Політика Конфіденційності за правилами GDPR

політика конфіденційності сайту privacy policy general data protection regulation gdpr

Політика Конфіденційності за правилами GDPR

Політика Конфіденційності, вимоги Регламенту GDPR (General Data Protection Regulation) і національне законодавство в сфері захисту персональних даних. Попереду чергові зміни для тих, хто працює з ЄС. Наші внутрішні правила гри теж ніхто не скасовував.

політика конфіденційності сайту privacy policy general data protection regulation gdpr
Політика Конфіденційності і Правила GDPR

Персональні дані та Політика Конфіденційності

Ми, як і раніше, не станемо цитувати Регламенти, Закони і Директиви, а також зловживати надмірно зарозумілими словами. Натомість, за доброю традицією команди Legal Support, дамо Вам максимально зрозуміле пояснення того, що таке Персональні дані та Політика Конфіденційності (Privacy Policy) в контексті інтересів Інтернет-бізнесу.

Отже, Персональні дані (personal data) – це будь-яка інформація, що стосується фізичної особи, яка ідентифікується або ідентифікована засобами Вашого веб-сайту чи мобільного додатку. Це, зокрема, ім’я, дата народження, геодані, засоби зв’язку, сукупність інших відомостей про особу (вік, стать тощо).

Політика Конфіденційності (Privacy Policy), Положення про Конфіденційність, Політика використання персональних даних тощо) – “цифровий” договір з потенційно необмеженим колом користувачів веб-сайту, мобільного додатку або онлайн-сервісу. Ця оферта отримує від користувача беззаперечний дозвіл на збір, обробку, зберігання та передачу (за необхідності) його персональних даних.

Політика Конфіденційності також повідомляє користувачам про мету збору персональних даних та інші важливі моменти, які випливають з вимог національного законодавства різних країн та документів подібних до GDPR.

Національне законодавство про захист персональних даних

Більшість країн Світу мають власні правила поводження з персональними даними фізичних осіб, які встановлені законами, іншими нормативно-правовими актами або судовими прецедентами.

Україна не є виключенням. Наша держава врегулювала питання використання і захисту на рівні Закону, а також окремих норм Кодексу України про адміністративні правопорушення та Кримінального кодексу України.

Дізнатись більше про “особливості” захисту персональних даних в Україні та відповідальність за порушення існуючих приписів можете з нашого матеріалу для власників українських Інтернет-магазинів – “Інтернет-магазин та необхідні документи”.

Вимоги національного законодавства абсолютно різних держав можна умовно узагальнити та звести до наступного:

  1. Необхідність отримання дозволу користувача на всі дії та процеси, які Ви збираєтесь робити або які можуть відбуватися з персональними даними користувача. Дозвіл має бути виражений в чіткій та однозначній формі;
  2. Повідомлення користувача про конкретні цілі збору, зберігання, обробки і передачі його персональних даних;
  3. Повідомлення про те, хто є власником і розпорядником персональних даних;
  4. Повідомлення про обсяг гарантій, які отримує користувач, його права і обов’язки;
  5. Сповіщення про можливу передачу відомостей про користувача третім особам, мінімальні гарантії при такій передачі;
  6. Перелік не є виключним. При замовлені та розробці Політики Конфіденційності (Privacy Policy) треба враховувати ряд нюансів, що випливає з резидентства Ваших основних користувачів.

І звісно, абсолютно всім Інтернет-магазинам, онлайн-сервісам з надання послуг та іншим веб-сайтам треба починати враховувати правила, встановлені GDPR.

GDPR General Data Protection Regulation та українські веб-сайти

GDPR стосується всіх! Добре, майже всіх. Вважаєте інакше? Тоді давайте розбиратися разом. А почнемо з того, що дозволимо собі трохи сухої інформації.

REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC. General Data Protection Regulation (GDPR).

Регламент 2016/679 Європейського парламенту та Ради ЄС «Про захист фізичних осіб при обробці персональних даних та про вільний рух таких даних, а також про скасування Директиви 95/46/ЄС». Посилання додаємо.

