Политика конфиденциальности — это не просто формальность или галочка на сайте, а ваш щит от юридических рисков и репутационных потерь. Если вы не уделяете ей должного внимания, вы оставляете свою компанию без защиты.
Мы спросили у IT юристов как составить Политику конфиденциальности на сайт и выполнить требования GDPR.
GDPR требует, чтобы компании предоставляли прозрачную и доступную информацию о том, как они собирают, используют, хранят и защищают персональные данные. Политика конфиденциальности должна быть написана простым и понятным языком, избегая сложных юридических терминов. Она должна включать всю необходимую информацию для того, чтобы пользователи могли принять осознанное решение о предоставлении своих данных.
Структурируйте документ и используйте гиперссылки. Старайтесь предоставить текст Политики на родном языке пользователя. Например, Голландский орган контроля оштрафовал TikTok на €750 000 за публикацию Политики конфиденциальности для голландских пользователей исключительно на английском языке. Это затруднило пользователям доступ и понимание информации про обработку данных, а значит нарушило GDPR.
Что писать в Политики конфиденциальности?
IT юристы Stalirov&Co рассказали какие ключевые элементы должен включать документ.
- Описание данных, которые собирает компания
Политика конфиденциальности должна включать подробное описание того, какие именно данные собираются. Список персональных данных должен быть исчерпывающим. Это могут быть:
- Личные данные (имя, фамилия, адрес электронной почты)
- Финансовая информация (номер кредитной карты)
- Технические данные (IP-адрес, файлы cookie)
- Поведенческие данные (история посещений сайта)
Также важно указать, как и где эти данные собираются — через формы на сайте, автоматически и т.д.
Политика Cookie
Cookie – это фрагмент данных, который сервер отправляет в браузер пользователя. Cookie применяется для аналитики, производительности и рекламных целей. Чтобы использование Cookie было законным, нужно:
- определить виды и цели использования Cookie файлов
- Получить согласие на Cookie (например, через поп-ап на сайте)
- дать инструкции пользователям как от них отказаться
Важно добавить в Политику конфиденциальности правило про обработку данных детей. В статье 8 (1) GDPR обозначено, что обработка персональных данных ребенка законна, если ребенку исполнилось не менее 16 лет. Если ребенку меньше 16 лет, данные можно обрабатывать только с согласия родителя или лица, которое несет ответственность за ребенка. Страны ЕС могут установить более низкий возраст для этого, но не меньше 13 лет. Например, в Дании, Великобритании и Швеции возрастной порог установлен на уровне 13 лет, в Италии и Испании — 14 лет, а во Франции и Греции — 15 лет. Юристы советуют проверять актуальные ограничения по возрасту в стране, где доступен ваш программный продукт.
Например, веб-сайт banderacatalana.cat не уточнили эту информацию и написали в своей Политике, что для подписки на информационный бюллетень требуется минимальный возраст 13 лет. Но оказалось, что в Испании допустимый возраст – 14 лет. Из-за этого веб-сайт получил штраф в €10 000.
- Цели сбора данных
Определите конкретные, законные и четкие цели сбора и обработки персональных данных. Такие цели могут включать:
- Администрирование сайта
- Улучшение пользовательского опыта
- Маркетинговые кампании
- Анализ и статистика
Каждая цель должна быть четко обозначена и объяснена в Политике конфиденциальности.
Если компания хочет обрабатывать персональные данные для другой цели, чем та, для которой персональные данные были получены, нужно предоставить пользователю, до начала дальнейшей обработки, информацию о другой цели. Проще говоря – обновить Политику конфиденциальности и сообщить об этом пользователю.
- Правовые основания для обработки данных
GDPR требует, чтобы обработка данных имела правовые основания. Ваша Политика конфиденциальности должна четко указать, на каком основании вы обрабатываете данные. Основные правовые основания включают:
- Согласие пользователя
- Выполнение контракта
- Соблюдение правовых обязательств
- Защита жизненно важных интересов
- Задачи, выполняемые в общественных интересах или в рамках осуществления официальных полномочий
- Законные интересы компании
- Передача данных третьим лицам
Если ваши процессы включают передачу персональных данных третьим лицам (например, сервисам аналитики, платежным системам), это должно быть четко отражено в Политике конфиденциальности. Укажите, кому передаются данные, и с какой целью. Важно также упомянуть о передаче данных в страны за пределами ЕС и мерах, которые вы принимаете для защиты данных в таких случаях. Важно перечислить в какие именно страны будут передаваться данные.
Это требование нарушил шведский Klarna Bank, за что пришлось заплатить штраф в размере €730 000. Одним из нарушений было то, что банк не предоставил адекватную информацию о международной передаче данных. Простое заявление о том, что персональные данные будут переданы третьим странам, без указания этих стран, не является адекватной информацией.
- Время и место хранение данных
Политика конфиденциальности должна содержать информацию о том, как долго данные будут храниться. Компания не должна хранить данные дольше, чем необходимо для целей, для которых они обрабатываются. Важно разработать и поддерживать график хранения данных.
Например, Uber получил штраф в размере €10 000 000 за отсутствие прозрачности в Политике конфиденциальности. Одним из нарушений было то, что Uber предоставил слишком общую информацию о сроке хранения, просто заявив, что данные будут храниться «столько, сколько необходимо». Чтобы выполнить требования GDPR, Uber должен хотя бы указать критерии, используемые для определения сроков хранения.
Политика конфиденциальности также должна включать информацию о месте хранения персональных данных. Важно указать, где физически и юридически находятся серверы или облачные хранилища, на которых сохраняются данные пользователей.
- Права пользователей
GDPR предоставляет пользователям ряд прав в отношении их данных, и эти права должны быть описаны в вашей Политике конфиденциальности:
- Право на доступ к данным
- Право на исправление данных
- Право на удаление данных (в том числе «право быть забытым»)
- Право на ограничение обработки данных
- Право на переносимость данных
- Право на возражение против обработки данных
Пользователям должно быть понятно, как они могут реализовать эти права, включая контактные данные ответственного за обработку данных лица.
- Защита данных
Политика конфиденциальности должна описывать, какие меры безопасности применяются для защиты данных от несанкционированного доступа, утраты или утечки. Это могут быть:
- Шифрование данных
- Ограничение доступа к данным
- Регулярное обновление программного обеспечения
- Обучение сотрудников вопросам безопасности
Политика конфиденциальности — это не просто формальность, а важный инструмент для обеспечения доверия со стороны пользователей и соблюдения правовых требований. Придерживаясь рекомендаций GDPR, вы можете создать Политику конфиденциальности, которая будет защищать данные ваших пользователей и минимизировать юридические риски для вашей компании.
Не забывайте регулярно пересматривать и обновлять Политику конфиденциальности в соответствии с изменениями в законодательстве и бизнес-процессах вашей компании.
Автор статьи: Валерий Сталиров, CEO компании IT-юристов Stalirov&Co
Залишити відповідь