Жодного GDPR-патруля, звичайно, немає в природі, але бентега навколо Privacy Policies останнім часом наростає як тривожність в середині композицій Pink Floyd. Зараз вже нікого не здивуєш листом від якоїсь поважної онлайн-газети чи улюбленого додатку з проханням підтвердити свою згоду на розсилку ньюзлеттерів чи повідомленням про зміну політики приватності. Поки люди, не посвячені в юридичні сфери, дивуються, за що їм ця навала спаму, юристи вишуковують баги в нових політиках, перевіряють їх на відповідність GDPR і насміхаються з тих, хто не пройшов їх власний внутрішній тест. Насміхання змінюється слізьми творчості, коли треба самому сідати за написання документу для клієнта. Ділимося своїм досвідом.

1

Оскільки багато українських компаній пропонують свої товари чи послуги жителям ЄС, чи, що важливіше, моніторять їх онлайн поведінку в межах своїх маркетингових моделей, питання отримання згоди на обробку даних та повідомлення про умови обробки через Privacy Policy стали для українських компаній важливим показником GDPR-комплаєнсу. Важливим, бо його дуже легко ідентифікувати як користувачам, так і контролюючим органам, а також через те, що навколо інформування суб’єктів та отримання згоди на обробку даних зазвичай і концентрується значна частина оцінки та приведення процесів обробки даних у відповідність до вимог GDPR.

Зробити так, щоб Політика приватності не була просто чтивом, що долає безсоння

В англійській мові є чудовий термін «gobbledygook», що означає вживання довгих і незрозумілих слів, перенасичених канцеляризмами, що ускладнюють мову та розуміння написаного. Цього улюбленого прийому юристів у питаннях інформування суб’єктів персональних даних слід уникати, як вогню, якщо не хочеш наштовхнутися на штрафи. Це має бути тестом: чи скидається ваш документ на gobbledygook, чи ні. Або ж чи зможе заснути над ним читач, чи зможе прочитати до кінця і зрозуміти. Бажано навіть всміхнутися)

2

Нещодавно мій знайомий, який працює в одній з найбільших компаній в Україні (за версією Forbes) розповів історію, що одній із компаній структури у Німеччині нещодавно прийшла вимога-попередження про те, що правила Privacy Policy та Terms and Conditions на веб-сайті… завеликі і містять забагато непотрібної інформації, і що їх треба спростити.

Цей випадок дуже добре характеризує ті зміни підходів до підготовки юридичних документів для користувачів і споживачів, які несе із собою GDPR, тому що всі найсуворіші правила GDPR взяті саме з німецького законодавства про захист персональних даних. На мене як юристку, яка старається складати свої шедеври документів у вишуканих юридичних словосполуках, отримання такого повідомлення означало б негайний переддепресивний стан з екзистенційними питаннями, нащо я потрібна, якщо один з моїх найкращих зразків юридичного тексту визнали ні на що не придатним. Однак зараз я переконуюся, що відмова від gobbledygook — це насправді дуже велике поле для роботи і вдосконалення майстерності юридичної мови юриста.

Якщо вертатися від лірики, то хоч юристи, що писали GDPR, не дотрималися своєї ж поради, і документ вийшов справжнім gobbledygook, він справді прямо вказує, що згідно з принципом прозорості, будь-яка інформація у політиках приватності має бути точною, легкодоступною та зрозумілою, тобто написаною зрозумілою та простою мовою.

Крім того, GDPR заохочує візуалізацію правил обробки даних. Тобто можна зображати свою Політику приватності у вигляді відеоролика чи коміксу, і це буде вважатися крутим рішенням (і трішки дорожчим також).

Якраз перед написанням статті я прочитала про лауреатів Пулітцерівської премії з The New York Times у номінації Editorial Cartooning за висвітлення історії життя біженців із Сирії в США за президентства Трампа. Не знала, що за такі репортажі можна отримати Пулітцерівську премію. Звичайно, розповісти історію про біженців у картинках здається легшим завданням, ніж придумати зображення для речення «Ця політика конфіденційності є частиною договору між сторонами і проставляючи галочку навпроти напису «Я погоджуюся» ви вважаєтеся таким, що прийняли умови цієї Політики». Однак це можна зробити як через візуалізацію, так і через мову, навіть якщо будуть домішки юридичної.

