15 мая 2018 г.

Privacy police по правилам GDPR. Пошаговый рецепт

Компании, которые собирают, хранят и обрабатывают персональные данные, обычно публикуют на своих сайтах документ - Политику конфиденциальности (Privacy Policy). Такой документ нужен, чтобы информировать пользователя о порядке обработки и дальнейших действиях с предоставленной персональной информацией. До принятия GDPR (общеевропейского Регламента по защите данных) нормальным было создавать Privacy Policy с максимально размытыми положениями и размещать ее там, где никто искать не станет.

С вступлением в силу вступил GDPR, компаниям важно привести свою Privacy Policy в соответствие с новыми, более жесткими требованиями. Нарушение Регламента может привести к значительным штрафным санкциям. А заказчики начнут отказываться от сотрудничества с украинскими подрядчиками - к нам уже обращались клиенты, с которыми европейские заказчики отказывались работать из-за несоблюдения требований GDPR. Среди основных требований Регламента: получение согласия на обработку данных, информирование о контролере/процессоре, о правах субъекта данных, а также, о трансграничной передаче данных.

Если не знаете, с чего начать редактирование вашей Privacy Policy, делайте это по нашей инструкции.

1. Определите, кто является контролером информации. В Privacy Policy сообщите пользователям о том, являетесь ли вы контролером информации, т.е. ответственными за все действия, которые в дальнейшем будут совершены с персональными данными. В большинстве случаев ваша компания и будет контролером. Формулировка пункта может выглядеть следующим образом:

ООО “Бэтмен” контролирует способ и порядок сбора персональной информации, а также хранит и прямо использует персональные данные полученные от Клиента. Для целей соблюдения Регламента ООО “Бэтмен” считается контролером информации, на него распространяются все права и возлагаются все обязанности, предусмотренные Регламентом для контролеров информации. Вы можете связаться с нами в любое удобное время:_______________.

2. Укажите контактные данные обработчика. Если компания является контролером и обработчиком - этот пункт можно не включать, так как информация будет совпадать с первым пунктом. Но, если все же ООО “Бэтмен” является контролером, но для хранения и обработки данных использует услуги третьей стороны (например ООО “Спайдер-мен”) - укажите данные такой компании-процессора. Формулировка может быть следующей:

ООО “Дарт Вейдер” передает информацию на хранение ООО “Спайдер-мен”.  Для целей соблюдения Регламента ООО “Спайдер-мен” считается обработчиком информации, на него распространяются все права и возлагаются все обязанности, предусмотренные Регламентом для обработчиков информации. Вы можете связаться с ними любым удобным для вас способом: _____________.

3. Укажите предмет, продолжительность, характер и цель обработки персональных данных. Определите, обязательно ли нужны персональные данные для реализации цели. Объясните, для чего нужно предоставить те или иные данные, и каковы последствия непредставления такой информации.

Например, ООО “Бэтмен” собирает ваши персональные данные (имя, фамилия, адрес, номер телефона) с целью дальнейшей связи для уточнения заказа и доставки пиццы по указанному адресу. Ваши данные хранятся на сервере ООО “Спайдер-мен” в течение 1 года с момента предоставления данных с целью оптимизации процесса приема заказов и доставки. В случае непредоставления указанной информации заказ и доставка будет невозможна.

4. Укажите данные и обязанности Data Protection Officer (DPO). Обратите внимание, что такая должность не обязательна. Если же в компании предусмотрена такая должность - информация о таком сотруднике должна быть доступна пользователям, чьи данные собираются. Например,

ООО “Бэтмен” вводит новую должность - Data Protection Officer. DPO ответственный за соблюдение безопасности и контроль над сбором/хранением персональной информации. Контактная информация DPO: __________.

5. Пропишите в Privacy Policy блок с правами субъекта информации, а частности:

  • Право быть поинформированным;

  • Право доступа;

  • Право на внесение изменений;

  • Право на ограничение обработки данных;

  • Право на уничтожение;

  • Право на возражение.

Например, в любое время Вы имеете право потребовать удалить свои персональные данные. Для удаления персональных данных, заполните форму по ссылке ниже. В течение 24 часов после заполнения формы Ваши персональные данные будут удалены.

6. Укажите, передается ли куда-либо за пределы ЕС информация с персональными данными. Европейская Комиссия условно разделила все страны на “надежные” и “ненадежные” с позиции уровня защиты персональных данных. Украина не относится к списку стран с высокой степенью защиты. Нужно указать, куда передается информация, и как компания будет взаимодействовать с третьими странами при передаче информации.

Например, ООО “Бэтмен” информирует о том, что вся персональная информация, полученная от пользователей сайта хранится на сервере, расположенном в Украине. Компания гарантирует надежный уровень защиты при сборе и хранении Вашей информации, используя современные технологии защиты, а именно _______. Полученная информация в третьи страны не передается.

7. Желательно включить в политику так называемую privacy notice. Это небольшое уведомление, которое помогает субъекту данных понять, для чего вам так нужны их персональные данные.

Как это сделать? Напротив полей для предоставления персональной информации напомнить пользователям для чего это нужно. Например: поле “е-mail”, справа указать - “для связи с покупателями”; поле “address”, справа указать “для определения места доставки”.

8. Получить от субъекта информации согласие на обработку данных. Если ранее согласием считалось бездействие субъекта, с вступлением в силу Регламента - от субъекта данных потребуются активные действия. В момент предоставления согласия желательно указать ссылку на Privacy Policy.

Как это сделать? Поставить галочку напротив чекбокса, ввести какой-либо код.

9. Разместите документ так, чтобы любой пользователь мог получить к нему доступ. Логично будет разместить его на главной странице и визуально выделить.

10. Убирайте Privacy Policy похожие на том “Войны и мира”. Помните о том, что чем проще написана Privacy Policy - тем лучше.