Политика конфиденциальности на сайте: кому она нужна и как подготовить самостоятельно

  • Главная   /  Разное   /  
  • Политика конфиденциальности на сайте: кому она нужна и как подготовить самостоятельно

Политика конфиденциальности на сайте: кому она нужна и как подготовить самостоятельно

Содержание

как писать условия и где размещать

Разберемся, кому без политики конфиденциальности не обойтись и как реализовать ее на своем ресурсе.

Кому нужна политика конфиденциальности на сайте

Закон обязывает публиковать политику конфиденциальности только операторов персональных данных. Чтобы понять, нужен ли такой документ на вашем сайте, сначала надо разобраться, что это за данные и кто такие операторы.

Первому понятию 152-ФЗ дает такое определение:

Персональные данные — любая информация, относящаяся прямо или косвенно определенному или определяемому физическому лицу (субъекту персональных данных).

Точного перечня в законе нет, но исходя из определения, можно сделать вывод, что персональными можно считать все данные, которые относятся к конкретному человеку и позволяют его идентифицировать. Также в тексте встречаются понятия общие, специальные и биометрические данные.

С операторами все проще — это любой человек, компания или государственный орган, который собирает, хранит, обрабатывает и совершает другие действия с персональными данными. Владельца интернет-ресурса можно отнести к операторам, если на сайте есть формы заказа, комментариев, регистрации и обратной связи, в которые человек вводит имя, фамилию, электронный адрес, номер телефона и т. д.

Если при отправке комментария от пользователя требуют только имя или никнейм, политика конфиденциальности не нужна, так как по такой информации идентифицировать человека невозможно.

Разрабатываем и продвигаем сайты

Быстро и эффективно

Подробнее

Как составить текст политики конфиденциальности

Утвержденной законом формы нет. Но есть перечень сведений, которые обязательно прописывать в документе.

  • На каком основании и с какой целью вы собираете персональные данные.
  • Ваши наименование, контактные данные и адрес.
  • Сведения о том, кто обрабатывает данные, если этим занимается другая компания, а также о третьих лицах, у которых есть доступ к ним.
  • Какие данные обрабатываете и из каких источников получаете, включая файлы cookie.
  • Сроки обработки и хранения персональных данных.
  • Каким образом вы соблюдаете права субъекта, предусмотренные законом «О персональных данных».
  • Информация о том, что вы передаете данные за пределы России.

Всю эту информацию можно изложить в свободной форме. Главное — чтобы документ содержал все сведения, которые требует закон, а также понятно разъяснял пользователю, что происходит с его персональными данными, как вы можете их использовать и что делаете, чтобы защитить его право на неприкосновенность частной жизни и личную тайну.

Копировать политику конфиденциальности с других сайтов не стоит. Как минимум, нужно адаптировать текст под свои условия обработки данных.

Называться на сайте документ может по-разному: политика в отношении персональных данных, политика конфиденциальности, пользовательское соглашение и т. д. Сути это не меняет и нарушением не считается.

Как оформить документ и разместить на сайте

Единственное требование законодательства в этом плане, чтобы субъекты персональных данных имели свободный и неограниченный доступ к политике конфиденциальности. В остальном владелец сайт волен сам решать, как лучше реализовать ее на сайте.

Обычно документ публикуют на отдельной странице и обеспечивают доступ в один клик с любой другой. Ссылки на политику конфиденциальности стоит разместить рядом с формами, где пользователь дает согласие на обработку. Также сноску на документы зачастую размещают в подвале или верхнем меню сайта.

Флажок «Согласие на обработку персональных данных» рядом с формами тоже обязателен. Согласно закону, собирать и обрабатывать информацию о пользователях можно только с их согласия, за исключением нескольких случаев, которые к сайтам не относятся. Более того, в случае проверки владелец ресурса должен иметь возможность доказать, что согласие было.

Соблюсти это требование на конструкторах и популярных CMS несложно — большинство разработчиков быстро среагировали и добавили такую возможность в свои продукты.

Для WordPress есть специальный плагин — «Политика конфиденциальности для сайта. Согласие под формами Contact-Form 7».

Он соответствует требованиям 152-ФЗ и позволяет :

  • автоматически добавлять галочки к формам комментариев и тем, что созданы с помощью плагина «Контакт Форм 7»;
  • создать и настроить страницу с политикой конфиденциальности;
  • настроить оповещение об использовании cookies;
  • настроить текст для флажка согласия на обработку;
  • задать установку этой галочки по умолчанию, хотя делать этого все же не стоит — пользователь должен дать согласие, а значит отметить чекбокс сам;
  • запретить отправку формы без нее.

