Політика конфіденційності або Договір публічної оферти не раз лякали вас раптовим банером, вистрибуючи як козак з конопель на тільки-но відкритих сайтах. І ось нарешті ви стали на шлях створення своєї власної Політики на своєму власному сайті, давайте розберемося, що робити.
Політика конфіденційності не регулюється українським законодавством, це основне, що треба знати. Тобто з точки зору закону це жест доброї волі та гарні манери створити та вже самостійно благати прийняти всі печенькі або просто гордо попереджувати про існування цих печеньок при першому заході відвідувача на сайт.
Якщо то не обов’язково, то навіщо мучити людей тією Офертою? Тому що західна практика. Дивіться самі: якщо українське законодавство ніяк не визначились щодо Політики, то Google, Bing вже давно вимагають від власників сайтів опублікувати Політику та попереджати користувачів про печеньки. І втім, все може швидко змінитися і необхідні регулятори збору даних запрацюють на державному рівні, а ви вже будете до цього готові.
Про що піде мова
- Що таке Політика конфіденційності на сайті
- Що таке Договір публічної оферти
- Що таке печиво на сайті
- Навіщо потрібна Політика конфіденційності?
- Як зрозуміти, що потрібна Політика конфіденційності?
- Що таке персональні дані користувачів?
- Орієнтовний план для створення Політики конфіденційності
- Де розмістити документ політики конфіденційності на сайті?
- Чи можна використовувати шаблон для створення Політики конфіденційності?
- Вимоги різних країн до Політики конфіденційності
- Що писати в договорі публічної оферти та яка його структура
- Корисні документи
- Безкоштовні генератори Політики конфіденційності
- Висновки
Політика конфіденційності (Privacy Policy) це документ, де роз’яснюється, які саме персональні дані та яким чином ви збираєте їх про людину, де вони зберігаються та як довго. Людина може ознайомитися з документом та прийняти або відхилити вашу пропозицію щодо збору даних про неї. Договір оферти це текст, де власники сайтів роз’яснюють користувачам, яку саме приватну інформацію вони збирають, хто має доступ до неї (співробітники, підрядники), як саме зберігається ця інформація, як довго. І ще: як саме користувач може запитати видалити всю інформацію про нього з певного сайту.
Оброблення персональних даних має бути розроблене для служіння людству — цитата GDPR
У вузькому тлумаченні це те саме, що і Політика конфіденційності. Це документ, розміщений на сайті, в футері та/або в шапці сайту, доступний з будь-якою сторінки сайту, щоб користувач міг з ним ознайомитися. Цей документ інформує користувача, по-перше, навіщо збираються дані про нього, а по-друге, в яких саме обсягах, якими способами і за який термін ці дані збираються. Що стосується назви прийнятого документа про умови обробки персональних даних, то юридично він може називатися як завгодно: політика, оферта, угода. Це кожен власник веб-ресурсу обирає на свій смак. Однак формулювання «Політика конфіденційності» коротке і зрозуміле, тому й таке популярне.
Іншими словами це кукі (cookie) — файли, де зберігаються збирають персональні дані про відвідувача при відвідуванні сайтів. Кукі знаходяться на компьютері користувача і включають: дані про місцезнаходження, IP-адресу, інформації про дії на сайті (автозаповнені форми, кошик тощо). Через те,що кукі доволі легко перехопити та підробити, вони шифруються додатково протоколом HTTP. Керувати та видаляти кукі можна в налаштуваннях браузера самого користувача.
Показуйте всім новим користувачам сайту банер про те, що ви збираєте cookie з кнопками, щоб користувач міг закрити погодившись або не погодившись зі збором його даних.
Додайте кнопку «Згоден» або пропишіть у тексті попередження, наприклад: «Використовуючи сайт, ви надаєте згоду на обробку ваших персональних даних в автоматичному режимі». У текст додайте посилання на сторінку з Політикою обробки персональних даних. Якщо користувач не хоче, щоб ці його дані оброблялися, він має покинути сайт або продовжити користуватися, тим самим автоматично дозволяючи збирати дані. Ваша справа його попередити.
Навіщо потрібна Політика конфіденційності?
«Адміністрація не несе відповідальності» — найчастіше такі формулювання можна зустріти в договорах. Отже, Політика це, по-перше, ваша заява користувачам про наміри. Попередження знімає відповідальність за якісь форс-мажорні обставини, в той же час роз’яснення, що ви дієте в рамках законодавства. А по-друге, це вимоги пошукових систем.
