Вопрос защиты персональных данных касается разных областей, где физическое лицо сталкивается с теми, кто эти данные собирает и обрабатывает. Одной из таких точек может быть интернет-сайт, который принадлежит интернет-магазину, маркетплейсу или производственной компании, которая ведет свой бизнес в интернете.
Если у компании есть такой сайт, то для ведения бизнеса важно не только сделать его привлекательным и удобным в использовании, но и позаботиться о том, как обеспечить защиту и конфиденциальность персональных данных, полученных при пользовании сайтом.
Посредством сайта могут быть собраны большие массивы данных – при регистрации личного кабинета, оформлении онлайн-заказа, мониторинге поведения пользователей. Все эти операции должны быть проведены в соответствии с требованиями законодательства.
Юристы REVERA law group выделили 5 наиболее частых нарушений порядка обработки персональных данных, встречающихся на сайтах белорусских компаний и варианты их устранения.
Ошибка №1: политика обработки персональных данных «для галочки»
Политика обработки персональных данных (далее – политика) – один из важнейших и обязательных документов, который должен быть размещен на сайте.
Утверждений типа «Ваши персональные данные важны для нас», «Мы уважаем Ваше право на конфиденциальность и соблюдаем принцип прозрачности при обработке Ваших персональных данных» и поверхностной информации об обработке недостаточно для реального соблюдения требований Закона Республики Беларусь от 07.05.2021 № 99-З «О защите персональных данных» (далее – Закон).
Основное предназначение политики – информирование пользователя о том, кто собирает, использует или иным образом обрабатывает персональные данные, в каком объеме и для каких целей осуществляется обработка, какие права есть у пользователя, в связи с этим, и каков механизм реализации таких прав.
Важно!
При разработке политики нужно руководствоваться Рекомендациями по составлению документа, определяющего политику оператора (уполномоченного лица) в отношении обработки персональных данных, подготовленными Национальным центром защиты персональных данных Республики Беларусь (НЦЗПД). Так, необходимо обратить внимание на следующие моменты:
- Политика должна быть написана простым и понятным для обычного пользователя языком, не перегружена нерелевантной для пользователя информацией и сложными терминами.
Например, в политике правильно будет отразить положения об обработке персональных данных пользователей сайта, участников программ лояльности (при наличии), потребителей (если у компании есть торговые объекты), контрагентов (если через сайт возможно направить предложение о сотрудничестве), кандидатов на вакантные должности (при наличии на сайте соответствующих форм для отправки CV).
- Политику необходимо разместить на странице сайта не ниже второго уровня, т.е. на главной странице или на странице, на которую можно перейти с главной.
Например, распространенная и правильная практика – размещение политики в конце главной страницы сайта для обеспечения ее доступности для пользователей.
Ошибка №2: на сайте не размещен cookie-баннер
Информация, получаемая с помощью файлов cookie – это тоже персональные данные, при обработке которых необходимо соблюдать требования закона.
Если компания использует файлы cookie, то на сайте компании необходимо разместить:
- политику обработки файлов cookie (в виде отдельного документа или включить положения об обработке файлов cookie в политику обработки персональных данных),
- cookie-баннер.
Cookie-баннер - важный элемент сайта, который помогает информировать пользователей об обработке файлов cookie и получить согласие на такую обработку для конкретных типов файлов cookie.
Cookie-баннер, который использовать нельзя:
Корректный cookie-баннер:
После нажатия на кнопку «Настроить» должен появиться баннер, который будет предусматривать возможность выбора активации конкретных файлов cookie.
Ошибка №3: неработающий cookie-баннер
При размещении cookie-баннера не забудьте проверить следующее:
- предусмотреть с технической стороны возможность настройки пользователем своих предпочтений в отношении обработки конкретных файлов cookie (при даче согласия пользователя на обработку только обязательных и аналитических файлов cookie, не обрабатывать иные типы файлов cookie, например, рекламные),
- обеспечить фактическое отключение тех файлов cookie, согласие на обработку которых получено не было,
- проверить кликабельность всех кнопок, расположенных на cookie-баннере;
- отключить активацию файлов cookie до получения согласия пользователя.
Ошибка №4: не обеспечено получение согласия пользователя для обработки персональных данных, где такое согласие необходимо
При сборе персональных данных посредством сайта в большинстве случаев для такой обработки необходимо получить согласие у пользователя. Это касается, например, случаев при регистрации на сайте, заполнении анкеты для отклика на вакансию, подписки на рассылку, заполнении формы «Обратная связь».
Пример ненадлежащего получения согласия при осуществлении рекламной рассылки:
Пример формы согласия, которую можно использовать при осуществлении рекламной рассылки:
Ошибка №5: согласие не является свободным и информированным
В случае обработки персональных данных пользователей на основании согласия, необходимо убедиться, что такое согласие соответствует требованиям закона. Далеко не любое согласие считается надлежащим.
При получении согласия необходимо предусмотреть, в частности, следующее:
- на конкретную обработку пользователь должен самостоятельно дать согласие. Не допустимо понуждение пользователя к даче такого согласия под угрозой наступления неблагоприятных для него последствий.
- Согласие не будет являться свободным, если «галочка» в чек-боксе напротив конкретной цели проставлена за пользователя, а также в случае, когда одно согласие получается для достижения нескольких самостоятельных целей (например, для принятия участия в программе лояльности, а также для получения рекламной рассылки).
- Пользователю перед получением согласия должны предоставить информацию: о компании-операторе, целях обработки данных, перечень данных, которые будут обрабатываться, о сроке, на который дается согласие и иную информацию. Не допускается ограничиться фразой «Я согласен на обработку персональных данных».
В REVERA law group рекомендуют разработать форму (текст) согласия, которая будет содержать всю требуемую законодательством информацию, и которая будет предоставляться пользователям в удобной для них форме (соответствующей форме даче согласия) до момента, когда он сможет выразить свое согласие, как это продемонстрировано выше.
Дайджест «Альфа-Бизнес» подготовлен в сотрудничестве с агентством ПраймПресс.
По вопросам, касающимся содержания, пожалуйста, обращайтесь в агентство: +375 (29) 184-06-73, info@primepress.by.
Материалы дайджеста носят исключительно информационный характер и не могут перепечатываться и (или) передаваться третьим лицам в коммерческих целях.
«Альфа-Банк» не несет какой-либо ответственности за негативные последствия принятия какого-либо решения или действия, предпринятые на основании информационных, рекламных и (или) аналитических материалов дайджеста. © 1999–2023 ЗАО «Альфа-Банк». Лицензия на осуществление банковской деятельности НБРБ № 22 от 07.06.2021. УНП 101541947