При разработке сайта для вашего бизнеса или какого-либо проекта вы можете уделить все внимание технической составляющей, но полностью забыть о юридической составляющей, например о политике конфиденциальности. Однако на каком-то этапе разработки сайта обязательно возникнет вопрос касательно введения политики конфиденциальности и правил обработки персональных данных.

Что такое политика конфиденциальности для сайта?

Политика конфиденциальности — это соглашение, в котором указано, каким образом владелец сайта собирает, обрабатывает и применяет личную информацию пользователей и клиентов. Как правило, это необходимо для соблюдения требований законодательства об обработке персональных данных и построения системы дисклеймеров в интересах компании.

При создании сайта мы рекомендуем позаботиться о создании таких пунктов политики конфиденциальности:

1. Права владельцев персональных данных.
2. Применение, сбор и защита персональных данных.
3. Цели сбора персональных данных.
4. Использование файлов cookie.
5. Условия хранения и передачи полученных персональных данных.
6. Порядок удаления персональных данных.
7. Коммуникация с субъектом данных.
8. Изменение политики конфиденциальности.

Для каждой страны или юрисдикции могут существовать отдельные требования к содержанию политики конфиденциальности, поэтому рассмотрим требования к ней в юрисдикциях, которые наиболее актуальны для отечественного бизнеса.

Политика конфиденциальности в Украине

В Украине требования к политике конфиденциальности установлены в Законе Украины «О защите персональных данных». Так, в политике конфиденциальности должно быть указано:

1. На каком основании и с какой целью вы собираете персональные данные.
2. Ваше наименование, контактные данные и адрес.
3. Какие данные вы обрабатываете, из каких источников вы их получаете, включая файлы cookie.
4. Сроки обработки и хранения персональных данных.
5. Каким образом вы соблюдаете права пользователя, предусмотренные Законом Украины «О защите персональных данных».

Политика конфиденциальности в ЕС

Если вы создаете сайт, через который будет работать компания-резидент ЕС или целевая аудитория которого проживает в Европейском союзе, то ваша политика конфиденциальности должна соответствовать требованиям GDPR.

Для соответствия GDPR вы должны:

1. Четко и прозрачно осведомлять пользователей вашего сайта о том, как вы собираете, храните и используете их данные.
2. Уведомить пользователя о его правах касательно персональных данных, которые вы собираете, и объяснить это процесс.
3. Описать особенности передачи персональных данных, особенно если данные передаются за пределы ЕС.
4. Описать технические и организационные меры, которые вы принимаете для защиты персональных данных.
5. Указать контакты вашего контролирующего органа, в который пользователь имеет право в случае чего обратиться с жалобой.
6. Указать название и контактные данные вашей компании.
7. Указать, на каком основании вы собираете и обрабатываете персональные данные.

В контексте последнего пункта очень важно собирать персональные данные на одном из допустимых оснований. Всего GDPR выделяет 6 таких оснований, среди которых самые распространенные — согласие пользователя, выполнение договора с пользователем или законные интересы бизнеса либо третьих лиц.

Политика конфиденциальности в США

В США нет единого акта, который бы содержал требования к политике конфиденциальности. Существует несколько федеральных законов в этой области:

• Закон о конфиденциальности 1974 года дает пользователям право запрашивать информацию о себе, вносить в нее изменения и защищает от посягательства на их частную жизнь в случае утечки информации.
• Закон о защите конфиденциальности детей в Интернете (COPPA) требует от сайтов, которые собирают информацию от детей, получать согласие родителей на сбор таких данных и обозначать ответственность за распространение таких данных.
• Закон Грэмма — Лича — Блайли (GLBA) требует от учреждений финансового сектора предоставления сведений об обмене информацией.
• Закон о мобильности и подотчетности медицинского страхования (HIPAA) требует, что поставщики медицинских услуг в письменной форме должны уведомлять о своей политике конфиденциальности.

Некоторые штаты имеют свои собственные законы, которые касаются политики конфиденциальности, что крайне важно учитывать при сборе данных пользователей из каждого штата.

В целом содержание политики конфиденциальности может значительно отличаться в зависимости от того, какая у вас компания — продуктовая или аутсорсинговая, в секторе B2B или B2C. Так, для аутсорсинговой B2B-компании составить политику конфиденциальности будет намного проще, чем для продуктовой B2C-компании или для маркетплейса.

Юридическая компания ВигоЛекс будет рада помочь вам составить политику конфиденциальности для вашего сайта и помочь вам соблюсти требования законодательства в сфере защиты персональных данных.