Політика конфіденційності в сайті

Доброго дня. Так, політику конфіденційності або хоча б коротке повідомлення про обробку персональних даних на сайті краще обов’язково зробити.

Те, що Ви не є ФОП, не маєте самозайнятості та є неповнолітнім, саме по собі не скасовує вимоги щодо захисту персональних даних. Якщо сайт опублікований в інтернеті, користувачі заходять через акаунти, а Ви автоматично зберігаєте IP-адреси, час входу, переглянуті сторінки або інші технічні логи, це вже є обробкою інформації, яка може стосуватися конкретної фізичної особи.

IP-адреса сама по собі не завжди однозначно ідентифікує людину, але якщо вона зберігається разом з акаунтом, логіном, діями користувача, часом входу та переглянутими сторінками, такі дані вже можуть дозволяти ідентифікувати конкретного користувача. Тому їх варто розглядати як персональні дані в розумінні Закону України «Про захист персональних даних».

Внутрішній характер сайту також не звільняє від цього обов’язку, оскільки сайт не є повністю приватним “для себе”, а ним користується команда, у тому числі користувачі за кордоном. Наявність жорсткої авторизації — це плюс для безпеки, але вона не замінює повідомлення користувачів про те, які саме дані збираються і для чого.

У Вашому випадку достатньо зробити просту політику конфіденційності або повідомлення на сторінці входу, де зазначити:

1. хто адмініструє сайт;
2. які дані збираються: IP-адреса, дата і час входу, переглянуті сторінки, технічна інформація про браузер/пристрій, логін або ідентифікатор акаунту;
3. мета збору: безпека сайту, контроль доступу, запобігання несанкціонованому входу, фіксація технічних помилок;
4. строк зберігання логів;
5. хто має доступ до цих даних;
6. чи передаються дані хостингу, серверам, хмарним сервісам або іншим технічним провайдерам;
7. як користувач може звернутися щодо своїх даних;
8. що користувач, входячи на сайт, ознайомлений із таким порядком обробки даних.

За статтею 12 Закону України «Про захист персональних даних», суб’єкта персональних даних потрібно повідомити про володільця персональних даних, склад і зміст зібраних даних, його права, мету збору та осіб, яким передаються персональні дані. Тому найкраще розмістити таке повідомлення саме до або під час авторизації.

Окремо бажано не писати загальну фразу “ми збираємо дані для безпеки”, а конкретно вказати, що зберігаються IP-адреси та технічні логи відвідування сторінок. Це зменшить ризики, оскільки користувачі будуть прямо повідомлені про таку обробку.

Писати заяву або реєструвати ФОП лише через наявність політики конфіденційності не потрібно. Але якщо проєкт стане комерційним, відкритим для широкого кола користувачів або буде обробляти більше персональних даних, тоді документи краще буде допрацювати: умови користування, політику конфіденційності, правила доступу, порядок видалення акаунтів і строк зберігання логів.

Якщо користувачі знаходяться за кордоном, особливо в країнах ЄС, окремо варто врахувати вимоги країни їх перебування щодо захисту персональних даних. Але навіть за українським законодавством мінімальне повідомлення про обробку IP-адрес і технічних логів на такому сайті зробити потрібно.

Юрист в кишені Корнійчук Євген — правова допомога у зрозумілому форматі.