Как правильно прописать политику конфиденциальности для стартапа

    В скандалы, связанные с обработкой персональных данных пользователей, регулярно попадают как гиганты IT-рынка, так и небольшие компании. Но если условный Google может оправиться от многомиллионных штрафов, то для стартапа ошибки в политике конфиденциальности могут быть губительны. О том, как минимизировать риски с юридической стороны, расскажу в этом материале.

    Задуматься о создании политики конфиденциальности (ПК) стоит уже на этапе  разработки продукта или услуги. Выпускать на рынок решение без грамотно оформленной ПК – все равно что повесить на компанию мишень для потенциальных юридических преследований.

    Законы, которые регулируют ПК в России

    Чтобы разобраться в том, как правильно прописать политику конфиденциальности, необходимо знать, на какие законодательные акты нужно опираться. В России ПК регулирует целый ряд законов:

    • Федеральный закон от 27.07.2006 № 152-ФЗ "О персональных данных";

    • Федеральный закон от 27.07.2006 № 149-ФЗ "Об информации, информационных технологиях и о защите информации";

    • Гражданский кодекс РФ;

    • Кодекс РФ об административных правонарушениях;

    • Уголовный кодекс РФ;

    • Трудовой кодекс РФ.

    Кроме того, важно внимательно следить за разъяснениями Роскомнадзора, которые, как показывает пример с разблокировкой Телеграма, могут меняться довольно быстро.

    Что обязательно должно быть в ПК

    Любая политика конфиденциальности состоит из разделов:

    • Общий.

    • О сборе и использовании личной информации.

    • О сборе и использовании неличной информации.

    • О файлах cookie и других технологиях.

    • О раскрытии информации третьим лицам.

    • О защите личной информации.

    • О хранении личной информации.

    • О трансграничной передаче данных.

    • О правах пользователей на конфиденциальность.

    • О несовершеннолетних пользователях.

    • О стране или регионе, право которого применяется.

    • О сервисах на основе данных о местоположении.

    • О сторонних сайтах и сервисах.

    • О правилах переписки с пользователями по вопросам конфиденциальности.

    Хотел бы остановиться для более подробного разъяснения некоторых моментов. В общем разделе необходимо указать, к какой компании относится ПК и по какому адресу в интернете с ней можно ознакомиться. Прописать, что политика конфиденциальности регулирует сбор, использование, раскрытие, передачу и хранение личной информации пользователей. Указать, что информация о данных и конфиденциальности встроена в продукты и услуги компании.

    Здесь же нужно также разъяснить основные понятия: что такое сбор и использование информации, разница между личной и неличной информацией, что такое файлы cookie и какие сходные технологии использует компания. Что такое трансграничная передача данных, кто признается несовершеннолетним и т.д. – все это обязательно должно быть отображено в разделе.

    Нужно указать, какую личную информацию о пользователе компания собирает. Так, личной информацией являются данные, которые можно использовать для установления личности человека или для связи с ним – имя и фамилия, почтовый адрес, номер телефона, емейл и т.д. Компании могут также собирать неличную информацию. Это данные, которые не относятся непосредственно к конкретному человеку – уникальный идентификатор устройства (IMEI), URL-адрес источника ссылки, местоположение и т.д. Все это должно быть отображено в ПК.

    Важно прописать основание для обработки данных о пользователях. Обычно его формулируют так: в целях улучшения продуктов и услуг компании, ее сервисов, а также контента и рекламы. Здесь будет не лишним указать, что пользователь не обязан раскрывать личную информацию по запросу компании, но в некоторых случаях это может привести к тому, что стартап не сможет предоставить ему продукт, оказать услугу или ответить на запрос.

    Международный аспект

    Стартапы, которые планируют или уже вышли на международный рынок, могут отправлять информацию на серверы других компаний, расположенных за рубежом – это называется трансграничной передачей данных. Чтобы обезопасить себя, в ПК таким компаниям необходимо указать, что любая информация, которую предоставляет пользователь, может быть передана или получена зарубежными компаниями в соответствии с данной политикой конфиденциальности. Здесь же стартапу необходимо прописать, что у него есть аффилированные лица, которые несут самостоятельную ответственность за сбор и обработку личной информации от имени компании. И, конечно же, способы трансграничной передачи данных должны соответствовать установленным международным стандартам конфиденциальности – как формально, так и на деле.

    Необходимость связи с другими документами

    Соглашение об условиях и положениях (Terms & Agreements) – один из основных документов, регулирующих взаимодействие компании и пользователей ее решений. Здесь стартапы нередко совершают распространенную ошибку и либо смешивают ПК с Terms & Agreements, либо создают отдельные документы и никак не связывают их друг с другом. От невнимательности не застрахованы даже крупные бренды: так, Volkswagen в Terms & Agreements упоминает, что использует сайт для сбора IP-адресов и сопоставляет их с почтовым индексом пользователей, задействуя стороннюю базу данных. Все это – явная деятельность по сбору и обработке данных, однако в документе Volkswagen не ссылается на политику конфиденциальности, с которой должен согласиться или не согласиться посетитель сайта.

