16 KiB
16 KiB
28. Регламент обработки ПД пользователей веб-сайта Whitebird (23.07.2024)
Тип: Local Regulation, Приложение 2 к Политике оператора в отношении обработки ПД Утверждено: Директор ЗАО «Уайт Бёрд» М.А. Шабанов, 23.07.2024 Сайт: https://whitebird.io E-mail: info@witebird.io (!внимание: домен без 'h') Юр.адрес: Республика Беларусь, 220030, Минск, ул. Свердлова 11, помещение 328 УНП: 591029489 Размер: 5.3 МБ, ~6-8 стр.
Что это
Это не «statement of user support», как кажется по filename. Это Регламент обработки ПД пользователей веб-сайта — что-то вроде Cookie Policy + Privacy Notice. Является публичной/полу-публичной версией #25, доступной любому пользователю сайта.
Юридическая роль: это документ, который должен быть на странице, где пользователь заполняет любую форму на whitebird.io. Чекбокс «Я согласен с обработкой ПД» отсылает именно к этому Регламенту.
КРИТИЧЕСКОЕ НАБЛЮДЕНИЕ — ошибка в email или второй домен
В документе указан info@witebird.io (без h!), хотя сам сайт — whitebird.io (с h).
Это либо:
- Опечатка в документе — серьёзный compliance fail для финансовой компании
- Owned mirror domain — they own both whitebird.io AND witebird.io как защиту от typosquatting
- Транслитерационная ошибка — кто-то переводил с русского и опечатался
Для копирования Монтаны: обязательно владеть обоими доменами + тщательно вычитывать legal documents на консистентность.
Структура документа
Преамбула
- Регламент дополняет Политику обработки ПД (#18)
- НЕ создаёт самостоятельных правил, а кратко излагает Политику
- Цель: соблюдение части 2 пункта 5 статьи 5 Закона № 99-З — простым и ясным языком разъяснить субъекту его права
Раздел 1. Какие ПД, для каких целей и на каком основании
5 целей обработки:
| Цель | Описание | Обрабатываемые данные | Основание |
|---|---|---|---|
| 1. Рассмотрение заявки о трудоустройстве | Пользователь хочет в команду Whitebird | ФИО, email, телефон, образование, опыт, иные | Согласие |
| 2. Ответ на обращение | Вопрос/жалоба/предложение | ФИО, компания (опц.), телефон, email, иные | Согласие |
| 3. Договор с клиентами | Регистрация, KYC, торговля | Данные клиента | Договор |
| 4. Договор с подрядчиками | Закупки, услуги | Данные подрядчика | Договор |
| 5. Трудовой договор | Найм работника | Данные работника | Трудовое законодательство |
Важно: для целей 1-2 нужно согласие, для 3-5 — другие основания (договор, закон).
Раздел 2. Срок хранения
Хранят:
- В течение периода обработки целей
- В течение периода, предусмотренного законодательством
- После достижения целей или отзыва согласия — удаление в течение срока по законодательству РБ
Конкретные сроки НЕ указаны — это типичная слабость документа.
Раздел 3. Политика cookie
4 типа cookie:
- Необходимые (essential) — для функционирования сайта
- Аналитические — статистика
- Функциональные — навигация
- Рекламные — ремаркетинг, контекстно-медийная сеть Яндекс + Google
Инструменты:
- Google Analytics (Google, Inc., 1600 Amphitheatre Pkwy, Mountain View, CA 94043, USA)
- Яндекс.Метрика (ЗАО «Яндекс», Москва, ул. Льва Толстого 16)
Раздел 4. Доступ третьих лиц
Передают ПД третьим лицам:
- Яндекс Метрика (РФ) — веб-аналитика
- Google Analytics (США) — веб-аналитика
- Иные третьи лица — если обязаны по закону
Это трансграничная передача ПД!
