Мій сайт чи застосунок потребує Privacy Policy?

Юридична складова будь-якого бізнесу завжди завдає головного болю: і так достатньо занять, а ще й треба постійно консультуватися з правниками! Згадуючи той галас, якого у травні 2018 року завдав Загальний регламент захисту персональних даних (він же GDPR), розробники стикнулися з ще одним бар’єром до торгівлі без обмежень – так, політиками конфіденційності.

Хіба в Україні потрібна Політика конфіденційності?

Так!

Це досить нелегко прийняти, але навіть намір працювати в межах України не звільняє від необхідності дбайливо охороняти передані Вам персональні дані.

У Політиці конфіденційності український споживач має право бачити:

• відомості про володільця персональних даних;
• склад та зміст зібраних персональних даних;
• права суб’єкта даних;
• мету збору персональних даних;
• відомості про осіб, яким передаються його персональні дані.

Вся ця інформація має бути доступна користувачу в момент збору його даних безпосередньо у нього. Якщо ж дані про особу отримані іншими шляхами – то володілець повинен повідомити користувача про такий збір не пізніше тридцяти робочих днів з того дня, коли ці дані були зібрані.

У Політиці також необхідно нагадати користувачам про їхні права. Наприклад, за законодавством український користувач має право:

• знати, як були зібрані його персональні дані і для яких цілей;
• знати місцезнаходження володільця чи розпорядника персональних даних (іншими словами – контролера і обробника);
• знати, за яких умов і кому надається доступ до персональних даних про нього (у тому числі – отримувати інформацію про конкретних третіх осіб);
• ознайомлюватися з зібраними даними і за потреби вносити зміни до них, щоб вони були коректними і актуальними;
• заперечувати проти обробки персональних даних;
• вимагати змінити чи знищити свої персональні дані, якщо ці дані обробляються незаконно чи є недостовірними;
• вимагати захисту своїх персональних даних від незаконної обробки, випадкової втрати, знищення чи пошкодження, умисного приховування;
• отримувати персональні дані на вимогу своєчасно;
• вимагати захисту від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію[ ;
• скаржитися Уповноваженому Верховної Ради України з прав людини чи подавати позов до суду, чи іншим способом захищатися у разі порушення своїх прав;
• обмежувати право володільця чи розпорядника на обробку своїх персональних даних ще під час згоди;
• відкликати згоду на обробку персональних даних;
• знати механізм обробки персональних даних, якщо це здійснюється автоматизовано, і вимагати захисту від автоматизованого рішення, якщо воно має правові наслідки (наприклад, відмову у кредиті абощо).

Важливо, що ці права – невідчужувані, і будь-яка відмова від них у тексті згоди не захистить компанію-володільця від обов’язку їх виконувати.

Що вимагає GDPR?

Все, що вимагає українське законодавство – і навіть більше:

• вказати на свою роль контролера або обробника;
• підстави обробки (згода користувача, законні інтереси контролера, виконання чи укладання контракту тощо);
• період зберігання даних та порядок їх видалення;
• права, які європейцям забезпечує GDPR (right to access, rectification, erasure, restriction of processing, right to be informed, data portability, objection, right not to be subject to a decision based solely on automated processing);
• порядок повідомлення користувачів про порушення безпеки їхніх персональних даних;
• cookies, web beacons, log policies (окремі пункти, або навіть окремі політики);
• переміщення даних за кордон або отримання їх з-поза меж ЄС;
• рівень охорони персональних даних та методи захисту від їх пошкодження або викрадення;
• контактні дані – компанії, а якщо наявні – то і Data Protection Officer;
• дата прийняття і оновлення Privacy and Personal Data Protection Policy (найкраща практика – архів з більш ранніми редакціями Політик);
• порядок отримання та відкликання згоди на обробку персональних даних (і це не повний перелік корисних речей!).

Вся Privacy and Personal Data Protection Policy має бути викладена простою мовою без галузевого жаргону – так, щоб кожен користувач (який може не мати жодного уявлення про інформаційні технології) міг зрозуміти наміри майбутнього контролера і наслідки надання йому своїх даних.

