Основні аспекти створення політики конфіденційності, що відповідає GDPR

Якщо ви обробляєте персональні дані користувачів у межах ЄС, необхідно дотримуватися GDPR, а також створити політику конфіденційності, яка відповідає GDPR. Однак багато хто може не розуміти деталі GDPR, тому виникають питання, чи потрібно вашому сайту відповідати GDPR та як саме це зробити.

У цій статті ми розглянемо основні аспекти GDPR та ключові моменти створення політики конфіденційності, яка відповідає GDPR. Також ми представимо інформацію про те, як Японія впроваджує ці норми, та розглянемо приклади відомих компаній, що можуть бути корисними для вашого орієнтиру.

Про GDPR та Політику конфіденційності

Що таке Політика конфіденційності, яка відповідає GDPR? Тут ми розглянемо основні положення GDPR та обов’язки, пов’язані з Політикою конфіденційності за GDPR.

GDPR та Політика конфіденційності

GDPR – це регламент, прийнятий ЄС, який детально визначає захист персональних даних та їх обробку. GDPR застосовується у Європейській економічній зоні (EEA: країни-члени ЄС, крім Швейцарії, а також країни EFTA – Ісландія, Ліхтенштейн та Норвегія). Наступні ситуації можуть зробити японські компанії підпорядкованими GDPR:

• Надання товарів або послуг суб’єктам даних у межах ЄС
• Моніторинг поведінки суб’єктів даних у межах ЄС

Суб’єкт даних – це ідентифікована або ідентифікована особа, до якої відносяться персональні дані.

Компанії, на які поширюється вищезазначене, повинні переглянути та внести зміни до своєї Політики конфіденційності (Privacy Notice). У разі порушення GDPR, може бути накладено штраф до 20 мільйонів євро або 4% від світового обороту компанії.

Джерело: Японська організація зі сприяння зовнішній торгівлі | “Загальний регламент ЄС про захист даних (GDPR)”[ja]

Перевірка Політики конфіденційності є обов’язковою для безпечної торгівлі з країнами ЄС.

“Інформування” при зборі персональних даних, визначене GDPR

Згідно з GDPR, при зборі персональних даних, адміністратор повинен надати суб’єкту даних певну інформацію, як це визначено в статті 12(1) GDPR, де описано методи інформування.

Вимоги включають наступне:

• Бути стислим, прозорим, зрозумілим та легкодоступним
• Використовувати ясну та просту мову
• Застосовувати відповідні заходи при інформуванні дітей
• Надавати інформацію у письмовій формі, а в підходящих випадках – електронними засобами чи іншим способом
• У разі запиту суб’єкта даних, надавати інформацію усно

Також, згідно з статтею 12(5) GDPR, інформування має бути безкоштовним. Переконайтеся, що ваша Політика конфіденційності відповідає вищезазначеним вимогам, та внесіть необхідні зміни, якщо це потрібно.

Ключові аспекти оновлення політики конфіденційності відповідно до GDPR

Згідно з GDPR, існують численні пункти, які адміністратор даних повинен явно вказати суб’єкту даних при отриманні особистих даних від самого суб’єкта даних (стаття 13 GDPR) та при отриманні особистих даних від інших джерел (стаття 14 GDPR).

До пунктів, які адміністратор повинен явно вказати, належать:

• Ідентифікаційні дані адміністратора, детальні контактні дані
• У разі наявності представника, ідентифікаційні дані та детальні контактні дані представника
• Права суб’єкта даних на доступ, виправлення, видалення, обмеження обробки, переносимість даних та право на заперечення
• Мета обробки особистих даних та юридична основа для обробки
• Термін зберігання особистих даних або критерії для визначення цього терміну
• Типи оброблюваних особистих даних

Серед пунктів, які потрібно явно вказати, є такі, яких не було в японській політиці конфіденційності, тому особливу увагу слід приділити їх оновленню. Для отримання інформації про політику конфіденційності, що базується на японському Законі про захист персональних даних, будь ласка, ознайомтеся з цією статтею.