Цим документом збір та обробку персональних даних врегульовано “по-новому”. Якщо Ви не маєте бажання читати багато тексту, то коротко повідомляємо – GDPR стосуватиметься всіх компаній, які працюють (чи потенційно можуть працювати) з громадянами країн ЄС. Насправді, Регламент охоплює ще більшу кількість компаній, які збирають персональні дані, у тому числі через мережу Інтернет.

Коли нові правила Регламенту GDPR вводяться в дію?

Положеннями Статті 99 “Entry into force and application” передбачено, що Регламент має застосовуватись починаючи з 25 травня 2018 року. Політика Конфіденційності сайту (мобільного додатку) має бути приведена у відповідність до Нових правил обробки персональних даних ЄС до вказаної дати.

Все сказане нижче про Інтернет-бізнес стосується збору персональних даних через будь-які онлайн-сервіси, мобільні додатки та інше програмне забезпечення.

Яких саме українських сайтів стосуватиметься GDPR?

Хоча Регламент GDPR і є нормативно-правовим актом Європейського Союзу, на практиці його дія поширюється далеко за межі території ЄС. Розглянемо випадки, коли дія Регламенту поширюватиметься на український Інтернет-бізнес:

  • Норми і вимоги GDPR стосуються всіх українських веб-сайтів, які належать або використовуються компаніями, що мають представництва на території ЄС.
  • Дія Регламенту поширюється на випадки, коли Ви маєте угоду, наприклад, з компанією Німеччини, і в рамках цієї угоди Ваш сайт або мобільний додаток здійснює обробку персональних даних резидентів країн ЄС (або потенційно може здійснювати таку обробку).
  • Коли приймаєте оплату в Євро або використовуєте мову (маєте переклад), що використовується в одній з країн Європейського Союзу (про це нижче).
  • В будь-якому разі GDPR стосуватиметься Вашого сайту і бізнесу, якщо Ви здійснюєте (або маєте таку можливість) обробку персональних даних громадян країн учасниць ЄС.

Варто сказати, що дія GDPR поширюється не тільки на комерційну діяльність. Збір персональних даних з метою безоплатного надання послуг чи передачі товарів також є предметом регулювання GDPR.

Тобто General Data Protection Regulation стосується Інтернет-ресурсів неприбуткових організацій (NGO, громадських організацій та благодійних фондів), які збирають персональні дані для надання допомоги (безкоштовних послуг, товарів).

Що цікаво, Інтернет-магазин, який пропонує свої товари на мові країни (країн учасниці ЄС), автоматично потрапляє “в сферу впливу” Регламенту ЄС. Вважається, якщо сайт просуває послуги або товари мовою, яка зазвичай використовується в одній з країн ЄС, то Ви потенційно можете збирати персональні дані громадян цієї країни з метою надання послуг чи відчуження  товарів.

Відповідальність Інтернет-бізнесу

Яка відповідальність у разі, коли Ваша Політика Конфіденційності не відповідає правилам GDPR? І чим загрожує відсутність Політики Конфіденційності сайту?

Сума штрафів, в залежності від характеру порушення Регламенту GDPR може становити і 10 000 000 EUR і навіть до 20 000 000 EUR. Другий випадок стосується підприємців дії яких порушують основоположні принципи обробки персональних даних.

Тому наповнити Політику Конфіденційності бездумно сформованими умовами, що не враховують вимоги GDPR, не вийде. Політика Конфіденційності, яка не узгоджується з Регламентом ЄС, не краще ніж відсутність подібного документу.

“Політика Конфіденційності для Європи” має свої особливості. Що відрізняє правила GDPR від вимог українського законодавства?

Виділимо лише ключові особливості Регламенту GDPR:

Регламентом урегульовано випадки, коли персональні дані передаються за межі ЄС та країн учасниць Європейського Союзу. В контексті цього встановлено вимоги до мінімальних гарантій прав осіб, персональні дані яких передаються. Між іншим, наявність фахово складеної Політики Конфіденційності дозволить звузити Ваші обов’язки та отримати дозвіл на передачу персональних даних третім особам, у тому числі нерезидентам.

