Мы можем просто скопировать политику приватности у конкурентов? - Увы, не можем.
Приведение компании к соответствию GDPR — это длинный путь, который включает в себя много шагов. И одним из них является составление политики приватности. Чтобы упростить себе жизнь, бизнес иногда идет на “хитрость” и копирует Privacy Policy у конкурентов. Спойлер: большая ошибка. Рассказываем, почему так делать не нужно и как создать подходящий документ для вашей компании.
Но сначала немного теории.
Справка
Политика приватности (или Privacy Policy) — ключевой документ по GDPR, в котором содержится вся информация о том, как компания обрабатывает персональные данные: для каких целей использует, кому передает, сколько хранит, и т.д.. Политика должна быть всегда доступна для субъекта персональных данных без всякой платы.
Требование иметь политику приватности вызывает разную реакцию у руководителей компании. Кто-то решает, что это очередная новомодная ерунда и «скоро пройдет». Кто-то зовет юриста и поручает ему написать политику. А кто-то вместе с менеджером проекта обновляет сайт, опубликовав там текст политики, позаимствованный у конкурента. Почему бы и нет, ведь бизнес-то один и тот же.
И это большая ошибка. Объясняем почему.
Причина № 1.
Вместе с текстом политики вы копируете и ошибки конкурента.
Ваши конкуренты могли точно так же переписать политику у кого-то еще. Уверены ли вы, что фирма, которая составляла этот документ, действительно ведет бизнес, схожий с вашим как две капли воды? А именно такой уровень сходства необходим для того, чтобы политику можно было использовать. И — самое главное — уверены ли вы, что политика написана правильно?
Какие ошибки могут подстерегать незадачливого плагиатора?
❌ легитимный интерес используется для обработок, которые требуют согласия;
❌ в политике не описаны права субъекта и порядок их реализации;
❌ в политике не упоминается право подать жалобу в надзорный орган (частое нарушение: иногда компании идут на него сознательно, чтобы «не вкладывать оружие в руки субъекта»);
❌ в политике перечислены НЕ ВСЕ обработки персональных данных;
❌ правовое основание (часто “исполнение договора) выбрано неправильно (например, для обработок, которые на самом деле вовсе не обязательны для заключения и исполнения договора).
❌ сроки хранения персональных данных не указаны вовсе или указаны неправильно;
❌ нет сведений о передаче данных в третьи страны (трансграничная передача персональных данных).
Более того, может оказаться, что в текст политики вкралисьошибки, которых вы на самом деле не совершаете при обработке данных. И «трансгранички» у вас нет, и срок хранения минимальный, и данные вы обрабатываете только те, что необходимы для оказания услуг. Но «кошмар на улице Вязов» в вашей политике уже привлечет нежелательное внимание, в том числе внимание надзорного органа️. Восстанавливать свое доброе имя, объясняя, что политику вы списали у соседа по парте, как минимум, несерьезно. Да и репутация компании, для которой приватность клиентов не представляет ценности, еще никому не помогала продвинуться на рынке.
Разработка и аудит политики приватности
Разработаем грамотную политику приватности, которая будет соответствовать предписаниям Регламента, и проведем аудит уже существующей, чтобы обезопасить вас от штрафов за несоответствие требованиям.
Причина № 2.
Политика приватности конкурента вам не подходит.
В какой-то мере это продолжение первой ошибки. Вы не знаете, кто именно был автором первоначального текста. Возможно, его писал юрист совершенно другого бизнеса, не похожего на ваш. Но потом кто-то решил, что у него бизнес схожий — и переписал документ. Кто-то следующий сделал так же, потом еще и еще В результате вы используете текст, который вашей компании совершенно не подходит фактически, даже если изначально он был безукоризненно правильным.
Кроме того, первоначальный текст вполне мог быть написан с учетом нюансов права другой страны. Если документ составлен на одном из распространенных языков (английский, немецкий, испанский), вы можете и не узнать, что он «заточен» под законодательство конкретного государства, причем не вашего. И если в вашем государстве тоже есть нюансы, в этом тексте они отражены не будут.
В наиболее запущенных случаях компания, переписав чужой документ, не вычитывает его, а зря. Потому что в тексте политики встречается много фактических деталей: указания на применимое право, способ направления запросов субъектов, сведения о надзорном органе для подачи жалобы и данные компании (наименование, адрес, контактные данные DPO, контактные данные представителя в ЕС). Увы, не всегда компании меняют эти данные на свои, что, конечно, производит удручающее впечатление.
