данные;
  • Индивидуальный налоговый номер;
  • Состояние здоровья;
  • Религиозные убеждения;
  • Национальность;
  • Образование;
  • Семейное положение и т.д.

К примеру, Вы заходите на сайт и покупаете товар используя для оплаты банковскою карту. Информация о купленном товаре сама по себе не персональная, поскольку другой человек может купить тот же товар. Но, информация о купленном товаре в совокупности с личными данными владельца банковской карты превращается в персональные данные.

Рассылка новостей и выборочная реклама, механизм веб-корзины покупок и авторизация в аккаунтах, работа социальных сетей и контактная форма – эти функции и процессы предполагают доступ администратора к персональным данным посетителя и, соответственно, и обработку.

 

Политика конфиденциальности - прозрачность и доступность

Политика конфиденциальности сайта или Privacy Policy - это документ, который описывает порядок получения, хранения и обработки персональных данных пользователей, зашедших на сайт. Соблюдение и согласие с условиями Политики конфиденциальности - необходимое условие для дальнейшего пользования сайтом.

Зайдя на сайт, каждый пользователь хочет получить гарантию защиты личных данных, и поэтому на первой же странице сайта пользователи ожидают увидеть понятную и открытую Политику конфиденциальности.

С точки зрения администрации сайта, защита персональных данных равна заботе о пользователях, которую можно выразить, опубликовав Политику конфиденциальности, продемонстрировав прозрачность работы сервиса и построив отношения доверия с пользователями.

 

Стандарты конфиденциальности. Как идти в ногу с законами о защите конфиденциальности

Стандарты и правила онлайн обработки персональных данных предусмотрены национальным и международным законодательством и основаны на главном постулате – обеспечение мер безопасности для защиты персональных данных от несанкционированного доступа, изменения, разглашения или уничтожения.

Основой «конфиденциального» законодательства европейских стран является Общий регламент защиты персональных данных или General Data Protection Regulation (GDPR), а также документ под названием ISO/IEC 29151 | ITU-T X.1058. Цель Регламента – предоставление контроля гражданам над собственными персональными данными и укрепление доверия к сервисам в сети. В свою очередь, ISO/IEC 29151 | ITU-T X.1058 устанавливает нормы контроля и управления в области защиты персональных данных с рекомендациями по поводу их внедрения, а также оговаривает цели защиты персональных данных.

Не зависимо от того, ведете ли Вы бизнес в Украине либо в ЕС, в случае обработки персональных данных граждан европейских стран, необходимо соблюдать GDPR, составляя Политику конфиденциальности сайта в полном соответствии с требованиями Регламента. С более детальной информацией о правилах GDPR и порядке обработки персональных данных в ЕС можно ознакомиться по ссылке

 

Примерный гайд по составлению Политики конфиденциальности с учетом основных принципов GDPR:

1. Легкодоступность.

Ссылка на Политику конфиденциальности сайта или Privacy Policy – должна размещаться на удобной и видимой для посетителя странице сайта. Не стоит «прятать» Политику конфиденциальности, лучше дать пользователю понимание того, что Вы работаете открыто.

2. Четкость.

Не перегружайте текст и не усложняйте его восприятие пользователем. Цель Политики конфиденциальности сайта - донести посетителю сайта убедительный тезис, что персональные данные в надёжных руках.

3. Преамбула.

Преамбула - вступительная часть Политики конфиденциальности сайта, должна описывать не только кем и для чего публикуется этот документ, но и обязательно акцентировать внимание пользователя на необходимости предоставления согласия на обработку персональных данных. Политика конфиденциальности сайта по своей сути - публичный договор оферты, соглашаясь с условиями которого, пользователь получает полный доступ к услугам сайта, сервиса, однако взамен обязуется соблюдать требования администрации. 

4. Определения и термины.

В этом разделе Политики конфиденциальности сайта рекомендуется указать термины и определения, используемые по тексту, для удобства пользователя и единообразного восприятия текста Политики.

Не многие из пользователей понимают замысловатые термины, поэтому детальное и простое определение поможет в дальнейшем исключить недопонимание и конфликты. 

