Для чего нужна конфиденциальность?
Представьте себе, что вы пришли в гости в дом родителей вашего друга. Проведя там время, вы также посетили туалет, где вымыли руки мылом с запахом сирени, и, уходя, понюхали свои хорошо пахнущие руки. В то же время хозяйка следила за каждым вашим шагом с помощью камер. На следующий день, когда вы уже вернулись домой, у вашей двери появляется курьер с коробкой сиреневого мыла, а видеозапись, на которой вы нюхаете свою руку, показывают на собрании по разработке продукта в мыловаренной компании. Стало немного жутковато, правда? Вы явно захотите знать, за какими еще вашими действиями в тот вечер следили, кто еще, кроме хозяйки, наблюдал за тем, что вы делали в туалете, и записывали ли на камеру ваш голос. Может быть, вам на капюшон прицепили «жучка»…
Посещение веб-сайта компании — это не просто пара щелчков мышью. Владелец сайта может отслеживать каждый шаг посетителя, начиная с момента его появления на сайте. Как правило, такая «слежка» не вредит посетителю, но главное требование GDPR заключается в том, что пользователь должен знать, что именно отслеживается, почему, и кому передается информация. Важно согласие, поэтому политику конфиденциальности часто называют политикой согласия.
С чего все началось?
Термин «GDPR» вошел в лексикон многих людей в 2016 году, когда ЕС принял Общее положение о защите данных. Это правовое положение, касающееся защиты физических лиц при обработке и свободном перемещении персональных данных. Таким образом, в Общем регламенте изложены требования, которым должен следовать администратор веб-сайта. Если эти требования не соблюдаются, есть законные основания для наложения на нарушителя денежного штрафа.
Хотя владельцы сайтов могут думать, что политика конфиденциальности — это что-то бесполезное и ненужное, на самом деле она защищает всех нас. Она обеспечивает конфиденциальность и права посетителей и гарантирует, что компания придерживается лучших практик при обработке персональных данных. Кроме того, это важная часть ответственной и устойчивой деятельности компании, которая может помочь избежать юридических проблем и ущерба репутации. В конечном счете, политика конфиденциальности показывает, что вы уважаете своих клиентов и поддерживаете доверие к бренду.
Как убедиться, что сайт соответствует требованиям GDPR?
Чтобы обработка персональных данных посетителей осуществлялась в соответствии с законом, важно следовать этим рекомендациям.
1. Веб-сайт должен иметь правильную политику конфиденциальности
Что вообще такое политика конфиденциальности? Это документ, который описывает, как компания собирает, использует и хранит данные на своем сайте. Обычно он располагается в «подвале» сайта в виде ссылки, которую можно нажать, чтобы прочитать документ.
Политика конфиденциальности должна быть написана понятным языком и включать в себя следующее:
- Какие данные мы собираем — имя, адрес эл. почты, местонахождение, IP-адрес и т. д.
- Как используются эти данные — например, для маркетинга, оказания услуг и т. д.
- Кому передаются данные — передаются ли они третьим лицам (например, Meta)?
- Как и сколько хранятся данные, и надежно ли они хранятся.
- Используются ли на сайте файлы cookie или технологии отслеживания посетителей.
Документ «Политика конфиденциальности Nobel Digital» можно найти в нижней части нашего сайта, нажав ссылку «Конфиденциальность» (рис. 1). Часто политика конфиденциальности также содержит подробное объяснение политики в отношении файлов cookie, т. е. того, как посетители сайта отслеживаются с помощью файлов cookie. Более подробно файлы cookie и их различные уровни мы рассмотрим ниже.
Рисунок 1: Политику конфиденциальности можно найти в нижней части сайта, нажав ссылку «Конфиденциальность»
2. Запрашивайте согласие на сбор данных, как только посетитель заходит на сайт
Очевидно, всем знакомо окно, занимающее половину экрана, и большинство из нас быстро нажимает кнопку «Принять все», чтобы закрыть его и перейти на сайт. Однако для целей GDPR этот баннер или всплывающее окно очень важны. Это первое уведомление для посетителя о том, что сайт собирает какие-либо данные. Как уже говорилось выше, самое важное для GDPR — это то, что пользователи могут свободно контролировать, какие данные о них собираются.
При первом посещении сайта Nobel Digital появляется окно настроек конфиденциальности, в котором можно ознакомиться с политикой конфиденциальности (рис. 2).
Нажав кнопку «Дополнительная информация», посетитель может выбрать, какой информацией он согласен делиться с Nobel Digital, а какой — нет (рис. 3). Кроме того, посетитель может вручную выбрать, какие файлы cookie он принимает. Но об этих файлах мы поговорим чуть позже.
