Получение политики конфиденциальности для вашего сайта

Политика конфиденциальности — это документ, в котором подробно описывается, как компания или организация обрабатывает любую информацию, которую она собирает. В нем должна быть указана информация, которую планируется собирать, например, имя посетителя сайта, адрес, номер кредитной карты и т. д. Если данные будут оставлены на компьютере пользователя (например, cookies), это должно быть указано наряду с информацией о том, будут ли данные клиента передаваться или продаваться третьим лицам.

Регулируемые Федеральной торговой комиссией (FTC), законы, касающиеся политики конфиденциальности в США, являются сложными и варьируются от штата к штату. Хотя в некоторых районах законы смягчены, в штате Калифорния, например, действуют строгие законы, требующие от всех владельцев коммерческих веб-сайтов включать политику конфиденциальности. Этот строгий свод правил по защите частной жизни потребителей действует с 2003 года и был принят Законом Калифорнии о защите частной жизни в Интернете (CalOPPA) и стал первым законом в США, который установил далеко идущие законы по работе с данными потребителей для онлайн-предприятий. Поэтому операторы сайтов, проживающие в США, должны позаботиться о том, чтобы их сайт соответствовал законам своего штата. Однако федеральное законодательство требует, чтобы определенные компании и веб-сайты предоставляли политику конфиденциальности. К ним относятся сайты, предназначенные для детей младше 13 лет, сайты медицинских учреждений и финансовых организаций.

Вопросы, связанные со сбором данных, безусловно, являются спорными. Большое количество данных сохраняется автоматически, часто без ведома пользователя. Например, веб-серверы записывают IP-адреса в лог-файлы, встроенные иконки социальных сетей передают личные данные, относящиеся к профилям социальных сетей, а файлы cookie сохраняют информацию о пользователях и их поведении в сети. Вопросы безопасности данных, связанные с инструментами аналитики веб-сайтов, такими как Google Analytics, также вызывают споры, поскольку эти инструменты записывают такие данные, как IP-адреса. Операторы сайтов могут не требовать согласия пользователей на сбор данных, сокращая IP-адрес до последнего набора цифр, что позволяет анонимизировать данные.

Поскольку в наши дни большинство веб-сайтов собирают данные, каждый сайт должен содержать политику конфиденциальности. Таким образом, операторы остаются в безопасности с юридической точки зрения и предоставляют важную услугу для своих посетителей.

Лица, признанные виновными в нарушении законов о защите данных, могут получить серьезные штрафы и санкции. Помимо расходов на судебное преследование, судебных запретов и компенсаций, нарушители, не обеспечившие надлежащую защиту данных, могут также получить штрафы в размере до 16 000 долларов США в соответствии с Законом о ФТК. Однако карательные меры сильно варьируются в зависимости от действий нарушителя, тяжести нарушения и количества пострадавших.

Например, мошеннический сбор или распространение персональных данных может повлечь за собой дополнительные штрафные санкции и тюремное заключение сроком до пяти лет. Этот срок может увеличиться до десяти лет и штрафа в размере до 500 000 долларов США для физического лица или 1 миллиона долларов США для компании, если преступление было совершено в сочетании с другими нарушениями или если преступник продал данные с целью личной выгоды.

Согласно Закону о переносимости и подотчетности медицинского страхования (HIPAA), поставщики медицинских услуг, аптеки и другие учреждения или компании, работающие с медицинской информацией, могут быть подвергнуты штрафам в размере от 100 до 1,5 миллиона долларов США в зависимости от тяжести правонарушения.

Если вы обязаны иметь на своем сайте политику конфиденциальности, вам следует позаботиться о том, чтобы она была максимально доступной. Политику конфиденциальности, используемую компанией IONOS, можно легко найти на сайте в разделе «Положения и условия», а можно просто перейти непосредственно к заявлению о политике конфиденциальности. Вы должны представить заявление в виде отдельной страницы с четко обозначенной ссылкой в главном меню. Также важно, чтобы политика конфиденциальности была легка для понимания, поэтому рекомендуется использовать простой язык и избегать сложных юридических или технических терминов. Что касается содержания, крайне важно, чтобы информация была точной и недвусмысленной. Это также относится к случаю, если на вашем сайте есть отпечаток того, что вы ведете бизнес в Германии, Австрии или Швейцарии. Убедитесь, что установленные для этой цели ссылки не заслоняются другими элементами, например баннерами, и что политика конфиденциальности видна в различных браузерах и на всех конечных устройствах (ПК, планшет, смартфон и т. д.).