Есть еще старые плагины, в том числе англоязычные, с помощью которых добавляются флажки для подписки на рассылку, принятия пользовательского соглашения и т. д. Однако новые продукты разрабатывались специально для соблюдения 152-ФЗ и настроить их под эти цели будет проще.

Напоследок еще несколько требований, о которых не стоит забывать

  • Нельзя собирать больше данных, чем нужно для достижения целей, прописанных в политике конфиденциальности.
  • Нельзя хранить и обрабатывать данные с использованием баз данных, размещенных на иностранных серверах.
  • Прежде чем начать собирать персональные данные, об этом нужно уведомить Роскомнадзор в бумажной или электронной форме. Перечень сведений есть в ст. 22 152-ФЗ.
  • Чтобы делегировать обработку персональных данных другим юридическим или физическим лицам, нужно заключить договор.
  • Оператор персональных данных обязан обеспечить их безопасность с помощью организационных, правовых и технических мер — инструктировать сотрудников, разработать локальные акты, обеспечить надежную защиту баз данных, исключающую утечку информации и доступ третьих лиц.

Политика конфиденциальности: что это, зачем и как составить политику конфиденциальности для сайта

В августе 2021 ошибки WhatsApp в составлении Privacy Policy стоили компании 225 млн EUR. А в январе 2022 года Google пришлось заплатить 90 млн EUR за нарушение процедуры согласия на использование файлов cookie. В статье IT-юристы рассказывают как избежать штрафов, блокировки IT-продуктов и составить политику конфиденциальности на сайт по требованиям GDPR, CCPA и других актов.

Что такое политика конфиденциальности?

Политика конфиденциальности — это юридическое соглашение, в котором объясняется, какую личную информацию вы собираете от посетителей веб-сайта или приложения, как ее используете и защищаете. 

Для чего нужна политика конфиденциальности?

Выделим 4 причины разработать и опубликовать документ.

Выполнить требования GDPR, CCPA и локальных законов по обработке персональных данных

Разработка политики конфиденциальности — это требование закона.

Если IT-продукт охватывает аудитории разных стран, то Политика конфиденциальности должна выполнять требования законов таких регионов. В таком случае действует правило: если пользователь приходит к вам, то применяется ваш закон; если вы идете к пользователю, то применяется его закон. 

  • В Калифорнии действует Калифорнийские закон о защите конфиденциальности в Интернете (CalOPPA) и закон о конфиденциальности потребителей (CCPA). Акты распространяются на компании, которые собирают личные данные жителей Калифорнии, а значит их действие выходит за пределы одного штата.
  • В США —  Закон о защите конфиденциальности детей в Интернете (COPPA) .
  • В Канаде — Закон о защите личной информации и электронных документов (PIPEDA).
  • В ЕС — Общий регламент по защите данных (GDPR).

От того, где находится ваш потребитель, зависит по требованиям какого акта нужно разрабатывать Privacy Policy. К примеру, есть отличия между CCPA и GDPR. Защита первого распространяется на B2C сегмент, а вот второго — на B2C и B2B.

 

 

Паблишить мобильные приложения в AppStore и Google Play

В 2018 году AppStore потребовал, чтобы все приложения опубликовали Privacy Policy. Теперь разработчики приложений для iOS должны опубликовать Политику конфиденциальности, прежде чем продукт будет отправлен на проверку в AppStore.

 

В Соглашении о распространении программных продуктов Google Play, с которым вы должны согласиться как разработчик, говорится, что Политика конфиденциальности требуется для всех приложений Android. Кроме этого, команда Android Security and Privacy заявила, что за 2021 год заблокировали 1,2 миллиона приложений, нарушающих конфиденциальность.

 

Подключить Google Analytics, Google Ads, собирать данные с помощью файлов Cookie, использовать инструменты ремаркетинга

Google Analytics включили в свой Terms of Service требование про обязательное размещение Политики конфиденциальности. Сервис хранит файлы cookie на компьютере пользователя и c их помощью собирают данные, но для таких действий нужно получить разрешение.

 

Google Ads требует сообщить юзерам, что IT-решение использует ремаркетинг для рекламы продукта или услуги, и пользователь может от нее отказаться.

