Так чи потрібні для мого бізнесу Privacy Policy та Cookie Policy?
Навіщо Вам Privacy Policy та Cookie Policy?
Напевно кожен власник вебсторінки чи застосунку зустрічав таке поняття як GDPR, так званий Загальний регламент захисту персональних даних, який є юридичною основою для захисту персональних даних у межах Європейського Союзу.
Проте цікаво, що про захист персональних даних говорити можна не тільки в рамках ЄС. Майже кожна країна має свої закони у цій сфері, яких звичайно треба дотримуватись для уникнення будь-яких порушень приватності осіб та негативних фінансових наслідків для Вашого бізнесу.
Так от, GDPR та інші національні закони країн світу чітко закріплюють вимоги щодо інформування користувачів про способи збору, використання, зберігання, захисту та обробки їхніх персональних даних у доступному форматі для пересічної особи. Така інформація користувачам надається саме за допомогою Privacy Policy та Cookie Policy.
Найперше виникає питання: А що таке Privacy Policy та Cookie Policy?
Privacy Policy (так звана Політика конфіденційності або Політика приватності) – це детальний опис використання, зберігання і захисту персональних даних, які Ви збираєте та обробляєте через сайт або застосунок для здійснення Вашої діяльності.
Cookie Policy – не менш відомий документ, який детально описує використання файлів cookie на Вашому сайті чи в застосунку.
*А що ж таке файли cookie?
Якщо коротко – це спосіб зібрати певну інформацію про користувача на його персональному пристрої/браузері.
Хіба в Україні потрібні Privacy Policy та Cookie Policy
Privacy Policy – Так! Cookie Policy – Необовʼязково!
Це досить нелегко прийняти, але навіть намір працювати в межах України не звільняє від необхідності дбайливо охороняти передані Вам персональні дані.
У Політиці конфіденційності український клієнт має право бачити:
– відомості про володільця персональних даних;
– склад та зміст зібраних персональних даних;
– мету збору персональних даних;
– відомості про осіб, яким передаються його персональні дані, тощо.
Вся ця інформація має бути доступна користувачу в момент збору його даних безпосередньо у нього. Якщо ж дані про особу отримані іншими шляхами – то володілець повинен повідомити користувача про такий збір не пізніше 30 робочих днів з того дня, коли ці дані були зібрані.
У Політиці конфіденційності також необхідно нагадати користувачам про їхні права. Важливо, що ці права – невідчужувані, і будь-яка відмова від них у тексті згоди не захистить компанію-володільця від обов’язку їх виконувати.
Що вимагає Європейський Союз?
У ЄС це питання врегульовано положеннями GDPR та ePrivacy Directive, тому обов’язковою є наявність і Privacy Policy, і Cookie Policy.
Privacy Policy в ЄС
Щодо вимог до Політики конфіденційності, тут все, що вимагає українське законодавство – і навіть більше:
– вказати на свою роль контролера або обробника;
– підстави обробки;
– період зберігання даних та порядок їх видалення;
– права, які європейцям забезпечує GDPR (right to access, rectification, erasure, restriction of processing, right to be informed, data portability, objection, right not to be subject to a decision based solely on automated processing);
– порядок повідомлення користувачів про порушення безпеки їхніх персональних даних;
– переміщення даних за кордон або отримання їх з-поза меж ЄС;
– рівень охорони персональних даних та методи захисту від їх пошкодження або викрадення, тощо.
Вся Privacy Policy має бути викладена простою мовою без галузевого жаргону – так, щоб кожен користувач (який може не мати жодного уявлення про інформаційні технології) міг зрозуміти наміри майбутнього контролера і наслідки надання йому своїх даних.
Важливо, що пряме посилання на Privacy Policy має бути чітко видимим на кожній сторінці сайту. Розташування або колірна схема, які роблять текст або посилання менш помітним чи важким для пошуку на вебсторінці, не вважатимуться зручними для доступу і можуть стати причиною штрафу для Вашого бізнесу.
Для мобільних застосунків необхідна інформація повинна бути доступна в онлайн-магазині перед завантаженням застосунку. Після встановлення застосунку ця інформація повинна залишатися легко доступною у зручний спосіб всередині додатку.
Загальне правило – доступ до Privacy Policy має бути можливий не більше ніж за «два натискання» (наприклад, через включення опції «Конфіденційність»/«Захист даних» у меню функцій додатку).
Cookie Policy в ЄС
Щодо Cookie Policy вимог також достатньо:
– визначити файлів cookie;
– описати типи файлів cookie, які використовуються;
– мету використання файлів cookie;
– перелік третіх сторін, що мають доступ до cookie, тощо.
На сайтах та в застосунках повинен використовуватись так званий Сookie-банер для повідомлення користувачів про файли cookie, який пропонуватиме вибір (погодитись або відхилити), забезпечуватиме доступ до детальної Cookie Policy та надаватиме можливість керувати налаштуваннями cookie.
Невже і в США Privacy policy і Cookie Policy теж необхідно?
Звичайно! Це передбачає як федеральне законодавство, так і законодавство окремих штатів – прямо в текстах законів.