Также важно включить в политику конфиденциальности следующую информацию:

• краткое описание технических данных, которые собираются и/или передаются (например, IP-адреса, адреса электронной почты и т.д.).
• краткое описание собираемых и/или передаваемых персональных данных (например, имя, адрес и т.д.).
• Данные, передаваемые из браузеров (например, история браузера)
• Информация о специальных функциях, таких как тотализатор, онлайн-реклама и т.д.
• При необходимости, информация об использовании инструментов веб-аналитики, таких как Google Analytics.
• Действия, предпринятые для обеспечения безопасности данных
• Информация о праве пользователя на возражение

Законодательство некоторых штатов может потребовать, чтобы в вашей политике конфиденциальности была указана контактная информация, если у клиента возникнет вопрос относительно политики или использования его данных. Несмотря на то, что это не является федеральным законом, указание контактной информации становится все более распространенным и считается лучшей практикой. Политика конфиденциальности может включать имя, почтовый адрес, адрес электронной почты или номер телефона представителя по вопросам политики конфиденциальности. Вот образец того, как может выглядеть соответствующий пункт в вашей декларации о конфиденциальности:

Образец контактной информации:

Имя ответственного лица (лиц)

1562 Main St

Эврика, Калифорния

95502

Тел: (номер телефона)

Электронная почта: sample@email.com

Многие бесплатные онлайн-решения помогают генерировать политики конфиденциальности для веб-сайтов. Существующие шаблоны доступны, и в Интернете легко найти подходящий. Другим вариантом являются заранее написанные шаблоны. Они содержат ценную информацию о защите пользовательских данных и могут применяться к социальным сетям, файлам cookie или информационным бюллетеням. Это дает пользователям дополнительное преимущество в получении заявлений о защите данных от Google Analytics или других инструментов анализа. Они предоставляются в заполненных формах и содержат ссылки для пользователей, которые возражают против передачи их данных третьим лицам.

Помимо множества доступных шаблонов, некоторые сайты также предлагают бесплатные генераторы политики конфиденциальности, которые собирают образцы текстов для создания окончательного заявления. Результат обычно предоставляется в виде HTML-кода.

Шаблоны и генераторы позволяют легко составить подходящую политику конфиденциальности для вашего сайта. Однако важно быть внимательным, чтобы убедиться, что результаты соответствуют вашему конкретному сайту. Шаблоны могут стать отличной основой для вашего заявления, хотя часто в них есть детали, которые необходимо изменить или уточнить. Если вы не уверены в правильности вашей политики конфиденциальности, рекомендуется обратиться за советом к специалисту в области права.

Общее положение о защите данных (GDPR)

это нормативный акт в законодательстве ЕС о защите данных и конфиденциальности, который затрагивает жителей Европейского союза (ЕС) и Европейской экономической зоны (ЕЭЗ). Основная цель этого постановления — предоставить гражданам и резидентам больший контроль над их данными и тем, что с ними происходит. Поскольку все страны ЕС придерживаются одних и тех же правил, это значительно упрощает ведение бизнеса между странами. Все компании, ведущие бизнес в ЕС или ЕЭЗ, должны хранить персональные данные с использованием псевдонимизации или полной анонимизации, а также с максимально возможными настройками конфиденциальности. Они не могут быть общедоступными без предварительного согласия человека. Если произойдет утечка данных, компании должны сообщить об этом в течение 72 часов в случае, если данные клиентов находятся под угрозой.

Несмотря на то, что GDPR был принят 14 апреля^th2016 года, он был введен в действие только 25 мая^th, 2018. Поскольку это нормативный акт, он не требует от национального правительства принятия какого-либо законодательного решения.