Однак для ілюстрацій та відео потрібно залучати, крім юристів, ще і дизайнерів, художників та операторів. Якщо ж юрист працює сам, треба думати, як зробити його зашкарублу мову простою та приємною для сприйняття. Якщо говорити про власний досвід, то політики приватності, які ми з командою готували для клієнтів уже згідно з GDPR, дуже важко зробити щонайменше короткими. По-перше, ти прагнеш відобразити у ній усе, що вимагає стаття 13 та інші статті GDPR, по-друге, зробити документ зрозумілим означає переписати його людською мовою, що інколи аж ніяк не означає зробити його коротшим, по-третє, побороти свій юридичний снобізм також буває дуже важко (маються на увазі думки про те, що відмова від канцеляритів зробить документ менш професійно цінним в очах колег і клієнтів).

На практиці, наприклад, щоб не було нудно читати правила, ми стараємося наводити приклади та аналогії. От нещодавно я писала таке у політиці про використання файлів cookies для поведінкового таргетингу: “Cookies також дозволяють нам використовувати інформацію, зібрану такими файлами cookies для показу вам реклами. Як це працює? Наприклад, цілком можливо, що сьогодні на нашому сайті ви зможете побачити рекламу офісного крісла, навіть якщо ви вже забули, що шукали зручне крісло для свого офісу тиждень тому. Файли cookies, ці маленькі текстові шматочки коду, які встановилися у вашому комп’ютері, коли ви шукали крісло, запам’ятали цю інформацію, передали її відповідному серверу, коли ви зайшли на наш веб-сайт, а він, у свою чергу, показав підлаштовану під ваші потреби рекламу».

Тобто відхід від складної термінології та використання аналогій — вихід для юриста, який хоче, щоб його текст справді читався і не викликав проблем у замовника.

Політика приватності — це не мастхев

Насправді цей підзаголовок є трохи маніпулятивним, однак не оманливим. GDPR справді не ставить вимоги розробляти та публікувати документ під назвою Політика приватності. Обов’язок інформування користувачів про дії з їх даними може виконуватися будь-яким способом, не лише через розміщення посилання на пдф-файл зі старанно прописаними юристом пунктами. Якщо, наприклад, уявити ситуацію, що користувач на веб-сайті вводить свою інформацію у будь-якій формі, то належним інформуванням буде використання вигулькуючих віконечок з основною інформацією про те, навіщо певні типи персональних даних збираються та як будуть використовуватися. Користувач має можливість знайомитися з правилами одразу при введенні інформації, надавати свою згоду та не лякатися в передчутті довгого тексту політики приватності, коли йому пропонується перейти за посиланням і ознайомитися з нею.

3

Не буду окремо зупинятися на більшості видів інформації, які треба помістити у політику, оскільки вони досить чітко перелічені у статті 31 GDPR: це деталі контролера, що збирає дані; відомості про правові підстави для обробки даних (наприклад, згода); права особи, яка надає свої дані (право на доступ до даних, право будь-коли відкликати свою згоду на обробку, право подати скаргу в контролюючий орган, право отримувати дані у тому форматі, який дозволяє використовувати їх інших онлайн платформах та сервісах (право на портативність даних) та ін.

Давайте під лупою роздивимося три із них:

Розповідаємо, що і для чого збираємо

Тут варто провести аналіз того, які дані збирає сервіс та для чого. Після того треба поставити собі запитання: чи потрібен весь перелік даних, що збирається, для того, щоб сервіс виконував свої функції чи, можливо, деякі дані збираються «за інерцією» і насправді не є потрібними для надання послуг та функціоналу, адже GDPR встановлює правило — обсяг даних, що збираються, не має бути надмірним. Тобто якщо, наприклад, BlaBlaCar обробляє дані про вік або стать особи, то зрозуміло, що така інформація потрібна для забезпечення поінформованості користувачів про особу, з якою вони можуть розділити поїздку. Якщо ж такі ж дані запитує сервіс з доставки піци, то постає питання, навіщо йому ця інформація.

Окремо слід згадати про файли cookies — шматки комп’ютерного коду, які встановлюються на комп’ютері чи мобільному пристрої користувача, коли він відвідує той чи інший веб-сайт, збирають інформацію про користувача та передають її різним одержувачам в інтернеті. Якщо раніше Директива 1995 року взагалі не згадувала у своєму тексті cookies (щодо них у ЄС діяла окрема Директива), то тепер GDPR у пункті 30 преамбули прямо відсилає до них як до інформації, що у поєднанні з іншою може дати змогу ідентифікувати особу, а тому може становити персональні дані.

У зв’язку з цим речення на веб-сайті про те, що «користуючись цим сайтом, ви надаєте згоду на вставновлення на вашому пристрої файлів cookies та отримання з їх допомогою інформації» вже не буде правовою підставою для використання cookies. Для них потрібна окрема згода. Тобто крім того, що про використання cookies треба повідомити користувача, перед їх використанням потрібно отримати виразну згоду користувача на їх встановлення.

