GDPR Privacy Policy

політика конфіденційності сайту gdpr privacy policy

GDPR Privacy Policy

Політика Конфіденційності, вимоги Регламенту GDPR (General Data Protection Regulation) і національне законодавство в сфері захисту персональних даних. Чергові зміни вже знайшли своє втілення в оновлених редакціях Політики Конфіденційності. Що ж змінилося з прийняттям GDPR? Як це вплинуло на роботу веб-сайтів українських компаній?

політика конфіденційності сайту gdpr privacy policy
Політика Конфіденційності і правила GDPR

Персональні дані та Політика Конфіденційності

Ми, як і раніше, не станемо цитувати Регламенти, Закони і Директиви, а також зловживати надмірно зарозумілими словами. Натомість, за доброю традицією команди Legal Support, дамо Вам максимально зрозуміле пояснення того, що таке Персональні дані та Політика Конфіденційності (Privacy Policy) в контексті інтересів Інтернет-бізнесу.

Отже, Персональні дані (personal data) – це будь-яка інформація, що стосується фізичної особи, яка ідентифікується або ідентифікована засобами Вашого веб-сайту чи мобільного додатку. Це, зокрема, ім’я, дата народження, геодані, засоби зв’язку, сукупність інших відомостей про особу (вік, стать тощо).

Політика Конфіденційності (Privacy Policy), Положення про Конфіденційність, Політика використання персональних даних тощо) – “цифровий” договір з потенційно необмеженим колом користувачів веб-сайту, мобільного додатку або онлайн-сервісу. Ця оферта отримує від користувача беззаперечний дозвіл на збір, обробку, зберігання та передачу (за необхідності) його персональних даних.

Політика Конфіденційності також повідомляє користувачам про мету збору персональних даних та інші важливі моменти, які випливають з вимог національного законодавства різних країн та документів подібних до GDPR.

Національне законодавство про захист персональних даних

Більшість країн Світу мають власні правила поводження з персональними даними фізичних осіб, які встановлені законами, іншими нормативно-правовими актами або судовими прецедентами. Україна не є виключенням. Наша держава врегулювала питання використання і захисту на рівні Закону, а також окремих норм Кодексу України про адміністративні правопорушення та Кримінального кодексу України. Дізнатись більше про “особливості” захисту персональних даних в Україні та відповідальність за порушення існуючих приписів можете з нашого матеріалу для власників українських Інтернет-магазинів – “Інтернет-магазин та необхідні документи”.

Вимоги національного законодавства абсолютно різних держав можна умовно узагальнити та звести до наступного:

  1. Необхідність отримання дозволу користувача на всі дії та процеси, які Ви збираєтесь робити або які можуть відбуватися з персональними даними користувача. Дозвіл має бути виражений в чіткій та однозначній формі;
  2. Повідомлення користувача про конкретні цілі збору, зберігання, обробки і передачі його персональних даних;
  3. Повідомлення про те, хто є власником і розпорядником персональних даних;
  4. Повідомлення про обсяг гарантій, які отримує користувач, його права і обов’язки;
  5. Сповіщення про можливу передачу відомостей про користувача третім особам, мінімальні гарантії при такій передачі;
  6. Перелік не є виключним. При замовлені та розробці Політики Конфіденційності (Privacy Policy) треба враховувати ряд нюансів, що випливають з резидентства основних користувачів.

І звісно, абсолютно всім Інтернет-магазинам, онлайн-сервісам з надання послуг та іншим веб-сайтам треба вже зараз починати враховувати правила, встановлені GDPR. Познайомимось з новими правилами ЄС трохи ближче.

GDPR (General Data Protection Regulation) і українські веб-сайти

GDPR стосується всіх! Добре, майже всіх. Вважаєте інакше? Тоді давайте розбиратися разом. А почнемо з того, що дозволимо собі навести офіційну інформацію і повну назву Регламенту GDPR.

REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC. General Data Protection Regulation (GDPR). Це і є Регламент 2016/679 Європейського парламенту та Ради ЄС «Про захист фізичних осіб при обробці персональних даних та про вільний рух таких даних, а також про скасування Директиви 95/46/ЄС». Посилання додаємо.