Документ объемом 54 000 слов можно свести к следующим пунктам:

• Компании должны получать разрешение пользователей гораздо более подробно, прежде чем использовать что-либо из этого в маркетинговых или рекламных целях.
• Пользователи должны иметь возможность загружать свои данные в формате, который они могут использовать в конкурирующих сервисах. Это известно как «переносимость данных».
• Пользователи должны иметь возможность проверять все данные, собранные компанией, и при необходимости вносить изменения, а также иметь возможность удалить их, если они не хотят, чтобы компания ими больше владела.
• Пользователи теперь могут оспаривать алгоритмические решения, которые влияют на них, и требовать, чтобы вместо них эти решения принимал человек.

В США нет правового эквивалента GDPR, поскольку в большинстве штатов действуют собственные законы, регулирующие нарушения данных и требования к уведомлению. Обычно используется лишь ограниченный объем данных, а именно номера социального страхования, медицинская или финансовая информация.

Хотя предложение о создании Агентства по защите данных было внесено в Сенат США, до сих пор оно не было принято. Это означает, что США — одна из немногих демократических стран мира, в которой нет федерального агентства по защите данных. Это довольно шокирует, поскольку США когда-то были мировым лидером в области защиты частной жизни, особенно когда в 1970 году был принят Закон о справедливой кредитной отчетности. С тех пор США обогнал ЕС, когда дело дошло до законов о конфиденциальности.

Хотя эти изменения в GDPR касаются стран ЕС, компаниям в США придется адаптироваться к ним, если они ведут бизнес в каких-либо европейских странах. Имеет смысл переписать свои политики конфиденциальности для Европы, иначе вы можете оказаться оштрафованными за их несоблюдение.

Вы являетесь клиентом IONOS? Здесь вы можете найти контрольный список специально для клиентов IONOS со всей информацией, которую операторы веб-сайтов должны учитывать, чтобы их сайт соответствовал Общему положению о защите данных.

Facebook является примером компании, которой необходимо соблюдать эти законы. В апреле 2018 года генеральный директор Facebook Марк Цукерберг дал показания Конгрессу США.

Facebook — пример компании, которой необходимо соблюдать эти законы. В апреле 2018 года генеральный директор Facebook Марк Цукерберг выступил в Конгрессе США с заявлением о конфиденциальности данных. Тема GDPR всплывала довольно часто, но чиновники ЕС не были удовлетворены ответами, которые он давал на многие вопросы. В начале 2018 года по меньшей мере 87 миллионов пользователей Facebook допустили утечку своих данных третьим лицам. В 2019 году Facebook пришлось выплатить FTC внушительный штраф в размере 5 миллиардов долларов за различные нарушения конфиденциальности. Тем более необходимо соблюдать законы GDPR, которые призваны защитить пользователей от будущих утечек данных и дать им больше контроля над тем, что происходит с их личной информацией.

Изменения гласят, что в случае утечки данных пользователи должны быть уведомлены в течение 72 часов. Примером компании, которой в этот раз необходимо действовать по-другому, является агентство по предоставлению информации о потребительских кредитах Equifax, которое в 2017 году потратило несколько недель на то, чтобы остановить атаку на утечку данных и решить, что делать с ущербом, прежде чем компания даже подумала об уведомлении клиентов. Если это произойдет сейчас, когда GDPR уже вступил в силу, компания может быть оштрафована на крупную сумму — точно так же, как и Facebook. Вот несколько примеров политики конфиденциальности, которые американские операторы сайтов, работающие с пользователями из ЕС, могут принять во внимание, чтобы обеспечить соответствие GDPR. Для того чтобы соответствовать требованиям GDPR, ваша политика конфиденциальности должна охватывать следующие аспекты.

Вы обязаны информировать пользователей о правовых основаниях для сбора и обработки персональных данных. Для этого в соответствии со статьей 6 GDPR должно быть выполнено хотя бы одно из следующих условий:

• субъект дал свое согласие
• Обработка данных необходима для выполнения договора с субъектом или для проведения преддоговорных операций
• Контроллер выполняет юридическое обязательство, которому он подлежит
• Целью обработки является защита жизненно важных интересов субъекта данных или другого лица
• Обработка данных осуществляется в общественных интересах
• Это необходимо для защиты законных интересов контроллера или третьей стороны (при условии, что основные права и свободы субъекта не нарушаются).

