A Privacy Policy is a document where you disclose what personal data you collect from your website’s visitors, how you collect it, how you use it and other important details about your privacy practices.

In this post, we’ll take a look at what Privacy Policies are and why you likely need to have one posted on your website. We’ll also go over some important clauses that are useful to include in your Privacy Policy. Finally, we’ll look at how different websites display their Privacy Policies.

Privacy Policies are legally binding agreements you are required to post on your website if you’re collecting any sort of personal information from your site’s visitors or customers.

A Privacy Policy is an important legal document that lets users understand the various ways a website might be collecting personal information. The purpose of a Privacy Policy is to inform users of your data collection practices in order to protect the customer’s privacy.

Your Privacy Policy should disclose how the website/app collects information, how the information is used, whether or not it is shared with third parties and how it is protected and stored.

There are 3 main reasons for having a Privacy Policy: (1) you’re required by law, (2) you’re required by third party services, (3) you want to be transparent.

The most important reason Privacy Policies are useful is because you’re most likely required by the law to have one posted on your website. The in your region or the region you’re conducting business in may require you to include and abide by certain clauses in your Privacy Policy.

For instance, in the United States, the California Online Privacy Protection Act () requires websites that collect personal information from the residents of the state of California to include a statement in their Privacy Policy that discloses how you handle their information. Since there isn’t a way to filter out visitors from California, you’re likely required to comply with CalOPPA even if your website is ran from a location nowhere near California.

Forever 21’s Privacy Policy agreement has a separate section on California Residents that explains the rights of the residents of California in compliance with CalOPPA.

Similarly, Canada’s Personal Information Protection and Electronic Documents Act (), the Eu’s General Data Protection Regulation (), and Australia’s Privacy Act of 1988 also require you to post a Privacy Policy and include certain clauses in it if you’re collecting any personal information from the residents of these regions.

Required by Third Party Services

Most of the third party services you use to improve your website’s user experience, monitor analytics or display advertisements also require you to post a Privacy Policy on your website.

According to their requirements, you should include clauses that disclose how you use these third party services, APIs, SDKs, plugins, etc.

Some of the most popular third party services that require you to post a Privacy Policy on your website include:

Analytics services work by placing cookies on your visitors’ devices and then collecting information about them when they visit your website, such as which device(s) they use, browsing activities, etc.

This is why third party services (like Google Analytics) require you to post a Privacy Policy that discloses your usage of their services and cookies.

Google Analytics’ Terms of Service agreement states in its Privacy section that you must post a Privacy Policy on your website that discloses your use of cookies and your use of Google Analytics and how it collects and processes data.

Websites and web applications that use analytics services to improve the user experience they deliver must therefore abide by these rules.

If you’re a Facebook app developer, you’re required by Facebook to post a Privacy Policy on your website that’s easily accessible and discloses the information you collect and how you will use that information.

As more and more people online are becoming aware of privacy laws, having a Privacy Policy displayed on your website that discloses how you gather and handle your visitors’ personal information is a great way to build trust and help your website users feel secure.

It’s a good practice to follow even if you’re not collecting any sort of personal information from your website’s visitors. This is because Privacy Policies are increasingly prevalent. If a visitor sees that you don’t have one published, she may be led to believe that you do, in fact, collect information from your visitors but aren’t disclosing it. It’s better to have one posted that states that you do not collect any information from your site’s visitors. This is especially true for blogs.

DuckDuckGo , for example, has a Privacy Policy posted on its website that simply states that it doesn’t collect any personal information from visitors.

A Privacy Policy should be organized in a way that helps the reader understand key categories of information. This is best done with well-structured and clearly written clauses, neatly identified with descriptive headlines.

The clauses you include in your Privacy Policy depend on a number of factors including the type of business you’re running and the applicable law. However, there are some clauses that just about every website that collects personal information from visitors includes in a Privacy Policy.

Let’s take a look at some examples of clauses that are useful to add in a Privacy Policy agreement:

Type of Information You Collect

Most Privacy Policies start out by disclosing the type of information the business collects from its visitors or customers. It lets the end user know which type of personal information they can expect to provide, whether required or optional.

