м. Київ, вул. Кудряшова 3
ПН-ПТ: 9:00-19:00 СБ: 10:00-17:00

Політика конфіденційності - MustHave для Вашого сайту або непотрібна формальність

Політика конфіденційності - MustHave для Вашого сайту або непотрібна формальність
27.09.20

Чому особисту інформацію потрібно захищати і як світ до цього прийшов

В процесі демократичних змін особистість увійшла під захист закону і забрала з собою особисту інформацію, оскільки недоторканність приватного життя неможлива без її приховування та збереження. Справа в тому, що після «витоку» особиста інформація потрапляє в розпорядження інших людей, що неодмінно може принести власнику такої інформації чимало проблем і неприємностей - від «забитого» рекламою електронної поштової скриньки до шахрайських операцій з особистим майном.

Працюючи на українському ринку потрібно пам'ятати про необхідність дотримання національних нормативних актів, що захищають персональні дані - Закону «Про захист персональних даних», «Про доступ до публічної інформації», «Про запобігання корупції».  Виходячи на європейський ринок потрібно дотримуватись Загального регламенту захисту персональних даних Європейського парламенту і ради (GDPR).

Саме тому адміністратори розміщують на сайтах документи, які регулюють обробку персональних даних користувачів сайту та дозволяють захистити користувача від «витоку» особистої інформації, а власника сайту - від проблем з законом.

 

Де провести чіткі межі між персональними й не персональними даними

Персональні дані - це, як правило, інформація про людину, що ідентифікує його:

  • Номери банківських карт, а також історія оплати послуг або товару;
  • Контактні дані (телефонний номер, електронна пошта);
  • Дата та місце народження;
  • ПІБ;
  • Геодані та адреса проживання;
  • Паспортні данні;
  • Індивідуальний податковий номер;
  • Стан здоров'я; персональні дані.
  • Розсилка новин та контекстна
  • Релігійні переконання;
  • Національність;
  • Освіта;
  • Сімейний стан та ін.

Наприклад, Ви заходите на сайт та купуєте товар використовуючи для оплати банківську карту. Інформація про куплений товар сама по собі не персональна, оскільки інша людина може купити такий самий товар. Але, інформація про куплений товар в сукупності з особистими даними власника банківської карти перетворюється на персональні дані. 

Розсилка реклами, механізм веб-кошика покупок і авторизація в акаунтах, робота соціальних мереж і контактна форма - ці функції та процеси передбачають доступ адміністратора до персональних даних користувача та їх обробки.

 

Політика конфіденційності сайту - прозорість та доступність

Політика конфіденційності сайту або Privacy Policy - це документ, який описує порядок отримання, зберігання та обробки персональних даних користувачів, які зайшли на сайт. Дотримання та надання згоди з умовами Політики конфіденційності - необхідна передумова для подальшого користування сайтом.

Зайшовши на сайт, кожен користувач бажає отримати гарантію захисту особистих даних, і тому на першій же сторінці сайту користувачі очікують побачити зрозумілу та відкриту Політику конфіденційності.

З точки зору адміністрації сайту, захист персональних даних дорівнює турботі про користувачів, яку можна висловити, оприлюднивши Політику конфіденційності сайту, продемонструвавши прозорість роботи сервісу та побудувавши відносини довіри з користувачами.

 

Стандарти конфіденційності. Як йти в ногу з законами про захист конфіденційності

Стандарти та правила онлайн обробки персональних даних передбачені національним та міжнародним законодавством та базуються на головному постулаті - забезпечення заходів безпеки для захисту персональних даних від несанкціонованого доступу, зміни, розголошення або знищення.

Основою «конфіденційного» законодавства європейських країн є Загальний регламент захисту персональних даних або General Data Protection Regulation (GDPR), а також документ під назвою ISO / IEC 29151 |  ITU-T X.1058. Мета Регламенту - надання контролю громадянам над власними персональними даними та зміцнення довіри до сервісів в мережі. У свою чергу, ISO / IEC 29151 |  ITU-T X.1058 встановлює норми контролю та управління у сфері захисту персональних даних згідно з рекомендаціями щодо їх впровадження, а також обумовлює цілі захисту персональних даних.

Не залежно від того, чи ведете Ви бізнес в Україні або в ЄС, в разі обробки персональних даних громадян європейських країн, необхідно дотримуватися GDPR, складаючи Політику конфіденційності сайту у повній відповідності з вимогами Регламенту. З більш детальною інформацією про правила GDPR та порядок обробки персональних даних в ЄС можна ознайомитися за посиланням.

 

Приблизний гайд по складанню Політики конфіденційності з урахуванням основних принципів GDPR:

1. Легкодоступність.