Раздел 5. Права субъекта ПД (6 прав)
| № | Право | Действия Whitebird |
|---|---|---|
| 1 | Получить информацию о ПД | 5 рабочих дней с запроса |
| 2 | Получить информацию о передаче третьим лицам | 15 календарных дней, 1 раз в год бесплатно |
| 3 | Внесение изменений в ПД | 15 календарных дней |
| 4 | Прекращение обработки / удаление | 15 календарных дней |
| 5 | Отзыв согласия | 15 календарных дней (с исключениями по закону) |
| 6 | Жалоба в уполномоченный орган | По законодательству РБ |
Адреса для запросов:
- Письменно: Минск, Свердлова 11/328
- Электронно: info@witebird.io
- Запрос должен содержать: ФИО, адрес, дата рождения, ID/паспорт, суть требования, подпись
Раздел 6. Технические детали
- Уведомление о ПД размещается рядом с каждой формой обратной связи на сайте
- Согласие — через чекбокс рядом с кнопкой «Отправить»
- При противоречии — применяются положения этого Регламента (приоритет над #18)
Моё мнение
Этот документ — публичный фасад приватности Whitebird. Он юридически корректен, но достаточно базовый.
Сильные стороны
- Простой язык (требование Закона 99-З)
- Чёткая таблица целей и оснований — пользователь видит что именно собирают
- Чёткие сроки реализации прав (5 vs 15 дней)
- Прозрачность по cookie — указаны конкретные инструменты
- Прямые контакты для запросов
- Приоритет над общей Политикой — пользователь сайта имеет больше прав
Слабые стороны
- Опечатка в email (witebird vs whitebird) — НЕ должно быть в финансовом продукте
- Конкретные сроки хранения не указаны
- Трансграничная передача в Google (США) упомянута, но не уведомление пользователя о рисках (требование Закона 99-З ст. 35.5.1)
- Яндекс.Метрика — это РФ data processor, post-2022 это вопрос для EU клиентов (РФ не имеет adequacy decision от EC)
- Нет упоминания GDPR — хотя они работают с европейцами
- Нет упоминания CCPA — для калифорнийских пользователей
- Нет «Do Not Track» honoring — modern requirement
- Нет упоминания права на portability ПД (GDPR art. 20)
- Нет упоминания права на ограничение обработки (GDPR art. 18)
Стратегическая интерпретация
- Документ только для compliance с РБ Законом 99-З, не для GDPR/CCPA
- Whitebird явно не таргетируется на EU/US (или таргетируется через серую зону)
- Cookie policy очень базовая — нет cookie banner с granular controls
- Использование Яндекс.Метрики = ясный сигнал: основная аудитория — Russian-speakers
Что нужно команде Монтаны для копирования 1:1
Структура регламента для веб-сайта Монтаны
Приложение 2 к общей Политике обработки ПД:
Раздел 1. Цели и состав ПД (8-10 целей вместо 5 у Whitebird)
| Цель | Данные | Основание |
|---|---|---|
| 1. Рассмотрение заявки о трудоустройстве | стандарт | Согласие |
| 2. Ответ на обращение | стандарт | Согласие |
| 3. Договор с клиентами (KYC) | расширенный | Договор + AML |
| 4. Договор с подрядчиками | стандарт | Договор |
| 5. Трудовой договор | расширенный | Закон |
| 6. AML/CFT мониторинг | расширенный | Закон 165-З (РБ) |
| 7. Налоговое декларирование | стандарт | Закон |
| 8. Маркетинг + ремаркетинг | минимальный | Согласие (opt-in) |
| 9. Антифрод | технический | Договор + legitimate interest |
| 10. Регуляторная отчётность | расширенный | Закон |
Раздел 2. Конкретные сроки хранения
| Тип ПД | Срок |
|---|---|
| ПД клиента (активного) | весь период отношений + 5 лет |
| ПД клиента (бывшего) | 5 лет после расторжения |
| AML/KYC данные | минимум 5 лет по 165-З |
