Политика конфиденциальности или Договор публичной оферты не раз пугали вас внезапным баннером, выпрыгивая как казак из конопли на только что открытых сайтах. И вот наконец-то вы стали на путь создания своей собственной Политики на своем собственном сайте, давайте разберемся, что делать.
Политика конфиденциальности не регулируется украинским законодательством, это основное, что нужно знать. То есть с точки зрения закона это жест доброй воли и хорошие манеры создать и уже самостоятельно умолять принять все печеньки или просто гордо предупреждать о существовании этих печенек при первом заходе посетителя на сайт.
Если это не обязательно, то зачем мучить людей Офертой? Потому что западная практика. Смотрите сами: если украинское законодательство никак не определились с Политикой, то Google, Bing уже давно требуют от владельцев сайтов опубликовать Политику и предупреждать пользователей о печенье. И впрочем, все может быстро измениться и необходимые регуляторы сбора данных заработают на государственном уровне, а вы уже будете к этому готовы.
О чем пойдет речь
- Что такое Политика конфиденциальности на сайте
- Что такое Договор публичной оферты
- Что такое печенье на сайте
- Зачем нужна Политика конфиденциальности?
- Как понять, что нужна Политика конфиденциальности?
- Что такое персональные данные пользователей?
- Ориентировочный план для создания Политики конфиденциальности
- Где разместить документ политики конфиденциальности на сайте?
- Можно ли использовать шаблон для создания Политики конфиденциальности?
- Требования разных стран к Политике конфиденциальности
- Что писать в договоре публичной оферты и какова его структура
- Полезные документы
- Бесплатные генераторы Политики конфиденциальности
- Выводы
Политика конфиденциальности (Privacy Policy) это документ, в котором объясняется, какие именно персональные данные и каким образом вы собираете их о человеке, где они хранятся и как долго. Человек может ознакомиться с документом и принять или отклонить ваше предложение по сбору данных о нем. Договор оферты это текст, где владельцы сайтов разъясняют пользователям какую именно частную информацию они собирают, кто имеет доступ к ней (сотрудники, подрядчики), как именно хранится эта информация, как долго. И еще: как именно пользователь может запросить удалить всю информацию о нем с определенного сайта.
Обработка персональных данных должна быть призвана служить человечеству — цитата GDPR
В узком толковании это то же, что и Политика конфиденциальности. Это документ, размещенный на сайте, в футере и/или в шапке сайта, доступный с любой страницы сайта, чтобы пользователь мог с ним ознакомиться. Этот документ информирует пользователя, во-первых, зачем собираются данные о нем, а во-вторых, в каких именно объемах, какими способами и в какие сроки эти данные собираются. Что же касается названия принятого документа об условиях обработки персональных данных, то юридически он может называться как угодно: политика, оферта, соглашение. Это каждый владелец веб-ресурса выбирает по своему усмотрению. Однако формулировка «Политика конфиденциальности» короткая и понятная, поэтому и так популярна.
Другими словами это куки (cookie) — файлы, где хранятся собирающие персональные данные о посетителе при посещении сайтов. Куки находятся на компьютере пользователя и включают: данные о местонахождении, IP-адрес, информацию о действиях на сайте (автозаполненные формы, корзина и т.д.). Так как куки довольно легко перехватить и подделать, они шифруются дополнительно протоколом HTTP. Управлять и удалять куки можно в настройках браузера самого пользователя.
Показывайте всем новым пользователям сайта баннер о том, что вы собираете cookie с кнопками, чтобы пользователь мог закрыть согласившись или не согласившись со сбором его данных.
Добавьте кнопку «Согласен» или пропишите в тексте предупреждение, например: «Используя сайт, вы даете согласие на обработку ваших персональных данных в автоматическом режиме». В текст добавьте ссылку на страницу с Политикой обработки персональных данных. Если пользователь не хочет, чтобы эти его данные обрабатывались, он должен покинуть сайт или продолжить пользоваться, тем самым автоматически разрешая собирать данные. Ваше дело его предупредить.
Зачем нужна Политика конфиденциальности?
«Администрация не несет ответственности» — чаще всего такие формулировки можно встретить в договорах. Итак, Политика это, во-первых, ваше заявление пользователям о намерениях. Предупреждение снимает ответственность за какие-то форс-мажорные обстоятельства, в то же время разъяснение, что вы действуете в рамках законодательства. А во-вторых, это требования поисковых систем.