Пов’язана стаття: Які ключові аспекти створення політики конфіденційності з урахуванням Закону про захист персональних даних?[ja]

Тут ми розглянемо ключові аспекти оновлення політики конфіденційності, зосередившись на пунктах, яких не було в політиці конфіденційності, що базується на японському Законі про захист персональних даних.

Підстави законності обробки даних

Згідно з GDPR, на відміну від закону про захист персональних даних, обов’язковим є вказівка на «підстави законності обробки даних». Існує шість таких підстав, які роблять обробку персональних даних законною (стаття 6 GDPR).

• Згода суб’єкта даних
• Виконання контракту
• Юридичний обов’язок
• Інтереси, пов’язані з життям
• Громадський інтерес
• Законні інтереси

Якщо застосовується хоча б одна з цих шести підстав, то обробка вважається законною, тому важливо вказати це у політиці конфіденційності. Для осіб, які вперше надають інформацію, можна вирішити це шляхом отримання згоди через нову політику конфіденційності.

Однак, важливо звернути увагу на користувачів, від яких вже було отримано згоду. Для осіб, які дали згоду до внесення змін у політику конфіденційності, може знадобитися отримати згоду знову.

У такому випадку можна вказати одну з шести законних підстав у політиці конфіденційності та отримати згоду на зміни, пропонуючи користувачам погодитися з оновленою політикою.

Категорії зібраної інформації та цілі її використання

У традиційній політиці конфіденційності зазвичай інформація, яку збирають, цілі її використання та умови користування зазначаються на одній сторінці, і користувачі надають свою згоду на все відразу. Однак, згідно з GDPR, необхідно чітко визначити, на що саме користувачі дають свою згоду.

Бажано вказувати цілі використання для кожної категорії зібраної інформації та отримувати згоду на кожну з них за допомогою відповідного формату відображення.

Уточнення цілей використання

Згідно з GDPR, необхідно чітко вказувати цілі використання зібраної інформації. Наприклад, якщо ціль використання визначена як “для покращення сервісу”, таке формулювання може бути занадто нечітким і, як наслідок, може бути визнане неналежним.

Крім того, згідно з GDPR, заборонено проводити додаткову обробку даних, яка не відповідає зазначеним цілям, тому при оновленні політики конфіденційності слід звернути увагу і на цей аспект.

Право на видалення та право на переносимість даних

Багато компаній, які раніше включали до своєї політики конфіденційності права на доступ та виправлення, тепер зобов’язані враховувати також «право на видалення та право на переносимість даних» згідно з GDPR.

Право на видалення дозволяє користувачам вимагати від адміністратора видалення їхніх особистих даних. Право на переносимість даних надає можливість перенести особисті дані до іншого сервісу.

Наприклад, можна перенести дані абонента та історію дзвінків з мобільного оператора A до мобільного оператора B. Для відповідності GDPR необхідно включити ці права до політики конфіденційності.

Ясне визначення термінів зберігання даних

Згідно з GDPR, необхідно ясно вказувати “терміни зберігання особистих даних”, які раніше часто не зазначалися у політиці конфіденційності. Якщо визначити конкретний термін неможливо, допускається вказувати критерії, за якими визначається термін зберігання.

Стан відповідності GDPR японськими компаніями

Дозвольте представити інформацію з дослідження «Дослідження тенденцій використання ІТ в компаніях 2021»[ja] (детальна версія), проведеного Генеральною фондовою корпорацією Японії з просування інформаційної економіки та суспільства та акціонерним товариством ITR.

Згідно з результатами дослідження, лише невелика кількість компаній відповідає GDPR, а 26.1% компаній все ще працюють над відповідністю (розглядають це питання). На момент збору даних у 2021 році, багато компаній також не здійснювали передачу особистих даних до ЄС.

Результати дослідження обміну особистими даними з ЄС виглядають наступним чином:

Як видно з діаграми вище, 44.4% компаній відповіли, що «наразі обміну немає і не планується в майбутньому». 12% компаній зазначили, що «обмін був до введення GDPR, але після його запровадження обробка даних відбувається окремо в ЄС та Японії».