 

Twitter Lead Generation Card требует ввести URL-адрес вашей Политики, чтобы воспользоваться услугами. Такое же условие у Facebook. Когда вы используете API Facebook, вы запрашиваете личные данные пользователей. Поэтому Facebook требует, чтобы вы предоставили Политику конфиденциальности и гарантировали соблюдение законов.

 

В 2020 году активисты обнаружили, что Zoom для iOS отправляет аналитические данные в Facebook, даже если у пользователей нет учетной записи в социальной сети. Но в политики конфиденциальности не было ни слова об этом. После огласки, сервис для видеоконференций провели обновление и прекратили обмен информацией.

 

Подключить платежную систему для интернет-платежей

Системы эквайринга требуют, чтобы сайт или приложение уведомляли пользователей о передаче платежным системам персональных данных. Поэтому для подключения PayPal, Stripe, Apple Pay, Google Pay и других платежных систем придется разрабатывать Privacy Policy. Для оплаты в приложениях, интернет-магазинах и других IT-продуктах нужно уведомить пользователей какую финансовую информацию вы собираете и куда уходят платежные данные.

 

Теперь вы знаете зачем нужна политика конфиденциальности на сайте и в мобильном приложении. Дальше расскажем как владельцам IT-продуктам составить документ.

 

Пункты, которые нужно добавить в Privacy Policy

Ниже найдете основные вопросы, на которые стоит ответить в Политике конфиденциальности.

Какие данные вы собираете и обрабатываете?

В первую очередь дайте определение персональным данным. А дальше фиксируйте отдельные категории данных в зависимости от типа продукта. 

Персональные данные — это любая информация, которая прямо или косвенно относится к конкретному пользователю.

IT-юристы Stalirov&Co разрабатывали Политику для биржи фриланса Youwex и прописали, что платформа собирает данные:

  • о заказчиках: имя, фамилия, электронный адрес и пароль.
  • о фрилансерах: имя, фамилия, электронный адрес, пароль, почтовый индекс, страна, знание языка, образование, опыт работы. Кроме этого фрилансер предоставляет подтверждающие документы, добавляет фото, видео и презентации.
  • о результатах обслуживания: отзывы, комментарии, обращения в службу поддержки, жалобы, претензии и содержание сообщений.
  • о транзакциях: кредитная/дебетовая карта.

 

Еще один продукт, с которым работали IT-юристы  —  SmartWatch Sync & Bluetooth notifier. Это приложение для синхронизации часов с Android-устройством. Перечень личной информации для этого IT-решения отличается от Youwex, и включает данные:

  • учетной записи Google;
  • идентификатор устройства;
  • модель устройства;
  • адрес электронной почты, имя, фамилия, местоположение;
  • платежные данные. 

 

Какие цели сбора и обработки данных?

Цели должны быть конкретными, законными и отчетливыми.  

 

Для мобильной игры

Island 211 IT-юристы прописали такие цели:

  • регистрация в игре;
  • демонстрация рекламного контента;
  • проведение взаиморасчетов между игроками;
  • выведение денежных средств;
  • оказание клиентской поддержки и другие цели.

 

Цели для Youwex отличаются. Платформа собирает и обрабатывает данные, чтобы:

  • помочь пользователям найти профиль фрилансера, бронировать и проводить онлайн сессии;
  • проверить право на предоставление услуг в выбранном разделе и направлении, и поддерживать сервисы на высоком профессиональном уровне;
  • выполнить требования законодательства в сфере финансов и бухгалтерского учета, подтвердить транзакции между заказчиком и фрилансером;
  • предотвратить мошенническую деятельность на платформе и помочь управлять профилями пользователей.

 

Кому можно передавать собранные данные?

IT-продукт может делиться информацией с поставщиками дополнительных услуг: платежными системами, службами доставки, социальными сетями. А также с партнерами, судами, правоохранительными и государственными органам и другим лицам.  Главное требование — раскрытие информации третьи лицам в объеме необходимом для выполнения запроса.

 

Какие сторонние сервисы использует IT-продукт?

Предупредите пользователей о том, что к их персональным данным получают доступ посторонние сервисы. Например, приложение SmartWatch использует систему Flurry —  платформу аналитики мобильных приложений. Все действия и клики пользователя внутри продукта, записываются и обрабатываются. Кроме этого SmartWatch  использует AdMob  для упрощения получения дохода благодаря рекламе, и Firebase для аналитики.