Врахуйте, що будь-яка маркетингова обробка вимагає поінформованої та добровільної згоди (іншими словами – користувачу необхідно пояснити, які дані збираються для подальших розсилань на пошту і таргетованої реклами через SDK), а примушування користувача до згоди під загрозою відмови у наданні послуги вважається поганим тоном, особливо у найбільш стурбованих рівнем приватності своїх громадян державах (на кшталт Німеччини, зокрема).

Важливо, що інформація, яка не може збиратися без прямої на те згоди користувача (наприклад, чутливі дані та дані для маркетингових цілей), не повинні збиратися до того моменту, доки користувач не погодиться з умовами збирання (наприклад, не поставить галочку у відповідному Privacy Notice).

І так – для рекламних куків Cookies Notice теж потрібен.

Невже і в США  Privacy policy теж необхідно?

Звичайно! Це передбачає як федеральне законодавство, так і законодавство окремих штатів – прямо в текстах законів.

Наприклад, законодавство Каліфорнії зобов’язує власників комерційних сайтів та онлайн-сервісів (які збирають через Інтернет персональну інформацію постійних жителів цього штату, яка дозволяє дізнатися, кому саме належить ця інформація) публікувати свою Privacy Policy так, щоб гість сайту міг її побачити та знайти без зусиль. Там власник сайту чи застосунку повинен вказати:

• які категорії персональних даних про користувачів він збирає,
• категорії третіх сторін, яким він розкриває ці дані,
• порядок запитів про ознайомлення і зміну наданої раніше персональної інформації,
• як користувач буде повідомлений про суттєві зміни у Privacy Policy,
• дата чинності цієї редакції політики,
• як сайт чи застосунок буде реагувати на “Do Not Track”-сигнали браузера користувача і схожі механізми уникнення поведінкової реклами (іншими словами: чи буде він їх враховувати, а чи ігноруватиме), у тому числі при використанні користувачем інших сайтів (а також відомості про те, чи може такий третій сайт чи застосунок збирати відомості про цього користувача і чи реагує він на DNT-налаштування) тощо.

Цей закон поширюється на всіх, хто збирає дані про резидентів Каліфорнії (і він почав діяти задовго до GDPR!). Схожі закони та ініціативи є і у інших штатах – наприклад, обережно треба складати свою Політику, Неваді або Масачусетсі. Тому багато розробників з інших штатів беруть каліфорнійські закони як стандарт – навіщо відмовлятися від цієї частини ринку?

З уважністю слід зважати на ті сайти чи застосунки, які можуть відвідувати діти та школярі: закони деяких штатів забороняють таргетувати на них рекламу, продавати дані про таких користувачів чи збирати про них дані взагалі для будь-яких інших цілей, окрім покращення роботи школи чи шкільного класу. Якщо діти не досягли 13 років, то для гри у деякі мобільні ігри (які збирають дані про дітей) буде вимагатися пряма (і підтверджена – для цього є спеціальні механізми) згода батьків або опікунів, за умови, що всі операції з цими персональними даними були чітко описані у Privacy Policy, а сама політика перераховує права батьків та вказує на обробників, які також збирають дані.

А наостанок – зверніть увагу на галузеві закони, які можуть вимагати додаткові пункти у вашу Політику: зокрема, якщо Ваш сайт чи застосунок мають справу зі страхуванням, фінансами або охороною здоров’я. Інколи закони регулюють і поводження з даними у окремих циклах життя компанії. Наприклад, якщо компанію купують, або вона банкрутує, то про це повідомляють колишнього клієнта чи користувача, і надають їм час на відмову від передання своїх даних до нового власника (зазвичай як частини інтелектуальної власності компанії).

Будьте обережні з чужими персональними даними та оберігайте спокій своїх клієнтів (а заодно і свій – від претензій контролюючих органів і особливо прискіпливих клієнтів). Інколи зайва година, витрачена на складання унікальних документів, може запобігти декільком місяцям затяжних судових тяжб – і забезпечити Вам перевагу над менш дбайливими конкурентами.