“Зовнішній комплаєнс”, або ваш сайт = ваше обличчя

GDPR-комплаєнтний сайт не = комплаєнс. Але це найбільш видиме.

Запит на юридичну допомогу поруч зі словом GDPR часто звучить як “причесати документи на сайті”. Це дійсно обличчя комплаєнсу. Часто партнери чи споживачі не заглядають поза цей зовнішній шар глибше. Їм буває достатньо, щоб все виглядало красиво. 

От тільки якщо заглянуть – ризиків не уникнути. Може прийти регулятор із перевіркою за скаргою нещасливого споживача. А може просто відвалитися партнер, який “розкусив”, що його дурять оболонкою. Тому підходити до комплаєнсу все ж варто комплексно – почавши із оцінки ризиків і далі працюючи з ними, поступово пріоритизуючи. 

Але найпріоритетнішою задачею найчастіше буде оновити Terms of Use + Privacy Policy на сайті. Тож чому б не прийти до юриста одразу із таким запитом?

Взагалі без проблем. Якщо ви розумієте, що ще вам треба пропрацювати і що це тільки початок – нам з вами по дорозі далі в цій темі.

Як зробити ваш сайт GDPR-комплаєнтним? 

Якщо коротко: 

Тут не тільки Terms of Use + Privacy Policy. Важливо, що відбувається на кожному кроці споживача чи партнера у місцях на сайті, де ви збираєте персональні дані:

• Що написано при реєстрації облікового запису? 
• А що вказано в полі для підписки на маркетингові розсилки? 
• Чи є на сайті банер, який попереджає, що ви використовуєте cookies і подібні технології? 

Якщо в нюанси:

1) Політики і правила на сайті

Ці документи треба скласти відповідно до застосовного права – чи то це GDPR, чи CCPA, чи українське законодавство про захист даних, чи все це водночас. 

Правила/оферта на сайті існують, щоб пояснити, хто з ким укладає договір, які умови цього договору, коли укладається договір. Це надалі допоможе пояснити в політиці приватності, чому ми використовуємо договір як правову підставу для обробки деяких персональних даних (як-то адреса доставки = обовʼязковий елемент для інтернет-магазину, щоб виконати договір). Про те, як писати оферту, ми писали раніше.

Політика приватності – це місце, де людина, яка залишає вам свої дані, може почитати, що ви робите з її даними і чому. 

На який би ринок ми не орієнтувалися, дуже бажано писати зрозумілою і простою мовою. Це новий стандарт якості документів на сайті не тільки від регулятора, а і від споживача на свідомих і розвинених ринках. Тож чим заплутаніше ви пишете – тим гірше.

В політиці приватності, незалежно від застосовного права, варто передбачити:

• Хто є володільцем даних (визначає ціль обробки);
• Які дані збираєте;
• Для чого і на якій правовій підставі;
• Кому ви надаєте доступ до даних (працівники не рахуються, але рахуються підрядники, партнери, зовнішні сервіси для зберігання, клауд-провайдери);
• Які права є у користувача сайту і як їх реалізувати;
• Як з вами зконтактувати.

Якщо політика складна, дуже довга і заплутана або у ній немає посилань на розділи, табличок, або скороченого змісту і повного при розгортанні, або дати і змісту останніх оновлень – досвідченому користувачеві з ЄС одразу зрозуміло, що вона не GDPR-комплаєнтна. 

2) Cookie банер

З банером все просто – хай на всі питання будуть відповіді “так”:

• Чи залишаєте ви користувачеві вибір, які типи репʼяшків (моднявий синонім до “cookies”) прийняти, а які ні? 
• Чи є у користувача можливість не тільки прийняти, а і відхилити все?
• Чи можна з банера перейти в розділ сайту, де почитати більше?
• Чи пояснені функції репʼяшків та строки їхнього зберігання?
• Чи розуміє користувач, як змінити свій вибір, і чи може він зробити це у будь-який момент?
• Чи однакові кольори кнопок зі згодою чи незгодою? Тобто, чи не тисните ви на користувача і не натякаєте, який вибір треба зробити, показуючи оту велику зелену кнопку “погодитися” і поруч маленьку безколірну “відмовитися”?

А ось тут наша старенька стаття про печивко, яка ледь не перегнала по віку GDPR (раптом ви захочете перевірити, чи ми розуміли щось в GDPR колись давно;)).

3) Тексти на сайті і пташки коло них

Те, що у вас на сайті є оферта і політика – має бути видно не тільки у футері сайту, а й у всіх місцях, де ви збираєте дані. Якщо у вас є кабінет – при реєстрації користувач має ознайомитися з офертою і політикою. Якщо у вас є поле для коментування статей, де людина лишає свої відбитки – правило аналогічне.

Якщо у вас є поле для підписки на ненавʼязливу рекламу компанії в імейлах, смс-ках і месенджерах, не забуваємо під цим полем додати покликання на документи і пояснити, що підписуючись, користувач надає свою згоду отримувати розсилки відповідними каналами. 

Прості методи виглядати красиво = автоматизація

А якщо ви не хочете йти до юристів, бо юристи все ускладнюють? Або якщо ви просто увірували в ШІ, генерування і автоматизацію? Тоді вам до сервісів, які дозволяють згенерувати правила-політики, розмістити cookie-банер і все налаштувати автоматично. А може, навіть збирати від користувачів запити просто через віджет. Все це можливо із різноманіттям сервісів нового покоління, які переплюнуть більшість юристів. Чи які спростять роботу вашого юриста 🙂 

Ми зі свого боку тестували щонайменше такі платні сервіси:

CookieYes. Це зручний спосіб збирати і управляти згодами користувача. Надає банер з кабінетом і можливістю налаштовувати його під різні вимоги законодавства (США, ЄС окремо чи разом). Є додаткові можливості типу кнопок Do not sell my personal information і навіть налаштування Do-Not-Track для ринку США. 

Clym.io. Віджет з можливістю не тільки розмістити правила-політики і розробити комплаєнтний cookie банер. Сервіс надає можливість налаштовувати доступність (accessibility) і приймати звернення від користувачів про свої дані в єдине уніфіковане місце і працювати з такими зверненнями через кабінет.

Iubenda: Сервіс для генерування правил-політик. Містить дуже деталізований конструктор із можливістю відповідати правилам багатьох країн водночас. Також їхні політики прикольно виглядають – можна почитати скорочену версію в форматі таблиць/схем або ж довгу текстову версію, якщо маєте багато часу/прайвасі юриста в штаті чи на аутсорсі.

У чому ми можемо вам допомогти, якщо ви обираєте автоматизацію? Наприклад, ми можемо правильно згенерувати чи адаптувати під вас документи. Або налаштувати сервіс під вас. Або опрацьовувати запити, які приходять через віджет. Все залежить від вашої потреби і побажань. Тож звертайтеся 🙂