Google в 2022 році ввів новий алгоритм оцінки сайтів: E-E-A-T, тобто зараз він оцінює сайти за показниками безпеки в тому числі. А безпеку як ніхто краще захищають юридичні угоди.
Так зрозуміліше, навіщо Політика конфіденційності? В першу чергу, щоб Google довіряв вашому сайту. Мова зараз не про збільшення органічного трафіку, мова зараз про те, чи взагалі ваш сайт буде безпечним на думку Google.
📌 Пройдіть тест, щоб дізнатися, чи полюбить Google ваш сайт: Тест Google E-E-A-T
Чи можна обійтися без Політики конфіденційності на сайті?
Так, якщо ваш сайт призначений для української аудиторії, то законодавство поки що не вимагає це від власників веб-ресурсів. Але це тільки з точки зору законодавства України, але, наприклад, Google наполягає на цьому документі. Для додатків правила ще суворіші: App Store та Google Play одразу заблокують додаток без Політики. Наприклад, в 2018 році AppStore висунув вимогу, щоб всі застосунки опублікували Privacy Policy. Тоді ж відбулося наймасовіше блокування застосунків у маркеті без належно оформленої Privacy Policy.
Як зрозуміти, що потрібна Політика конфіденційності?
- У вас є сайт зі звороніми формами зв’язку.
- На вашому сайті є системи аналітики.
- Ви просите лишити користувачів номери телефонів, адреси електронної пошти та іншу інформацію, яка входить в поняття персональних даних.
- На вашому сайті є особистий кабінет.
Що таке персональні дані користувачів?
Усі дані про людину, за якими її можна ідентифікувати. Точного переліку таких даних немає, але, приміром, якщо людина замовляє чистку килимів і не лишає про себе іншої інформації, то це не персональні дані. А якщо у вас зберігається її номер телефону, електронна пошта — це вже персональні дані. Іншими словами, персональні дані — це пряма або опосередкована інформація, за якою можна визначити фізичну особу.
Персональні дані розділяються на ті, що користувачі залишають на сайті самостійно і ті, що збираються в автоматичному режимі. Інакше кажучи: навіть якщо ваш користувач нічого важливішого за нікнейм на вашому сайті не лишає, однак ваш сайт використовує системи аналітики, то все одно вам потрібно скласти та опублікувати Політику конфіденційності.
Які персональні дані зазвичай залишають користувачі самостійно
- email;
- телефон;
- ім’я, прізвище, по батькові;
- адреса;
- дата народження;
- номер банківської карти;
- рідко: фотографія, посилання на профілі в соцмережах, внз тощо.
Які персональні дані залишаються на сайті після відвідування
- Місцерозташування
- IP-адреса
- Дії на сайті: автозаповнення форм, корзини, час перегляду веб-сторiнки, URL, HTTP referer, User Agent тощо.
Чіткого визначення, що має бути описано в Політиці немає ні в законі, ні у вимогах пошукових систем. Однак документ має бути всеохоплюючий, тобто в ньому треба розтлумачити основні поняття та розписати якомога більше інформації.
Орієнтовний план для створення Політики конфіденційності
Визначте цілі
Напишіть, навіщо вам і користувачам треба цей документ.
Розтлумачте терміни
Щоб всі розуміли, про що йде мова, що кукі ніяке не бісквітне печиво, від якого слинка тече, а файл. І такому дусі напишіть про решту.
Розкажіть про себе
Подайте офіційну назву своєї компанії, фактичну адреса місцезнаходження та контакти, за якими можна зв’язатися з консультантами або менеджером (адреса електронної пошти, номер телефону). Так, ми розуміємо, що корпорація SpaceY справді може бути ФОП Василь Пупкін, але що поробиш, треба писати чесно.
Перерахуйте всіх причетних до персональних даних
Напишіть, хто саме займається обробкою (ви чи ви маєте підрядників), і перелік усіх, хто має доступ до інформації користувачів, кому їх передаєте і з яких причин. Наприклад у вас може бути підрядник колцентр, що обдзвонює клієнтів, або служба доставки. Не обов’язково всіх поіменно вказувати, просто зазначте назви компаній чи певні посади.
Такі найсуворіші закони, як GDPR (правила ЄС) і CCPA (правила Каліфорнія), вимагають, щоб ви вказали, як ви використовуєте особисті дані, зокрема, якщо вони надаються чи продаються третім особам.