 

Дополнительно приложениям нужно получать согласие на доступ к системным настройкам телефона: местоположение и вибрация, фоновая работа, открытие сетевых ссылок, функции покупок, хранение данных во внешних хранилищах. Кроме перечня, нужно описать цель доступа. Например, приложению SmartWatch нужен доступ к местоположению для поиска устройств Bluetooth в радиусе действия.

 

Еще один кейс IT-юристов — Hypelitix. Это веб-сервис, который предоставляет общедоступные данные профилей Instagram: метаданные постов, IGTV и историй профиля. Для распознавания текста на изображениях и видео в  Instagram сервис использует Google Cloud Vision.

 

Задача автора Политики конфиденциальности информировать пользователя о посторонних сервисах и, по возможности, закрепить ссылки на их публичные документы. Это правило распространяется и на платежные системы.

 

Файлы Cookie

Сперва дайте определение Сookie.

Это фрагмент данных, который сервер отправляет в веб-браузер пользователя. Cookie применяется для аналитики, продуктивности и в рекламных целях. 

 

IT-юристы готовили Политику конфиденциальности для интернет-магазина SnekerStudio. В документ внесли подробное описание видов Cookie, время и цель их хранения. Например, basket_id хранится 4 года для функционирования Корзины на сайте. Google DoubleClick применяет IDE в рекламных целях, и собирает информацию о том, как юзер использует веб-сайт. Время хранения — 1 год. Facebook использует _fbp  и fr cookie для доставки релевантной рекламы. Время хранения — 2 месяца.

 

Нарушение правил GDPR o Cookie файлах приводит к штрафам. В январе 2022 года французский орган по защите данных (CNIL) наложил на Google LLC 90 млн EUR штрафа. Все потому, что на YouTube легко принять файлы cookie, а отказаться от них сложнее. CNIL отметил, что для отказа от файлов cookie YouTube требуется, чтобы пользователь сделал несколько кликов, а для принятия — всего один клик. Но отказ от использования Cookie должен быть таким же простым, как и согласие, а Google нарушили такое требования GDPR.

 

Важно получить явное согласие от пользователя на использование Cookie файлов и предоставить возможность отозвать такое решение.  

 

Рассылка рекламы

Отдельный пункт Политики конфиденциальности стоит посвятить рассылке маркетинговых материалов. Обозначьте, что можете использовать данные для внутреннего маркетинга, доставки электронных писем, в том числе с помощью почтовых рассылок, SMS и текстовых сообщений. Но у пользователя должна быть возможность отказаться от рассылки. Это обязательное требование GDPR и СCPA.

 

В июле 2020 года Управление по защите данных Италии наложило штраф в размере 17 млн EUR на телекоммуникационную компанию Wind за ее незаконную деятельность в области прямого маркетинга. Компания рассылала итальянцам рекламу без их согласия. Но отказаться от нее клиенты не смогли из-за того, что указаны неверные контактные данные.

 

Такой же кейс был у гиганта финансовых услуг BBVA. Испанский DPA наложил на компанию 5 млн EUR штрафа за отправку SMS-сообщений без согласия потребителей.

Какие меры безопасности предпринимает веб-сайт или приложение?

Сайты и приложения внедряют физические, электронные и процедурные меры безопасности для защиты персональных данных.

Статья 32 GDPR предлагает такие меры безопасности:

  • анонимизация;
  • шифрование;
  • целостность и постоянная конфиденциальность;
  • устойчивость систем и сервисов обработки;
  • способность своевременно восстановить доступ;
  • тестирование эффективности.

 

Приведем пример нарушений. Аудитория Zoom увеличилась с 10 миллионов ежедневных пользователей в декабре 2019 года до 300 миллионов ежедневных пользователей в апреле 2020 года. Вместе с этим методы безопасности программы подверглись тщательной проверке. Эксперты обнаружили ряд нарушений. 

🔸В марте 2020 году исследователь Джонатан Лейтшу обнаружил в Zoom для Mac тривиальную удаленную уязвимость 0day, которая позволяет любому вредоносному ПО включать камеру без разрешения пользователя.

🔸Позже The New York Times сообщил, что Zoom использовал функцию интеллектуального анализа данных, которая сопоставляла имена и адреса электронной почты пользователей Zoom с их профилями LinkedIn без ведома пользователей. Такие действия нарушают правила GDPR об анонимности. В ответ на критику, Zoom навсегда удалил эту функцию. 

