Політика конфіденційності сайту має складатися по-новому. Вимоги Регламенту GDPR і законодавство у сфері захисту персональних даних постійно оновлюються. Чергові зміни вже знайшли своє втілення в оновлених редакціях Політики конфіденційності. Що ж змінилося з прийняттям GDPR (General Data Protection Regulation)? Як це вплинуло на роботу Інтернет-магазинів та сайтів українських компаній? Яка відповідальність встановлена за порушення законодавства ЄС про захист персональних даних? Чи є приклади накладення штрафів?

Політика конфіденційності і Персональні дані.

Не станемо цитувати Регламенти, Закони і Директиви, а також зловживати надмірно зарозумілими словами. Натомість, за доброю традицією команди Legal Support, надамо максимально зрозумілі пояснення. Нижче вказані короткі визначення термінів Персональні дані та Політика конфіденційності (Privacy Policy). Визначення викладені через призму інтересів Інтернет-бізнесу та з урахуванням нових законодавчих правил.

Персональні дані (personal data) – це будь-яка інформація, що стосується фізичної особи, яка ідентифікується або ідентифікована, у тому числі засобами сайту, мобільного чи іншого програмного додатку. Це, зокрема, ім’я, дата народження, дані геолокації, засоби зв’язку, сукупність інших відомостей про особу (вік, стать тощо).

Політика конфіденційності (Privacy Policy), Положення про конфіденційність або Політика використання персональних даних – цифровий договір з необмеженим колом користувачів веб-сайту, мобільного додатку або онлайн-сервісу. Політика конфіденційності сайту / мобільного додатку отримує від користувача беззаперечний дозвіл на збір, обробку, зберігання і передачу персональних даних. Положення про конфіденційність є головним документом у роботі з персональними даними.

Політика конфіденційності сайту або програмного додатку також повідомляє користувачам про мету збору персональних даних та інші важливі моменти, які випливають з вимог національного законодавства різних країн та документів подібних до GDPR і CCPA. General Data Protection Regulation (GDPR) і California Consumer Privacy Act (CCPA) – документи, які суттєво розширюють права суб’єктів персональних даних і піднімають рівень вимог до забезпечення захисту персональних даних. Ми розглянемо основні вимоги цих документів і національного законодавства України про захист персональних даних.

Законодавство про захист персональних даних.

Більшість країн мають власні правила поводження з персональними даними фізичних осіб, які встановлені законами, директивами, регламентами та судовими прецедентами. Україна не є виключенням. Наша держава врегулювала питання використання і захисту на рівні Закону, а також окремих норм Кодексу України про адміністративні правопорушення та Кримінального кодексу України.

У 2022 очікується прийняття нового Закону України “Про захист персональних даних”, правила якого аналогічні правилам Регламенту GDPR. Це призведе до необхідності невідкладного оновлення політики конфіденційності кожного сайту, через який опрацьовуються персональні дані, а також проведення низки внутрішніх процедур.

Дізнатись більше про особливості захисту персональних даних в Україні та відповідальність за порушення існуючих приписів можете з наших консультацій. Радимо почати з матеріалу для власників українських Інтернет-магазинів – Інтернет-магазин та необхідні документи. Консультація доступна у розділі Блог. Політика конфіденційності сайту (сервісу) складається з урахуванням законодавства тих юрисдикцій, з персональними даними громадян яких працюватиме Ваш бізнес. Законодавство про захист персональних даних має суттєві відмінності у різних країнах. Однак, є і універсальні вимоги, які висуваються до процесу збору і обробки персональних даних.

Вимоги національного законодавства різних держав можна умовно узагальнити та звести до наступного:

1. Необхідність отримання дозволу користувача на дії та операції, які проводяться або які можуть відбуватися з персональними даними користувача. Дозвіл має бути виражений у чіткій та однозначній формі.
2. Повідомлення користувача про конкретні цілі збору, зберігання, обробки і передачі персональних даних.
3. Інформування користувача (суб’єкта персональних даних) про те, хто є власником (контролером) і розпорядником (обробником) персональних даних. Положення про конфіденційність сайту має містити відомості про: найменування та реєстраційні дані власника і розпорядника персональних даних.
4. Наявність сповіщення про обсяг гарантій, які отримує користувач, його права і обов’язки.
5. Політика конфіденційності має передбачати реальний механізм реалізації прав користувача і контактні дані для зв’язку з контролером та/або обробником персональних даних.
6. У Політиці конфіденційності вказуються випадки можливої передачі відомостей про користувача третім особам. Наводяться обґрунтування передачі даних та мінімальні гарантії прав користувача при передачі персональних даних.
7. Перелік не є виключним. При замовленні та розробці Політики конфіденційності (Privacy Policy) враховується ряд нюансів, що випливають з резидентства основних користувачів.

