Когда политика конфиденциальности в «подвале» сайта становится нарушением
Размещение политики обработки персональных данных внизу главной страницы сайта («подвале» или футере) — стандартная и вполне законная практика в Беларуси. Однако в интернет-магазинах она легко превращается в нарушение, если на сайте настроена бесконечная прокрутка каталога товаров.
В чем суть проблемы?
Согласно Закону Республики Беларусь «О защите персональных данных», обработка ПД должна осуществляться на прозрачной основе. Это требует от оператора размещать политику в общедоступном и легко находимом месте.
Если на сайте внедрен «бесконечный скролл» (каталог автоматически подгружает новые и новые товары при прокрутке страницы вниз), пользователь физически не может добраться до футера. В таком случае принцип прозрачности нарушается: формально на сайте политика есть, но ознакомиться с документом до начала сбора данных пользователь не может.
К аналогичному нарушению прозрачности приводит и чрезмерно сложная вложенность разделов. Если ссылка на политику спрятана по глубокому пути, например, «Меню — Документы — Правовые документы — Персональные данные», регулятор (НЦЗПД) может расценить это как несоблюдение принципа прозрачности, поскольку пользователю затруднен поиск документа.
Как правильно организовать доступ к политике?
Заметное размещение: Вынесите отдельную ссылку на документ в главное меню сайта или закрепите её в верхней части страницы (хедере).
Допустимая альтернатива: Ссылку можно продублировать и возле форм сбора данных, но это вспомогательная мера, которая не заменяет необходимость иметь документ в общедоступном меню.
Разделение согласия и политики: По общему правилу, не допускается брать согласие пользователя на обработку данных путем «ознакомления» с текстом политики (например, недопустим чекбокс «Согласен с политикой конфиденциальности»). Согласие — это самостоятельное действие, которое должно ассоциироваться непосредственно с процессом сбора ПД. Согласие должно содержать конкретные цели, а не отсылать ко всей политике целиком. Единственное исключение – когда политика посвящена одному бизнес-процессу, на который получается согласие (например, политика обработки куки-файлов).