Вкажіть, де і як довго зберігається інформація
Це ваша база даних чи це хмарна система, чи використовуєте ви CRM та яку. Як довго ви зберігаєте дані, чи видаляєте через півроку, чи ніколи? Опишіть свої методи безпеки, зокрема те, як ви безпечно обробляєте дані, що до них не мають доступу треті особи, а якщо мають, то в який спосіб.
Поділіться назвами інструментів чи скриптів
Якщо на сайті встановлені сервіси, які теж беруть участь з зборі, то назвіть їх. Так, писати, що встановлена GA4 та Facebook Pixel треба.
Напишіть свої контакти
Користувачі мають знати, кому можуть написати з приводу видалення своїх персональних даних і як довго буде розглядатися прохання.
Так, можна, оскільки немає чітких вимог до оформлення цього документу. Однак витратьте час та заповніть та адаптуйте всю інформацію про свою компанію, викиньте зайві речення, наприклад, якщо не користуєтеся якимись системами аналітики чи не збираєте адресу чи дату народження користувачів, а в шаблоні про це йдеться. Тобто максимально уважно вичитайте, доповніть потрібне та видаліть непотрібне, щоб всім стало легше читати вашу Політику і всі зрозуміли,що вона вам треба не просто так. Зверніться до юриста за консультацією.
Політика конфіденційності має бути окремою сторінкою. Посилання на неї має бути з кожної сторінки сайту, тому найкраще посилання на неї розмістити і в меню, і в футері. Погано впливає на дизайн та концепцію? Тоді розмістіть посилання тільки в футері. Best practice це розмістити посилання біля форм заповнення разом з галочкою «Даю дозвіл на обробку персональних даних». Можна зробити окремий документ PDF та дати посилання на нього. Якщо ви хочете розмыщувати два документи, наприклад, «Політику конфіденційності» та «Оферту», то впевніться, що вони не суперечать один одному та не дублюються.
Крім того, на сайті має бути банер з кнопками, який користувач може закрити погодившися або ні з Політикою. Розмір та місцерозташування цього банеру не важливі, але він має бути помітним. Багато компаній ставлять банер в нижній частині сторінки.
Так. І в цьому проблема використання єдиного шаблону.
Вимоги різних країн до Політики конфіденційності
Окрім величезної кількості інформації, яку потрібно включити, дуже легко нарватися на різноманітні міжнародні правила конфіденційності. Зверніть увагу, що в усьому світі існує приблизно 137 різних нормативних актів. Однак лише деякі з них вважаються стандартом бренду. Зазвичай це PIPEDA (Канада), GDPR (ЄС), CCPA (Каліфорнія) і LGPD (Бразилія). Вимоги Європи найсуворіші і називаються General Data Protection Regulation (GDPR), а в США немає єдиного документа — вимоги різні для кожного штату, але за зразок беріть правила Каліфорнії — CCPA California Consumer Privacy Act.
Тобто якщо на ваш сайт заходять користувачі з ЄС, то має бути не тільки Політика конфіденційності згідно вимог GDPR — має бути адаптація інтерфейсу під користувачів з Євросоюзу. Обов’язковими є, наприклад, такі вимоги: користувач може без звернення до адміністратора видалити інформацію про себе з сайту, скасувати підписку на розсилки. Якщо користувачеві ще не виповнилося 16 років, згоду на роботу з його особистими даними слід запитувати в батьків. Обов’язкова умова для операторів, які не мають реєстрації в ЄС, — мати представництво (або призначити, якщо не було) у будь-якій із країн Євросоюзу. Бачите, в ЄС дуже суворі вимоги щодо Політики, скоріше за все, в Україні теж з часом можуть прийняти подібні на законодавчому рівні.
Зміст | GDPR (European Union) | CCPA (California) | PIPEDA (Canada) | LGPD (Brazil) |
---|---|---|---|---|
Ідентифікація користувача | ✔️ | ✔️ | ✔️ | ✔️ |
Типи даних, що збираються або обробляються | ✔️ | ✔️ | ✔️ | ✔️ |
Як збираються та/або обробляються дані | ✔️ | ✔️ | ❌ | ✔️ |
Для чого збираються та/або обробляються дані | ✔️ | ✔️ | ✔️ | ✔️ |
З ким компанія ділиться даними користувачів | ✔️ | ❌ | ➖ | ✔️ |
Продаж даних користувачів | ❌ | ✔️ | ❌ | ❌ |
Права користувачів | ✔️ | ✔️ | ✔️ | ✔️ |
Як користувачі можуть захистити свої права | ✔️ | ✔️ | ✔️ | ✔️ |
Передача даних в інші країни | ✔️ | ❌ | ❌ | ✔️ |
Персональні дані дітей | ||||
Відповідати на звернення «Не відстежувати даних» | ✔️ | ✔️ | ❌ | ✔️ |
Контактна інформація для співробітника із захисту даних або місцевого представника | ❌ | ✔️ | ❌ | ❌ |
Оновлення або дата набрання чинності нової Політики конфіденційності | ✔️ | ❌ | ❌ | ✔️ |
Що писати в договорі публічної оферти та яка його структура
Всі юридичні документи написані тяжкою офіційною мовою, проте, якщо у вас вистачить часу та натхнення проаналізувати структури кількох Політик кофіденційності ви побачите, що вони схожі між собою як близнюки і змагаються хіба що в кількості канцеляризмів у змісті. Тож ми перерахуємо, які пункти має включати документ, щоб ви нічого не пропустили.