Let’s take a look at MailChimp’s Privacy Policy agreement:

MailChimp has an incredibly detailed Your Information section which explains what information it collects from users. It’s been divided into several sections – Information you provide to us, Information we collect automatically, Information we collect from other sources, Information from the use of our mobile apps .

It identifies the personal information you provide when you sign up with them and/or purchase their services such as name, address, email address, IP address, and credit card information.

Some web applications, like GitHub , collect information from their site’s visitors in addition to their end users.

Here’s a look at how GitHub explains this in its Privacy Policy agreement:

GitHub explains that it collects personally-identifying information from website’s visitors and why it’s collected. The type of information collected from users who have accounts on GitHub is also disclosed.

How the Collected Information is Processed and Shared

You’re required to disclose how you process and share the personal information you collect from your site’s visitors. It should explain what you do with the information after you’ve collected it.

For example, in its Privacy Policy, LogMeIn explains the different ways it uses the personal information it collects:

LogMeIn also has a section in its Privacy Policy that explains how it shares visitors’ personal information with third parties:

Use of Cookies and Tracking

Websites that use cookies or other technologies to obtain personal information from their website’s visitors or customers include a cookies clause in their Privacy Policies. Generally, the cookies clause states that the website uses cookies , why it uses them, and how users can disable cookies on their devices.

Canva’s Privacy Policy has a section on Cookies information that explains cookies usage.

It says that Canva uses cookies to improve your experience with their website by helping you log in faster and making their on-site navigation better. Cookies are also placed in order to track how you use the website. Canva discloses that its business partners also receive this information. Finally, it’s noted that if you disable cookies, some features of Canva might not work properly.

Changes to the Privacy Policy

You will likely have to change the content of your Privacy Policy at some time. For this reason, most Privacy Policies have a clause that states how they will inform users about updates and revisions to the agreement.

Let’s take a look at LogMeIn’s Privacy Policy again:

This clause states that the Policy may be updated and discloses how notifications of material changes will be given. It also says that if you continue to use the services after the update then you automatically agree to the revised Privacy Policy.

Examples of Websites with Privacy Policies

Regardless of whether you’re running a website, web app, mobile app or desktop app, if you’re collecting personal information from your end users then you’re required to post a Privacy Policy.

Most websites provide a link to their Privacy Policy in their homepage footer, main navigation, or an appropriate sub-menu.

Let’s take a look at the Privacy Policy agreements of some popular websites.

Reddit

Reddit links to its Privacy Policy from the fine print in the footer of the homepage:

The Privacy Policy itself follows the same format and theme as the rest of the website and includes anchor navigation links in the left sidebar.

It includes the following clauses:

1. What We Collect
2. How We Use Information About You
3. How Information About You is Shared
4. Ads and Analytics Partners
5. Your Choices
6. Other Information
7. Contact Us

Canva

Canva’s Privacy Policy uses short summaries to the right of the clauses to help summarize information for readers. This helps make the Policy easier to understand and more user-friendly.

The New York Times

The New York Times has a link to the Privacy Policy in the website’s footer:

The Privacy Policy includes anchor navigation links, a search bar and a button to initiate chat. The benefit in this formatting is that it makes it easy for the site visitor to find information they need to fully understand their privacy rights.

Summary

If you’re collecting any sort of personal information from your website’s visitors, end users, subscribers, customers, or clients then you’re most likely required by law or by third party services to post a Privacy Policy on your website.

You need to be aware of:

• The privacy laws and Privacy Policy requirements in the jurisdiction your business is based in and the jurisdiction(s) where your site visitors live.
• The Terms of Service requirements of any third party services your website or app uses.

(General Data Protection Regulation) — общем регламенте по защите персональных данных, который вот-вот вступит в силу в ЕС и который придется соблюдать украинским предпринимателям, если они хотят вести бизнес с европейскими гражданами.

Юрист практики Juscutum Владислав Некрутенко в своей колонке рассказал о том, что на самом деле меняет GDPR, каким он должен быть и какую информацию должен раскрывать интернет-пользователям.

Наверное, каждый человек хоть раз давал согласие на обработку персональных данных при регистрации на веб-сайте. При этом указывается, что обработка будет осуществляться согласно «Политике Конфиденциальности» сайта. Что это значит?