Это две основные причины, почему не стоит копировать политику приватности конкурента. Лучше написать свою собственную. Рассказываем, как это сделать.
Больше подробностей о политике приватности мы рассматриваем на нашем курсе
GDPR Data Privacy Professional.
Ближайший старт уже 3 июля. Все подробности у нашего менеджера Антона.
Разработаем Реестр персональных данных для вашей компании
Вместе с консультантами вы сможете провести инвентаризацию обработок, структурировать их и получить готовое пространство, удобное для дальнейшей работы DPO.
Это две основные причины, почему не стоит копировать политику приватности конкурента. Лучше написать свою собственную. Рассказываем, как это сделать.
Шаг 1. Составляем реестр обработок персональных данных.
А начинаем мы с каталога обработок (он же реестр обработок персональных данных). Он же таблица, схема, буквально что угодно, где отражены ВСЕ обработки персональных данных. Это тот самый документ, из которого вы сможете узнать, для каких целей, каким образом, какие данные обрабатываются. GDPR не устанавливает обязательную форму реестра, так что вы сами решаете, каким он будет, однако его содержание (точнее, необходимый минимум) все же предусмотрен в ст. 30 GDPR.
К сожалению, некоторые компании пренебрегают своей обязанностью вести реестр обработок, считая эту работу «неподъемной» и «ненужной». Тем более, что реестр — это внутренний документ, обязанности предъявлять его субъектам данных нет (в отличии от политики приватности). Так что даже если реестра не будет, никто об этом не узнает.
Спорить с этой точкой зрения, на наш взгляд, несколько бессмысленно️. Если инвестор захочет взглянуть на реестр (а им часто этого хочется), можно, конечно, отмахнуться и от инвестора. Но запрос надзорного проигнорировать не получится. А кроме того, политика, в которой должны быть перечислены ВСЕ обработки, очень и очень во многом повторяет в своем содержании реестр обработок. Это тот случай, когда мы фактически убиваем двух зайцев, стоит ли упускать такую возможность?
Шаг 2. Составляем текст политики приватности.
Завершив работу над реестром, мы обращаемся к статьям 13 и 14 GDPR и Руководству по принципу прозрачности (принято еще Рабочей группой по 29 статье, но уже в соответствии с GDPR, версия от 11 апреля 2018 г.). Не забываем посматривать и в ст. 12 GDPR: в ней описано, как именно следует предоставить информацию об обработках данных (бесплатно, на простом и понятном языке и т.д.). И пункт за пунктом пишем политику приватности.
Особое внимание обращаем на требования о простом и понятном языке. Одно из нарушений, за которые WhatsApp получил свой грандиозный штраф, было то, что некоторые их цели обработки персональных данных были описаны так расплывчато и некорректно, что не только дети и подростки, но и взрослые люди не могли понять, для чего же в реальности Meta использует данные. Если тест политики составляет юрист, мы рекомендуем ему работать в связке с копирайтером: после нескольких итераций и пин-понга текстом политики получается очень достойный результат. А если вы добавите в политику схемы, картинки, иконки и прочие средства визуализации, будет еще лучше.
Шаг 3. Проверяем результат.
Когда политика готова, лучшее, что можно сделать, — это проверить ее на соответствие всем изложенным в GDPR и Руководстве требованиям. Для удобства рекомендуем воспользоваться нашим чек-листом для политики приватности: в нем перечислены все требования с указанием нормы, которая их устанавливает. Так вы сэкономите время на перелистывание и повторное чтение статей GDPR и Руководства. Удобно, что и говорить 👍
Шаг 4. Размещаем политику в открытом доступе.
Текст политики должен быть максимально доступным для субъектов, поэтому чаще всего его размещают на сайте или в мобильном приложении. Помните: текст нужно разместить так, чтобы из любого места до него было максимум два клика: прятать политику — изначально провальная идея.
Также не забудьте указать дату, с которой действует политика. Если раньше ее у вас не было, то опубликуйте ее как можно скорее. Если же политика у вас есть, но текст нужно актуализировать (появились новые обработки, трансграничная передача и т.д.), имейте в виду, сообщить о таких изменениях нужно непременно ДО того, как они вступят в силу. То есть, обрабатывать данные по новым правилам можно лишь тогда, когда вы заранее об этом сообщили. Ситуация, когда новые обработки уже запущены, а текст на сайте висит все еще старый, недопустима.
Автор материла
Анастасия Пархимович
LLM, CIPP/E, GDPR DPP
GDPR Consultant