Абсолютно всім Інтернет-магазинам, онлайн-сервісам з надання послуг та іншим веб-сайтам слід вже зараз починати враховувати правила, встановлені GDPR і CCPA. Давайте ознайомимось з новими правилами ближче. Почнемо з Регламенту ЄС – General Data Protection Regulation.

Політика конфіденційності сайту та GDPR.

Правила GDPR стосуються майже всіх підприємців і компаній. Це факт підтверджений практикою. У статті ми пояснимо причини екстериторіальної дії GDPR. А почнемо з того, що наведемо офіційну інформацію і повну назву Регламенту GDPR.

REGULATION (EU) 2016/679 OF THE EUROPEAN PARLIAMENT AND OF THE COUNCIL of 27 April 2016 on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC. General Data Protection Regulation (GDPR). Прямий переклад на українську – “Загальний регламент про захист даних”. Це і є Регламент 2016/679 Європейського парламенту та Ради ЄС «Про захист фізичних осіб при обробці персональних даних та про вільний рух таких даних, а також про скасування Директиви 95/46/ЄС». Посилання додаємо.

General Data Protection Regulation урегулював збір і обробку персональних даних абсолютно по-новому. Вимоги Загального регламенту про захист даних зобов’язують бізнес оновити чинні політики і положення, а також підійти по-новому до організації роботи з персональними даними. Політика Конфіденційності – це головний і перший документ у роботі з персональними даними. Положення даного документу бачать користувачі, вони ж доступні для перевірки з боку органів контролю і нагляду. Навіть у випадку, якщо у штаті компанії є юрист, знати про головні вимоги Регламенту зайвим не буде.

GDPR стосується всіх компаній, які працюють (чи потенційно можуть працювати) з громадянами країн ЄС. Насправді, Регламент охоплює діяльність 90% компаній, які збирають персональні дані через мережу Інтернет.

Політика конфіденційності сайту може бути розроблена виключно з урахуванням українського законодавства. У той же час, юристи Legal Support Ukraine радять враховувати принаймні базові вимоги Регламенту GDPR. Візьмемо за приклад CRM систему, реалізовану через сайт і пов’язаний програмний додаток. Сьогодні ця CRM система розрахована виключно на українських користувачів. Однак, вже завтра власник може вирішити розширити коло користувачів. Положення про конфіденційність – це зовнішній прояв внутрішньої організації роботи з персональними даними. Якщо ця робота проводилась без врахування GDPR з самого початку, то подальша адаптація всіх процесів буде занадто трудомісткою. Краще одразу працювати з дотриманням щонайменше базових вимог GDPR. Розробка Політики конфіденційності з урахуванням цих базових правил не буде марною.

Коли нові правила Регламенту GDPR введені в дію?

Положеннями Статті 99 “Entry into force and application” передбачено, що Регламент GDPR застосовується з 25 травня 2018 року. Політику конфіденційності сайту (мобільного додатку) потрібно було привести у відповідність до нових правил обробки персональних даних ЄС до вказаної дати.

Якщо Політика конфіденційності Вашого сайту до теперішнього часу не оновлена відповідно до правил General Data Protection Regulation, то невідкладно проведіть роботу з актуалізації документу. На Політику конфіденційності сайту покладається головна роль у виконанні обов’язкових законодавчих формальностей і належному інформуванні користувачів. Положення конфіденційності отримує їх згоду на проведення операцій з персональними даними. Не використовуйте типові шаблони Політики конфіденційності! Така практика приносить бізнесу більше шкоди аніж користі. Політика використання персональних даних користувачів веб-сайту, її зміст і форма, потребують максимальної уваги. Юристи, які залучаються до правової організації роботи Інтернет-магазинів, програмних комплексів і онлайн-служб, ретельно працюють над кожним положенням цієї цифрової угоди з користувачами.

В питанні того, чи мають відношення вимоги Регламенту ЄС саме до Вашого бізнесу можете виходити з нижченаведених критеріїв. Сказане нижче про Інтернет-бізнес стосується збору персональних даних через будь-які сайти, онлайн-сервіси, мобільні додатки та програмне забезпечення.

Яких сайтів стосується GDPR і коли слід оновлювати Політику конфіденційності?

