Внимание! Вы используете устаревшую версию браузера.
Для корректного отображения сайта настоятельно рекомендуем Вам установить более современную версию одного из браузеров, представленных справа. Это бесплатно и займет всего несколько минут.
Попробовать Оформить подписку
Попробовать Оформить подписку
Как написать Privacy Policy для веб-сайта или приложения, чтобы спать спокойно и не бояться, что за тобой придет GDPR-патруль
Лидия Клымкив, партнер, Axon Partners

Никакого GDPR-патруля, конечно, нет в природе, но волнения вокруг Privacy Policies сайтов и приложений в последнее время много. Сейчас уже никого не удивишь письмом от какой-то зарубежной уважаемой онлайн-газеты или любимого приложения с просьбой подтвердить свое согласие на рассылку ньюзлеттеров или сообщением об изменении политики приватности. На волне бесконечных разговоров о GDPR все догадываются, что причина именно в этом.

Поскольку многие украинские компании предлагают свои товары или услуги жителям ЕС, или, что важнее, мониторят их онлайн-поведение в рамках своих маркетинговых моделей, вопросы получения согласия на обработку данных и уведомления об условиях обработки через Privacy Policy стали для украинских компаний важным показателем GDPR-комплаенса. Важным, потому что его очень легко идентифицировать как пользователям, так и контролирующим органам, а также из-за того, что вокруг информирования субъектов и получения согласия на обработку данных обычно и концентрируется значительная часть оценки и приведения процессов обработки данных в соответствие с требованиями GDPR.

Сделать так, чтобы Политика приватности не была чтивом, преодолевающим бессонницу

В английском языке есть замечательный термин "gobbledygook", который означает употребление длинных и непонятных слов, перенасыщенных канцеляризмами, усложняющими язык и понимание написанного. Этого любимого приема юристов в вопросах информирования субъектов персональных данных следует избегать, как огня, если не хочешь натолкнуться на штрафы. Это должно быть тестом: похож ли ваш документ на gobbledygook или нет. Или же сможет ли заснуть над ним читатель или сможет прочитать до конца и понять. Желательно даже улыбнуться.

Недавно мой знакомый, который работает в одной из самых крупных компаний в Украине (по версии Forbes), рассказал историю, что одной из компаний структуры в Германии недавно пришло требование-предупреждение о том, что правила Privacy Policy и Terms and Conditions на веб-сайте ... слишком большие и содержат слишком много ненужной информации, и что их надо упростить.

Этот случай очень хорошо характеризует те изменения подходов к подготовке юридических документов для пользователей и потребителей, которые несет с собой GDPR, поскольку все самые суровые правила GDPR взяты именно из немецкого законодательства о защите персональных данных. На меня как юриста, которая старается составлять свои шедевры документов в изысканных юридических словосочетаниях, получение такого сообщения означало бы немедленное преддепрессивное состояние с экзистенциальными вопросами, зачем я нужна, если один из моих лучших образцов юридического текста признали ни на что не годным. Однако сейчас я убеждаюсь, что отказ от gobbledygook – это на самом деле очень большое поле для работы и усовершенствование мастерства юридического языка юриста.

Если возвращаться от лирики, то хоть юристы, которые писали GDPR, не соблюли свой же совет, и документ вышел настоящим gobbledygook, он действительно прямо указывает, что согласно принципу прозрачности какая-либо информация в политиках приватности должна быть точной, легкодоступной и понятной, то есть написана на понятном и простом языке.

Кроме того, GDPR поощряет визуализацию правил обработки данных. То есть можно изображать свою Политику приватности в виде видеоролика или комикса, и это будет считаться крутым решением (и несколько более дорогим также).

Как раз перед написанием статьи я прочла о лауреатах Пулитцеровской премии из The New York Times в номинации Editorial Cartooning об освещении истории жизни беженцев из Сирии в США при президентстве Трампа. Не знала, что за такие репортажи можно получить Пулитцеровскую премию. Конечно, рассказать историю о беженцах в картинках кажется более легкой задачей, чем придумать изображение для предложения "Эта политика конфиденциальности является частью договора между сторонами, и проставляя галочку напротив надписи "Я соглашаюсь", вы считаетесь принявшим условия данной Политики". Однако это можно сделать как через визуализацию, так и через язык, даже если будут примеси юридического.