Google в 2022 году ввел новый алгоритм оценки сайтов: E-E-A-T, то есть сейчас он оценивает сайты по показателям безопасности в том числе. А безопасность как никто лучше защищают юридические соглашения.
📌 Пройдите тест, чтобы узнать, полюбит ли Google ваш сайт: Тест Google E-E-A-T
Так понятнее, зачем Политика конфиденциальности? В первую очередь, чтобы Google доверял вашему сайту. Речь сейчас не об увеличении органического трафика, речь сейчас о том, вообще ваш сайт будет безопасным по мнению Google.
Можно ли обойтись без Политики конфиденциальности на сайте?
Да, если ваш сайт предназначен для украинской аудитории, то законодательство пока что не требует это от владельцев веб-ресурсов. Но это только с точки зрения законодательства Украины, но, например, Google настаивает на этом документе. Для приложений правила еще более строгие: App Store и Google Play сразу заблокируют приложение без Политики. Например, в 2018 году AppStore потребовал, чтобы все приложения опубликовали Privacy Policy. Тогда же произошла самая массовая блокировка приложений в маркете без правильно оформленной Privacy Policy.
Как понять, что нужна Политика конфиденциальности?
- У вас есть сайт с обратными формами связи.
- На вашем сайте есть системы аналитики.
- Вы просите оставить пользователей номера телефонов, адреса электронной почты и другую информацию, которая входит в понятие персональных данных.
- На вашем сайте есть личный кабинет.
Что такое персональные данные пользователей?
Все данные о человеке, по которым его можно идентифицировать. Точного перечня таких данных нет, но, например, если человек заказывает чистку ковров и не оставляет о себе другой информации, то это не персональные данные. А если у вас хранится его номер телефона, электронная почта — это уже персональные данные. Иными словами, персональные данные — это прямая или косвенная информация, по которой можно определить физическое лицо.
Персональные данные разделяются на те, что пользователи оставляют на сайте самостоятельно и те, что собираются в автоматическом режиме. Иначе говоря: даже если ваш пользователь ничего важнее никнейма на вашем сайте не оставляет, но в то же время ваш сайт использует системы аналитики, то все равно вам нужно составить и опубликовать Политику конфиденциальности.
Какие персональные данные оставляют пользователи самостоятельно
- email;
- телефон;
- имя, фамилия, отчество;
- адрес;
- дата рождения;
- номер банковской карты;
- редко: фотография, ссылки на профили в соцсетях, вузы и т.д.
Какие персональные данные остаются на сайте после посещения
- месторасположение;
- IP-адрес;
- действия на сайте: автозаполнение форм, корзины, время просмотра веб-страницы, URL, HTTP referer, User Agent и т.д.
Четкого определения, что должно быть описано в Политике нет ни в законе, ни в требованиях поисковых систем. Однако документ должен быть всеобъемлющим, то есть в нем надо растолковать основные понятия и расписать как можно больше информации.
Приблизительный план для создания Политики конфиденциальности
Определите цели
Напишите, зачем вам и пользователям нужен этот документ.
Объясните термины
Чтобы все понимали, о чем идет речь, что куки это никакое ни бисквитное печенье, от которого слюнки текут, а файл. И таком духе напишите об остальном.
Расскажите о себе
Сообщите официальное название своей компании, фактический адрес местонахождения и контакты, по которым можно связаться с консультантами или менеджером (адрес электронной почты, номер телефона). Да, мы понимаем, что корпорация SpaceY действительно может быть ФЛП Василий Пупкин, но что поделаешь, надо писать честно.
Перечислите всех причастных к персональным данным
Напишите, кто именно занимается обработкой (вы или у вас есть подрядчики), и перечень всех, кто имеет доступ к информации пользователей, кому их передаете и по каким причинам. Например у вас может быть подрядчик коллцентр, который обзванивает клиентов, или служба доставки. Не обязательно всех поименно указывать, просто укажите названия компаний или определенные должности.
Такие строгие законы, как GDPR (правила ЕС) и CCPA (правила Калифорния), требуют, чтобы вы указали, как вы используете личные данные, в частности, если они предоставляются или продаются третьим лицам.