| ПД кандидата (не нанятого) | до 1 года |
| ПД работника (активного) | весь период + 75 лет (трудовое законодательство) |
| ПД пользователя сайта (без аккаунта) | до 6 месяцев |
| Cookie | до 24 месяцев |
| Marketing data | до отзыва согласия |
| Логи операций (security) | 1 год |
| AML логи | 5 лет |
| Транзакционные логи | 10 лет (для аудита) |
Раздел 3. Cookie Policy расширенная
Granular cookie banner:
- ✅ Strictly necessary (всегда включено)
- ☐ Performance / Analytics (opt-in)
- ☐ Functional (opt-in)
- ☐ Targeting / Advertising (opt-in)
Инструменты Монтаны (рекомендации):
- Analytics: Plausible (privacy-friendly) / Matomo self-hosted (вместо GA)
- A/B testing: PostHog (open source, self-hosted)
- Heatmaps: Mouseflow / Hotjar (с opt-in)
- CDN: Cloudflare (с сохранением IP)
- Cookie banner: OneTrust / Cookiebot / CookieYes
- GTM: Через Cookiebot с включением только после согласия
- NO Google Analytics — privacy issues + post-Schrems II
- NO Яндекс.Метрика — если хотим EU клиентов
- NO Facebook Pixel — privacy issues
Раздел 4. Трансграничная передача
Должно быть explicit warning:
⚠️ При использовании сервиса вы можете передавать ПД в:
- США (Cloudflare, AWS) — нет adequacy decision РБ, но используется SCC
- ЕС (Vault provider, Stripe для платежей) — adequacy подтверждён
- ОАЭ (для VARA compliance) — нет adequacy decision
Подписывая согласие, вы подтверждаете информированность.
Раздел 5. Права субъекта ПД (10 прав = РБ + GDPR + CCPA)
- Получение информации
- Получение информации о передаче третьим лицам
- Внесение изменений
- Прекращение обработки / удаление (Right to Erasure / GDPR art. 17)
- Отзыв согласия
- Жалоба в уполномоченный орган
- Право на портативность ПД (GDPR art. 20)
- Право на ограничение обработки (GDPR art. 18)
- Право на возражение против автоматического принятия решений (GDPR art. 22)
- Право не быть подвергнутым profiling без явного согласия
Раздел 6. Технические требования к UX
- Cookie banner при первом визите — granular controls
- Privacy Center в личном кабинете — все настройки приватности
- Self-service deletion — кнопка «удалить аккаунт» с автоматическим удалением ПД
- Data export — пользователь может выгрузить ВСЕ свои ПД в JSON/CSV
- Privacy Dashboard — что собираем, кому передаём, как используем
Контакты
Whitebird-стиль:
- info@whitebird.io — общий
- legal@whitebird.io — для приватности (отдельный)
Монтана-стиль (улучшенный):
- info@montana.io — общий
- privacy@montana.io — для приватности (с DPO)
- legal@montana.io — для юридических вопросов
- dpo@montana.io — Data Protection Officer (личный канал)
- security@montana.io — для security incidents
Email best practices
- Все каналы зашифрованы — PGP keys опубликованы
- Auto-acknowledgment в течение 1 минуты
- SLA: ответ в течение 5 рабочих дней (как Whitebird)
- Status updates на сайте по каждому запросу
- GDPR-compliant data subject request portal
Юридический совет
Whitebird сделал минимум для РБ. Монтана должна:
- Сделать минимум для РБ (как Whitebird)
- Плюс GDPR (для EU клиентов)
- Плюс CCPA (для California)
- Плюс PIPL (для China)
- Плюс PDPL (для UAE)
Это в одном документе — multi-jurisdiction privacy policy с language toggles.
Ссылки внутри Whitebird-стека
- → #18 (главная Политика обработки ПД)
- → #25 (Приложение 1 — обработка ПД клиентов)
- → #27 (Приложение 3 — конфиденциальность ПД)
- → #07 (Информация о деподенте — формы на сайте используют согласие)