Если у вас имеется сайт в интернете либо приложение, которое собирает какую-либо личную информацию пользователей или клиентов, для этого сайта потребуется составить политику конфиденциальности. Далее в статье будет кратко рассмотрен вопрос о том, почему политика конфиденциальности нужна для веб-сайта, и почему она так часто требуется по закону. В частности, будут рассмотрены различные законы о конфиденциальности в ЕС, США и других странах, а также описано что необходимо учесть при написании политики конфиденциальности.
Что такое политика конфиденциальности?
Соглашение, в котором указано, каким образом фирма-владелец веб-сайта или приложения собирает, обрабатывает и использует личную информацию пользователей/клиентов – называется политикой конфиденциальности. Как правило, Соглашение о политике конфиденциальности содержит конкретный перечень пунктов, где указано какая именно информация собирается, как она защищается, и будет ли она передаваться третьим лицам.
Поскольку во время сбора личной информации посетителей ресурса или клиентов, владелец веб-сайта возлагает на себя ответственность за эту информацию. Политика конфиденциальности интернет сайта требуются законом в большинстве цивилизованных стран мира.
Определение понятия «личная информация»
Это информация с помощью которой можно идентифицировать человека. В качестве примера можно привести идентификационный код, домашний адрес или адрес электронной почты, номер телефона, серию и номер паспорта и т.д.
Законы, регулирующие политику конфиденциальности: Как уже было отмечено, подготовить политику конфиденциальности и пользовательское соглашение для сайта требуют законы во многих странах мира. Эти законы направлены на защиту потребителей, их частной жизни и личной информации.
Разработка политики конфиденциальности в ЕС
Общий регламент по защите данных (GDPR) – основной документ, согласно которому контролируется обработка персональных данных в ЕС. И если вы планируете зарегистрировать компанию в Евросоюзе, для сайта компании обязательно потребуется составить политику конфиденциальности.
GDPR вступил в силу в прошлом году – 25 мая 2018 года, и заменил собой Директиву о защите данных. Основной задачей GDPR является унификация процессов, связанных с полученной от частных лиц информацией в пределах ЕС.
Кроме того, Организация экономического сотрудничества и развития выпустила свое руководство по защите персональной информации потребителей.
Политика конфиденциальности в Великобритании
Парламентом Великобритании был разработан Закон о защите данных. Его целью является защита данных пользователей, независимо от того, хранятся ли она на компьютерах или в системах хранения документов.
Закон состоит из следующих восьми принципов:
- Персональная информация обрабатывается справедливо и законно.
- Собирается только для указанных и законных целей.
- Является адекватной для указанной цели, и не является чрезмерной.
- Актуальна и точна.
- Не хранится дольше необходимого срока.
- Обрабатывается в соответствии с правами пользователей.
- Соблюдены строгие меры противодействия незаконной обработки личной информации.
- Закон также требует того, чтобы личная информация не передавалась в страны за пределы ЕЭЗ, если только эта третья страна не гарантирует защиту личной информации.
Политика конфиденциальности в США
В Штатах нет федерального закона, обязывающего компании составить политику конфиденциальности в США. Тем не менее, есть законы, регулирующие этот вопрос в конкретных случаях:
- Закон о защите конфиденциальности детей в Интернете (COPPA) – требует, чтобы сайты, которые собирают информацию от детей, опубликовали политику конфиденциальности.
- Закон Грэмма – Лича – Блайли (GLBA) – требует от учреждений, работающих в финансовом секторе, предоставления точных и четких заявлений о том, как они обмениваются информацией.
- Закон о мобильности и подотчетности медицинского страхования (HIPAA). Правила этого закона требуют, чтобы поставщики медицинских услуг в письменной форме уведомляли о своей практике соблюдения конфиденциальности.
Стоит также отметить, что некоторые штаты имеют свои собственные законы, которые касаются политики конфиденциальности. Например, в Калифорнии действует так называемый Калифорнийский закон о защите конфиденциальности в интернете. Он требует, чтобы сайты и различные службы, ведущие деятельность в интернете, и собирающие личную информацию у жителей Калифорнии, написали политику конфиденциальности, и разместили ее у себя на сайте.
Получается, что в США действуют несколько законов, требующих применения политики конфиденциальности.
Таким образом, составляя политики конфиденциальности для американской компании, необходимо охватить следующие вопросы:
- Какая информация, и каким образом она будет собираться;
- Защита информации и обеспечение ее сохранности;
- Как будет использоваться собранная информация;
- Будет ли осуществляться передача собранной информации третьим лицам;
- Какие права будут у потребителей по отношению к своей личной информации.
Политика конфиденциальности в Австралии
Закон о конфиденциальности был принят в Австралии в 1988 году. Он устанавливает нормативные ограничения относительно конфиденциальности информации, и требует от предпринимателей, которые зарегистрировали компанию в Австралии и используют веб-сайт для работы, размешать политику конфиденциальности на сайте.
Согласно закону, получать от клиентов или пользователей сайта можно только ту информацию, которая непосредственно касается функций компании. В том случае, если идет сбор личной информации, житель Австралии имеет право знать, почему она собирается, и кто видит эту информацию. К сведению, в австралийском законе о конфиденциальности содержится 13 принципов, касающихся конфиденциальности пользователей.
Планирование и создание политики конфиденциальности
Перед тем как создать политику конфиденциальности для сайта, необходимо позаботиться о составлении подробного плана содержания будущего документа. Именно тщательное планирование гарантирует, что все необходимое будет включено в документ. Дальнейшая работа по плану в значительной степени упростит написание privacy policy.
На этапе планирования необходимо учесть то, что чем меньше личной информации будет запрашиваться у пользователей, и затем храниться и обрабатываться, тем проще будет подготовить политику конфиденциальности.
Кроме того необходимо определить какая именно информация потребуется для вашего сервиса. Имеется в виду, что запрашиваемая информация должна адекватно сопоставляться целям запроса. Если личные данные, например, запрашиваются для цели создания информационной рассылки, пользователю отнюдь нет необходимости вводить что-то кроме адреса своей электронной почты.
Далее мы представили структурный пример для подготовки документа политики конфиденциальности:
- Общая информация о деятельности и целях компании.
- Положения политики.
- Сбор персональной информации.
- Использование персональной информации.
- Раскрытие данных третьим лицам.
- Защита персональных данных.
- Права пользователей.
- Куки (cookies).
- Уведомления об изменениях.
- Контакты.
При написании текста политики конфиденциальности следует уделить внимание методам сбора информации и составить список всех мест на сайте, где личная информация пользователей будет собираться. Необходимо ясно понимать для чего запрашивается информация, чтобы простым языком донести это понимание к пользователям в документе политики конфиденциальности. Из этого вытекает еще одно требование: текст документа должен быть составлен на доступном для рядового пользователя языке, без избытка юридических или технических терминов. Структура самого текста должна быть достаточно простой для ориентирования.
В целом, подготовка к написанию текста privacy policy для сайта требует комплексного и ответственного подхода к делу. Определение целей сбора личной информации и ее формата, в сочетании с детальным планом и четким пониманием дела людьми, составляющими текст – факторы, которые в значительной степени позволят ускорить подготовку документа.
