Нужны ли моему сайту или приложению Privacy Policy?

Юридическая составляющая любого бизнеса всегда добавляет головной боли: и так достаточно текущих задач, а тут еще нужно постоянно консультироваться с юристами! Вспоминая ту шумиху, которую в мае 2018 года нанес Общий регламент защиты персональных данных (он же GDPR), разработчики столкнулись с еще одним барьером к торговле без ограничений — да-да, мы поговорим про политику конфиденциальности.

Разве в Украине нужна Политика конфиденциальности?

Да! Это нелегко принять, но даже намерение работать в пределах Украины не освобождает от необходимости бережно охранять переданные Вам персональные данные.

В Политике конфиденциальности украинский потребитель имеет право увидеть:

• сведения о владельце персональных данных;
  
• состав и содержание собранных персональных данных;
  
• права субъекта данных;
• цель сбора персональных данных;
  
• сведения о лицах, которым передаются его персональные данные.

Вся эта информация должна быть доступна пользователю непосредственно в момент сбора его данных. Если же данные о личности получены другими путями — их владелец должен уведомить пользователя о таком сборе не позднее тридцати рабочих дней с того дня, когда эти данные были собраны.

В Политике также необходимо напомнить пользователям об их правах. Например, по законодательству украинский пользователь имеет право:

• знать, как были собраны его персональные данные и для каких целей;
  
• знать местонахождение владельца или распространителя персональных данных (другими словами — контроллера и обработчика)
  
• знать, при каких условиях и кому предоставляется доступ к персональным данным о нем (в том числе — получать информацию о конкретных третьих лицах);
  
• знакомиться с собранными данными и при необходимости вносить изменения в них, чтобы они были корректны и актуальны;
  
• возражать против обработки персональных данных;
  
• требовать изменить или уничтожить свои персональные данные, если эти данные обрабатываются незаконно или являются недостоверными;
  
• требовать защиты своих персональных данных от незаконной обработки, случайной потери, уничтожения или повреждения, умышленного сокрытия;
  
• получать персональные данные по требованию своевременно;
  
• требовать защиты от предоставления сведений, которые являются недостоверными или порочащих честь, достоинство и деловую репутацию;
  
• жаловаться Уполномоченному Верховной Рады Украины по правам человека, подавать иск в суд, или иным способом защищаться в случае нарушения своих прав;
  
• ограничивать право владельца или распорядителя на обработку своих персональных данных еще во время согласия;
  
• отозвать согласие на обработку персональных данных;
  
• знать механизм обработки персональных данных, если это осуществляется автоматизировано, и требовать защиты от автоматизированного решения, если оно имеет правовые последствия (например, отказ в кредите и пр.)

Важно, что эти права — неотъемлемые, и любой отказ от них в тексте согласия не защитит компанию-владельца от обязанности их выполнять

Что требует GDPR?

Все, что требует украинское законодательство — и даже больше:

• указать свою роль — контролера или обработчика;
  
• основания обработки (согласие пользователя, законные интересы контроллера, выполнения или заключения контракта и т.п.);
  
• период хранения данных и порядок их удаления;
  
• права, европейцам обеспечивает GDPR (right to access, rectification, erasure, restriction of processing, right to be informed, data portability, objection, right not to be subject to a decision based solely on automated processing)
  
• порядок уведомления пользователей о нарушении безопасности их персональных данных;
  
• cookies, web beacons, log policies (отдельные пункты, или даже отдельные политики);
  
• перемещения данных за границу или получения их из-за пределов ЕС;
  
• уровень охраны персональных данных и методы защиты от их повреждения или потери;
  
• контактные данные — компании, а если имеются — то и Data Protection Officer;
  
• дата принятия и обновления Privacy and Personal Data Protection Policy (лучшая практика — архив с более ранними редакциями Политик)
  
• порядок получения и отзыва согласия на обработку персональных данных (и это неполный перечень полезных вещей!).

Вся Privacy and Personal Data Protection Policy должна быть изложена простым языком без специфического отраслевого жаргона — так, чтобы каждый пользователь (который может не иметь никакого представления об информационных технологиях) мог понять намерения будущего контроллера и последствия предоставления ему своих данных.

