15 травня 2018 р.

Privacy policy за правилами GDPR. Покроковий рецепт

Компанії, які збирають, зберігають і обробляють персональні дані, зазвичай публікують на своїх сайтах документ - Політику конфіденційності (Privacy Policy). Такий документ потрібен, щоб інформувати користувача про порядок обробки та подальші дії з наданою персональною інформацією. До прийняття GDPR (загальноєвропейського Регламенту щодо захисту даних) нормальним було створювати Privacy Policy з максимально розмитими положеннями і розміщувати її там, де ніхто шукати не стане.

Зі вступом в силу GDPR компаніям важливо привести свою Privacy Policy у відповідність до нових, більш жорстких вимог. Порушення Регламенту може привести до значних штрафних санкцій. З'являється ризик, що замовники почнуть відмовлятися від співпраці з українськими підрядниками – до нас уже зверталися клієнти, з якими європейські замовники відмовлялися працювати через недотримання вимог GDPR. Серед основних вимог Регламенту: отримання згоди на обробку даних, інформування про контролера/ процесора, про права суб'єкта даних, а також, щодо транскордонної передачі даних.

Якщо не знаєте, з чого почати редагування вашої Privacy Policy, робіть це за нашою інструкцією.

1. Визначте, хто є контролером інформації. У Privacy Policy повідомте користувачам про те, чи є ви контролером інформації, тобто відповідальними за всі дії, які надалі будуть здійснені з персональними даними. У більшості випадків ваша компанія і буде контролером. Формулювання пункту може виглядати наступним чином:

ТОВ "Бетмен" контролює спосіб і порядок збору персональної інформації, а також зберігає і прямо використовує персональні дані, отримані від Клієнта. Для цілей дотримання Регламенту ТОВ "Бетмен" вважається контролером інформації, на нього поширюються всі права і покладаються всі обов'язки, передбачені Регламентом для контролерів інформації. Ви можете зв'язатися з нами в будь-який зручний час: _______________.

2. Укажіть контактні дані обробника. Якщо компанія є контролером і обробником – цей пункт можна не включати, так як інформація буде збігатися з першим пунктом. Але, якщо все ж ТОВ "Бетмен" є контролером, але для зберігання і обробки даних використовує послуги третьої сторони (наприклад ТОВ "Спайдер-мен") – вкажіть дані такої компанії-процесора. Формулювання може бути наступним:

ТОВ "Бетмен" передає інформацію на зберігання ТОВ "Спайдер-мен". Для цілей дотримання Регламенту ТОВ "Спайдер-мен" вважається обробником інформації, на нього поширюються всі права і покладаються всі обов'язки, передбачені Регламентом для обробників інформації. Ви можете зв'язатися з ними будь-яким зручним для вас способом: _____________.

3. Укажіть предмет, тривалість, характер і мету обробки персональних даних. Визначте, чи обов'язково потрібні персональні дані для реалізації мети. Поясніть, для чого потрібно надати ті чи інші дані, і які наслідки неподання такої інформації.

Наприклад, ТОВ "Бетмен" збирає ваші персональні дані (ім'я, прізвище, адресу, номер телефону) з метою подальшого зв'язку для уточнення замовлення і доставки піци за вказаною адресою. Ваші дані зберігаються на сервері ТОВ "Спайдер-мен" протягом 1 року з моменту надання даних із метою оптимізації процесу прийому замовлень і доставки. У разі ненадання зазначеної інформації замовлення і доставка будуть неможливі.

4. Укажіть дані і обов'язки Data Protection Officer (DPO). Зверніть увагу, що така посада не обов'язкова. Якщо ж в компанії передбачена така посада – інформація про такого співробітника повинна бути доступна користувачам, чиї дані збираються.

Наприклад, ТОВ "Бетмен" вводить нову посаду – Data Protection Officer. DPO відповідальний за дотримання безпеки і контроль над збиранням/зберіганням персональної інформації. Контактна інформація DPO: __________.

5. Пропишіть у Privacy Policy блок із правами суб'єкта інформації, а зокрема:

Право бути поінформованим;

Право доступу;

Право на внесення змін;

Право на обмеження обробки даних;

Право на знищення;

Право на заперечення.

Наприклад, у будь-який час Ви маєте право вимагати видалити свої персональні дані. Для видалення персональних даних, заповніть форму за посиланням нижче. Протягом 24 годин після заповнення форми Ваші персональні дані буде видалено.

6. Укажіть, чи передається куди-небудь за межі ЄС інформація з персональними даними. Європейська Комісія умовно розділила всі країни на "надійні" і "ненадійні" з позиції рівня захисту персональних даних. Україна не відноситься до списку країн із високим ступенем захисту. Потрібно вказати, куди передається інформація, і як компанія буде взаємодіяти з третіми країнами при передачі інформації.

Наприклад, ТОВ "Бетмен" інформує про те, що вся персональна інформація, отримана від користувачів сайту зберігається на сервері, розташованому в Україні. Компанія гарантує надійний рівень захисту при зборі і зберіганні Вашої інформації, використовуючи сучасні технології захисту, а саме _______. Отримана інформація в треті країни не передається.

7. Бажано включити в політику так звану privacy notice. Це невелике повідомлення, яке допомагає суб'єкту даних зрозуміти, для чого вам так потрібні їхні персональні дані.

Як це зробити? Напроти полів для надання персональної інформації нагадати користувачам, для чого це потрібно. Наприклад: поле "е-mail", праворуч вказати - "для зв'язку з покупцями"; поле "address", праворуч указати "для визначення місця доставки".

8. Отримати від суб'єкта інформації згоду на обробку даних. Якщо раніше згодою вважалася бездіяльність суб'єкта, зі вступом у силу Регламенту - від суб'єкта даних будуть потрібні активні дії. У момент надання згоди бажано вказати посилання на Privacy Policy.

Як це зробити? Поставити галочку навпроти чекбокса, ввести якийсь код.

9. Покладіть документ так, щоб будь-який користувач міг отримати до нього доступ. Логічно буде розмістити його на головній сторінці та візуально виділити.

10. Прибирайте Privacy Policy, схожі на том "Війни і миру". Пам'ятайте про те, що чим простіше написана Privacy Policy – тим краще.