Посилання на Політику конфіденційності сайту або Privacy Policy - повинно розміщуватися на зручній для відвідувача сторінці сайту у полі зору. Не варто «ховати» Політику конфіденційності сайту, краще дати користувачеві розуміння того, що Ви працюєте відкрито.

2. Чіткість.

Не перевантажуйте текст та не ускладнюйте його сприйняття користувачем. Мета Політики конфіденційності сайту - донести відвідувачеві сайту переконливу тезу, що персональні дані в надійних руках.

3. Преамбула.

Преамбула - вступна частина Політики конфіденційності сайту, повинна описувати не тільки ким і для чого публікується цей документ, але й обов'язково акцентувати увагу користувача на необхідності надання згоди на обробку персональних даних. Політика конфіденційності сайту по своїй суті - публічний договір оферти, погоджуючись з умовами якого, користувач отримує повний доступ до послуг сайту, сервісу, проте натомість зобов'язується дотримуватися вимог адміністрації.

4. Визначення та терміни.

В цьому розділі Політики конфіденційності сайту рекомендується вказати терміни та визначення, що використовуються по тексту, для зручності користувача й однакового сприйняття тексту Політики.

Мало хто з користувачів розуміють хитромудрі терміни, тому детальне й просте визначення допоможе надалі уникнути непорозумінь та конфліктів.

5. Статус Суб'єктів даних, Контролера (data controller) та Процесора (data processor).

Суб'єкти даних - це користувачі сайту, сервісу, які погодилися з умовами Політики конфіденційності сайту.

Контролери - це фізичні або юридичні особи, які адмініструють сайт або сервіс, яким користувачі надають персональні дані. В українському законодавстві Контролер має назву «Одержувач» (ст. 2 Закону «Про захист персональних даних»).

Процесори - це особи, які обробляють персональні дані користувачів від імені Контролерів на підставі укладеного договору або угоди, однак відповідальність за нерозголошення персональних даних та дотриманні правил GDPR при обробці персональних даних несе Контролер.

6. Види інформації та мета збору.

З тексту Політики конфіденційності сайту користувач повинен зрозуміти, що відвідування та використання сайту нерозривно пов'язане з необхідністю збору та обробки персональних даних. Відмова від надання даних при реєстрації або надання неправдивих даних, відмова від обробки, тягне за собою неможливість надання послуг.

Акцентуйте увагу на таких нюансах, як момент збору інформації та добровільність її надання, оскільки адміністрація обробляє особисті дані користувача, які він надає безпосередньо при створенні та перевірці облікового запису на сайті або дані генеруються користувачем, використовуючи послуги, запропоновані сайтом (наприклад, здійснюючи оплату і ін.).

Вкажіть, що цілі обробки персональних даних можуть бути наступними:

  • ідентифікація і аутентифікація користувачів, відстеження операцій та синхронізація уподобань користувача;
  • забезпечення безпеки доступу до облікового запису та транзакцій;
  • забезпечення виконання умов Угоди користувача (Terms of Use) та інших політик;
  • виявлення та запобігання шахрайським, незаконним або будь-який іншим діям, що можуть поставити під загрозу або негативно вплинути на роботу сайту, сервісу;
  • направлення інформаційних та рекламних повідомлень за згодою користувача та інші.

7. Підстави обробки персональних даних.

Персональні дані користувача можуть оброблятися на наступних правових підставах:

  • за згодою користувача в обсязі, передбаченому згодою, наприклад, підписка на рекламну розсилку, згода є добровільною та може бути відкликана за бажанням користувача;
  • на підставі прийняття користувачем умов Угоди користувача й Політики конфіденційності сайту.

Зазначений перелік не є вичерпним та може бути доповнений виходячи з аналізу роботи Вашого сайту, сервісу.

8. Обробка персональних даних третіми особами.

Законодавством України та ЄС заборонено передавати і продавати персональні дані користувачів, за винятком випадків, передбачених Політикою конфіденційності сайту та законодавством.

Передаючи персональні дані третім особам, Ви повинні дотриматись умов:

По-перше, передаючи персональні дані користувача Ви повинні гарантувати, що організації, з якими Ви співпрацюєте, забезпечують дотримання необхідних заходів при обробці персональних даних у повній відповідності до вимог національних нормативних актів та положень GDPR.

Такими третіми особами можуть бути компанії, які надають послуги хостингу, банківські або в IT-сфері. Приблизний перелік третіх осіб Ви повинні вказати у Політиці конфіденційності сайту.

По-друге, передоручення обробки деяких персональних даних третім особам, не означає втрату контролю над ними. Ви повинні координувати дії третіх осіб, щоб персональні дані користувача були використані відповідно до закону та лише в тій частині, в якій були довірені для обробки.

Ще однією підставою розкриття персональних даних може бути судове рішення або запит правоохоронних органів для виявлення або запобігання дій, пов'язаних з шахрайством або проблемами безпеки.