🔸И одна из последних проблем — микрофон Mac моu оставаться включенным и слушать, даже после окончания собрания Zoom.

Такие ситуации демонстрируют, что Zoom не предпринимает достаточные меры безопасности, чтобы соответствовать требованиям ст. 32 GDPR.

 

Где и как долго хранятся персональные данные?

Каждый IT-продукт самостоятельно определяет место и время хранения личной информации юзеров. Например биржа фриланса Youwex обязуется удалить данные платформы в течение 180 дней с момента удаления профиля. 

Интернет-магазин SnekerStudio хранит данные все время существования личного кабинета. 

Срок хранения у SmartWatch зависит от цели сбора данных. Например, данные регистрации учетной записи хранятся в маркетинговых целях пока приложение установлено на телефоне. 

 

Как получить доступ, обновить или удалить данные?

Чтобы политика конфиденциальности соответствовала GDPR, опишите как пользователь может получить доступ, просмотреть, обновить, исправить и удалить любые личные данные. Алгоритм действий должен быть простым. Например, отправить запрос на адрес электронной почты. 

Вот как это сделали разработчики Youwex.

Пользователь может войти в свой профиль и изменить информацию о себе в той степени, в которой это позволяет система. Также он имеет право подать запрос на изменение информации о себе по электронной почте: [email protected]. Если он хочет подать запрос на удаление персональных данных в соответствии с требованиями GDPR, ему необходимо отправить сообщение на эл. почту [email protected]. При подаче запроса по электронной почте пользователя попросят предоставить информацию, для идентификации и проверки. 

 

2 дополнительные рекомендации для политики конфиденциальности
Размещайте Политику конфиденциальности в доступном месте

Pew Research Center опросили 4272 американца. Только 9% из них полностью читают политику конфиденциальности, прежде чем согласиться с ней. Около 36% сказали, что никогда не читают документ. Несмотря на неутешительную статистику, документ должен быть легкодоступным. К тому же это требование GDPR и CalOPPA. Пользовательские привычки демонстрируют, что регистрационная форма или футер сайта идеальные места для ссылки на Политику и получения согласия.

Пишите Политику конфиденциальности понятным для пользователя языком

Журналист Kevin Litman-Navarro изучил 150 политик конфиденциальности. С помощью сервиса Lexile он проверил насколько легко понять документы. По стандартам сервиса врачи и юристы должны понимать материал с оценкой 1440. К удивлению журналиста, многие политики превышают этот стандарт. Вам может показаться, что это второстепенный вопрос. Но даже контролирующие органы обращают внимание на критерий доступности. DPA Ирландии в деле WhatsApp заявило, что мессенджер не выполнил требования о легкодоступности политики. Компания должна использовать язык, понятный для пользователей. Это и другие нарушения стоили WhatsApp 225 млн EUR. 

 

Предлагаем не повторять ошибок мировых гигантов: делать текст политики понятным, выбирать удобное форматирование и внедрять функциональную навигацию.

 

 

Как написать эффективное Заявление о конфиденциальности веб-сайта

Перейти к основному содержанию

Вы здесь

  • Главная
  • Как написать эффективное Заявление о конфиденциальности веб-сайта

В Политике онлайн-активности кампуса указано:

«Поставщики технологических услуг, которые собирают данные через интерфейсы веб-сайтов, должны соблюдать положения Заявления о конфиденциальности для веб-сайтов Калифорнийского университета в Беркли, а должны опубликовать заявление о конфиденциальности , чтобы уведомить пользователей о типах и использование собранных данных. Поставщики онлайн-услуг могут дополнительно уточнить стандартное заявление о конфиденциальности кампуса, включив в него дополнительные положения о конфиденциальности, но не могут снизить уровень соответствия своей деятельности».

Ваше заявление о конфиденциальности должно точно отражать сбор и использование данных на вашем сайте.

  • Ваше заявление о конфиденциальности должно быть четким, прямым и легким для понимания.
  • Сведите к минимуму технический жаргон и юридическую терминологию.
  • Если вы решите изменить способ использования личной информации, вы должны сообщить об этом своим пользователям.
  • Политика конфиденциальности компании настолько сильна, насколько сильны ее сотрудники.

