Як ми розробляємо політику конфіденційності та політику приватності?
Політика конфіденційності або приватності повинна інформувати користувача про обробку його персональних даних та права. Чи є між цими політиками якась різниця? Лише назва: конфіденційність найчастіше зустрічається в Україні, а приватність поширена у міжнародному просторі.
Що від нас очікується і хто диктує правила
Нідерландський наглядовий орган (DPA) оштрафував компанії Uber Technologies Inc. та Uber B.V. на 10 мільйонів євро за ненадання достатньої інформації про термін зберігання даних. Тим часом французький DPA оштрафував Criteo, оскільки у їхній політиці приватності не були перелічені всі цілі, для яких Criteo обробляли дані.
Читайте більше: Як ШІ впливає на Privacy Policy і Terms of Use
То яку саме інформацію слід включити до політики, щоб вона була повною?
Політики приватності формуються на трьох китах: прозорості обробки персональних даних, інформування субʼєктів та надання засобів для користування належними їм правами. Відповідно, у політиці зазначаємо щонайменше:
- Дані, які обробляються. Сюди входять як дані з файлів cookie, так і дані, отримані через камеру додатку, навіть якщо вони ніде не зберігаються. Адже збір даних — вже обробка.
- Цілі і підстави обробки. Наприклад, компанія збирає згоду (підстава) для надсилання маркетингових емейлів (ціль).
- Права, які компанія повинна забезпечити субʼєктам персональних даних. Список цих прав можна знайти у GDPR або Законі про захист персональних даних. Якщо компанія обробляє дані осіб у Каліфорнії або Канаді, слід звернути увагу на CIPPA та PIPEDA відповідно.
- Оскільки більшість прав, такі як право на видалення або виправлення, вимагають можливості звʼязатися з компанією, політика приватності повинна її забезпечити. Найкращою практикою буде надати декілька каналів звʼязку, щоб субʼєкт міг скористатися тим, який для нього зручніший (емейл, телефон, поштова адреса).
- Треті особи, яким компанія передає персональні дані. Якщо компанія встановила на сайті Meta Pixel або використовує Stripe для оплати, це розділ для них. Не забудьте про посилання на політики приватності цих компаній — адже обробляючи дані ваших клієнтів, вони зобовʼязані їх дотримуватися.
- Файли cookie, а саме перелік за категоріями, доменами та їхніми власниками.
- Дисклеймер про спеціальні категорії даних і дані неповнолітніх. За статтею 9 GDPR та статтею 7 Закону, інформація, розкриття якої може нести значні наслідки для субʼєкта, обробляється лише на підставі згоди і підлягає особливому захисту. Такою інформацією будуть дані про здоровʼя, релігійні або політичні погляди, відбитки пальців, скан обличчя тощо. Обробка таких даних покладає на компанію відповідальність за запровадження належних заходів для їхньої безпеки. А дані неповнолітніх до 16 (в окремих випадках — 13) років не обробляються без згоди батьків або опікуна.
Відсутність інформації за цими пунктами може призвести до порушення статті 5, 9 12 та 13 GDPR або статті 6, 7 та 8 Закону.
Хто це буде читати?
За дослідженням Kinetic, 80% населення США висловили занепокоєння і хотіли б дізнатися більше про те, як їхні особисті дані використовуються в Інтернеті. Одночасно лише 29% споживачів заявляють, що їм легко зрозуміти, наскільки добре компанія захищає їхні особисті дані.
Приватність та прозорість — це про довіру до вашого бізнесу. Політика приватності, написана в міру простим текстом, значно зблизить вас і ваших клієнтів.
Крім того, штрафи за порушення приватності зачіпають не лише Meta, TikTok чи Google. Хоча ці тех-гіганти потерпають найбільші наслідки за нехтування приватністю, DPA наглядають і за стартапами, і навіть за фізичними особами.
Від медичних застосунків до онлайн-шкіл — специфіка політики
Залежно від сфери, у якій ви працюєте, до вашої обробки можуть застосовуватися спеціалізовані акти. Наприклад, якщо ваш додаток допомагає відслідковувати якість сну, політика повинна відповідати галузевим регуляціям щодо даних про здоровʼя, як-от HIPAA у США. Якщо ви обробляєте дані неповнолітніх із США або Німеччини, до вас може застосовуватися COPPA та Jugendschutzgesetz відповідно.