Хоча Регламент GDPR і є нормативно-правовим актом Європейського Союзу, на практиці його дія поширюється далеко за межі території ЄС. Розглянемо випадки, коли дія Регламенту поширюватиметься на український Інтернет-бізнес:

• Норми і вимоги GDPR стосуються всіх українських веб-сайтів, які належать або використовуються компаніями, що мають представництва на території ЄС.
• Дія Регламенту поширюється на випадки, коли укладається угода, наприклад, з компанією з Німеччини, і у рамках цієї угоди через веб-сайт або мобільний додаток здійснюється чи теоретично може здійснюватись обробка персональних даних резидентів країн ЄС.
• Коли приймаєте оплату в Євро або використовуєте мову (маєте переклад), що використовується в одній з країн Європейського Союзу.
• У будь-якому разі GDPR стосуватиметься сайту і пов’язаного з ним бізнесу, якщо здійснюється (наявна така можливість) обробка персональних даних громадян країн учасниць ЄС.

Варто сказати, що дія GDPR поширюється не тільки на комерційну діяльність. Збір персональних даних з метою безоплатного надання послуг чи передачі товарів також є предметом регулювання GDPR. Тобто General Data Protection Regulation стосується Інтернет-ресурсів неприбуткових організацій (NGO, громадських організацій та благодійних фондів), які збирають персональні дані для надання допомоги (безкоштовних послуг, товарів).

Що цікаво, Інтернет-магазин, який пропонує свої товари на мові держави-учасниці ЄС, автоматично потрапляє в сферу впливу Регламенту ЄС. Якщо сайт просуває послуги або товари мовою, яка зазвичай використовується в одній з країн ЄС, то за правилами GDPR вважається, що з метою надання послуг чи відчуження товарів потенційно можуть збиратися персональні дані громадян цієї країни.

Таким чином, у випадку коли Ваша ситуація підпадає під описані вище критерії, слід діяти невідкладно. Перший крок – оновити Політику конфіденційності сайту, сервісу або служби. Другий крок – привести фактичний порядок обробки персональних даних у відповідність до вимог Регламенту GDPR. Третій крок – здійснювати документування операцій з персональними даними і виконувати інші обов’язки контролера і обробника персональних даних.

Відповідальність і штрафи, передбачені Регламентом ЄС:

Яка відповідальність настає у разі, коли процес обробки персональних даних і Положення про конфіденційність не відповідають правилам GDPR? Чим загрожує відсутність Політики конфіденційності сайту? Сума штрафів, у залежності від характеру порушення Регламенту GDPR, може становити і 10000000 EUR і навіть до 20000000 EUR. Другий випадок стосується підприємців дії яких порушують основоположні принципи обробки персональних даних.

Порушення GDPR і неправильно складена Політика конфіденційності сайту часто призводять до накладення ще більших штрафів. Як приклад, штраф накладений на компанію-оператора WhatsApp. Ірландська комісія з питань захисту даних провела розслідування, яке завершилося для WhatsApp штрафом у 225 млн EUR. На WhatsApp також покладено обов’язок оновити Політику конфіденційності сервісу. Такі наслідки порушення правил Регламенту.

Штрафи, передбачені Регламентом ЄС, є частиною механізму захисту персональних даних. Це означає, що механізм захисту передбачає настання також інших негативних наслідків для порушника. Тому наповнити Політику конфіденційності сайту бездумно сформованими умовами, що не враховують вимоги GDPR, не вийде. Політика конфіденційності, яка не узгоджується з Регламентом ЄС, не краще ніж відсутність подібного документу.

Політика конфіденційності сайту складена за правилами Регламенту GDPR:

Зміст Політики конфіденційності формується виходячи з переліку персональних даних, які збираються і обробляються, мети їх обробки і призначення сайту. Функціональні можливості сайту або програмного додатку відіграють важливу, але не вирішальну роль. Найсуттєвіший вплив на зміст документу мають правила законодавства, які застосовуються.

У Політиці конфіденційності для ЄС є свої особливості і суттєві відмінності. Чим відрізняються правила GDPR від вимог українського законодавства? Виділимо декілька ключових особливостей Регламенту GDPR, які впливають на зміст Політики конфіденційності:

