Вимоги до privacy policy відповідно до GDPR

Давайте спочатку розберемося, що таке privacy policy.

Під Privacy Policy більш правильно розуміти документ для оповіщення суб'єктів даних про порядок обробки компанією їхніх персональних даних. Таким чином, компанії, які збирають, зберігають і обробляють персональні дані, зазвичай публікують на своїх сайтах документ - Privacy Policy (Політика конфіденційності).

Користувач повинен ознайомитися з Privacy Policy під час першого візиту на сайт або під час реєстрації. Крім того, цей документ розміщується публічно на сайті із постійним доступом до нього. Перед тим, як дати згоду на обробку даних, користувач повинен прочитати Privacy Policy (або хоча б поставити галочку, що прочитав). На сьогодні це одна з найпоширеніших практик щодо інформування на веб-ресурсах.

Тепер з'ясуємо, що таке General Data Protection Regulation і з чим його їдять.

General Data Protection Regulation (або просто GDPR) набули чинності 25 травня 2018 р. Правила є обов'язковими для тих, хто збирає персональні дані фізичних осіб – резидентів Європейського Союзу
З набранням чинності GDPR, компаніям важливо привести свою Privacy Policy у відповідність до вимог Регламенту. Порушення може призвести до значних штрафних санкцій (може бути накладений штраф у розмірі до 20 млн євро або 4% від світового річного обороту) або просто замовники почнуть відмовлятися від співпраці з вашою компанією.

Зараз час перейти до основних вимог до Privacy Policy згідно GDPR. У цьому документі слід зазначити наступне:

  1. роль контролера або обробника інформації;
    У Privacy Policy повідомте користувачам про те, чи є контролером інформації, тобто. відповідальними за всі дії, які надалі будуть скоєні із персональними даними. Ваша компанія може бути як контролером, так і обробником інформації. Якщо для зберігання та обробки даних використовують послуги третьої сторони, тоді треба також зазначити дані такої компанії-процесора/обробника інформації;
  2. підстави обробки (згода користувача, законні інтереси контролера, виконання або укладання контракту тощо);
    Кратно поясніть, для чого потрібно надати ті чи інші дані, і які наслідки ненадання такої інформації.
  3. Додати повідомлення - privacy notice;
    Це невелике повідомлення, яке якраз і допомагає суб'єкту даних зрозуміти, для чого вам так потрібні їхні персональні дані.
  4. отримати від суб'єкта інформації згоду на обробку даних;
    Якщо раніше згодою вважалося бездіяльність суб'єкта, з набранням чинності Регламентом - від суб'єкта даних будуть потрібні активні дії. У момент надання згоди бажано вказати посилання на Privacy Policy;
  5. період зберігання даних та порядок їх видалення;
  6. пропишіть блок з правами суб'єкта інформації (right to access, rectification, erasure, restriction of processing, right to be informed, data portability, objection, right not to be subject to decision based solely on automated processing);
  7. порядок сповіщення користувачів про порушення безпеки їх персональних даних;
  8. cookies, web beacons, log policies (окремі пункти або навіть окремі політики);
  9. переміщення даних за кордон або отримання їх з-за меж ЄС;
    Вкажіть, чи передається кудись за межі ЄС або виходить інформація з персональними даними. Європейська Комісія умовно розділила всі країни на “надійні” та “ненадійні” із позиції рівня захисту персональних даних. Потрібно вказати, куди передається інформація, і як компанія взаємодіятиме з третіми країнами під час передачі інформації.
  10. рівень охорони персональних даних та методи захисту від їх пошкодження або крадіжки;
  11. як користувач повідомить про істотні зміни в Privacy Policy;
  12. дата дії поточної редакції;
  13. контактні дані компанії, а якщо є, то й Data Protection Officer;
  14. право відкликати згоду на обробку даних у будь-який час (якщо застосовується)
  15. право на подання скарги до органу нагляду

Також дуже важлива доступність документа Privacy Policy:
- рекомендується розмістити його на головній сторінці та візуально виділити;
- документ повинен бути написаний максимально простою та доступною мовою, начебто для дитини.

>

Якщо ви виявили помилку чи неточність в тексті, виділіть її та натисніть Ctrl + Enter
Write to Email Write to Telegram Write to Whatsapp Write to Skype