Контролер та Обробник персональних даних за правилами нового Регламенту ЄС доволі схожі на українські аналоги за вітчизняним законодавством про захист персональних даних. Контролером і Обробником можуть бути як юридичні, так і фізичні особи.

Поруч із поширенням дії Регламенту на осіб, які є Контролерами і Обробниками персональних даних, поза територією ЄС, GDPR вирізняється надмірно широким трактуванням того, що таке персональні дані.

Окрім “екстериторіального принципу” є ще одна суттєва особливість нових правил ЄС з обробки персональних даних. Так, при зборі персональних даних не варто зловживати наявними можливостями і проводити збір відомостей у надмірному обсязі. За новими правилами слід обмежуватись акумуляцією лише тієї інформації про користувача, яка дійсно потрібна для належної роботи сервісу чи веб-сайту.

Правилами GDPR висуваються конкретні вимоги до організації документування процесу обробки персональних даних, запровадження технічних, а також організаційних заходів, направлених на захист персональних даних від спроб незаконного доступу або випадкового витоку інформації.

Також, Регламентом передбачено порядок дій Контролера/Обробника персональних даних у випадку порушення захисту інформації або її витоку. Зокрема, у разі виявлення подібного порушення передбачено обов’язок у чітко обумовлені строки сповістити компетентні органи та вжити інші заходи.

Більш детально про нові правила GDPR та особливості їх імплементації українськими компаніями читайте у нашому Блозі – “GDPR – лайфхак для Бізнесу”.

Розробка Політики Конфіденційності (Privacy Policy) за новими європейськими правилами

Політика Конфіденційності, регламент GDPR та національне законодавство в сфері захисту персональних даних диктують необхідність обережного і відповідального ставлення до процесу обробки персональних даних користувачів.

Абсолютно зрозуміло, що “прикрутити” до Вашого веб-сайту Checkbox та/або “позичену” у когось і неактуальну для Вас публічну оферту – прямий шлях до негативних юридичних наслідків. Скарги користувачів та очікуване притягнення до відповідальності – лише питання часу.

Більше того, високий рівень захисту, встановлений Європейським Союзом у цій сфері, буде знаходити подальшу імплементацію у національному законодавстві країн, що не є учасницями Євросоюзу. Тому доцільно орієнтуватись на “високі стандарти” вже сьогодні, а завтра – бути впевненим у юридичній безпеці власного бізнесу.

Розробка і написання Політики Конфіденційності (Privacy Policy), Положення про Конфіденційність або Політики використання персональних даних вимагає ґрунтовного знання як національного законодавства про захист персональних даних так і вимог згаданого Регламенту ЄС.

Юристи-спеціалісти з розробки Політики Конфіденційності (Privacy Policy) та інших документів для веб-сайтів

Ви плануєте працювати з ЄС або не виключаєте можливості використання веб-сайтом відомостей про громадян країн-учасниць Європейського Союзу? Ми допоможемо організувати роботу Вашої компанії у відповідності до вимог Регламенту General Data Protection Regulation, розробимо Політику Конфіденційності (Privacy Policy) та надамо необхідну підтримку.

Все ще невпевнені чи стосується Вас GDPR?

Наші юристи допоможуть з проведенням правового аудиту веб-сайту або мобільного додатку. За результатами правового аудиту Ви матимете однозначну відповідь.

Для веб-сайтів, які орієнтовані виключно на внутрішній ринок України, наші юристи у стислі строки підготують Положення про Конфіденційність і забезпечать консультативний супровід. При цьому, ми також врахуємо загальні вимоги, що випливають з нових правил ЄС у сфері захисту персональних даних.

Політика Конфіденційності (Privacy Policy) та повний пакет Legal документів для Вашого веб-сайту можуть бути замовлені у зручному для Вас online форматі.

Контакти юристів: +38 050 643 79 03 | +38 096 773 56 52 | +38 063 626 85 23

З повагою до читачів,

юрист, засновник NGO “Legal Support”
Євгеній Мовчун

Facebook
Twitter
LINKEDIN