Но для иллюстраций и видео нужно привлекать, кроме юристов, дизайнеров, художников и операторов. Если же юрист работает сам, надо думать, как сделать его заскорузлый язык простым и приятным для восприятия. Если говорить о собственном опыте, то политики приватности, которые мы с командой готовили для клиентов уже согласно GDPR, очень тяжело сделать по меньшей мере короткими. Во-первых, ты хочешь отразить в ней все, что требует статья 13 и другие статьи GDPR, во-вторых, сделать документ понятным означает переписать его человеческим языком, что иногда далеко не означает сделать его короче, в-третьих, побороть свой юридический снобизм также бывает очень тяжело (имеются в виду мнения о том, что отказ от канцеляритов сделает документ менее профессионально ценным в глазах коллег и клиентов).

На практике, например, чтобы не было скучно читать правила, мы стараемся приводить примеры и аналогии. Вот недавно я писала следующее в политике об использовании файлов cookies для поведенческого таргетинга: "Cookies также позволяют нам использовать информацию, собранную такими файлами cookies для показа вам рекламы. Как это работает? Например, вполне возможно, что сегодня на нашем сайте вы сможете увидеть рекламу офисного кресла, даже если вы уже забыли, что искали удобное кресло для своего офиса неделю назад. Файлы cookies, эти маленькие текстовые кусочки кода, которые установились в вашем компьютере, когда вы искали кресло, запомнили эту информацию, передали ее соответствующему серверу, когда вы зашли на наш веб-сайт, а он, в свою очередь, показал подстроенную под ваши нужды рекламу".

То есть отход от сложной терминологии и использования аналогий – выход для юриста, который хочет, чтобы его текст действительно читался и не вызывал проблем у заказчика.

Политика приватности – это не мастхев

На самом деле данный подзаголовок несколько манипулятивен, однако не обманчив. GDPR в действительности не ставит требования разрабатывать и публиковать документ под названием Политика приватности. Обязанность информирования пользователей о действиях с их данными может выполняться любым способом, не только через размещение ссылки на пдф-файл со старательно прописанными юристом пунктами. Если, например, представить ситуацию, что пользователь на веб-сайте вводит свою информацию в любой форме, то надлежащим информированием будет использование всплывающих окошек с основной информацией о том, зачем определенные типы персональных данных собираются и как будут использоваться. Пользователь имеет возможность знакомиться с правилами сразу при введении информации, давать свое согласие и не пугаться в предчувствии длинного текста Политики приватности, когда ему предлагается перейти по ссылке и ознакомиться с ней.

Не буду отдельно останавливаться на большинстве видов информации, которые надо поместить в политику, поскольку они довольно четко перечислены в статьи 31 GDPR: это детали контролера, который собирает данные; сведения о правовых основаниях для обработки данных (например, согласие); права лица, предоставляющего свои данные (право на доступ к данным, право когда-либо отозвать свое согласие на обработку, право направить жалобу в контролирующий орган, право получать данные в том формате, который позволяет использовать их в других онлайн-платформах и сервисах (право на портативность данных), и др.

Отдельно остановимся на тех пунктах, в отношении которых возникают вопросы.

Рассказываем, что и для чего собираем

Тут следует провести анализ относительно того, какие данные собирает сервис и для чего. После того надо задать себе вопрос: нужен ли весь перечень собираемых данных для того, чтобы сервис выполнял свои функции, или, возможно, некоторые данные собираются "по инерции" и на самом деле не нужны для предоставления услуг и функционала, ведь GDPR устанавливает правило – объем собираемых данных не должен быть чрезмерным. То есть если, например, BlaBlaCar обрабатывает данные о возрасте или поле лица, то понятно, что такая информация нужна для обеспечения осведомленности пользователей о лице, с которым они могут разделить поездку. Если же такие же данные запрашивает сервис по доставке пиццы, то возникает вопрос, зачем ему эта информация.

Отдельно следует упомянуть о файлах cookies – кусках компьютерного кода, которые устанавливаются на компьютере или мобильном устройстве пользователя, когда он посещает тот или иной веб-сайт, собирают информацию о пользователе и передают ее разным получателям в Интернете. Если раньше Директива 1995 года вообще не упоминала в своем тексте cookies (в отношении их в ЕС действовала отдельная Директива), то теперь GDPR в пункте 30 преамбулы прямо отсылает к ним как к информации, которая в сочетании с другой может позволит идентифицировать лицо, а потому может представлять персональные данные.

В связи с этим предложение на веб-сайте о том, что "пользуясь этим сайтом, вы предоставляете согласие на установку на вашем устройстве файлов cookies и получение с их помощью информации", уже не будет правовым основанием для использования cookies. Для них нужно отдельное согласие. То есть кроме того, что об использовании cookies надо уведомить пользователя, перед их использованием нужно получить четкое согласие пользователя на их установку.