    Чтобы избежать этой ошибки, необходимо прочно связывать два документа как по смыслу, так и прямыми ссылками. Как правило, в Terms & Conditions охватываются вопросы обработки пользовательских данных, поэтому компаниям необходимо ссылаться на свою политику конфиденциальности.

    Чем могут обернуться упущения в ПК

    Какие последствия могут повлечь нарушения норм политики конфиденциальности? Помимо административной (штрафы для должностных лиц и самой компании, блокировка сайта) и уголовной ответственности (вплоть до лишения свободы), стартап, нарушивший ПК, может быть привлечен к гражданско-правовой ответственности в виде возмещения пользователю убытков и компенсации морального вреда. Кроме того, нельзя упускать фактор громадного ущерба для репутации бизнеса, что в некоторых случаях даже может привести к финансовому краху.

    Так случилось с британской аналитической компанией Cambridge Analytica. Выяснилось, что она собирала данные 87 млн пользователей через свое приложение в Facebook и использовала их для размещения политической рекламы во время президентской кампании в США и референдума о выходе Великобритании из Евросоюза в 2016 году. Cambridge Analytica утверждали, что лишь пользовались легальным способом сбора информации для рекламы, разрешенным Facebook. Однако аргументы ответчика суд не убедили, а на фоне скандала компания еще и растеряла всех клиентов и объявила о банкротстве. Досталось и Facebook: корпорацию наказали крупнейшим в истории штрафом – 5 млрд долларов. Руководство социальной сети также взяло на себя обязательства пересмотреть отношение к сохранению конфиденциальных данных пользователей.

    Чтобы обезопасить себя от таких инцидентов, подход к политике конфиденциальности уже меняет Apple. В обновленной системе iOS 14 встроена функция, которая требует, чтобы приложения получали соответствующие разрешения от пользователей перед сбором их данных. Это дает клиентам компании возможность решать самостоятельно, какую личную информацию они будут предоставлять приложениям.

    Конечно же, стартап может разработать политику конфиденциальности своими силами. Но нужно учитывать временные затраты на ее создание, а также отсутствие юридической защищенности и значительные репутационные и финансовые риски в случае ошибок. Чтобы их минимизировать, лучше всего обратиться к профессиональному юристу с релевантным опытом.

    Ads
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More

    Comments 8

      0
      Спасибо за полезную подборку! Хочется побольше примеров конкретных формулировок, конечно. Ну и продолжения про GDPR.
        0
        Добрый день. Спасибо за дельный совет. Обязательно учту при написании следующего материала ваши рекомендации.
          0
          utm Добрый день. Спасибо за дельный совет. Обязательно учту при написании следующего материала ваши рекомендации.
            0
            Пустая самореклама юристов…

            Из статьи:
            Что обязательно должно быть в ПК
            Любая политика конфиденциальности состоит из разделов:


            Из ответа РКН на одно мое обращение: оператор может написать, что угодно в политике по обработке ПД, у РКН нет прав на проверку:). Обязательность всех разделов не соответствует законодательству.

            О файлах cookie и других технологиях.

            Приведите ссылку на российское законодательство, где что-то говорится про куки?

            отправлять информацию на серверы других компаний, расположенных за рубежом – это называется трансграничной передачей данных.


            А вот что говорит 152-ФЗ:
            11) трансграничная передача персональных данных — передача персональных данных на территорию иностранного государства органу власти иностранного государства, иностранному физическому лицу или иностранному юридическому лицу.

            Обращаю внимание, так как многие этого не понимают, что не просто на сервер за рубежом, а именно органу власти или какому-либо лицу.

            Чтобы обезопасить себя, в ПК таким компаниям необходимо указать, что любая информация, которую предоставляет пользователь, может быть передана или получена зарубежными компаниями в соответствии с данной политикой конфиденциальности.

            Так нельзя себя обезопасить. Это не будет соответствовать закону ни при каких условиях. Во-первых с пользователя необходимо брать согласие на обработку ПД, в котором КОНКРЕТНО указывать, куда, кому и для каких целей (обязательно полезных для пользователя) будут передаваться его персональные данные. Причем нельзя в одном согласии все делать оптом. Иначе пользователь потом заявит, что вот эти действия были в моем интересе и я с ними соглашался, а вот другие, где мне срут рекламой они не в моем интересе и в этой части согласие не соответствует действующему законодательству.

            В целом…
            Автор очень плохо знает российское законодательство в области персональных данных, либо умышленно вводит в заблуждение читателей.
              0
              newm Здравствуйте, спасибо, что внимательно прочитали текст и написали подробный комментарий. Хотел бы отметить, что в данном материале не стоит искать признаков теории заговора – никто не пытается ввести Вас в заблуждение.

              А личное знание закона и умение его толковать – всего лишь вопрос компетенции.

              У меня создалось впечатление, что столь красноречивый выпад – скорее элемент самопиара, чем компетентная аннотация.