5. Статус Субъектов данных, Контроллера (data controller) и Процессора (data processor).

Субъекты данных – это пользователи сайта, сервиса, которые приняли условия Политики конфиденциальности. 

Контроллеры – это физические или юридические лица, которые администрируют сайт или сервис, в связи с чем пользователи предоставляют персональные данные. В украинском законодательстве Контроллер определен как «Получатель» (ст. 2 Закона «О защите персональных данных»).

Процессоры – это лица, обрабатывающие персональные данные пользователей от имени Контроллеров на основании заключенного договора или соглашения, однако ответственность за неразглашение персональных данных и соблюдении правил GDPR при обработке персональных данных несет Контроллер.

6. Виды информации и цели сбора.

Из текста Политики конфиденциальности сайта пользователь должен понять, что посещение и использование сайта неразрывно связано с необходимостью сбора и обработки персональных данных. Отказ от предоставления данных при регистрации или предоставление ложных данных, отказ от обработки, влечет за собой невозможность предоставление услуг.

Акцентируйте внимание на таких нюансах, как момент сбора информации и добровольность предоставления, поскольку администрация обрабатывает личные данные пользователя, которые он предоставляет непосредственно при создании и проверке учетной записи на сайте или данные генерируемые пользователем, используя услуги, предлагаемые сайтом (например, совершая оплату и др.). 

Укажите, что цели обработки персональных данных могут быть следующими:

  • идентификация и аутентификация пользователей, отслеживание операций и синхронизация предпочтений пользователя;
  • обеспечение безопасности доступа к учетной записи и транзакциям;
  • обеспечение исполнения условий Пользовательского соглашения (Terms of Use) и других политик;
  • выявление и предотвращение мошеннической, незаконной или любой другой деятельности, которая может поставить под угрозу или негативно повлиять на работу сайта, сервиса;
  • отправка информационных и рекламных уведомлений с согласия пользователя и другие.

7. Основания обработки персональных данных.

Персональные данные пользователя могут обрабатываться на следующих правовых основаниях:

  • с согласия пользователя - в объеме, предусмотренном согласием, например, подписка на рекламную рассылку, согласие является добровольным и может быть отозвано по желанию пользователя;
  • на основании принятия пользователем условий Пользовательского соглашения и Политики конфиденциальности сайта.

Указанный список не исчерпывающий и может быть дополнен исходя из анализа работы Вашего сайта, сервиса.

8. Обработка персональных данных третьими лицами.

Законодательством Украины и ЕС запрещено передавать и продавать персональные данные пользователей, за исключением случаев, предусмотренных Политикой конфиденциальности сайта и законодательством. 

Передавая персональные данные третьим лицам, Вы должны соблюсти условия:

Во-первых, передавая персональные данные пользователя Вы должны гарантировать, что организации, с которыми Вы сотрудничаете, обеспечивают соблюдение необходимых мер при обработке персональных данных, соблюдая национальные нормативные акты и положения GDPR.

Такими третьими лицами могут быть компании, оказывающие услуги хостинга, банковские или в IT-сфере. Примерный перечень третьих лиц Вы должны указать в Политике конфиденциальности сайта. 

Во-вторых, передоверие обработки некоторых личных данных третьим лицам, не означает потерю контроля над ними. Вы должны координировать третьи лица, чтобы персональные данные пользователя были использованы в соответствии с законом и только в той части, в которой были доверены для обработки.

Еще одним основанием раскрытия персональных данных может быть судебное решение или запрос правоохранительных органов для выявления или предотвращения действий, связанных с мошенничеством или проблемами безопасности.

9. Сроки хранения персональных данных.

Одним из основных требований GDPR является четкое установление в Политике конфиденциальности сайта сроков хранения персональных данных пользователя. 

Персональные данные пользователя хранятся в форме, которая позволяет его идентифицировать на протяжении всего срока использования сайта либо сервиса, до достижения целей обработки.

При этом Вы обязаны немедленно прекратить обработку персональных данных, в случае аннулирования пользователем своего согласия на обработку.

10. Права пользователей.