• Регламентом урегульовано випадки, коли персональні дані передаються за межі ЄС та країн учасниць Європейського Союзу. В контексті цього встановлено вимоги до мінімальних гарантій прав осіб, персональні дані яких передаються. Між іншим, наявність фахово складеної Політики Конфіденційності дозволить звузити обов’язки бізнесу та отримати дозвіл на передачу персональних даних третім особам, у тому числі нерезидентам.
• Контролер та Обробник персональних даних за правилами нового Регламенту ЄС доволі схожі на українські аналоги за вітчизняним законодавством про захист персональних даних. Контролером і Обробником можуть бути як юридичні, так і фізичні особи. Вимоги до Контролера і Обробника персональних даних суворіші порівняно з українським законодавством.
• Поруч із поширенням дії Регламенту на осіб, які є Контролерами і Обробниками персональних даних поза територією ЄС, GDPR вирізняється надмірно широким трактуванням того, що таке персональні дані.
• Окрім “екстериторіального принципу” є ще одна суттєва особливість нових правил ЄС з обробки даних. При зборі персональних даних не варто зловживати наявними можливостями і проводити збір відомостей у надмірному обсязі. За новими правилами слід обмежуватись акумуляцією лише тієї інформації про користувача, яка дійсно потрібна для належної роботи сервісу чи веб-сайту.
• Правилами GDPR висуваються конкретні вимоги до організації документування процесу обробки персональних даних, запровадження технічних, а також організаційних заходів, направлених на захист персональних даних від спроб незаконного доступу або випадкового витоку інформації. Новими правилами вводиться посада DPO (скорочення від data protection officer).
• Регламентом передбачено чіткий порядок дій Контролера і Обробника персональних даних у випадку порушення захисту інформації, її компрометації та витоку. В разі виявлення подібного порушення передбачено обов’язок у чітко обумовлені строки сповістити компетентні органи та вжити інші заходи. Детально про нові правила GDPR та особливості їх імплементації українськими компаніями читайте у нашому Блозі. Введіть “GDPR” у формі пошуку у розділі Блог і отримаєте перелік всіх консультацій для бізнесу.

Розробка Політики конфіденційності за новими європейськими правилами:

Політика конфіденційності, регламент GDPR і національне законодавство у сфері захисту персональних даних диктують необхідність обережного і відповідального ставлення до процесу обробки персональних даних користувачів. Абсолютно зрозуміло, що “прикрутити” до веб-сайту checkbox та “позичену” у когось і неактуальну для Вашого бізнесу публічну оферту – прямий шлях до негативних юридичних наслідків. Скарги користувачів та очікуване притягнення до відповідальності – лише питання часу.

Більше того, високий рівень захисту персональних даних, встановлений Європейським Союзом, буде знаходити подальшу імплементацію у національному законодавстві країн, що не є учасницями Євросоюзу. Згадаємо приклад Китаю з PIPL (Personal Information Protection Law). Нова ітерація Закону України “Про захист персональних даних” готується і в Україні. Доцільно орієнтуватись на “високі стандарти” вже сьогодні, а завтра – бути впевненим у юридичній безпеці власного бізнесу.

Розробка і написання Політики конфіденційності (Privacy Policy), Положення про конфіденційність або Політики використання персональних даних вимагає ґрунтовного знання як національного законодавства про захист персональних даних так і вимог згаданого Регламенту ЄС.

Політика використання персональних даних і цифрові документи веб-сайтів на англійській, українській та російській мовах.

Плануєте працювати з ЄС або не виключаєте можливості використання персональних даних громадян країн-учасниць Європейського Союзу? Ми організуємо роботу з персональними даними, допоможемо працювати у відповідності до вимог Регламенту General Data Protection Regulation, розробимо Політику конфіденційності та надамо необхідну юридичну підтримку. Наші юристи допоможуть з проведенням правового аудиту веб-сайту, мобільного додатку, іншого програмного продукту або сервісу. За результатами правового аудиту Ви матимете правовий висновок з рекомендаціями юриста і переліком необхідних дій для відповідності правилам GDPR і CCPA.

Для сайтів, які призначені виключно для внутрішнього ринку України, юристи Legal Support у стислі строки підготують Політику конфіденційності сайту (website Privacy Policy) і забезпечать правовий консультативний супровід. При цьому, ми врахуємо вимоги, що випливають з правил GDPR та законодавства США у сфері захисту персональних даних. Розробка Політики конфіденційності і цифрових документів для сайтів доступна на англійській, українській та російській мовах.

Політика конфіденційності та повний пакет юридичних документів веб-сайту можуть бути замовлені у зручному online форматі. Контакти юристів додаються: +380506437903 / +380636268523. Замовити розробку Політики конфіденційності для сайту можна і через E-mail – на адресу електронної пошти it_lawyer@ukr.net (відповідь буде надана протягом робочого дня). Для зв’язку через Telegram та Viber відправляйте повідомлення на номер +380506437903.

Допис оновлено 11.05.2022.

Блог – Політика конфіденційності сайту. Регламент GDPR і вимоги закону.