Как написать заявление о конфиденциальности, чтобы отразить сбор и использование данных на вашем сайте

1) Определите, какие типы информации вы собираете от посетителей вашего веб-сайта. Является ли информация идентифицирующей личность? Например, ваш сайт собирает:

  • имен
  • адресов
  • телефонные номера
  • адресов электронной почты
  • IP-адресов
  • даты и время доступа

2) Для чего собирается эта информация? Соответствует ли сбор данных деятельности или транзакции? Если нет, то зачем вы его собираете?

3) Каким образом собирается эта информация?

  • печенье
  • блогов
  • опросов
  • веб-форм
  • регистрация на мероприятие или курс
  • подписка на информационный бюллетень
  • для оформления заказа
    • номер кредитной карты ((Примечание: для обработки транзакций по кредитным картам требуется одобрение службы выставления счетов и платежей. )
    • SSN ( С 1 июля 2010 г. политика Campus требует одобрения всех электронных процессов, которые собирают, используют или хранят SSN. )

4) Для чего будет использоваться эта информация и кто будет иметь к ней доступ? (Политика Кампуса запрещает делиться, распространять или продавать личную информацию, собранную на веб-серверах.)

  • Есть ли у вас согласие пользователя на сбор и использование информации?
  • Есть ли у пользователя возможность запретить такой сбор и использование?
  • Сайт размещен у стороннего поставщика? Что они будут делать с информацией?
  • Использует ли сайт какую-либо аналитику? Если да, то проинформировали ли вы пользователя и предоставили ли инструкции по отключению аналитического отслеживания?
  • Как долго будет храниться собранная информация?

5) Как пользователи будут проинформированы об изменении вашей политики конфиденциальности (включая изменения в том, как будет использоваться информация)?

  • По электронной почте?
  • Будете ли вы публиковать дату изменения заявления о конфиденциальности?

Принципы добросовестной информационной практики прозрачность и согласие требуют, чтобы согласие было получено до сбора. Кроме того, пользователи должны быть проинформированы, если их информация используется для каких-либо целей, кроме тех, для которых было дано согласие.

6) Как посетители, у которых есть вопросы о политике конфиденциальности вашего сайта, могут связаться с кем-либо?

  • Вы предоставили контактный адрес веб-мастера?
  • Вы предоставили контактный телефон отдела?

7) Как защищена пользовательская информация?

  • Средства защиты компьютеров?
  • Защищенные файлы и средства контроля физического доступа?
  • Если сайт не предназначен для обработки конфиденциальной информации, проинформировали ли вы об этом пользователей?
  • Существуют ли альтернативные способы предоставления пользователями конфиденциальной информации, например, по номерам телефонов сотрудников?
  • Активирован ли SSL?

Настраиваемые шаблоны заявления о конфиденциальности

Если ваш веб-сайт не собирает аналитику или другую личную информацию, этот образец Положения о конфиденциальности можно настроить (с датами редакции и контактной информацией) для использования на вашем веб-сайте Калифорнийского университета в Беркли.

Если ваш веб-сайт собирает аналитику или другую личную информацию, этот образец Заявления о конфиденциальности можно настроить для использования на вашем веб-сайте Калифорнийского университета в Беркли.

Некоторые примеры кампуса

  • Cal Performances: (нажмите на вкладку «Конфиденциальность»)
    • http://www.calperfs.berkeley.edu/buy/policies/?tab=4#TabbedPanels1
  • Высшее отделение:
    • http://grad.berkeley.edu/about-us/privacy-statement/
  • Карьерный центр:
    • https://career.berkeley.edu/Info/Privacy
  • Служба информационной безопасности:
    • https://security.berkeley.edu/website-privacy-statement-berkeley-security

Ресурсы

  • Федеральная торговая комиссия США: получение уведомления: написание эффективных уведомлений о конфиденциальности финансовой информации
  • Департамент юстиции штата Калифорния: как читать заявление о конфиденциальности

Что включить в политику конфиденциальности вашего веб-сайта

Политика конфиденциальности предоставляет вам определенные юридические гарантии, открыто раскрывая, как ваша компания будет обрабатывать и защищать информацию о пользователях.

Если у вашей компании есть веб-сайт, который собирает или использует личные данные покупателей, клиентов, подписчиков или других пользователей сайта, то он должен содержать ссылку на политику конфиденциальности вашей компании. Политика конфиденциальности предоставляет вам определенную юридическую защиту, открыто раскрывая, как ваша компания будет обрабатывать и защищать информацию о пользователях. В этой статье будут обсуждаться общие темы, которые должна охватывать ваша политика конфиденциальности. Обратите внимание, что Условия использования вашей компании (см. Как написать эффективные условия использования для вашего веб-сайта) также должны содержать ссылку на вашу политику конфиденциальности, чтобы повысить вероятность того, что пользователи ее просмотрят.