Укажите, где и как долго хранится информация
Это ваша база данных или это облачная система, используете ли вы CRM и какую. Как долго вы храните данные, удаляете ли через полгода или никогда? Опишите свои методы безопасности, в частности то, как вы безопасно обрабатываете данные, что к ним не имеют доступа третьи лица, а если имеют, то каким образом.
Поделитесь названиями инструментов или скриптов
Если на сайте установлены сервисы, которые тоже участвуют с сборе, то назовите их. Да, писать, что установлена GA4 и Facebook Pixel надо.
Напишите свои контакты
Пользователи должны знать, кому могут написать по поводу удаления своих персональных данных и как долго будет рассматриваться просьба.
Да, можно, потому что нет четких требований к оформлению этого документа. Но уделите время и заполните и адаптируйте всю информацию о своей компании, выбросьте лишние предложения, например, если не пользуетесь какими-то системами аналитики или не собираете, адрес или дату рождения пользователей, а в шаблоне об этом говорится. То есть максимально внимательно вычитайте, дополните нужное и удалите ненужное, чтобы всем стало легче читать вашу Политику и все поняли, что она вам нужна не просто так. Обратитесь к юристу за консультацией.
Политика конфиденциальности должна быть отдельной страницей. Ссылка на нее должна быть с каждой страницы сайта, поэтому лучше всего эту ссылку разместить и в меню, и в футере. Плохо влияет на дизайн и концепцию? Тогда разместите ссылку только в футере. Best practice это разместить ссылку возле форм заполнения вместе с галочкой «Разрешаю обработку персональных данных». Можно сделать отдельный документ PDF и дать ссылку на него. Если вы хотите разместить два документа, например, «Политику конфиденциальности» и «Оферту», то убедитесь, что они не противоречат друг другу и не дублируются.
Кроме того, на сайте должен быть баннер с кнопками, который пользователь может закрыть согласившись или нет с Политикой. Размер и месторасположение этого баннера не важны, но он должен быть заметным. Многие компании ставят баннер в нижней части страницы.
Да. И в этом проблема использования единого шаблона.
Требования разных стран к Политике конфиденциальности
Кроме огромного количества информации, которую нужно включить, очень легко нарваться на различные международные правила конфиденциальности. Обратите внимание, что во всем мире существует примерно 137 различных нормативных актов. Однако лишь некоторые из них считаются стандартом бренда. Обычно это PIPEDA (Канада), GDPR (ЕС), CCPA (Калифорния) и LGPD (Бразилия). Требования Европы самые строгие и называются General Data Protection Regulation (GDPR), а в США нет единого документа — требования разные для каждого штата, но за образец берите правила Калифорнии — CCPA California Consumer Privacy Act.
То есть если на ваш сайт заходят пользователи из ЕС, то должна быть не только Политика конфиденциальности согласно требованиям GDPR — должна быть адаптация интерфейса под пользователей из Евросоюза. Обязательными являются, например, такие требования: пользователь может без обращения к администратору удалить информацию о себе с сайта, отменить подписку на рассылки. Если пользователю еще не исполнилось 16 лет, согласие на работу с его личными данными следует запрашивать у родителей. Обязательное условие для операторов, не имеющих регистрации в ЕС, — иметь представительство (или назначить, если не было) в любой из стран Евросоюза. Видите, в ЕС очень строгие требования по Политике, скорее всего, в Украине тоже со временем могут принять подобные на законодательном уровне.
Содердание | GDPR (European Union) | CCPA (California) | PIPEDA (Canada) | LGPD (Brazil) |
---|---|---|---|---|
Идентификация пользователя | ✔️ | ✔️ | ✔️ | ✔️ |
Типы данных, которые собираются или обрабатываются | ✔️ | ✔️ | ✔️ | ✔️ |
Как собираются и/или обрабатываются данные | ✔️ | ✔️ | ❌ | ✔️ |
Для чего собираются и/или обрабатываются данные | ✔️ | ✔️ | ✔️ | ✔️ |
С кем компания делится данными пользователей | ✔️ | ❌ | ➖ | ✔️ |
Продажа данных пользователей | ❌ | ✔️ | ❌ | ❌ |
Права пользователей | ✔️ | ✔️ | ✔️ | ✔️ |
Как пользователи могут защитить свои права | ✔️ | ✔️ | ✔️ | ✔️ |
Передача данных в другие страны | ✔️ | ❌ | ❌ | ✔️ |
Персональные данные детей | ||||
Отвечать на обращение «Не отслеживать данные» | ✔️ | ✔️ | ❌ | ✔️ |
Контактная информация для сотрудника по защите данных или местного представителя | ❌ | ✔️ | ❌ | ❌ |
Обновление или дата вступления в силу новой Политики конфиденциальности | ✔️ | ❌ | ❌ | ✔️ |
Что писать в договоре публичной оферты и какова его структура
Все юридические документы написаны тяжелым официальным языком, однако, если у вас хватит времени и вдохновения проанализировать структуры нескольких Политик конфиденциальности вы увидите, что они похожи между собой как близнецы и соревнуются разве что в количестве канцеляризмов в содержании. Поэтому мы перечислим, какие пункты должен включать документ, чтобы вы ничего не пропустили.