Образец предоставления правовой основы

В той мере, в какой мы получили согласие субъекта на обработку персональных данных, в качестве правового основания применяется статья 6(1)(1a) GDPR.

Если обработка персональных данных необходима для выполнения договора с субъектом или для преддоговорных мер, инициированных субъектом данных, правовым основанием является статья 6(1)(1b) GDPR.

Если обработка данных является результатом юридического обязательства, которому мы подчиняемся, мы ссылаемся на статью 6(1)(1c) GDPR в качестве правовой основы.

Если обработка персональных данных осуществляется в целях защиты жизненно важных интересов субъекта или другого физического лица, в качестве правового основания выступает статья (6)(1)(1d) GDPR.

Если обработка данных в качестве задачи служит общественным интересам или осуществляется при исполнении служебных полномочий, мы ссылаемся на статью 6(1)(1e) GDPR в качестве правового основания.

В той мере, в какой обработка персональных данных необходима для обеспечения законных интересов контроллера или третьей стороны без ущерба для этих интересов, основных прав или основных свобод субъекта, в качестве правового основания применяется статья 6 (1)(1f).

В дополнение к правовому основанию вы должны перечислить цели обработки соответствующей информации, связанной с данными, в своем заявлении о конфиденциальности. В целях обеспечения прозрачности мы рекомендуем вам раскрыть информацию о любых компонентах вашего веб-сайта, которые собирают эти данные, включая:

• Контактные формы
• подписка на рассылку новостей
• Поля ввода (например, для ввода банковских реквизитов в корзине)
• коды отслеживания
• Сторонние плагины (например, социальные кнопки)
• Сторонний контент (например, видео на YouTube)
• Конкурсы
• Cookies

Если упомянутая ранее статья 6(1)(1f) GDPR относится к вашему сайту, вам также следует раскрыть свои законные интересы в политике конфиденциальности. При этом вы должны проверить, защищаете ли вы интересы и права пользователей вашего сайта наилучшим образом. Типичными целями являются, например, анализ поведения посетителей для оптимизации сайта, предоставление персонализированного контента в маркетинговых целях.

Шаблон для указания целей обработки данных

Для того чтобы сделать посещение нашего сайта максимально удобным для пользователя и предоставить вам все доступные функции, мы собираем конкретные данные с устройства, которое вы использовали для доступа к нашему сайту. Эти данные включают в себя:

• IP-адрес
• операционная система
• Тип и версия браузера
• Дата и время доступа
• …

Оценка этих данных для маркетинговых целей не проводится.

Если вы передаете личные данные третьим лицам, вы также должны проинформировать об этом своих пользователей в рамках декларации о защите данных. Например, если вы управляете интернет-магазином, вы, скорее всего, включите в свой бизнес-процесс других поставщиков услуг, таких как поставщики или платежные службы.

В этот сегмент также входят внедрения сторонних файлов cookie и расширений, использование которых всегда было связано с раскрытием личной информации. К ним относятся коды отслеживания и кнопки социальных сетей. В обоих случаях вы можете указать законный интерес для обоснования использования — однако рекомендуется также получить согласие посетителей (в случае кнопок социальных сетей хорошей идеей является использование процедуры, соответствующей требованиям защиты данных, например, решение «два клика»).

Вам также следует указать в качестве получателей рекламные службы, такие как Google AdSense или AdWords, если вы используете их для того, чтобы пользователи Интернета находили ваш сайт.

Образец указания встроенных сторонних поставщиков (пример: «Плагин Facebook»)

На данном сайте используется социальный плагин Facebook, разработанный компанией Facebook Inc. (1 Hacker Way, Menlo Park, California 94025 USA) и узнаваемый по логотипу Facebook. После активации плагин устанавливает прямое соединение между вашим браузером и серверами Facebook. Для этого необходимо нажать на соответствующую кнопку. Мы не имеем никакого влияния на то, в каком виде и в каком объеме ваши данные передаются Facebook Inc. Заявление социальной сети на эту тему можно найти по следующей ссылке.

