Особливості створення Privacy Policy та Cookie Policy

Чому важливо мати Privacy Policy та Cookies Policy?

Окрім законодавчих вимог, для користувачів ці документи — перше, що вони бачать, коли відкривають Ваш сайт чи застосунок. Privacy Policy — це публічне обличчя компанії та ключ до прозорості, а Cookie Banner — перша точка контакту з користувачем. Хоч це й правда, що багато людей не приділяють належної уваги цим документам, вони є одними з найважливіших елементів комплаєнсу на сайті чи у додатку. Саме Privacy Policy та Cookie Banner показують регулятору та користувачу, що компанія дійсно турбується про суб’єктів даних.

Також, необхідність розміщення Privacy Policy та Cookie Policy зумовлена законодавчими вимогами про інформування суб’єктів даних, наприклад у Європі це ст. 13 та 14 GDPR. І хоча, на жаль, суб’єкти даних не завжди читають Політики Приватності, їх точно читатиме регулятор. Тому недбало прописані положення Політики можуть призвести до цілком реальних штрафів.

Що буде, якщо у мене не буде політики приватності і політики файлів cookie? 

Як вже було зазначено, регулятори читають документацію щодо приватності на вебсайтах та у застосунках. Нерідко трапляються штрафи саме в частині невідповідності розміщених політик законодавству на найрізноманітніших сервісах, наприклад:

• Clearview AI (США) – €20 000 000 – Контролер не вказав строки зберігання персональних даних у Політиці Приватності.
• OpenAI (США)- €15 000 000 – Політика Приватності була доступна лише англійською, а також не була легкодоступною на сайті.
• CHATWITH.IO WORLDWIDE, S.L. (Іспанія) – €5 000 – Положення Політики Приватності сформульовані неоднозначно.
• Criteo (Франція) – €40 000 000 – відсутність належної згоди на використання файлів cookie для таргетованої реклами.
• Coolblue (Нідерланди)- €40 000 – маніпулятивний дизайн cookie-банера без отримання згоди користувача.

Законодавство – різниця між юрисдикціями

Перш ніж говорити про документи, варто розібратись із законодавством з приватності у різних юрисдикціях, кожна з них має свої підходи.

Основною та водночас найбільш жорсткою моделлю є законодавство Європейського Союзу. 

У ЄС діє GDPR — Загальний регламент з захисту персональних даних (General Data Protection Regulation), що регулює обробку персональних даних в ЄС. Також, Європейська Комісія може надати певним країнам право вільно обмінюватися даними з країнами ЄС за допомогою adequacy decision (рішення про адекватність) стосовно рівня захисту персональних даних у цих країнах, наприклад, Ізраїль, Японія, Південна Корея чи Канада. Хоч фактично на ці країни не поширюється GDPR, але їхнє внутрішнє законодавство з приватності є дуже схожим та відповідним до GDPR.

З іншого боку, ми маємо юрисдикцію США. Тут немає єдиного федерального закону про приватність, замість цього існують закони федерації і окремих штатів. У цій статті ми розглянемо CCPA — закон штату Каліфорнія, який був першим законом про захист персональних даних нового формату у Штатах та, відповідно спирався на американські і європейські напрацювання та гайди. Також, Каліфорнія — найбільш населений штат; саме через це CCPA задав тренд для інших штатів приймати схожі “загальні” закони про захист даних.

Читайте більше: Data Act: що потрібно знати ІТ-бізнесу?

Основні вимоги

Почнемо аналіз законодавства з GDPR – General Data Protection Regulation. Це основний та еталонний закон у сфері приватності. Він є одним із найбільш жорстких законів з приватності у світі, і задав тон глобальному підходу до захисту персональних даних.

Щодо скоупу застосування, GDPR поширюється на:

• компанії, що зареєстровані в ЄС або Європейській економічній зоні, та 
• компанії, які обробляють дані резидентів ЄС або ЄЕЗ — навіть якщо вони самі не зареєстровані в Європі.

Резидентом у контексті GDPR вважається будь-яка фізична особа, яка перебуває на території ЄС або ЄЕЗ. Тобто навіть якщо Ви заїхали в Європу на день і в цей час користувалися послугами, ваші дані мають захищатися за правилами GDPR (принаймні, допоки Ви знаходитесь на території ЄС).