25.9% відповіли, що «наразі обміну немає, але планується в майбутньому», та 17.6% вже здійснюють обмін даними, що свідчить про те, що кількість компаній, які планують обмін з ЄС, може зрости, хоча на момент дослідження у 2021 році їх було небагато.

Джерело: JIPDEC／ITR「Дослідження тенденцій використання ІТ в компаніях 2021»[ja]

Відповідь відомих компаній на GDPR

Багато хто хоче оновити свою політику конфіденційності, щоб вона відповідала GDPR, але не знають, як саме це зробити. Тут ми детально розглянемо, як такі компанії, як Google та Facebook, адаптувалися до GDPR, як приклад відповіді підприємств на GDPR.

Відповідь Google на GDPR

Google оголосив про наступні заходи для відповідності GDPR:

• Підвищення прозорості для користувачів
• Покращення управління для користувачів
• Покращення можливостей перенесення даних
• Вдосконалення інструментів для згоди батьків та безпечного використання Інтернету дітьми
• Підтримка бізнес-користувачів та партнерів
• Посилення програми дотримання конфіденційності

Тут ми розглянемо деталі.

Джерело: Google «Про підготовку Google до нового закону про захист даних ЄС (GDPR)[ja]»

Підвищення прозорості для користувачів

Google покращує та оновлює свою політику конфіденційності, щоб зробити інформацію, яку компанія збирає, та причини цього збору більш зрозумілими та доступними для пошуку. Серед інших оновлень включено наступне:

• Додано деталі щодо управління інформацією, її експорту та видалення
• До тексту додано відео та графічні матеріали

Також, Google змінила налаштування, щоб сторінку налаштувань приватності можна було легше відкрити.

Покращення управління користувачами

Для відповідності GDPR (Загальному регламенту про захист даних), ми покращили методи управління користувачами. Ось зміни, які ми внесли:

• Можливість перегляду та видалення даних у розділі “Моя активність”
• Додано функцію пошуку за темами, датами та продуктами
• Можливість перевірити налаштування приватності, які найкраще вам підходять
• Управління та приховування реклами, що відображається
• Можливість ознайомлення з даними через Google Dashboard (Панель керування Google)

Крім того, ще до введення в дію GDPR, ми змінили систему таким чином, щоб інформація користувачів та управління рекламою були більш зручними.

Покращення портативності даних

У Google є різноманітні сервіси, такі як Google Фото, Диск, Календар та Gmail. Нижче наведено заходи, які Google вживає для забезпечення портативності даних у відповідності до GDPR:

• Розширення сервісів та опцій управління, що підтримують завантаження даних
• Додавання функції планування періодичних завантажень даних

Поліпшення інструментів для згоди батьків та належного використання Інтернету дітьми

Компанія Google надає додаток Family Link для забезпечення належного використання Інтернету батьками та дітьми. За допомогою Family Link батьки можуть створювати облікові записи для своїх дітей.

У додатку передбачені такі функції, як «керування часом використання» та «тимчасове блокування пристрою», що дозволяє встановлювати та керувати домашніми правилами.

Підтримка бізнес-користувачів та партнерів

Для відповідності до GDPR ми оновили політику, яка стосується запитів на згоду користувачів на сайтах та в додатках від партнерів Google (таких як рекламодавці та веб-оператори). Інші оновлення включають:

• Надання інструментів для підтримки дотримання GDPR
• Посилення процесу сертифікації компаній, які використовують рекламні сервіси Google
• Оновлення умов обробки даних
• Надання детальної інформації про переносимість даних та повідомлення про інциденти з даними

Посилення програми дотримання конфіденційності

Для відповідності GDPR ми посилюємо нашу програму дотримання конфіденційності. Ось її ключові аспекти:

• Покращення програми конфіденційності
• Посилення процесу перевірки продуктів

Також ми здійснюємо більш всеосяжну документацію щодо обробки даних.