              Теперь по пунктам:

              1. Относительно вашей убежденности в отсутствии полномочий у РКН на проведение проверок:
              Пункт 1.1 статьи 23 ФЗ от 27.07.2006 № 152-ФЗ и ППРФ от 13.02.2019 № 146 – РКН обеспечивает, организует и осуществляет государственный контроль и надзор (перевожу лично – проводит проверки) за соответствием обработки персональных данных требованиям закона. Например, для проверки может запросить у компании ПК (об этом конкретно – подпункт 1 пункта 3 указанной выше статьи).

              2. Относительно вашего тезиса о том, что обязательность всех разделов не предусмотрена законодательством:
              В законе (вне зависимости от личного восприятия правовой действительности) содержаться общие положения, которыми компания должна руководствоваться при обработке ПД, в том числе при разработке ПК. Например, статья 11 указанного выше ФЗ содержит правила обработки биометрических ПД. А рекомендации по наполнению ПК дает сам же РКН на своем официальном сайте. Хотя они и несовершенны, так как с 2017 года обновлений не публиковалось.

              3. Относительно cookie и российского законодательства:
              Ничего удивительного – практика всегда идет впереди закона. Да, в России такого закона пока нет. Но вот парадокс – куки-то есть. И стартапам, идущим в ногу со временем и, тем более, ориентированным на международный рынок, рекомендуется применять законодательство развитых стран.

              4. Относительно тезиса о передаче ПД (на сервер): Упоминание сервера здесь скорее для простоты и практического понимания. Иначе получается (если строго следовать вашей рекомендации), что данные передаются на территорию иностранного государства или юридического лица абстрактно.

              5. Относительно последнего тезиса – о том, как себя обезопасить. Ваши суждения скорее свидетельствуют о невнимательном прочтении текста. В этом разделе я пишу о международном аспекте и безопасности в связи с этим. О том, что при трансграничной передаче данных необходимо строго соблюдать ПК передающей компании. В статье не отрицается необходимость получения согласия на обработку ПД. Наоборот, я обеими руками «за» такое волеизъявление. И его надо получать в принципе перед сбором и обработкой ПД, а не перед их трансграничной передачей.
                0
                Например, для проверки может запросить у компании ПК (об этом конкретно – подпункт 1 пункта 3 указанной выше статьи).

                Довольно странное понимание… РКН может проверить, выложены в неограниченный доступ документы, требуемые в законе или нет. И если нет, то наказать по КоАП. Например, контора, на которую я кропал телегу в РКН, выложила в качестве политики по обработке ПД студенческий реферат по информационной безопасности. В качестве ответа было, что документ есть, а что в нем никаких вариантов воздействия нет.

                2. Относительно вашего тезиса о том, что обязательность всех разделов не предусмотрена законодательством:

                Для тезиса 2 — тот же пример, что и выше.

                3. Относительно cookie и российского законодательства:

                Где-то было мнение РКН, что куки это вообще никак не ПД.

                5. Относительно последнего тезиса – о том, как себя обезопасить. Ваши суждения скорее свидетельствуют о невнимательном прочтении текста. В этом разделе я пишу о международном аспекте и безопасности в связи с этим.

                Описание было в общем, поэтому и ответ был в общем. Но для нормального бизнеса передача кому-либо ПД, причем так, что по закону требуется брать согласие — это очень редкое исключение. Для всяких срущих спамом и мошенничеством — это норма. Например, диким бредом является запрос согласия на обработку ПД интернет-магазином для передачи этих ПД сторонней курьерке, которой этот заказ будет доставлен и о чем уведомлен покупатель. Кстати, а почему так?
              0
              Есть рыба праваси полиси аналога WTFPL?
              А то если ничего не собираешь все равно нужно куча писанины.
              мой вариант ниже
              Privacy Policy
              I, ______, do not collect personal information in my applications or on the websites of my programs ( ___________________ ) and on ____( this site ).

              • In the programs and on the sites there is no advertising.

              • I do not use cookies.

              • All purchases you make in GooglePlay.

              Non personal information:

              — About errors in the application provided to me in the GooglePlay developer console.

              — Standard security logs unix server, controls by the hosting provider.

              External links are given to the sites of my programs or to sources of useful information on the subject of the application, as well as in cases where this is required by copyright law.

              The sites can use third-party resources such as cloud hosting for fonts, css and / or js frameworks / libraries, video hosting (for example YouTube) and so on.

              The question posted to me by e-mail is treated as an explicit consent that I can store your letter in the mailbox for 10 years. I can use you email address, name and other to answer your question. You also agree to receive other letters from me if I have a desire to write to you. You also consent to the public use of your question and submitted materials in the FAQ section of the site.

              Answering the questions received in my mailbox, I do not ask the age of the questioner, if you are the parent or guardian of the child and you see in this correspondence some personal information, then write me. I will verify that these emails are deleted in my mailbox.

              I spent a week to understand what I should write in case I don't need your data. But I am sure that I still did something wrong.

              If you have any questions, write to _________________


                0
                Здравствуйте! Напишите мне в личку, пожалуйста. Не уверен, что могу здесь давать внешние ссылки.

              Only users with full accounts can post comments. Log in, please.