Під час розробки сайту для вашого бізнесу або будь-якого іншого проєкту ви можете приділити всю увагу технічній складовій, проте зовсім забути про юридичну складову, наприклад про політику конфіденційності. Але на якомусь етапі розробки сайту обов’язково постане питання щодо впровадження політики конфіденційності та правил обробки персональних даних.

Що таке політика конфіденційності для сайту?

Політика конфіденційності — це угода, де зазначено, яким чином власник сайту збирає, обробляє і застосовує особисту інформацію користувачів і клієнтів. Зазвичай це необхідно для дотримання вимог законодавства про обробку персональних даних і побудови системи дисклеймерів у інтересах компанії.

Під час створення сайту ми радимо подбати про створення таких пунктів політики конфіденційності:

1. Права власників персональних даних.
2. Застосування, збір і захист персональних даних.
3. Мета збору персональних даних.
4. Використання файлів cookie.
5. Умови зберігання і передання отриманих персональних даних.
6. Порядок видалення персональних даних.
7. Комунікація з суб’єктом даних.
8. Зміна політики конфіденційності.

Для кожної держави чи юрисдикції можуть існувати окремі вимоги до змісту політики конфіденційності, тому розглянемо вимоги до неї в юрисдикціях, що найбільш актуальні для вітчизняного бізнесу.

Політика конфіденційності в Україні

В Україні вимоги до політики конфіденційності встановлено в Законі України «Про захист персональних даних». Зокрема, в політиці конфіденційності має бути зазначено:

1. На якій підставі і з якою метою ви збираєте персональні дані.
2. Ваша назва, контактні дані та адреса.
3. Які дані ви обробляєте, з яких джерел ви їх отримуєте, включно з файлами cookie.
4. Строки обробки і зберігання персональних даних.
5. Яким чином ви поважаєте права користувача, передбачені Законом України «Про захист персональних даних».

Політика конфіденційності в ЄС

Якщо ви створюєте сайт, через який буде працювати компанія-резидент ЄС або цільова аудиторія якого проживає в Європейському Союзі, то ваша політика конфіденційності має відповідати вимогам GDPR.

Для відповідності GDPR ви повинні:

1. Чітко і прозоро повідомляти користувачів сайту про те, як ви збираєте, зберігаєте і використовуєте їхні дані.
2. Повідомити користувача про його права стосовно персональних даних, які ви збираєте, і пояснити цей процес.
3. Описати особливості передання персональних даних, особливо якщо дані передаються за межі ЄС.
4. Описати технічні та організаційні заходи, яких ви вживаєте для захисту персональних даних.
5. Зазначити контакти вашого контролювального органу, до якого користувач має право в разі чого звернутися зі скаргою.
6. Зазначити назву і контактні дані вашої компанії.
7. Зазначити, на якій підставі ви збираєте і обробляєте персональні дані.

У контексті останнього пункту дуже важливо збирати персональні дані на одній з дозволених підстав. Загалом GDPR визначає 6 таких підстав, серед яких найрозповсюдженіші — згода користувача, виконання договору з користувачем або законні інтереси бізнесу чи третіх осіб.

Політика конфіденційності в США

У США немає єдиного акту, що містив би вимоги до політики конфіденційності. Існує кілька федеральних законів у цій сфері:

• Закон про конфіденційність 1974 року надає користувачам право запитувати інформацію про себе, вносити до неї зміни і захищає від посягань на їхнє приватне життя в разі витоку інформації.
• Закон про захист конфіденційності дітей в Інтернеті (COPPA) вимагає від сайтів, що збирають інформацію від дітей, отримувати згоду батьків на збір таких даних і вказувати відповідальність за розповсюдження таких даних.
• Закон Гремма — Ліча — Блайлі (GLBA) вимагає від установ фінансового сектору надання відомостей про обмін інформацією.
• Закон про мобільність і підзвітність медичного страхування (HIPAA) вимагає, що постачальники медичних послуг у письмовій формі повинні повідомляти про свою політику конфіденційності.

Деякі штати мають власні закони, які стосуються політики конфіденційності, що вкрай важливо враховувати під час збору даних користувачів з кожного штату.

Загалом зміст політики конфіденційності може суттєво різнитися залежно від того, яка в вас компанія — продуктова чи аутсорсингова, в секторі В2В чи В2С. Зокрема, для аутсорсингової В2В-компанії скласти політику конфіденційності буде набагато простіше, аніж для продуктової В2С-компанії чи для маркетплейсу.

Юридична компанія ВігоЛекс буде рада допомогти вам скласти політику конфіденційності для вашого сайту і допомогти вам із дотриманням вимог законодавства в сфері захисту персональних даних.