Вище ми вже зазначали, що медичні дані підлягають особливому захисту. Якщо ви збираєте такі дані, ваша політика має відображати, як саме вони будуть зберігатися, шифруватися, хто матиме до них доступ (тільки медичний персонал), і чи будуть вони використовуватися для наукових досліджень (і якщо так, то в знеособленому вигляді).
Якщо ви працюєте у фінансовій сфері, основний акцент робиться на безпеку та захист від шахрайства. Політика повинна пояснювати, як персональні дані шифруються, які заходи безпеки використовуються, та у яких випадках інформація може бути передана регулюючим органам або правоохоронним органам.
У сфері e-commerce збираються дані про покупки, історію замовлень, уподобання, адреси доставки. Ви повинні повідомити користувачам, які ці дані використовуються для покращення обслуговування, надсилання маркетингових повідомлень та формування реклами. Вимоги щодо опису рекламного алгоритму випливають із DSA (Digital Services Act) — ще одного акту, який може застосовуватися залежно від типу вашого бізнесу.
Читайте більше: Так чи потрібні для мого бізнесу Privacy Policy та Cookie Policy?
Чи є щось після політики приватності?
Cookie файли — важливий пункт у політиці. Їх найлегше виявити під час перевірки вебсайту на комплаєнс. Згідно з директивою ePrivacy, вебсайт повинен отримати попередню згоду користувача, перш ніж встановлювати будь-які файли cookie на його пристрій. Якщо сайт встановить файл cookie без згоди, це буде порушенням (за винятком обовʼязкових cookie).
Принципи інформування користувача та можливості скористатися своїми правами застосовуються і тут. Однак інформування повинне відбуватися і через cookie банер, і через політику конфіденційності. У політиці потрібно вказати, що користувач може відмовитися від обробки, а за допомогою банера забезпечити йому цю можливість.
FAQ
Що станеться, якщо не зробити політику приватності?
Немає політики приватності — ви порушуєте закон. Це може призвести до великих штрафів, судових позовів, втрати довіри користувачів, а також бізнес-партнерств.
Чи потрібно перекладати політику приватності?
Згідно з GDPR, інформація у політиці має надаватися “стислою, легкодоступною, а також чіткою і зрозумілою мовою”. Це означає, що політика приватності має бути написана мовою, зрозумілою для ваших користувачів. Якщо ви працюєте на ринку, де основною мовою є, наприклад, італійська або німецька, ваша політика приватності має бути доступна цією мовою, навіть якщо її оригінал написаний англійською.
Чи потрібно зазначити усіх третіх осіб поіменно?
Політика приватності має бути максимально прозорою. Ви повинні чітко вказати категорії третіх осіб, з якими ділитеся даними, зокрема рекламних партнерів, провайдерів хмарних сервісів та аналітики, платіжні системи, служби доставки. Ми рекомендуємо вносити окремі компанії або підрядників, наприклад, Google Analytics або Meta Pixel.
Які наслідки неправдивої інформації у політиці?
Наслідки можуть бути навіть гіршими, ніж відсутність політики взагалі. Брехня у політиці приватності може розцінюватися як обман користувача, що призведе, зокрема, до штрафів і репутаційних наслідків.
Як діяти, коли ми розробляємо нові функції, яких немає у політиці?
Якщо нова функція збирає персональні дані, її потрібно вказати у політиці до релізу. Після цього ви повинні донести оновлення політики до користувачів. Це можна зробити за допомогою сповіщення, банеру або емейлу.
Що писати у політиці, якщо ми продали компанію?
Політика приватності повинна чітко пояснювати, що станеться з даними користувачів у випадку продажу, злиття або поглинання компанії. У вашій політиці має бути пункт, який зазначає, що персональні дані користувачів можуть бути передані новому власнику як частина бізнес-активів. Ви повинні зазначити, що новий власник зобов’язується дотримуватися умов вашої політики приватності або, принаймні, забезпечити такий самий або вищий рівень захисту даних.
Обов’язково повідомте користувачів про продаж компанії та про те, як це вплине на їхні дані. Надайте їм можливість відмовитися від передачі даних, якщо це можливо, або видалити свій обліковий запис.
