[Из песочницы] Почему шаблон политики приватности вам не подойдет?

habr.png

Копирование и генерирование политики приватности


Копирование шаблонной политики приватности или использование генераторов (автоматическое составление) — весьма распространенная практика. Действительно, в некоторых случаях это может сэкономить время, если речь идет о копировании повторяющейся информации, которая универсальна для многих сайтов. Но это правда лишь при условии, что вы копируете ее из надежного источника или используете качественный генератор.

Копирование


Если вы все же копируете шаблонную политику приватности, то вам нужно перепроверить соответствие данного документа статьям 13 и 14 GDPR (General Data Protection Regulation — Общий Регламент Европейского Союза по защите персональных данных), а также изменить пункты, индивидуальные для каждой компании:

  1. Цели обработки
  2. Законные основания для обработки
  3. Сроки обработки


Сложно найти политику приватности, которая бы соответствовала всем процессам в вашей компании и одновременно GDPR. Большинство политик приватности, даже европейских компаний, не соответствуют GDPR.

Скопированная политика приватности может содержать в себе обработки персональных данных, которых в компании нет и быть не может. Это создает большие проблемы при реализации прав субъектов данных. Например, пользователь вашего сервиса захочет реализовать свое право на переносимость данных, но вы его реализовать не в состоянии.
Также учтите, что многие шаблоны политики приватности написаны под другие законы. Нередки случаи когда в них автозаменой вставлено слово «GDPR» вместо другого нормативно-правового акта.

В итоге вы тратите больше времени, чтобы найти и отредактировать шаблон, когда будет гораздо быстрее (а может и дешевле) написать политику самостоятельно или обратиться к специалисту.

Генераторы


Предположим, вы нашли качественный генератор политики приватности. Для того, чтобы он выдал готовый вариант, вам все равно придется подробно описать свои процессы, сформулировать цели и расписать законные основания. Обычно, в генераторы политики приватности невозможно добавить всю разнообразную информацию о процессах обработки персональных данных. В некоторых, вроде профессионального генератора Signatu это сделать можно, но чтобы сгенерировать что-то, придется ответить на десятки сложных вопросов, требующих глубоких знаний GDPR.

Составление политики приватности


Если сравнить использование какой-то платформы с покупкой лекарств, то политика приватности — это вкладыш с инструкцией. С помощью такой инструкции пользователи знают, как правильно использовать это лекарство и не навредить себе.

Аналогично должны работать и политики приватности. Этот документ составляется в первую очередь для пользователей. Помните об этом, когда будете подключать своего юриста. Политика приватности должна быть написана на языке понятном читателю.

При составлении политики приватности, в первую очередь обращайтесь к законодательству, применимому к вашей обработке. Там вы найдёте предъявляемые требования и поймете, какую информацию вам нужно указать в вашем документе. В данной статье мы говорим о GDPR.
Основные требования к содержанию политики приватности по GDPR содержатся в ст. 13 и 14 Регламента, а также в разъяснении «Guidelines on transparency» от Article 29 Working Party — общеевропейского надзорного органа. В конце документа представлена таблица, по которой вы можете проверить свою политику приватности.

При составлении политики ошибкой является распыление информации об отдельной обработке по разным разделам, когда составители описывают категории обрабатываемых данных отдельно от целей, а цели — отдельно от правовых оснований обработки (согласие, легитимный интерес, контракт, требование закона и т.д.). Это делать запрещено, потому что человеку (субъекту данных) не понятно, какая из категорий данных обрабатывается для какой цели. Это то же самое, если бы вы подошли к прохожему на улице и попросили телефон. У него возникает разумный вопрос: «Зачем?» Он примет решение давать ли телефон в зависимости от того, как вы его хотите использовать. Аналогично пользователь дает свое согласие на обработку персональных данных в зависимости от ваших целей.

Иначе говоря, лучше структурировать текст политики приватности по отдельным обработкам.
Например, в начале 2019 г. компания GOOGLE получила 50 миллионный штраф от французского надзорного органа CNIL. Одним из нарушения как раз было то, что важная информация о целях обработки, сроках хранения, категориях персональных данных, подлежащих обработке была разбросана по разным документам. В итоге, субъекту данных для получения нужной информации требовалось сделать 5–6 действий.

Стоит обратить внимание, что сама политика приватности — лишь вершина айсберга. Еще до составления политики приватности нужно пройти ряд этапов:

  1. составление реестра обработок персональных данных (ст. 30 Регламента).
  2. формулирование целей обработки. Например, вы спрашиваете у ответственных отделов для чего они обрабатывают те или иные данные. Может оказаться, что некоторые данные они взяли «на будущее», не имея конкретной цели сейчас;
  3. выбор законного основания для обработки (ст. 6 Регламента). Этот этап — не просто «гадание на ромашке», а сложный юридический анализ;
  4. определение сроков обработки для каждого процесса;
  5. инвентаризация третьих лиц (аутсорсеров, партнеров, поставщиков, провайдеров), которым вы даете доступ к персональным данным.


Ошибки, совершенные на этих ранних этапах, очень часто как на ладони видны в политиках приватности.

Риски использования некорректной политики приватности


  1. Штрафы, налагаемые после проверки надзорного органа. А это 20 миллионов евро или 4% от общего мирового оборота компании.
  2. Жалоба субъекта данных, который не разобрался в вашей политике приватности, направленная надзорному органу. Что будет дальше — см. пункт 1.
  3. Испорченная репутация. Наличие очевидных ошибок в политике приватности может уронить котировки публичной компании. Инвесторов пугает не столько то, что компания нарушила какие-то правила, а что она находится под риском огромных санкций. Никто из акционеров вашей компании не оценит подобный риск, а контрагенты точно не будут счастливы от вашего банкротства.
  4. Если вы неправильно выбрали законное основание, то у субъекта данных может возникнуть право, реализация которого фактически заблокирует процессы в вашей компании. Пример: вы выбрали согласие в качестве правового основания для обработки в той ситуации, где возможен только контракт. Если пользователь отзовет свое согласие — вы не сможете оказать ему услугу. В конце концов вы оказываетесь в юридической западне: с одной стороны, вам нужно реализовать право субъекта быть забытым, а с другой — оказать ему услугу. Не предоставите ему право быть забытым — попадете на штраф, а не предоставите ему сервис — попадете на санкции по контракту, который вы подписали с этим субъектом.


Таким образом, политика приватности:

  1. разрабатывается индивидуально под процессы конкретной организации,
  2. пишется на понятном языке и имеет ясную структуру,
  3. лишь одно из множества и далеко не первое мероприятие по соответствию Регламенту,
  4. необходима для выживания компании в эпоху GDPR и
  5. не прощает ошибок.

© Habrahabr.ru