Учтите, что любая маркетинговая обработка требует информирования и добровольного согласия (другими словами — пользователю необходимо объяснить, какие данные собираются для дальнейших рассылок на почту и таргетированной рекламы через SDK), а принуждение пользователя к согласию под угрозой отказа в предоставлении услуги считается дурным тоном , особенно в наиболее обеспокоенных уровнем приватности своих граждан государствах (вроде Германии, в частности).

Важно, что информация, которая не может собираться без прямого на то согласия пользователя (например, чувствительные данные и данные для маркетинговых целей), не должны собираться до того момента, пока пользователь не согласится с условиями сбора (например, не поставит галочку в соответствующем Privacy Notice).

И да — для рекламных Cookies Notice, Privacy Policy тоже нужны.

Неужели и в США Privacy policy тоже необходимо?

Конечно! Это предполагает как федеральное законодательство, так и законодательство отдельных штатов — прямо в текстах законов.

Например, законодательство Калифорнии обязывает владельцев коммерческих сайтов и онлайн-сервисов (которые собирают через Интернет персональную информацию постоянных жителей этого штата, которая позволяет узнать, кому именно принадлежит эта информация) публиковать свою Privacy Policy так, чтобы гость сайта мог ее увидеть и найти без усилий. Там владелец сайта или приложения должен указать:

• какие категории персональных данных о пользователях он собирает,
  
• категории третьих сторон, которым он раскрывает эти данные,
  
• порядок запросов об ознакомлении и изменение предоставленной ранее персональной информации,
  
• как пользователь будет уведомлен о существенных изменениях в Privacy Policy,
  
• дата вступления в силу редакции этой политики,
  
• как сайт или приложение будет реагировать на «Do Not Track»-сигналы браузера пользователя и схожие механизмы предотвращения поведенческой рекламы (то есть: будет ли он их учитывать или игнорировать), в том числе при использовании пользователем других сайтов (а также сведения о том, может ли такой третий сайт или приложение собирать сведения об этом пользователе и реагирует он на DNT-настройки) и др.

Этот закон распространяется на всех, кто собирает данные о резидентов Калифорнии (он начал действовать задолго до GDPR!). Похожие законы и инициативы есть и в других штатах — например, осторожно надо составлять свою Политику в Неваде или Массачусетсе. Поэтому многие разработчики из других штатов принимают калифорнийские законы как стандарт — зачем отказываться от этой части рынка?

Особо внимательно следует работать с сайтами или приложениями, с которыми могут взаимодействовать дети и школьники: законы некоторых штатов запрещают таргетировать на них рекламу, передавать данные о таких пользователях или собирать о них данные вообще для любых других целей, кроме улучшения работы школы или школьного класса. Если дети не достигли 13 лет, то для игры в некоторые мобильные игры (которые собирают данные о детях) будет требоваться прямое (и подтвержденное — для этого есть специальные механизмы) согласие родителей или опекунов, при условии, что все операции с этими персональными данными будут четко описаны в Privacy Policy, а сама политика перечисляет права родителей и указывает на обработчиков, которые также собирают данные.

А напоследок — обратите внимание на отраслевые законы, которые могут потребовать добавить дополнительные пункты в вашу Политику: в частности, если Ваш сайт или приложение имеют дело со страхованием, финансами или здравоохранением. Иногда законы регулируют и обращения с данными в отдельных циклах жизни компании. Например, если компанию покупают, или она становится банкротом, то об этом оповещают бывшего клиента пользователя, и предоставляют им время на отказ от передачи своих данных новому владельцу (обычно как часть интеллектуальной собственности компании).

Будьте осторожны с чужими персональными данными и берегите нервы своих клиентов (а заодно и свои — от претензий контролирующих органов и особо придирчивых клиентов). Иногда лишний час, потраченный на составление документов, может уберечь от нескольких месяцев затяжных судебных тяжб — и обеспечить Вам преимущество над менее заботливыми конкурентами.