Відповідь Facebook на GDPR

Facebook оголосив про наступні заходи у відповідь на GDPR:

• Перевірка отримання інформації з рекламних оголошень
• Вибір інформації профілю
• Перевірка технології розпізнавання облич (ЄС та Канада)
• Оновлені умови обслуговування та згода на обробку даних
• Впровадження функцій для легкого доступу до інформації, її видалення та завантаження
• Інформування молоді

Далі ми пояснимо деталі.

Джерело: Facebook «Дотримання Загального регламенту захисту даних (GDPR) та надання нових захисних приватності[ja]»

Перевірка отримання інформації з рекламних оголошень

Партнери Facebook використовують інформацію, отриману через кліки на кнопку «Подобається!» та інші інструменти, які надає Facebook, для показу реклами. Користувачам надається інформація про рекламу, і вони можуть вибирати, чи дозволяють використовувати дані від партнерів для показу реклами.

Вибір інформації профілю

У профілі Facebook можуть бути вказані та опубліковані такі дані, як політичні погляди, релігія чи віросповідання, інформація про стосунки. Користувачі можуть вибирати, чи продовжувати публікувати цю інформацію та чи можна її використовувати в рекламі.

Інформацію профілю можна завжди вільно вибирати, і користувачі можуть легко видалити її, якщо захочуть.

Перевірка технології розпізнавання облич (ЄС та Канада)

Facebook дає можливість користувачам з країн ЄС та Канади вибирати, чи хочуть вони використовувати технологію розпізнавання облич. Користувачі з інших регіонів також мають свободу вибору.

Оновлені умови обслуговування та згода на обробку даних

Користувачам показуються оновлені «Умови обслуговування» та «Політика щодо даних», які містять детальну інформацію про механізми сервісу, для отримання згоди.

Впровадження функцій для легкого доступу до інформації, її видалення та завантаження

За допомогою «Інструменту управління персональними даними» можна переглядати та видаляти власні дані. Також можна легко завантажувати та експортувати дані.

Функція логування активності на мобільних пристроях оновлена, щоб користувачі могли легше перевіряти, яку інформацію вони ділилися в минулому.

Інформування молоді

Facebook традиційно встановлює обмеження для користувачів-підлітків, які включають:

• Обмеження категорій реклами
• Заборона використання технології розпізнавання облич (для осіб молодше 18 років)
• Обмеження на перегляд та пошук інформації, яку діляться користувачі-підлітки

Також за замовчуванням інформація не публікується як «відкрита».

Для відповідності GDPR, Facebook встановив додаткові правила. Для користувачів з країн ЄС, перегляд реклами та публікація інформації в профілі (такої як релігія чи віросповідання, політичні погляди) вимагає дозволу від батьків.

У інших регіонах користувачі можуть вибирати, чи дозволяти використовувати отримані від партнерів дані для показу реклами, та чи публікувати особисту інформацію в профілі.

Висновок: GDPR має ширший охват особистих даних, ніж японське законодавство, тому необхідно забезпечити відповідність

У GDPR передбачено різноманітні положення, такі як “уточнення цілей використання інформації, що збирається”, “явне визначення права на видалення та права на переносимість даних”, “явне визначення термінів зберігання”, і вони розширюють обсяг прав користувачів порівняно з традиційним японським законодавством.

У разі порушення GDPR необхідно сплатити значні штрафи, тому компанії, які обробляють особисті дані в межах ЄС, повинні дотримуватися GDPR. Компанії, які вже ведуть бізнес або планують вихід на ринок ЄС, повинні розробити політику конфіденційності, яка відповідає GDPR.

Інформація про заходи, що їх пропонує наша юридична фірма

Юридична фірма “Моноліт” має багатий досвід у сфері ІТ, зокрема інтернету, та права. У зв’язку з тим, що глобальний бізнес продовжує розширюватися, потреба у професійній правовій перевірці зростає. Наша фірма пропонує рішення у сфері міжнародного права.

Сфери діяльності юридичної фірми “Моноліт”: Міжнародне право та зарубіжний бізнес[ja]