3. Убедитесь, что при необходимости посетитель может изменить свое согласие
После того как посетитель сделал свой выбор и нажал, например, кнопку «Принять все», ему должна быть предоставлена возможность изменить этот выбор. Для этого окно или значок согласия должны быть на виду. На сайте Nobel Digital это делается с помощью значка шестеренки, который одним щелчком мыши открывает окно настроек конфиденциальности (рисунок 4).
4. Убедитесь, что ваша политика конфиденциальности актуальна
Документ о политике конфиденциальности достаточно составить один раз, но важно время от времени пересматривать его. Если на сайте ведется активная деятельность и на него добавляются различные виджеты, такие как Facebook Pixel, Google Analytics, LinkedIn Pixel и т. д., их необходимо добавить в настройки конфиденциальности. Поскольку целью является прозрачность, обновление политики конфиденциальности должно быть частью гигиены сайта, и о нем нельзя забывать. Чтобы получить штраф, достаточно одной жалобы в Инспекцию по защите данных.
Чем политика в отношении файлов cookie отличается от политики конфиденциальности?
В документе о политике использования файлов cookie (cookie policy) объясняется, как компания использует файлы cookie, «рассыпанные» по устройству посетителя. Под файлами cookie понимают небольшие текстовые файлы, которые хранятся на устройстве посетителя (мобильном телефоне, планшете, компьютере). Эти небольшие файлы содержат данные, которые помогают веб-сайту распознавать посетителей, отслеживать их активность и обеспечивать лучшее качество обслуживания (например, сохраненные на странице файлы журнала).
Политика использования файлов cookie также может быть отдельным документом, но на сайте Nobel Digital политика конфиденциальности и политика использования файлов cookie находятся вместе. В этом случае в документе должен быть отдельный раздел, объясняющий, какие файлы cookie используются и в каких целях (например, сбор статистики, запоминание предпочтений пользователя). В примере Nobel Digital все файлы cookie перечислены в окне настроек конфиденциальности, и каждый посетитель может вручную выбрать, какие файлы cookie он принимает, а какие нет.
Какими бывают файлы cookie?
Как правило, файлы cookie делятся на основные и сторонние. Это важно знать, потому что при составлении политики конфиденциальности файлы cookie нужно распределить по категориям. Есть файлы cookie, которые необходимы для удобного функционирования сайта, а есть файлы cookie, которые полезны только в маркетинговых целях. Поэтому посетитель при желании должен иметь возможность выбирать файлы cookie целыми блоками. К важнейшим файлам cookie относятся:
Основные файлы cookie — файлы, которые создаются и управляются владельцем сайта. Обычно они используются для улучшения работы сайта и удобства посетителей (например, запоминание корзины). На странице Nobel Digital мы отнесли эти файлы cookie к категории функциональных.
Сторонние файлы cookie создаются и управляются кем-то другим, кто не является владельцем веб-сайта. Они часто используются в маркетинговых и аналитических целях, например, Google Analytics и Facebook Pixel. На странице Nobel Digital мы отнесли эти файлы к категории маркетинговых файлов cookie.
В настройках конфиденциальности Nobel Digital также указаны необходимые файлы cookie, т. е. блок, который нужен для работы сайта (рис. 5).
Кого вообще интересует политика конфиденциальности моего сайта?
Существует ошибочное мнение, что Инспекция по защите данных занимается только крупными компаниями. На самом деле, любая компания, на сайте которой отсутствует политика конфиденциальности, соответствующая законодательству, может быть привлечена к ответственности за несоблюдение GDPR. Согласно статье в газете Postimees, опубликованной 7 мая, за последние пять лет сумма штрафов за нарушение закона составила почти 3 миллиарда евро. В первом квартале 2023 года общая сумма штрафов составила почти 400 миллионов евро. Андрес Оявер, эксперт по защите персональных данных, отмечает в статье, что большинство нарушений имеют место в сфере торговли, СМИ и телекоммуникаций, финансовых услуг и здравоохранения, а также в публичном секторе.
Интервью c Лийзой Оянг, юрисконсультом Инспекции по защите данных, опубликованное в Geenius, дает понять, что новая область права нуждается в мучениках. Это означает, что компаниям необходимо разъяснить важность соблюдения GDPR, и хорошим способом сделать это является тщательное наблюдение и штрафы. Поэтому не рассчитывайте на то, что кто-то не заметит недостатки политики конфиденциальности на вашем сайте.
Используется ли на вашем сайте правильная политика конфиденциальности? Мы проведем быстрый аудит вашего сайта и сообщим вам, что можно улучшить. При желании мы настроим ваш сайт и создадим управление политикой конфиденциальности, соответствующее всем законам и бренду компании. Свяжитесь с нами!
Автор: Мари-Хелена Тоомпере
Менеджер проектов в области социальных сетей и цифрового маркетинга