Обращаем внимание, что Закон Украины «О защите персональных данных» гарантирует всем гражданам защиту персональных данных, право возражать против их обработки или сбора, требовать изменить или уничтожить свои персональные данные, знать о способах сбора таких данных.

GDPR также предъявляет ряд требований к списку прав, которые должны быть указаны в Политике конфиденциальности сайта. Так, каждый пользователь, как субъект обработки персональных данных, обладает правами:

  • требовать исправления персональных данных;
  • запрашивать доступ к персональным данным;
  • требовать удаления или ограничения персональных данных;
  • возражать против обработки персональных данных;
  • переносить персональные данные с одного сервиса в другой;
  • немедленно исправлять персональные данные, если они неверны;
  • подать жалобу на нарушение прав.

11. Политика относительно несовершеннолетних пользователей сети Интернет.

Будьте осторожны с целевой аудиторией сайта и персональными данными несовершеннолетних. Дети в возрасте до 18 лет не должны предоставлять личную информацию без разрешения их родителей или лиц их заменяющих. Сделайте акцент в Политике конфиденциальности сайта, что специально не собираете персональные данные детей, однако если это произойдет, то данные будут удалены.

12. Файлы cookie.

Файл cookie небольшие текстовые файлы, которые отправляются сервером и сохраняются на устройстве посетителя сайта в целях:

  • идентификации посетителя сайта;
  • сохранение данных через заполненные формы, анкеты или данных для входа на сайт;
  • адаптации контента сайта к индивидуальным предпочтениям пользователей;
  • ведения анонимной статистики, активности посещения сайта;
  • отображения рекламы согласно предпочтений пользователя;
  • улучшения и оптимизации функционирования сайта.

Политика конфиденциальности сайта непременно должна предусматривать процесс обработки файлов сookies, если они используются администрацией сайта.

 

ЗАКЛЮЧЕНИЕ

Указанный гайд это всего лишь краткая инструкция. Исходя из личной практики, можем с уверенностью сказать, что шаблона на все случаи жизни – нет. Каждая Политика конфиденциальности сайта уникальна. Составлена ли она для on-line школы или международного криптообменного сервиса, Политика должна отобразить тонкости сбора персональных данных, предупредить пользователя об обработке и хранении данных, напомнить, что Вы не ограничиваете права пользователя, а лишь даете право выбора.

Последние статьи
Юридические аспекты gamedev бизнеса: от регистрации до привлечения инвесторов.
Новая статья
19.01.21
Юридические аспекты gamedev бизнеса: от регистрации до привлечения инвесторов.
Защиты gamedev бизнеса от юридических рисков. Подробное описание действий в статье.
Читать статью
Договор о неразглашении конфиденциальной информации для IT компании. NDA | STALIROV&CO‎
Новая статья
03.12.20
Договор о неразглашении конфиденциальной информации для IT компании. NDA | STALIROV&CO‎
Зачем IT компании заключать NDA? Что предусмотреть? Рекомендации IT юристов в статье.
Читать статью
Защита доменного имени. 3 основных способа | STALIROV&CO‎
Новая статья
18.11.20
Защита доменного имени. 3 основных способа | STALIROV&CO‎
Вопрос - как защитить права на домен? Выбор стратегии зависит от вида спора и способа защиты. Важно, какие требования предъявлены и какая институция рассмотрит спор. С этими вопросами разберемся далее.
Читать статью
Следите за последними новостями
Статьи со схожей тематикой
Перезвоните мне
Благодарим за обращение!

IT-юрист свяжется с вами и расскажет о юридических решениях

OK
Благодарим за запрос!

IT-юрист перезвонит вам для обсуждения деталей

OK
Благодарим за отзыв!

Мы будем рады, если вы расскажете о нас друзьям и коллегам

OK
Благодарим за запрос!

Команда IT-юристов свяжется с вами и расскажет о вариантах решений

OK
Благодарим за запрос!

IT-юрист свяжется с вами и задаст несколько дополнительных вопросов

OK
Благодарим за интерес!

Ожидайте рекомендации IT-юристов

OK
Благодарим за запрос!

Команда IT-юристов подготовит решение для вас

OK
Благодарим за обращение!

IT-юрист разберет вашу ситуацию и предложит решение

OK