GDPR вимагає законної підстави для обробки даних: це може бути згода, контракт, законний інтерес чи виконання зобов’язань за законом. Також, Регламент передбачає обов’язок надати користувачеві можливість реалізувати свої права на інформацію, доступ до даних, їх виправлення, видалення тощо.

А що ж у США? 

Тепер перейдемо до CCPA, закону Каліфорнії. Його скоуп дещо відрізняється від GDPR: він також застосовується як до компаній, зареєстрованих у Каліфорнії, так і до тих, що обробляють дані резидентів цього штату, але при цьому діє лише щодо компаній, які підпадають під визначення business. Замало просто обробляти дані мешканців Каліфорнії — компанія ще має відповідати певним пороговим критеріям, встановленим у законі:

• річний дохід становить понад 25 млн дол., або
• обробляються даних 100 тис.+ користувачів/домогосподарств на рік, або
• понад 50% доходу складає продаж даних.

CCPA передбачає, як і GDPR, обов’язок інформувати суб’єкта даних про обробку та його права. У порівнянні з GDPR, CCPA є більш бізнес-орієнтованим завдяки принципу opt-out. Це означає, що Ви можете використовувати дані, але повинні надати можливість користувачеві заборонити продаж чи обмін їхніми даними. В CCPA акцент зроблений на праві користувача сказати «ні» вже після того, як дані зібрані.

Загальні аспекти Privacy Policy

Що таке Політика Приватності? Це документ, який описує всі процеси та організацію обробки персональних даних на вебсайті або мобільному додатку. Необхідність розміщення Privacy Policy зумовлена законодавчими вимогами про інформування суб’єктів даних, наприклад у Європі це ст. 13 та 14 GDPR.

Нижче ми наводимо те, що повинно міститись у Політиці Приватності, без чого неможливо обійтись:

• контактні дані контролера (тобто вашої компанії), такі як емейл, номер телефону, адреса тощо та, за наявності, представника в ЄС;
• контактні дані DPO (якщо призначено);

Основним елементом Політики Приватності є опис обробки персональних даних. Такий опис включає:

• цілі та правові підстави для кожної (!) обробки даних;
• категорії отримувачів даних;
• наявність передачі даних за межі юрисдикції, перелік третіх країн, гарантій захисту, що застосовуються (якщо відбувається передача даних за кордон);
• умови та строки зберігання даних;
• права суб’єктів даних (зазвичай прописуються окремим розділом разом із вказівками про те, як користувач може реалізувати ці права);
• за наявності інформація щодо автоматизованих рішень, профайлінгу.

Також при написанні Політики Приватності дуже важливо звернути увагу на певні особливості, які випливають із послуг, які надає Ваша компанія.

• Якщо користувачами Вашого сервісу є не лише дорослі, старше 16 років, а й діти, то необхідно звернути увагу на специфіку їхнього віку. Наприклад, 13-річний підліток скоріше за все не знає, що таке політика конфіденційності, або не розуміє її важливості; що означають посилання на статті GDPR та інші юридичні терміни, що містяться в документі. Тому на контролера покладено обов’язок пояснити дітям зрозумілою та простою мовою, як будуть оброблятись зібрані дані.
• Якщо компанія обробляє чутливі дані, тобто дані про здоров’я, расове або етнічне походження, біометричні дані, релігійні або філософські переконання, політичні погляди, членство в профспілках, статеве життя або сексуальну орієнтацію особи, то необхідно чітко зазначити правову підставу обробки – ст. 9(2)(а) GDPR, а за каліфорнійським законодавством – компанія повинна повідомити суб’єкта даних про обробку шляхом розміщення посилання з текстом «Limit the Use of My Sensitive Personal Information», яке дозволяє споживачу або особі, уповноваженій споживачем, обмежити використання або розкриття чутливих персональних даних.
• У випадку продажу персональних даних, відповідно до CCPA Ви маєте розмістити посилання з текстом «Do Not Sell or Share My Personal Information» не тільки в політиці приватності, а й на вебсайті та у мобільному додатку сервісу.
• Політика Приватності повинна містити положення про право користувача не бути суб’єктом автоматизованого прийняття рішень, якщо таке має місце, шляхом надання права на розгляд рішення людиною, на вираження позиції щодо рішення та його оскарження. CCPA, на відміну від GDPR не містить таких вимог, а місцевий регулятор ще не розробив передбачені законом регуляції. Проте, щоб автоматизоване прийняття рішень не підпадало під визначення dark pattern, має сенс виходити з найсуворіших вимог – тобто вимог GDPR.