За последние годы персональные данные стали эффективным экономическим активом. Их грамотное использование приносит компаниям коммерческое преимущество и прибыль.

С другой стороны, злоупотребление выгодой с персональных данных и незнание пользователей об этом приводят к государственным ограничениям в этой сфере. Поэтому законодательство развитых стран требует, чтобы компания:

• в полной мере проинформировала пользователя о характере и деталях использования его данных;


• после чего получила от него согласие на их сбор и обработку.

Нужна ли для этого политика конфиденциальности (Privacy Policy)? Определенно, так как это лучший способ информирования пользователей о сборе персональных данных на веб-сайте.

Privacy Policy - это внутренний документ, который устанавливает правила сбора и обработки персональных данных пользователей на определенном веб-ресурсе.

Пользователь должен ознакомиться с Privacy Policy во время первого визита на сайт либо при регистрации. Кроме того, этот документ размещается публично на сайте с постоянным доступом к нему. Прежде чем дать согласие на обработку данных, пользователь должен прочитать Privacy Policy (или хотя бы поставить галочку, что прочитал). На сегодня это одна из самых распространенных практик по информированию на веб-ресурсах.

Требования GDPR к информированию пользователя
Само требование оповестить пользователей веб-сайта об использовании их данных - не ново. Тем не менее, при его реализации возникают проблемы.

Можно часто встретить длинные версии Privacy Policy ресурсов, написанные на непонятном языке, которые описывают лишь отдельные аспекты обработки персональных данных. Такая политика не несет информационной функции для пользователей, а служит скорее формальным соблюдением законодательства. Соответственно, пользователь не в состоянии понять, на что он соглашается.

Из-за этого и других введений пользователя в заблуждение, Европейский союз принял новый акт по защите персональных данных — General Data Protection Regulation (GDPR). GDPR ставит требования по обработке персональных данных на территории Европейского союза. Кроме того, действие документа распространяется на компании вне ЕС, если те обрабатывают персональную информацию европейских граждан.

Основные нововведения - открытость и прозрачность сбора персональных данных, информированность субъекта, а также свобода согласия на их сбор и обработку. В связи с этим, GDPR ставит более высокие требования по объему и качеству информирования пользователей об обработке их данных.

Политика конфиденциальности Adobe содержит принципы соблюдения конфиденциальности, применимые в отношении пользователей приложений и веб-сайтов компании Adobe. Если пользователь является резидентом какого-либо из государств Северной Америки, он вступает в деловые взаимоотношения с компанией Adobe Inc. (Adobe U.S.). Данные взаимоотношения регулируются законодательством штата Калифорния и законодательством США.

Если пользователь находится за пределами Северной Америки, он вступает в деловые взаимоотношения с компанией Adobe Systems Software Ireland Limited, которая выступает в роли контролера личных данных, собираемых Adobe. Данные взаимоотношения регулируются законодательством Ирландии.

Если содержимое или информация, которые пользователь хранит в приложениях или на веб-сайтах Adobe, содержат личную информацию других лиц, пользователь должен иметь юридическое право передавать эту личную информацию компании Adobe.

Краткое изложение основных моментов

• В случаях, когда получение разрешения пользователя является обязательным, мы получим это разрешение до (i) отправки пользователю новостей и рекламных материалов об Adobe; (ii) осуществления доступа к информации, хранимой на устройстве пользователя, которая связана с использованием веб-сайтов и приложений пользователем и его взаимодействия с ними (например, встреч Adobe Connect Meeting), а также отчетов о сбоях; и (iii) применения автоматизированных систем для анализа содержимого пользователя. Пользователь может отозвать свое согласие на выполнение таких действий в любое время. .
• В этой политике разъясняются случаи обработки нами личной информации в наших законных интересах. Вы можете обратиться к нам с запросом о прекращении обработки этой информации. .
• Мы используем личную информацию пользователя, чтобы обеспечивать возможность регистрации в продуктах Adobe и предоставлять наши веб-сайты, приложения и другие продукты или услуги, запрашиваемые пользователем. .
• Мы предоставляем интерактивные функции, которые взаимодействуют с социальными сетями, например Facebook. При использовании этих функций данные веб-сайты могут отправлять нам личную информацию о пользователе. .
• На веб-сайтах и в приложениях Adobe есть несколько мест, где пользователь может публиковать комментарии, загружать изображения или отправлять содержимое, которое станет общедоступным, если он решит участвовать в этих видах деятельности. Помимо этого, в зависимости от вариантов выбора пользователя мы раскрываем личную информацию другим компаниям в пределах группы компаний Adobe, а также нашим партнерам по рекламе и сбыту. Мы также передаем информацию третьим лицам, которых привлекаем для обработки информации от нашего имени, либо в случаях, когда это требуется законодательством, а также в некоторых других ситуациях. .
• Мы передаем личную информацию пользователей в США и другие страны, которые могут находиться за пределами страны их проживания. Для защиты личной информации пользователей мы используем одобренные Еврокомиссией договорные положения и Конфиденциальный щит. .