При этом пользователю желательно рассказать простыми словами, какие виды cookies собираются на сайте, для чего они нужны, без каких cookies сайт работать не будет, а какие собираются с целью рекламы или статистики. Тогда пользователь сможет выбрать, для какой цели он согласен на использование cookies, а какая ему нежелательна. Например, в случае с офисным креслом он не хочет получать никаких таргетированных реклам об офисных креслах через cookies, однако он не хотел бы каждый раз логиниться на веб-сайте после того, как он ненароком или специально закрыл вкладыш с ним. За эти функции отвечают разные виды файлов cookies и пользователь должен иметь возможность отказаться от одних и согласиться на использование других. Такой замысел GDPR.

Цель обработки

Указание на цель обработки данных не новинка. Директива 1995 года, и даже украинское законодательство в статье 12 профильного закона, ставят цель обработки данных во главе терминов, определяющих права и обязанности субъектов, контролеров и процессоров персональных данных.

GDPR несколько уточняет и расширяет возможности лица, данные которого собираются, относительно разного рода цели сбора данных. Основное правило заключается в том, что лицо может отказаться от одной цели использования данных без вреда другой цели, с которой собираются и используются данные. Это правило можно проиллюстрировать примером с файлами cookies: если лицо отказывается от маркетинговой цели сбора данных, ему не может быть отказано в предоставлении услуг, которые в первую очередь должны были предоставляться на основании сбора данных. То есть не допускается "связывание" целей обработки данных и узависимывание предоставления услуг от предоставления согласия на обработку данных "связанным" целям обработки.

Получатели данных

Лицо, собирающее данные и определяющее цель и способы их обработки (контролер), должно уведомить лицо, предоставляющее свои данные, об их получателях или категории таких получателей. Это означает, например, что делаверская компания, которая выступает их контролером и на которую распространяются требования GDPR, должна уведомить пользователей, что данные хранятся на серверах Amazon Web Services, компания использует известную CRM-систему и Chargify для осуществления платежей, а еще что данные передаются в Украину и несколько десятков физических лиц – предпринимателей будут иметь к ним доступ. И тут возникает вопрос: надо ли пересчитывать всех независимых предпринимателей-ФЛП из Украины и поддерживать данный перечень актуальным или нет. Думается, что понятие "категории получателей" прежде всего касается работников контролера, которые ввиду своих трудовых обязанностей могут иметь доступ к данным. Однако указания на сборное понятие независимых подрядчиков-ФЛП из Украины, имеющих доступ к данным на основе договоров об обработке, обеспечивающих защиту данных, также должно быть достаточно для требований статьи GDPR. По крайней мере к тому времени, когда по данному вопросу не появятся отдельные разъяснения.

Согласие

Если основанием обработки данных является согласие (что чаще всего и происходит), такое согласие должно быть прямым и характеризоваться каким-либо действием, свидетельствующим о его предоставлении и предоставляющим возможность тому, кто его получил, продемонстрировать его получение. Указанные выше и часто используемые предположения о том, что если пользователь пользуется сервисом, он принял условия согласия, становятся незаконными.

Пользователь должен сам проставить галочку напротив предложения о том, что он согласился на условия обработки. Кроме того, если данные будут использоваться с целью прямого контакта с лицом для предоставления коммерческих предложений или рассылки мейлов, желательно получить отдельное согласие на такие действия, при этом обязательно отдельно сообщить о том, что есть возможность когда-либо отказаться от них.

Еще один вопрос, беспокоящий компании – контролеры данных, – это необходимость получения повторного согласия на обработку данных от своих пользователей. GDPR говорит, что если условия предварительного соглашения совпадают с требованиями GDPR, новое согласие не требуется. Однако если я получаю рассылки с просьбами возобновить согласие от известных онлайн-изданий или сервисов, что-то мне подсказывает, что компаний, у которых формулировка согласия была дальновидной год или два назад, не так много, и от получения повторного согласия многим компаниям не убежать.

ВЫВОД:

Итак, при подготовке Privacy Policy согласно GDPR юристу надо исходить из следующих правил:

– Нет шаблонам с заскорузлыми юридизмами gobbledygook.

– Да простоте и примерам для пользователя о том, как собираются и используются данные.

– Да возможности пользователя свободно выбирать, на какие виды обработки предоставлять согласие, на какие нет.

– Да проверке, все ли пункты статьи 13 или 14 GDPR донесены до пользователя.

Конечно, GDPR предлагает еще множество вопросов для раздумий, однако этого минимального набора требований достаточно, чтобы обратить внимание на проблемные моменты Privacy Policies / Notices и их скорректировать.

Получить полный доступ ко всем номерам и статьям издания Вы сможете оформив подписку на электронное издание ЮРИСТ&ЗАКОН
Контакты редакции:
uz@ligazakon.ua