Цікаво, що у США немає федеральних законів, що регулюють використання файлів cookie. Однак закони на рівні штатів, до прикладу, законодавство Каліфорнії, вважає файли cookie персональною інформацією, а отже про них необхідно вказувати у Privacy policy.
Закон про захист персональних даних у Каліфорнії також вимагає у власника сайту чи застосунку вказувати:
– які категорії персональних даних про користувачів він збирає;
– категорії третіх сторін, яким він розкриває ці дані;
– порядок запитів про ознайомлення і зміну наданої раніше персональної інформації;
– як сайт чи застосунок буде реагувати на “Do Not Track”- сигнали браузера користувача і схожі механізми уникнення поведінкової реклами (іншими словами: чи буде він їх враховувати, а чи ігноруватиме), у тому числі при використанні користувачем інших сайтів (а також відомості про те, чи може такий третій сайт чи застосунок збирати відомості про цього користувача і чи реагує він на DNT-налаштування) тощо.
Цей закон поширюється на всіх, хто збирає дані про резидентів Каліфорнії (і він почав діяти задовго до GDPR!).
Схожі закони та ініціативи є і у інших штатах – наприклад, обережно треба складати свою політику приватності у Неваді або Вірджинії. Багато розробників з інших штатів беруть каліфорнійські закони як стандарт – навіщо відмовлятися від цієї частини ринку?
Важливо пам’ятати! Якщо Ви працюєте у кількох штатах, Privacy policy повинна відповідати вимогам кожного з них.
Як написати Privacy Policy?
Розглянем основні моменти, які Вам варто врахувати при написанні:
Врахуйте, що чутливі дані та будь-яка маркетингова обробка вимагає поінформованої та добровільної згоди (іншими словами – користувачу необхідно пояснити, які дані збираються для подальших розсилань на пошту і таргетованої реклами), а примушування користувача до згоди під загрозою відмови у наданні послуги вважається поганим тоном, особливо у найбільш стурбованих рівнем приватності своїх громадян державах (на кшталт Німеччини, зокрема).
З уважністю також слід зважати на ті сайти чи застосунки, які можуть відвідувати діти. За загальним правилом, якщо діти не досягли 16 років, то для збору їхніх персональних даних (до прикладу: гри у деякі мобільних іграх) буде вимагатися пряма (і підтверджена – для цього є спеціальні механізми) згода батьків або опікунів, за умови, що всі операції з цими персональними даними були чітко описані у Privacy Policy, а сама політика перераховує права батьків та вказує на обробників, які також збирають дані.
Як написати Cookie Policy?
При написанні Cookie Policy необхідно дотримуватись максимальної прозорості, надати користувачам контроль над використанням cookie та дотримуватись вимог про отримання попередньої згоди.
Особливу увагу варто звернути на файли cookie від третіх сторін, які можуть дозволити стороннім компаніям створювати детальні профілі поведінки та вподобань Ваших користувачів. Як от, Google Analytics може використовувати cookie для збору аналітичних даних про поведінку користувачів, Google AdSense та AdWords – для персоналізації реклами, а соціальні медіаплагіни, такі як кнопки «Мені подобається», – для взаємодії з соціальними мережами.
Штрафи за порушення
Як відомо, штрафи за порушення правил приватності сягають величезних сум. Розглянемо декілька найяскравіших прикладів що стосуються Privacy Policy чи Cookie Policy:
– У 2024 Нідерландський наглядовий орган оштрафував Netflix на суму у €4.75 мільйонів за ненадання достатньої інформації про обробку персональних даних користувачів платформи у своїй Privacy Policy у період між 2018 та 2020 роками.
– У 2023 Ірландський регулятор оштрафував WhatsApp на €225 мільйонів за порушення правил прозорості у Privacy Policy, а саме за відсутність достатньої інформації як саме компанія здійснює обробку персональних даних користувачів.
– У 2021 Нідерландський наглядовий орган наклав штраф у розмірі €750 000 на TikTok за порушення конфіденційності даних дітей. Інформація, яку TikTok надавав нідерландським користувачам (багато з яких є дітьми) у Privacy Policy під час встановлення та використання додатку, була англійською мовою і, таким чином, не була легко зрозумілою.
Рекомендації
А наостанок – варто звернути увагу на галузеві закони, які можуть вимагати додаткові пункти у Вашу Політику: зокрема, якщо Ваш сайт чи застосунок мають справу зі страхуванням, фінансами або охороною здоров’я. Інколи закони регулюють і поводження з даними у окремих циклах життя компанії. Наприклад, якщо компанію купують, або вона банкрутує, то про це повідомляють колишнього клієнта чи користувача, і надають їм час на відмову від передання своїх даних до нового власника (зазвичай як частини інтелектуальної власності компанії).
Будьте обережні з чужими персональними даними та оберігайте спокій своїх клієнтів (а заодно і свій – від претензій контролюючих органів і особливо прискіпливих клієнтів). Інколи зайва година, витрачена на складання унікальних документів, може запобігти декільком місяцям затяжних судових спорів – і забезпечити Вам перевагу над менш дбайливими конкурентами.