9. Терміни зберігання персональних даних.

Одним з основних вимог GDPR є чітке встановлення в Політиці конфіденційності сайту термінів зберігання персональних даних користувача.

Персональні дані користувача зберігаються в формі, яка дозволяє його ідентифікувати протягом усього терміну використання сайту або сервісу, до досягнення цілей обробки.

При цьому Ви зобов'язані негайно припинити обробку персональних даних, у разі анулювання користувачем своєї згоди на обробку.

10. Права користувачів.

Звертаємо увагу, що Закон України «Про захист персональних даних» гарантує всім громадянам захист персональних даних, право заперечувати проти їх обробки або збирання, вимагати змінити або знищити свої персональні дані, знати про способи збору таких даних.

GDPR також пред'являє ряд вимог до списку прав, які повинні бути вказані в Політиці конфіденційності сайту. Так, кожен користувач, як суб'єкт обробки персональних даних, володіє правами:

  • вимагати виправлення персональних даних;
  • запитувати доступ до персональних даних;
  • вимагати видалення або обмеження персональних даних;
  • заперечувати проти обробки персональних даних;
  • переносити персональні дані з одного сервісу до іншого;
  • негайно виправляти персональні дані, якщо вони невірні;
  • подати скаргу на порушення прав.

11. Політика щодо неповнолітніх користувачів мережі Інтернет.

Будьте обережні з цільовою аудиторією сайту та персональними даними неповнолітніх. Діти у віці до 18 років не повинні надавати особисту інформацію без дозволу батьків або осіб які їх замінюють. Зробіть акцент в Політиці конфіденційності сайту, що навмисно не збираєте персональні дані дітей, однак якщо це станеться, то дані будуть видалені.

12. Файли cookie.

Файл cookie невеликі текстові файли, які відправляються сервером та зберігаються на пристрої користувача сайту в цілях:

  • ідентифікації користувача сайту;
  • збереження даних через заповнені форми, анкети для входу на сайт;
  • адаптації контенту сайту до індивідуальних уподобань користувачів;
  • ведення анонімної статистики, активності відвідування сайту;
  • показ реклами згідно уподобаннями користувача;
  • поліпшення й оптимізації функціонування сайту.

Політика конфіденційності сайту неодмінно повинна передбачати процес обробки файлів сookies, якщо вони використовуються адміністрацією сайту.

 

ВИСНОВОК

Зазначений гайд це лише коротка інструкція. Виходячи з власної практики, можемо з упевненістю сказати, що шаблону на всі випадки життя - немає. Кожна Політика конфіденційності сайту унікальна. Складена вона для on-line школи або міжнародного криптообмінного сервісу, Політика повинна відобразити тонкощі збору персональних даних, попередити користувача про обробку та зберігання даних, нагадати, що Ви не обмежуєте права користувача, а лише даєте право вибору.

Останні статті
Захист доменного імені. 3 основних способи | STALIROV&CO‎
Нова стаття
18.11.20
Захист доменного імені. 3 основних способи | STALIROV&CO‎
Питання - як захистити права на домен? Вибір стратегії залежить від виду спору і способу захисту. Важливо, які вимоги пред'явлені і яка інституція розгляне спір. З цими питаннями розберемося далі.
Читати статтю
Політика конфіденційності - MustHave для Вашого сайту або непотрібна формальність
Нова стаття
27.09.20
Політика конфіденційності - MustHave для Вашого сайту або непотрібна формальність
Політика конфіденційності. Як скласти політику конфіденційності для сайту
Читати статтю
Договір про надання ІТ-послуг - MSA, NDA, NCA
Нова стаття
14.08.20
Договір про надання ІТ-послуг - MSA, NDA, NCA
Часто в процесі роботи виникають питання, про які замовнику та виконавцю варто домовитися перед початком співпраці.
Читати статтю
Слідкуйте за останніми новинами
Cтатті зі схожою тематикою
Передзвоніть мені
Дякуємо за звернення!

IT-юрист зв'яжеться з вами та розкаже про юридичні рішення

OK
Дякуємо за запит!

IT-юрист зателефонує вам для з'ясування деталей

OK
Дякуємо за відгук!

Ми будемо раді, якщо ви розкажете про нас друзям і колегам

OK
Дякуємо за запит!

Команда IT-юристів зв'яжеться з вами та розкаже про варіанти рішень

OK
Дякуємо за запит!

IT-юрист зв'яжеться з вами та поставить декілька додаткових питань

OK
Дякуємо за інтерес!

Очікуйте рекомендації IT-юристів

OK
Дякуємо за запит!

Команда IT-юристів підготує рішення для вас

OK
Дякуємо за звернення!

IT-юрист розбере вашу ситуацію та запропонує рішення

OK