Заголовок
Тут все просто: назвіть документ «Політика конфіденційності», якщо ваші юристи не радять вам вчинити інакше. Бо юристам завжди видніше.
Вступ
Основні дані
- Юридична назва підприємства
- Адреса підприємства: фізична та юридична
- Адреса електронної пошти та номер телефону
Виберіть тип бізнесу
- Website
- E-commerce
- Mobile App
- SaaS
- Online marketplace
Терміни
Поясніть терміни. Визначте, що таке Політика конфіденційності, «Відвідувач», «Користувач», «Веб-сайт», «Персональні дані», «Обробка персональних даних» «Cookies» тощо.
Перелік даних
Вкажіть всі дані користувачів, які збираєте. Простіше кажучи, переконайтеся, що всі дані, які ви збираєте від споживачів, тут чітко визначені. Загальні варіанти можуть включати:
- Номер телефону
- Адреса
- Ім’я
- Адреса електронної пошти
- Вік
- Стать
- Релігійні переконання
- Фінансова інформація, наприклад кредитна картка або банківські реквізити
- Логін та дані облікового запису
- IP-адреса
- Веб-браузер і/або пристрій, програмне забезпечення пристрою тощо.
Частину цих даних збирають плагіни або сервіси у фоновому режимі. Це може бути Google Analytics, Facebook Pixel або інші соціальні платформи, Pinterest або Tik Tok, які використовують підключення до вашої серверної частини для передачі даних на власні бізнес-сервіси. Усі ці типи послуг можуть підпадати під загальний термін «довірена третя сторона».
Причини збору даних
Вкажіть причину, чому ви збираєте дані. Так, без кукі весь інтернет би перестав працювати і продукти ніколи би не покращувалися, гірше того, вони б занепадали. Бо дані є те паливо, яким харчується технологія. Але не всі користувачі це розуміють.
Переживши епоху тотального контролю, люди бояться, що їхні дані можуть бути використані для крадіжки грошей, репутації та що гірше — передачі інформації до якихось органів влади без їхньої згоди.
Вкажіть, чому ви збираєте дані, додайте, що це для покращення продукту, для комунікації з користувачами. Можна використувувати і більш шаблонні фрази:
- Надання більш персоналізованого досвіду.
- Перевірка замовлення.
- Надання оптимізованої підтримки клієнтів.
- Для цілей маркетингових комунікацій.
Незалежно від того, яка з цих дій стосується того, як ви плануєте використовувати дані споживачів, обов’язково поясніть це. Розкажіть, якщо ви плануєте передати дані користувачів третім особам (підрядникам з маркетингу для налаштування ремаркетингу чи службі доставки) і навіщо ви будете це робити. Так само пам’ятайте про продаж даних. Більшість юрисдикцій не підтримують продаж даних — тільки Каліфорнія виняток.
Політика cookie
Файли cookie дозволяють спостерігати за звичками відвідувачів, поки вони гортають певні сторінки сайту. Закони деяких країн мають дуже суворі вимоги щодо того, як компанії можуть використовувати файли cookie, як довго можуть зберігатися дані.
Включіть розділ про використання файлів cookie. Пропишіть, чому збирається інформація, не забудьте включити кілька слів про те, що користувачі можуть відключити:
Звичайно ви можете попередити своїх відвідувачів, що це не сприяє покращенню продукту та розвитку вебу, але це право кожного контролювати використання та/або видаляти цю інформацію, якщо на це є бажання.
Цей розділ може стати мінним полем, оскільки CCPA Каліфорнії та GDPR ЄС вимагають від компаній інформувати користувачів про файли cookie. Що ще важливіше, має бути легка для пошуку опція для налаштування параметрів файлів cookie або їх вимкнення.