Какую информацию собирает ваша компания?

В вашей политике конфиденциальности должна быть описана информация о пользователях, которую собирает ваша компания. Вот некоторые общие категории:

Личная информация

В вашей политике должно быть указано, что ваш сайт будет собирать и хранить личную информацию, предоставленную пользователями, включая их имена, адреса, номера мобильных телефонов, адреса электронной почты и т. д. Следует также пояснить, что объем предоставляемой ими информации является полностью добровольным; однако предоставление меньшего количества информации может ограничить доступ пользователя ко всем функциям сайта.

Данные об использовании и аналитика

Сообщите пользователю, собирает ли ваша компания информацию об использовании, чтобы оценить, как пользователи получают доступ и используют сайт. Эти данные представляют ценность для компании для различных внутренних целей, включая устранение неполадок и улучшение функциональности сайта. Если применимо, не стесняйтесь сообщать, что информация, которую вы собираете, может включать интернет-провайдера пользователя, тип веб-браузера или операционной системы, IP-адрес, просмотренные страницы, время и продолжительность посещений сайта, журналы сбоев и другую информацию, относящуюся к сайту. Применение.

Файлы cookie

Если применимо, в вашей политике конфиденциальности должно быть указано, что ваш веб-сайт использует файлы cookie для улучшения функциональности вашего сайта. Вот стандартное положение, касающееся параметров пользователя в отношении файлов cookie:

«Большинство веб-браузеров изначально настроены на прием файлов cookie. Вы можете сбросить настройки своего веб-браузера, чтобы отказаться от всех файлов cookie или указать, когда файл cookie отправляется. Обратите внимание, однако , что некоторые функции сайта могут не работать, если вы удалите или отключите файлы cookie. ФУНКЦИИ САЙТА НЕ ПРОНИКАЮТ И НЕ МОГУТ ПРОНИКНУТЬ НА ЖЕСТКИЙ ДИСК ПОЛЬЗОВАТЕЛЯ ДЛЯ СБОРА ЛЮБОЙ ИНФОРМАЦИИ, ХРАНЯЩЕЙСЯ НА ЖЕСТКОМ ДИСКЕ».

Данные текстовых сообщений

Некоторые веб-сайты позволяют пользователям отправлять текстовые сообщения либо в компанию (например, в целях поддержки), либо между пользователями (например, на сайтах знакомств). Если это применимо к вашему сайту, то вам следует уведомить пользователя о том, что компания оставляет за собой право хранить эту информацию бессрочно.

Как ваша компания использует информацию о пользователях?

Политика конфиденциальности вашего веб-сайта также должна сообщать пользователям, как ваша компания может использовать их данные. Вот некоторые возможности.

Информация о доставке

Если ваша компания продает товары через Интернет, она должна собирать информацию о пользователе, чтобы отправить продукт или иным образом сделать его доступным для пользователя.

Обслуживание клиентов и последующие действия

Независимо от того, предоставляет ли ваша компания продукт или услугу, ей необходима информация о пользователе для службы поддержки клиентов, включая вопросы гарантий, возврата, ремонта, замены, переноса расписания, отмены, выставления счетов и оплаты, или другие вопросы. Ваша компания также может собирать информацию о пользователях для рутинных проверок, чтобы оценить степень удовлетворенности клиентов.

Общие объявления

Ваш веб-сайт может использовать личную информацию для периодических общих объявлений для пользователей. Это могут быть уведомления, обновления, касающиеся компании или сайта, маркетинговые сообщения и т. д.

Сторонние поставщики услуг

Вашей компании может понадобиться использовать личные данные пользователей в связи с обслуживанием веб-сайта, обновлениями, новыми выпусками или просмотром или компиляцией аналитических данных. В вашей политике конфиденциальности должно быть четко указано, что ваша компания будет обязана передавать пользовательские данные любым сторонним поставщикам услуг, которых она может привлечь для оказания помощи в этих усилиях. Точно так же вашей компании, возможно, придется делиться информацией о пользователях в связи со сторонними маркетинговыми или рекламными услугами. Однако ваша компания должна нести ответственность за обеспечение того, чтобы эти поставщики услуг применяли надлежащие меры безопасности в отношении пользовательских данных.