Для того чтобы сделать обработку данных максимально справедливой и прозрачной, вам следует также сообщить, как долго будут храниться персональные данные. Если для этого нельзя сформулировать четкое значение, вы можете вместо этого представить критерии, которые влияют на срок хранения данных. Как правило, например, вы можете предоставить конкретную информацию о хранении анонимизированных IP-адресов в лог-файлах, если вы настроили автоматическое удаление через определенный период времени. С другой стороны, если вы работаете с файлами cookie, которые делают посетителя идентифицируемым на время сессии, то длительность хранения данных привязывается к длительности каждой отдельной сессии.

Образец спецификации продолжительности хранения данных

Все персональные данные, которые мы собрали во время вашего визита с помощью сеансовых файлов cookie, автоматически удаляются, как только цель их сбора будет выполнена. Таким образом, сессионные данные сохраняются до тех пор, пока вы не завершите свою сессию (покинув или закрыв веб-сайт).

Все пользователи ЕС, от которых вы собираете личную информацию, имеют несколько прав, также известных как «права субъекта данных». Например, право доступа, указанное в статье 15 GDPR, предоставляет подробную информацию о целях обработки, возможных получателях, сроках хранения и происхождении. Кроме того, пользователи имеют право на исправление персональных данных согласно статье 16 GDPR и — при определенных условиях — право на удаление персональных данных согласно статье 17 GDPR.

Образец ссылки на права субъекта данных

Согласно GDPR, вы считаетесь субъектом данных, если вы являетесь посетителем нашего сайта из ЕС и персональные данные, касающиеся вас, обрабатываются нами. По этой причине вы можете воспользоваться различными правами субъекта данных, которые изложены в Общем положении о защите данных. Это право на доступ к информации (Статья 15 GDPR), право на удаление данных (Статья 18 GDPR), право на возражение (Статья 21 GDPR), право на подачу жалобы в надзорный орган (Статья 77 GDPR) и право на переносимость данных (Статья 20 GDPR). 

Если предоставление персональных данных требуется по закону или договору или необходимо для выполнения договора, вы должны соответствующим образом информировать своих пользователей. Также необходимо предоставить информацию о последствиях непредоставления такой информации.

Образец разъяснения обязательств по сбору данных

Сбор ваших персональных данных необходим для завершения контракта, а также для выполнения договорных обязательств и оказания услуг. Если вы не предоставите нам запрашиваемую информацию, то ни успешное заключение договора, ни дальнейшие договорные услуги невозможны.

Если вы используете автоматизированное принятие решений, включая профилирование, вы обязаны предоставить содержательную информацию о логике, лежащей в его основе. Важно, чтобы вы определили желаемое воздействие и объем такого рода обработки данных на субъекта данных. Дело в том, что, в принципе, ваши пользователи имеют право «не подвергаться решению, основанному исключительно на автоматизированной обработке — включая профилирование», как указано в статье 22 GDPR. Однако это право не действует, если соответствующая автоматизированная процедура необходима для заключения или исполнения договора, разрешена законодательством ЕС и государств-членов или осуществляется с явного согласия заинтересованного лица.

Образец ссылки на автоматизированное принятие решений или профилирование на вашем сайте

Перед заключением вашего договора мы проведем полностью автоматизированную оценку кредитоспособности, чтобы определить вашу кредитоспособность…

Лучшая практика требует, чтобы ваша политика конфиденциальности содержала контактную информацию, если у клиента возникнет вопрос относительно политики или его данных. Политика конфиденциальности может включать имя, почтовый адрес, адрес электронной почты или номер телефона представителя политики конфиденциальности. Вот образец того, как может выглядеть соответствующий пункт в вашей декларации о конфиденциальности:

Образец контактных данных:

Имя ответственного лица (лиц)

1562 Main St

Эврика, Калифорния

95502

Тел: (номер телефона)

Электронная почта: sample@email.com

GDPR предусматривает, что если ваша компания имеет дело с клиентами в ЕС (включая Великобританию, несмотря на Brexit), будь то деловые операции или обработка данных, то вам необходимо соблюдать требования их сотрудников по защите данных (DPO). В обязанности сотрудника по защите данных входит защита личной информации, собранной в ходе сделок с клиентами из ЕС. Сюда входит любая конфиденциальная информация, которая может варьироваться от информации о кредитной карте до того, что может помочь вам определить этническую принадлежность человека, его местонахождение, религию, сексуальную ориентацию и т. д.