Практичні поради щодо написання Політики Приватності

Написання Privacy Policy на перший погляд може вимагати великого обсягу юридичного тексту та складнощів, тому ми розкажемо Вам про те, як краще та простіше створити Політику Приватності для Вашого сервісу:

• По-перше, Політика має бути простою. Чим зрозуміліше та структурованіше – тим краще. Не потрібно надмірно спрощувати, проте Ваш звичайний користувач повинен зрозуміти все, що ви напишете. Пам’ятайте, що Політика Приватності існує, щоб інформувати (!) користувачів, а не заплутувати їх.
• По-друге, Політика Приватності має бути своєрідною “інструкцією” для суб’єкта даних. Privacy Policy в руках суб’єкта даних має бути посібником, до якого можна звернутись та за допомогою якого можна легко реалізувати свої права.
• По-третє, регулярно перевіряйте свою Політику Приватності на актуальність. Разом із вашим сервісом, повинна розвиватись і документація. Ніякі операції з обробки даних не повинні залишатися поза увагою, всі категорії даних, цілі обробки, всі сервіс-провайдери, які отримують доступ до даних, усе це повинно бути описано та оновлено за потреби.

Читайте більше: Так чи потрібні для мого бізнесу Privacy Policy та Cookie Policy?

Cookie Policy

Переважна більшість вебсайтів сьогодні використовують файли cookies. Без них робота більшості ресурсів просто неможлива. Відповідно, компанія зобов’язана інформувати відвідувачів і про використання cookies. Проінформувати можна двома способами: або як окремий розділ у Privacy Policy, або як самостійний документ. Останній варіант є оптимальнішим, оскільки набір cookies на сайті часто змінюється — додаються нові інструменти, змінюються механізми аналітики чи реклами. Оновити один невеликий документ значно легше, ніж кожного разу редагувати велику Privacy Policy.

Щодо змісту Cookies Policy, то в ній повинні міститись наступні елементи:

• контактні дані контролера, представника;
• що таке cookies, їх функції;
• категорії cookies, що використовуються;
• цілі використання cookies;
• наявність передачі cookies третім сторонам, перелік отримувачів та посилання на їх політики приватності;
• умови та строки зберігання cookies;
• можливість керування cookies (налаштування браузера, банер згоди).

Cookie Banner та dark patterns

Cookies, як і будь-яка інша обробка даних, потребують законної підстави. Для більшості категорій (аналітичних, маркетингових) такою підставою є саме згода користувача. Тому компаніям потрібен інструмент для збору цієї згоди, і таким інструментом виступає cookie-banner.

Відповідно до GDPR, згода повинна бути вільно наданою, чіткою та поінформованою. Давайте розберемося, що це означає на практиці.

• Вільно надана → користувач має реальний вибір.

Приклад порушення: доступ до сайту можливий тільки після згоди, або в банері є лише кнопка «Прийняти». Це — приклад dark pattern.

• Чітка → згода має бути виражена активною дією користувача.
  Приклад порушення: попередньо відмічені чекбокси, коли користувачеві нічого не треба робити, щоб погодитися.
• Поінформована → у банері має бути достатньо інформації для прийняття рішення:
  • хто є контролером, контакти, DPO або представник у ЄС;
  • які cookies використовуються, з якою метою та на який строк;
  • як можна відкликати згоду.

Окремо варто наголосити на dark patterns. Це інтерфейсні рішення, які навмисно ускладнюють відмову чи відкликання згоди. Наприклад: яскраво виділена кнопка «Прийняти» при прихованій кнопці «Відхилити», багатоступенева процедура для відмови або навіть встановлення cookies до того, як користувач погодився. Усі ці практики прямо суперечать вимогам GDPR.

Legal IT Group може вам допомогти створити або оновити Privacy Policy та Cookie Policy відповідно до актуальних регламентів у сфері захисту даних. Ми забезпечуємо не лише юридичну точність документів, але й зрозумілість для ваших клієнтів. Це дозволяє одночасно мінімізувати ризики для бізнесу та формувати репутацію компанії, яка відповідально ставиться до персональних даних.