Заголовок
Здесь все просто: назовите документ «Политика конфиденциальности», если ваши юристы не советуют вам поступить иначе. Потому что юристам всегда виднее.
Введение
Основные данные
- Юридическое название предприятия
- Адрес предприятия: физический и юридический
- Адрес электронной почты и номер телефона
Выберите тип бизнеса
- Website
- E-commerce
- Mobile App
- SaaS
- Online marketplace
Термины
Объясните термины. Определите, что такое Политика конфиденциальности, «Посетитель», «Пользователь», «Веб-сайт», «Персональные данные», «Обработка персональных данных» «Cookies» и др.
Перечень данных
Укажите все данные пользователей, которые собираете. Проще говоря, убедитесь, что все данные, которые вы собираете от пользователей, здесь четко определены. Общие варианты могут включать:
- Номер телефона
- Адрес
- Имя
- Адрес электронной почты
- Возраст
- Пол
- Религиозные убеждения
- Финансовая информация, например кредитная карта или банковские реквизиты
- Логин и данные учетной записи
- IP-адрес
- Веб-браузер и/или устройство, программное обеспечение устройства и тому подобное
Часть этих данных собирают плагины или сервисы в фоновом режиме. Это может быть Google Analytics, Facebook Pixel или другие социальные платформы, Pinterest или Tik Tok, которые используют подключение к вашей серверной части для передачи данных на собственные бизнес-сервисы. Все эти типы услуг могут подпадать под общий термин «доверенная третья сторона».
Причины сбора данных
Укажите причину, почему вы собираете данные. Да, без куки весь интернет бы перестал работать и продукты никогда бы не улучшались, хуже того, они бы приходили в упадок. Потому что данные есть то топливо, которым питается технология. Но не все пользователи это понимают.
Пережив эпоху тотального контроля, люди боятся, что их данные могут быть использованы для кражи денег, репутации и что хуже — передачи информации в какие-то органы власти без их согласия.
Укажите, почему вы собираете данные, добавьте, что это для улучшения продукта, для коммуникации с пользователями. Можно использовать и более шаблонные фразы:
- Предоставление более персонализированного опыта.
- Проверка заказа.
- Предоставление оптимизированной поддержки клиентов.
- Для целей маркетинговых коммуникаций.
Независимо от того, какое из этих действий касается того, как вы планируете использовать данные потребителей, обязательно объясните это. Расскажите, если вы планируете передать данные пользователей третьим лицам (подрядчикам по маркетингу для настройки ремаркетинга или службе доставки) и зачем вы будете это делать. Так же помните о продаже данных. Большинство юрисдикций не поддерживают продажу данных — только Калифорния исключение.
Политика cookie
Файлы cookie позволяют наблюдать за привычками посетителей, пока они листают определенные страницы сайта. Законы некоторых стран имеют очень строгие требования относительно того, как компании могут использовать файлы cookie, как долго могут храниться данные.
Включите раздел об использовании файлов cookie. Пропишите, почему собирается информация, не забудьте добавить пару слов о том, что пользователи могут отключить:
Конечно вы можете предупредить своих посетителей, что это не способствует улучшению продукта и развитию веба, но это право каждого контролировать использование и/или удалять эту информацию, если на это есть желание.
Этот раздел может стать минным полем, поскольку CCPA Калифорнии и GDPR ЕС требуют от компаний информировать пользователей о файлах cookie. Что еще важнее, должна быть легкая для поиска опция для настройки параметров файлов cookie или их отключения.
