Требования к privacy policy в соответствии с GDPR

Давайте для начала разберемся, что такое privacy policy.

Под Privacy Policy более правильно понимать документ для оповещения субъектов данных о порядке обработки компанией их персональных данных. Таким образом компании, которые собирают, хранят и обрабатывают персональные данные, обычно публикуют на своих сайтах документ - Privacy Policy (Политика конфиденциальности).

Пользователь должен ознакомиться с Privacy Policy во время первого визита на сайт либо при регистрации. Кроме того, этот документ размещается публично на сайте с постоянным доступом к нему. Прежде чем дать согласие на обработку данных, пользователь должен прочитать Privacy Policy (или хотя бы поставить галочку, что прочитал). На сегодня это одна из самых распространенных практик по информированию на веб-ресурсах.

Теперь выясним, что же такое General Data Protection Regulation и с чем его едят.

General Data Protection Regulation (или просто - GDPR) вступили в силу 25 мая 2018 г. Правила являются обязательными для тех, кто собирает персональные данные физических лиц – резидентов Европейского Союза.
С вступлением в силу GDPR, компаниям важно привести свою Privacy Policy в соответствие с требованиями Регламента. Нарушение может привести к значительным штрафным санкциям (может быть наложен штраф в размере до 20 млн евро или 4% от мирового годового оборота) или же просто заказчики начнут отказываться от сотрудничества с вашей компанией.

Сейчас время перейти к основным требованиям к Privacy Policy согласно GDPR. В этом документе необходимо указать следующее:

1. роль контролера или обработчика информации;
   В Privacy Policy сообщите пользователям о том, являетесь ли вы контролером информации, т.е. ответственными за все действия, которые в дальнейшем будут совершены с персональными данными. Ваша компания может быть как контролером, так и обработчиком информации. Если для хранения и обработки данных используют услуги третьей стороны, тогда надо также указать данные такой компании-процессора/обработчика информации;
2. основания обработки (согласие пользователя, законные интересы контролера, исполнение или заключение контракта и т.п.);
   Кратно объясните, для чего нужно предоставить те или иные данные, и каковы последствия непредставления такой информации.
3. Добавить уведомление - privacy notice;
   Это небольшое уведомление, которое как раз и помогает субъекту данных понять, для чего вам так нужны их персональные данные.
4. получить от субъекта информации согласие на обработку данных;
   Если ранее согласием считалось бездействие субъекта, с вступлением в силу Регламента - от субъекта данных потребуются активные действия. В момент предоставления согласия желательно указать ссылку на Privacy Policy;
5. период хранения данных и порядок их удаления;
6. пропишите блок с правами субъекта информации (right to access, rectification, erasure, restriction of processing, right to be informed, data portability, objection, right not to be subject to a decision based solely on automated processing);
7. порядок уведомления пользователей о нарушении безопасности их персональных данных;
8. cookies, web beacons, log policies (отдельные пункты или даже отдельные политики);
9. перемещение данных за границу или получение их из-за пределов ЕС;
   Укажите, передается ли куда-либо за пределы ЕС или получается информация с персональными данными. Европейская Комиссия условно разделила все страны на “надежные” и “ненадежные” с позиции уровня защиты персональных данных. Нужно указать, куда передается информация, и как компания будет взаимодействовать с третьими странами при передаче информации.
10. уровень охраны персональных данных и методы защиты от их повреждения или кражи;
11. как пользователь будет уведомлен о существенных изменениях в Privacy Policy;
12. дата действия текущей редакции;
13. контактные данные компании, а если есть, то и Data Protection Officer;
14. право отозвать согласие на обработку данных в любое время (если применимо)
15. право на подачу жалобы в надзорный орган

Также очень важна доступность документа Privacy Policy:
- рекомендуется разместить его на главной странице и визуально выделить;
- документ должен быть написан максимально простым и доступным языком, как будто бы для ребёнка.