Предоставляет ли ваша компания доступ к пользовательским данным?

В дополнение к административным и маркетинговым целям, описанным выше, ваша политика конфиденциальности должна дополнительно описывать любые другие случаи, в которых она может передавать информацию о пользователях. Не стесняйтесь начинать со следующего общего заявления:

«В соответствии с общей политикой мы используем личную информацию и данные сообщений только для внутренних целей. Мы не продаем и не арендуем информацию о вас. Мы не будем раскрывать личную информацию или данные сообщений другим лицам. третьим лицам без вашего согласия, за исключением случаев, описанных в настоящей Политике конфиденциальности».

Обратите внимание: если на вашу компанию распространяются какие-либо отраслевые правила, касающиеся обмена информацией о пользователях (например, защита информации о пациентах в соответствии с рекомендациями HIPAA), вам следует дополнительно заверить пользователя в том, что ваша компания будет соблюдать такие правила. .

Передача аффилированным лицам или приобретателям

Ваша компания должна иметь разрешение на передачу пользовательских данных своим аффилированным лицам, включая материнские компании и дочерние компании. Кроме того, если компания участвует в слиянии, покупке акций, покупке активов или другом приобретении, она должна будет поделиться пользовательской информацией с покупателем или выжившей организацией.

Соблюдение законов

Ваша компания может быть обязана раскрывать информацию о пользователе для выполнения любых постановлений суда или применимых законов. Ниже приводится стандартное положение, касающееся этой проблемы:

«Компания сотрудничает с государственными и правоохранительными органами для обеспечения соблюдения и соблюдения закона. Поэтому мы можем раскрывать личную информацию, данные об использовании, данные сообщений и любую другую информацию о вас. , если мы считаем разумно необходимым: (а) удовлетворить любой применимый закон, постановление, судебный процесс (такой как повестка в суд или судебный приказ) или подлежащий исполнению запрос правительства; (б) обеспечить соблюдение Условий использования, включая расследование их потенциальных нарушений; (c) обнаруживать, предотвращать или иным образом устранять мошенничество, проблемы безопасности или технические проблемы; или (d) защищать от нанесения ущерба правам, имуществу или безопасности Компании, ее пользователей или общественности в соответствии с требованиями или разрешениями закон. »

Безопасность

Ваша политика конфиденциальности должна гарантировать пользователям, что компания примет необходимые меры для защиты безопасности их данных. Однако политика должна также подчеркивать, что компания не может полностью гарантировать, что пользовательские данные будут защищены от злонамеренных атак или компрометации; как таковые, пользователи должны понимать, что передача ими персональных данных всегда осуществляется на их собственный риск.

Хранение и обслуживание пользовательских данных в США

Предполагая, что ваша компания будет собирать и хранить все пользовательские данные внутри страны, ваша политика конфиденциальности должна уведомлять пользователей о том, что их информация будет регулироваться законами Соединенных Штатов Америки, независимо от страны происхождения их данных.

Обновление информации о пользователе

Пользователю должно быть разрешено исправлять, обновлять или изменять свою личную информацию, а также корректировать или прекращать частоту получения сообщений компании. Пользователь также должен иметь возможность отключить свою учетную запись в соответствии с Условиями использования. Политика конфиденциальности должна предоставить пользователю методологию осуществления вышеизложенного.

Изменения в политике конфиденциальности

Сообщите пользователю, что ваша компания может время от времени вносить изменения в свою политику конфиденциальности и что ей следует периодически пересматривать политику на предмет любых обновлений. Ваша компания также должна приложить усилия, чтобы уведомлять своих пользователей о любых изменениях политики или требовать, чтобы пользователи подтверждали обновления, устанавливая флажок или нажимая кнопку. В любом случае, пользователи, которые продолжают взаимодействовать с сайтом после пересмотра политики конфиденциальности компании, автоматически подпадают под действие новых условий.

Предостережение пользователя относительно сохранности его собственных данных

Наконец, ваша политика конфиденциальности должна напоминать пользователям о необходимости тщательно защищать личную информацию, которую они предоставляют на сайте, включая их пароли, имена пользователей, местоположение, изображения и видео, чтобы третьи стороны не могут манипулировать своими учетными записями или выдавать себя за них.

Об авторе

alexxlab administrator

Оставить ответ

© 2019 ICQ Information Center