GDPR предусматривает, что все государственные органы и частные компании, которые занимаются крупномасштабной и регулярной обработкой данных жителей ЕС, должны соблюдать эти правила. Если вы не уверены, подходит ли ваша компания под это описание, лучше всего обратиться к юристу, поскольку последствия несоблюдения могут быть очень серьезными. Более подробную информацию об ответственных за обработку данных можно найти здесь.

Если вам необходимо нанять DPO, вы должны включить его контактную информацию в политику конфиденциальности вашего сайта. Вот пример того, как может выглядеть их контактная информация в политике конфиденциальности:

Ответственным за защиту данных в этой компании является:

Имя ответственного лица (лиц)

1562 Main St

Эврика, Калифорния

95502

Тел: (номер телефона)

Email: sample@email.com

Многие бесплатные онлайн-решения предоставляют помощь в создании политик конфиденциальности для веб-сайтов, например, решение FreePrivacyPolicy. Существующие шаблоны доступны, и легко найти подходящий для ваших нужд с помощью простого поиска в Google. Еще одним вариантом являются заранее написанные образцы. Они содержат ценную информацию о защите пользовательских данных и могут быть применены к социальным сетям, файлам cookie или информационным бюллетеням. Это дает пользователям дополнительные преимущества при получении заявлений о защите данных от Google Analytics или других инструментов анализа. Они предоставляются в заполненных формах и содержат ссылки для пользователей, которые возражают против передачи их данных третьим лицам.

Помимо множества доступных шаблонов, некоторые сайты также предлагают бесплатные генераторы политики конфиденциальности, которые собирают образцы текстов для создания окончательного заявления. Результат обычно предоставляется в виде HTML-кода.

Шаблоны и генераторы позволяют легко составить адекватную политику конфиденциальности для вашего сайта. Однако важно соблюдать осторожность и следить за тем, чтобы результаты были релевантными. Образцы могут послужить отличной основой для вашего заявления, хотя часто есть детали, которые необходимо изменить или уточнить. Если вы не уверены в правильности вашей политики конфиденциальности, рекомендуется обратиться за советом к специалисту в области права.

Общий регламент по защите данных делает защиту данных в странах ЕС более прозрачной, понятной и безопасной. В основе этого лежит необходимость составления полного, всеобъемлющего заявления о конфиденциальности — особенно для операторов веб-сайтов, которым приходится иметь дело с огромными объемами персональных данных. Если вы уже составляли заявление о конфиденциальности в прошлом, вы наверняка заметили раскрытие правовых основ и ссылку на права пользователей как основные нововведения в вышеуказанных пунктах.

Конечно, эти два аспекта — далеко не единственное, что отличает пересмотренные или вновь созданные заявления о защите данных в соответствии со стандартом GDPR от старых версий. Сейчас, более чем когда-либо, вы обязаны объяснить цель обработки данных подробным, всеобъемлющим образом, не оставляющим открытых вопросов для ваших пользователей. Однако если у ваших пользователей все же возникнут вопросы, вы или ваш DPO должны быть готовы ответить на них. GDPR подчеркивает, что пользователи должны быть проинформированы как можно раньше — всегда до сбора данных.

Если ваш сайт работает с посетителями из ЕС, важно убедиться, что ваша политика конфиденциальности охватывает правила GDPR. Однако не забывайте о местных государственных и федеральных законах. Как всегда, проконсультируйтесь с юристом, чтобы убедиться в том, что ваша политика конфиденциальности юридически непроницаема для регионов, с которыми вы взаимодействуете, и чтобы случайно не нарушить закон и не понести значительные юридические санкции.

Нажмите здесь для ознакомления с важными юридическими оговорками.