Наверное, каждый человек хоть раз давал согласие на обработку персональных данных при регистрации на веб-сайте. При этом указывается, что обработка будет осуществляться согласно «Политике Конфиденциальности» сайта. Что это значит?

За последние годы персональные данные стали эффективным экономическим активом. Их грамотное использование приносит компаниям коммерческое преимущество и прибыль.

С другой стороны, злоупотребление выгодой с персональных данных и незнание пользователей об этом приводят к государственным ограничениям в этой сфере. Поэтому законодательство развитых стран требует, чтобы компания:

  • в полной мере проинформировала пользователя о характере и деталях использования его данных;
  • после чего получила от него согласие на их сбор и обработку.

Нужна ли для этого политика конфиденциальности (Privacy Policy)? Определенно, так как это лучший способ информирования пользователей о сборе персональных данных на веб-сайте.

Privacy Policy – это внутренний документ, который устанавливает правила сбора и обработки персональных данных пользователей на определенном веб-ресурсе.

Пользователь должен ознакомиться с Privacy Policy во время первого визита на сайт либо при регистрации. Кроме того, этот документ размещается публично на сайте с постоянным доступом к нему. Прежде чем дать согласие на обработку данных, пользователь должен прочитать Privacy Policy (или хотя бы поставить галочку, что прочитал). На сегодня это одна из самых распространенных практик по информированию на веб-ресурсах.

Требования GDPR к информированию пользователя

Само требование оповестить пользователей веб-сайта об использовании их данных – не ново. Тем не менее, при его реализации возникают проблемы.

Можно часто встретить длинные версии Privacy Policy ресурсов, написанные на непонятном языке, которые описывают лишь отдельные аспекты обработки персональных данных. Такая политика не несет информационной функции для пользователей, а служит скорее формальным соблюдением законодательства. Соответственно, пользователь не в состоянии понять, на что он соглашается.

Из-за этого и других введений пользователя в заблуждение, Европейский союз принял новый акт по защите персональных данных – General Data Protection Regulation (GDPR). GDPR ставит требования по обработке персональных данных на территории Европейского союза. Кроме того, действие документа распространяется на компании вне ЕС, если те обрабатывают персональную информацию европейских граждан.

Основные нововведения – открытость и прозрачность сбора персональных данных, информированность субъекта, а также свобода согласия на их сбор и обработку. В связи с этим, GDPR ставит более высокие требования по объему и качеству информирования пользователей об обработке их данных.

Например, статья 12 GDPR обязывает предоставлять информацию об обработке персональных данных в четкой, краткой и доступной форме, простым и понятным для обычного человека языком. Это значит, что Privacy Policy не должна содержать сложных формулировок, юридического жаргона, запутанных и размытых понятий. Напротив, процесс использования должен описываться понятно и открыто. Так, чтобы обычный человек понимал, о чем он читает. Для этого подойдут конкретные примеры использования информации, а также снижение формальности текста.

Кроме формы политики конфиденциальности, GDPR значительно расширяет требования к содержимому Privacy Policy. Поскольку один из главных принципов обработки персональных данных — это открытость и прозрачность, то документ требует детального описания процесса.

В первую очередь, субъект персональных данных должен знать, кто собирает и обрабатывает его информацию. Необходимо указать название контролера, его контактные данные и контактные данные его представителя (если необходимо). Также указываются контакты уполномоченного в компании по защите данных (Data Protection Officer), если таковой есть.

Более того, GDPR обязует раскрывать всех третьих лиц, которым контролер передает данные пользователей. Это обязательно независимо от того, данные передаются для целей контролера (данные передаются на хранение или для email-рассылок) либо для целей третьих лиц.

На ясность информации влияет и четкое разграничение в Privacy Policy типов информации и целей ее сбора. В политике следует выделять каждый источник и основание для сбора данных. Например, отдельно указывать информацию, полученную при регистрации пользователя (для предоставления услуг), и отдельно – информацию его веб-активности (по согласию субъекта).

Такая же ситуация и с целями. Следует выделить все цели обработки, так как на каждую потребуется отдельное согласие субъекта. Для каждой цели должен быть установлен срок использования данных, по истечению которого они удаляются.

Важным аспектом выделяется профайлинг пользователей и обработка персональной информации искусственным интеллектом. О применении таких технологий и принципах их работы необходимо указывать в Privacy Policy.

Кроме вышеуказанного, GDPR делает акцент на правах субъектов персональных данных. Privacy Policy должна предоставлять информацию о правах пользователя на:

  • доступ к собранной о себе информации;
  • исправление, ограничение, удаление информации о себе;
  • запрет на дальнейшее использование данных и отмена согласия на это (если обработка основывается на согласии);
  • передачу всей информации о себе третьим лицам (Data Portability);
  • запрет профайлинга и принятия решений искусственным интеллектом по поводу себя (если это используется компанией);
  • подачу жалобы на компанию в государственный орган по защите персональных данных.

Кроме перечисления прав пользователей, компания обязана указать и механизм их реализации – как оформить запрос и куда его направить. 

GDPR обязует каждую компанию защищать данные, которые она собрала. Отдельно Privacy Policy должна указывать технические и организационные меры по защите персональных данных. То, каким образом это делается, должно указываться в политике. Например, как выполняется требование GDPR «Privacy by design and by default» (шифрование данных, псевдонимизация и т. д.).

У требований по защите данных есть и обратная сторона медали: при передаче данных в другую страну необходимо указывать такую страну. Для передачи должно быть отдельное основание – достаточная законодательная база, корпоративные правила или их альтернативы (ст. 46 GDPR), о чем тоже указывается в политике.

Обширность и разнообразность требований показывает, что невозможно создать универсальную GDPR-политику, которая бы соответствовала всем требованиям законодательного акта. Для написания документа необходим индивидуальный подход, с учетом размеров компании, объема собираемых данных и множества других факторов. Основной принцип – полное информирование пользователей ресурса о действиях с их персональными данными. Только в таком случае Privacy Policy будет выполнять свою функцию и составлять элемент GDPR compliance компании.

Автор: Владислав Некрутенко, младший юрист Практики ТМТ Juscutum