Наведеним документом збір та обробку персональних даних врегульовано абсолютно по-новому. Якщо Ви не маєте бажання читати багато тексту, то коротко повідомляємо – GDPR стосуватиметься всіх компаній, які працюють (чи потенційно можуть працювати) з громадянами країн ЄС. Насправді, Регламент охоплює навіть ще більшу кількість компаній, які збирають персональні дані, у тому числі через мережу Інтернет.

Коли нові правила Регламенту GDPR введено в дію?

Положеннями Статті 99 “Entry into force and application” передбачено, що  Регламент GDPR застосовується з 25 травня 2018 року. Політику Конфіденційності сайту (мобільного додатку) потрібно було привести у відповідність до нових правил обробки персональних даних ЄС до вказаної дати.

Якщо Політика Конфіденційності Вашого сайту до теперішнього часу не оновлена відповідно до правил General Data Protection Regulation, то невідкладно проведіть роботу з актуалізації документу. В питанні того, чи мають відношення вимоги Регламенту ЄС саме до Вашого бізнесу можете виходити з нижченаведених критеріїв. Сказане нижче про Інтернет-бізнес стосується збору персональних даних через будь-які онлайн-сервіси, мобільні додатки та інше програмне забезпечення.

Яких саме українських сайтів стосується GDPR?

Хоча Регламент GDPR і є нормативно-правовим актом Європейського Союзу, на практиці його дія поширюється далеко за межі території ЄС. Розглянемо випадки, коли дія Регламенту поширюватиметься на український Інтернет-бізнес:

  • Норми і вимоги GDPR стосуються всіх українських веб-сайтів, які належать або використовуються компаніями, що мають представництва на території ЄС.
  • Дія Регламенту поширюється на випадки, коли Ви укладаєте угоду, наприклад, з компанією Німеччини, і у рамках цієї угоди Ваш веб-сайт або мобільний додаток здійснює обробку персональних даних резидентів країн ЄС (або потенційно може здійснювати таку обробку).
  • Коли приймаєте оплату в Євро або використовуєте мову (маєте переклад), що використовується в одній з країн Європейського Союзу (про це нижче).
  • У будь-якому разі GDPR стосуватиметься сайту і пов’язаного з ним бізнесу, якщо здійснюється (наявна така можливість) обробка персональних даних громадян країн учасниць ЄС.

Варто сказати, що дія GDPR поширюється не тільки на комерційну діяльність. Збір персональних даних з метою безоплатного надання послуг чи передачі товарів також є предметом регулювання GDPR. Тобто General Data Protection Regulation стосується Інтернет-ресурсів неприбуткових організацій (NGO, громадських організацій та благодійних фондів), які збирають персональні дані для надання допомоги (безкоштовних послуг, товарів).

Що цікаво, Інтернет-магазин, який пропонує свої товари на мові держави-учасниці ЄС, автоматично потрапляє в сферу впливу Регламенту ЄС. Якщо сайт просуває послуги або товари мовою, яка зазвичай використовується в одній з країн ЄС, то за правилами GDPR вважається, що з метою надання послуг чи відчуження  товарів потенційно можуть збиратися персональні дані громадян цієї країни.

Відповідальність Інтернет-бізнесу і штрафи, передбачені Регламентом ЄС:

Яка відповідальність настає у разі, коли Політика Конфіденційності не відповідає правилам GDPR? І чим загрожує відсутність Політики Конфіденційності сайту? Сума штрафів, в залежності від характеру порушення Регламенту GDPR може становити і 10 000 000 EUR і навіть до 20 000 000 EUR. Другий випадок стосується підприємців дії яких порушують основоположні принципи обробки персональних даних.

Тому наповнити Політику Конфіденційності бездумно сформованими умовами, що не враховують вимоги GDPR, не вийде. Політика Конфіденційності, яка не узгоджується з Регламентом ЄС, не краще ніж відсутність подібного документу.

“Політика Конфіденційності для Європи” має свої особливості. Що відрізняє правила GDPR від вимог українського законодавства?