Хранение и удаление
Посетители должны знать, как долго вы планируете хранить их личную информацию. Придерживайтесь максимального срока хранения данных. Можете вообще не удалять их, потому что это данные вашего бизнеса, а данные для бизнеса это ресурс. Но если вы прописываете срок хранения, то настройте аналитику так, чтобы действительно удалять данные пользователей, вы же обещали, поэтому выполняйте. Просто помните, что бы вы не взяли на себя здесь обязательства, нужно выполнять.
Данные детей
Большинство сайтов не собирают данных детей, поскольку правила еще более строгие в отношении личной информации несовершеннолетних. Однако если вам нужны такие данные, то придерживайтесь рекомендаций «Правилах FTC защиты конфиденциальной информации детей (COPPA)».
Обычно понятие «ребенок» понимает лицо до 16 лет. В качестве меры предосторожности, сообщите пользователям, если вы не собираетесь собирать данные от несовершеннолетних.
Изменения
Сообщите пользователям, что политика может обновляться. Можете написать, как вы оповестите пользователей, например, электронным письмом. Для Украины нет четкого определения, поэтому можете написать, что свежее обновление будет на странице самой Политики.
Если вы обязаны законом оповещать об изменениях в Политике, то укажите в письме об обновлении, что пользователям нужно будет повторно принять политику, прежде чем продолжать посещать сайт.
Жалобы
Подскажите пользователям, куда именно обращаться с жалобами. Если не написать отдельную почту, они могут оставлять жалобы на других ресурсах, а оно вам совсем не нужно. Создайте отдельный адрес электронной почты, номер телефона или форму заявки, куда люди могут жаловаться.
Проверяйте почтовые ящики и список обращений, чтобы не пропустить одну из таких жалоб. Укажите время, за которое вы рассмотрите претензию от пользователя и отправите ему ответ.
Какие документы нужно знать?
- Как выглядит Политика конфиденциальности Google: policies.google.com/privacy
- Как управлять персональными данными в интернете (статья Google): support.google.com/accounts/answer
- О GDPR простыми словами от Microsoft: learn.microsoft.com/ru-ru/microsoft-365/admin/security-and-compliance/gdpr-compliance
- Законодательство о защите данных и конфиденциальности во всем мире: Data Protection and Privacy Legislation Worldwide
Комментарий эксперта
Если пользователь не соглашается с политикой конфидеционности и нажимает кнопку «Не собирать печеньки» — все cookies вы обязаны удалять.
Больше всего следит за выполнением GDPR Германия, где владельцы GmbH могут получить штраф за то, что на сайте работали счетчики Google Analytics 4, Facebook Pixel, LinkedIn Insight tag прежде, чем пользователь нажал кнопку «Согласен». Это очень усложняет аналитику с отслеживанием оформленных заказов и обращений.
Кроме юридических требований, фактора E-E-A-T ранжирования в SEO — политика конфиденциальности необходима для запуска Instant Forms в Facebook и Instagram, а также в Google Ads.
Николай Лукашук, CEO marketing.link
Бесплатные генераторы Политики конфиденциальности
WebsitePolicies
В бесплатном варианте можно сформировать только одну Политику, поэтому внимательно отвечайте на все вопросы. Сформированный документ приходит на почту.
Privacy Policy Generator
Это гораздо более удобный сервис, чем предыдущий, потому что Политику можно загрузить сразу в нескольких форматах, можно вставить как код, можно сразу прочитать, даже без регистрации. В платных пакетах больше опций, но если у вас сайт или приложение без сложных регистраций, то этот шаблон пригодится.
Выводы
- Политика конфиденциальности это документ, который нужно разместить на сайте на отдельной странице и дать ссылку на эту страницу в футере и/или хедере.
- В мире существует много стандартов защиты данных пользователей, поэтому, если ваш сайт функционирует за пределами Украины, то ориентируйтесь на требования других стран при создании своей Политики.
- Нет определенной структуры написания Политики конфиденциальности, есть требования и шаблоны. Вы можете попробовать самостоятельно составить свой документ, или обратиться за консультацией к юристам.
Marketing Link это маркетинговое агентств и мы не предоставляем юридических консультаций. Вся информация, изложенная в материале носит обзорный характер. Пожалуйста, обратитесь к сертифицированному юристу за консультацией по оформлению и составлению документов.