При цьому, користувачеві бажано розповісти простими словами, які види cookies збираються на сайті, для чого вони потрібні, без яких cookies сайт не буде працювати, а які збираються з метою реклами чи статистики. Тоді користувач зможе вибрати, для якої мети він згоден на використання cookies, а яка йому небажана. Наприклад, у випадку з офісним кріслом він не хоче отримувати жодних таргетованих реклам про офісні крісла через cookies, однак він не хотів би кожного разу логінитися на веб-сайті після того, як він ненароком чи навмисно закрив вкладку з ним. За ці функції відповідають різні види файлів cookies і користувач повинен мати можливість відмовитися від одних та погодитися на використання інших. Такий задум GDPR.

4

Мета обробки

Вказівка на мету обробки даних— не новинка. Директива 1995 року, та навіть українське законодавство у статті 12 профільного закону, ставлять мету обробки даних на чолі термінів, які визначають права та обов’язки суб’єктів, контролерів та процесорів персональних даних.

GDPR трохи уточнює та розширює можливості особи, дані якої збираються, щодо різного роду мети збору даних. Основне правило полягає в тому, що особа може відмовитися від однієї мети використання даних без шкоди іншій меті, з якою збираються та використовуються дані. Це правило можна проілюструвати прикладом із файлами cookies: якщо особа відмовляється від маретингової мети збору даних, їй не може бути відмовлено у наданні послуг, які першочергово мали надаватися на підставі збору даних. Тобто не допускається «зв’язування» цілей обробки даних та узалежнення надання послуг від надання згоди на обробку даних «зв’язаним» цілям обробки.

Отримувачі даних

Особа, яка збирає дані і визначає мету і способи їх обробки (контролер) має повідомити особу, яка надає свої дані, про їх отримувачів або категорії таких отримувачів.

Це означає, наприклад, що делаверська компанія, яка виступає їх контролером і на яку поширюються вимоги GDPR, має повідомити користувачів, що дані зберігаються на серверах Amazon Web Services, компанія використовує відому CRM-систему та Chargify для здійснення платежів, а ще, що дані передаються в Україну і кілька десятків фізичних осіб-підприємців будуть мати до них доступ. І тут постає питання: чи треба перелічувати усіх незалежних підприємців-фопів з України та підтримувати цей перелік актуальним чи ні?

Видається, що поняття «категорії отримувачів» в першу чергу стосується працівників контролера, які через свої трудові обов’язки можуть мати доступ до даних. Однак вказівки на збірне поняття незалежних підрядників-фопів з України, що мають доступ до даних на основі договорів про обробку, які забезпечують захист даних, також має бути достатньо для вимог статті GDPR. Принаймні до того часу, коли з цього питання не з’являться окремі роз’яснення.

5

Згода

Якщо підставою обробки даних є згода (що найчастіше і стається), така згода має бути прямою і характеризуватися будь-якою дією, що свідчить про її надання та надає можливість тому, хто її отримав, продемонструвати її отримання. Вказані вище та часто використовувані припущення про те, що якщо користувач користується сервісом, він прийняв умови згоди, стають незаконними.

Користувач має сам проставити галочку навпроти речення про те, що він погодився на умови обробки. Крім того, якщо дані будуть використовуватися з метою прямого контакту з особою для надання комерційних пропозицій чи розсилки мейлів, бажано отримати окрему згоду на такі дії, при цьому обов’язково окремо повідомити про те, що є можливість будь-коли відмовитися від них.

Ще одне питання, яке турбує компанії-контролерів даних — це необхідність отримання повторної згоди на обробку даних від своїх користувачів. GDPR каже, що якщо умови попередньої згоди збігаються з вимогами GDPR, нова згода не потрібна. Однак якщо я отримую розсилки з проханнями поновити згоду від відомих онлайн-видань чи сервісів, щось мені підказує, що компаній, у яких формулювання згоди було далекоглядним рік чи два тому, не так багато, і від отримання повторної згоди багатьом компаніям не втекти.

6

Отже, при підготовці Privacy Policy згідно з GDPR юристу треба виходити з таких правил:

  • Ні —  шаблонам з зашкарублими юридизмами gobbledygook;
  • Так —  простоті і прикладам для користувача про те, як збираються і використовуються дані;
  • Так —  можливості користувача вільно обирати, на які види обробки надавати згоду, на які ні;
  • Так —  перевірці, чи всі пункти статті 13 чи 14 GDPR донесені до користувача.

Звичайно, GDPR ще багато чого пропонує питання для роздумів, однак цього мінімального набору вимог досить, щоб звернути увагу на проблемні моменти Privacy Policies/Notices та їх скоригувати.