Зберігання та видалення
Споживачі повинні знати, як довго ви плануєте зберігати їх особисту інформацію. Дотримуйтеся максимального терміну зберігання даних. Можете взагалі не видаляти їх, бо це дані вашого бізнесу, а дані для бізнесу це ресурс. Але якщо ви прописуєте строк зберігання, то налаштуйте аналітику так, щоб дійсно видаляти дані користувачів, ви ж обіцяли, тож виконуйте. Просто пам’ятайте, що б ви не взяли на себе тут зобов’язання, потрібно виконувати.
Дані дітей
Більшість сайтів не збирають даних дітей, оскільки правила ще суворіші щодо особистої інформації неповнолітніх. Однак якщо вам треба такі дані, то дотримуйтеся рекомендацій «Правилі FTC захисту конфіденційної інформації дітей (COPPA)».
Зазвичай поняття «дитина» розуміє особу до 16 років. Як запобіжний захід, повідомте користувачам, якщо ви не збираєтеся збирати дані від неповнолітніх.
Зміни
Повідомте користувачам, що політика може оновлюватися. Можете написати, в який спосіб ви сповістете користувачів, наприклад, електронним листом. Для України немає чіткого визначення, тож можете написати, що свіже оновлення буде на сторінці самої Політики.
Якщо ви зобов’язані законом сповіщати про зміни в Політиці, то вкажіть в листі про оновлення, що користувачам потрібно буде повторно прийняти політику, перш ніж продовжувати відвідувати сайт.
Скарги
Підкажіть користувачам, куди саме звертатися зі скаргами. Бо якщо не написати окрему пошту, вони можуть лишать скарги на інших ресурсах, а воно вам зовсім не треба. Створіть окрему адресу електронної пошти, номер телефону або форму заявки, куди люди можуть подати свої скарги.
Перевіряйте поштові скриньки та список звернень, щоб не пропустити одну з таких скарг. Вкажіть час, за який ви розглянете скаргу від користувача і надішлете йому відповідь.
Які документи треба знати?
- Як виглядає Політика конфіденційності Google: policies.google.com/privacy
- Як керувати персональними даними в інтернеті (стаття Google): support.google.com/accounts/answer
- Про GDPR простими словами від Microsoft:
- Законодавство про захист даних і конфіденційність у всьому світі: Data Protection and Privacy Legislation Worldwide
Коментар експерта
Якщо користувач не погоджується з політикою конфідеційності і натискає кнопку «Не збирати печеньки» — всі cookies ви забов’язані видаляти.
Найбільше стежить за виконанням GDPR Німеччина, де власники GmbH можуть отримати штраф за те, що на сайті працювали лічильники Google Analytics 4, Facebook Pixel, LinkedIn Insight tag перш, ніж користувач натиснув кнопку «Погодитись». Це дуже ускладнює аналітику з відстеженнями оформлених замовлень та звернень.
Окрім юридичних вимог, фактору E-E-A-T ранжування в SEO — політика конфіденційності необхідна для запуску Instant Forms в Facebook та Instagram, а також в Google Ads.
Микола Лукашук, CEO marketing.link
Безкоштовні генератори Політики конфіденційності
WebsitePolicies
В безкоштовному варіанті можна сформувати лише одну Політику, тож уважно відповідайте на всі питання. Сформований документ приходить на пошту.
Privacy Policy Generator
Це набагато зручніший сервіс за попередній, бо Політику можна завантажити одразу в кількох форматах, можна вставити як код, можна одразу прочитати, навіть без реєстрації. В платних пакетах більше опцій, але якщо у вас сайт чи додаток без складних реєстрацій, то цей шаблон стане в нагоді.
Висновки
- Політика конфіденційності це документ, який потрібно розмістити на сайті на окремій сторінці та дати посилання на цю сторінку в футері та/або хедері.
- В світі існують різні стандарти захисту даних користувачів, тож, якщо ваш сайт функціонує поза межами України, то орієнтуйтеся на вимоги інших країн при створенні своєї Політики.
- Немає визначеної стуктури написання Політики конфіденційності, є вимоги та шаблони. Ви можете спробувати самостійно скласти свій документ, або звернутися за консультацією до юристів.
Marketing Link є маркетинговою агенцією та не надає юридичних консультацій. Вся інформація, викладена в матеріалі носить оглядовий характер. Будь ласка, зверніться до сертифікованого юриста за консультацією щодо оформлення та складання документів.