Виділимо лише ключові особливості Регламенту GDPR:

  • Регламентом урегульовано випадки, коли персональні дані передаються за межі ЄС та країн учасниць Європейського Союзу. В контексті цього встановлено вимоги до мінімальних гарантій прав осіб, персональні дані яких передаються. Між іншим, наявність фахово складеної Політики Конфіденційності дозволить звузити Ваші обов’язки та отримати дозвіл на передачу персональних даних третім особам, у тому числі нерезидентам.
  • Контролер та Обробник персональних даних за правилами нового Регламенту ЄС доволі схожі на українські аналоги за вітчизняним законодавством про захист персональних даних. Контролером і Обробником можуть бути як юридичні, так і фізичні особи.
  • Поруч із поширенням дії Регламенту на осіб, які є Контролерами і Обробниками персональних даних, поза територією ЄС, GDPR вирізняється надмірно широким трактуванням того, що таке персональні дані.
  • Окрім “екстериторіального принципу” є ще одна суттєва особливість нових правил ЄС з обробки персональних даних. Так, при зборі персональних даних не варто зловживати наявними можливостями і проводити збір відомостей у надмірному обсязі. За новими правилами слід обмежуватись акумуляцією лише тієї інформації про користувача, яка дійсно потрібна для належної роботи сервісу чи веб-сайту.
  • Правилами GDPR висуваються конкретні вимоги до організації документування процесу обробки персональних даних, запровадження технічних, а також організаційних заходів, направлених на захист персональних даних від спроб незаконного доступу або випадкового витоку інформації.
  • Також, Регламентом передбачено порядок дій Контролера/Обробника персональних даних у випадку порушення захисту інформації або її витоку. Зокрема, у разі виявлення подібного порушення передбачено обов’язок у чітко обумовлені строки сповістити компетентні органи та вжити інші заходи. Детально про нові правила GDPR та особливості їх імплементації українськими компаніями читайте у нашому Блозі – GDPR – лайфхак для Бізнесу.

Розробка Політики Конфіденційності (Privacy Policy) за новими європейськими правилами:

Політика Конфіденційності, регламент GDPR і національне законодавство у сфері захисту персональних даних диктують необхідність обережного і відповідального ставлення до процесу обробки персональних даних користувачів. Абсолютно зрозуміло, що “прикрутити” до Вашого веб-сайту Checkbox та/або “позичену” у когось і неактуальну для Вашого бізнесу публічну оферту – прямий шлях до негативних юридичних наслідків. Скарги користувачів та очікуване притягнення до відповідальності – лише питання часу.

Більше того, високий рівень захисту, встановлений Європейським Союзом у цій сфері, буде знаходити подальшу імплементацію у національному законодавстві країн, що не є учасницями Євросоюзу. Тому доцільно орієнтуватись на “високі стандарти” вже сьогодні, а завтра – бути впевненим у юридичній безпеці власного бізнесу.

Розробка і написання Політики Конфіденційності (Privacy Policy), Положення про Конфіденційність або Політики використання персональних даних вимагає ґрунтовного знання як національного законодавства про захист персональних даних так і вимог згаданого Регламенту ЄС.

Юристи-спеціалісти з розробки Політики Конфіденційності (Privacy Policy) та інших документів для веб-сайтів.

Плануєте працювати з ЄС або не виключаєте можливості використання веб-сайтом персональних даних громадян країн-учасниць Європейського Союзу? Ми допоможемо організувати роботу компанії у відповідності до вимог Регламенту General Data Protection Regulation, розробимо Політику Конфіденційності (Privacy Policy) та надамо необхідну юридичну підтримку.

Все ще невпевнені чи стосується GDPR Вашого бізнесу?

Наші юристи допоможуть з проведенням правового аудиту веб-сайту, мобільного додатку, іншого програмного продукту або сервісу. За результатами правового аудиту Ви матимете однозначну відповідь на це питання.

Для веб-сайтів, які призначені виключно для внутрішнього ринку України, юристи Legal Support у стислі строки підготують Політику Конфіденційності сайту (website Privacy Policy) і забезпечать правовий консультативний супровід. При цьому, ми врахуємо загальні вимоги, що випливають з нових правил GDPR у сфері захисту персональних даних.

Політика Конфіденційності (Privacy Policy) та повний пакет юридичних документів веб-сайту можуть бути замовлені у зручному для Вас online форматі. Контакти юристів додаються: +38 050 643 79 03 | +38 096 773 56 52 | +38 063 626 85 23.

Юристи NGO “Legal Support”
Блог – Політика Конфіденційності сайту. Регламент GDPR і вимоги закону.

Facebook
Twitter
LINKEDIN