Кроме того, компания Adobe предоставляет дополнительную информацию о конфиденциальности в отношении некоторых своих приложений и веб-сайтов.

Защищена ли личная информация пользователей?

Мы прилагаем все усилия, чтобы защитить вашу личную информацию. Мы применяем административные, технические и физические меры контроля безопасности, где целесообразно, например шифрование, двухэтапную проверку и строгие договорные обязательства по конфиденциальности для сотрудников и подрядчиков.

Приведенная выше информация относится к пользователям Adobe, являющимся потребителями. Более подробная информация доступна для наших корпоративных клиентов, которые хотят узнать больше о передаче европейских данных .

Какие права есть у пользователей относительно их личной информации, и как они могут их осуществить?

По законодательству некоторых юрисдикций вы можете иметь право запросить у нас копию своей личной информации; попросить нас внести изменения, удалить вашу личную информацию или ограничить (прекратить какую-либо активную) ее обработку; получить личную информацию, предоставленную вами по договору или с вашего согласия, в структурированном и машиночитаемом формате, а также попросить нас предоставить (перенести) эту информацию другому контролеру данных.

Кроме того, вы можете возражать против обработки вашей личной информации в некоторых случаях (например, когда мы используем эту информацию для прямого маркетинга).

Эти права могут быть ограничены, например, если выполнение вашего запроса раскроет личную информацию другого лица, если вы попросите нас удалить информацию, которую мы должны хранить в соответствии с законодательством, или если эта информация нужна нам для защиты от претензий к нам.

Чтобы осуществить какое-либо из этих прав (в том числе право на деактивацию учетной записи Adobe ID), вы должны обратиться к нам или к нашему должностному лицу по вопросам защиты данных, используя контактную информацию, указанную ниже. Помимо этого, многие из наших веб-сайтов и приложений позволяют редактировать личную информацию в меню », «Мой профиль» или с помощью аналогичной функции используемого вами приложения или веб-сайта. Вы также можете удалить файлы или фотографии, которые вы храните на наших веб-сайтах или в наших приложениях, войдя на соответствующий веб-сайт или в приложение и воспользовавшись доступными функциями удаления.

Если у вас есть нерешенные проблемы, вы имеете право сообщить о них своему местному регулятору по вопросам конфиденциальности или другому органу по защите данных, и, если необходимо, вы также имеете право подать жалобу в ведущий надзорный орган Adobe Ireland, Ирландскую комиссию по защите данных.

Предоставление определенной информации является обязательным для регистрации в продуктах Adobe, создания Adobe ID и использования веб-сайтов, приложений, продуктов или служб Adobe. Если соответствующая информация не будет предоставлена, мы не сможем администрировать для вас учетную запись Adobe или предоставлять вам запрошенные веб-сайты, приложения, продукты или услуги. Какое-либо другое предоставление информации является необязательным. Предоставляя необязательную информацию, вы помогаете нам улучшить алгоритм взаимодействия (например, предлагать более персонализированное либо подобранное специально для вас содержимое или предложения).

Отзыв согласия или иное возражение относительно прямого маркетинга

Когда наши действия основываются на вашем согласии, вы всегда можете отозвать это согласие, хотя у нас могут быть другие законные основания для обработки вашей информации в других целях, например тех, что изложены выше. В некоторых случаях мы можем осуществлять в отношении вас прямой маркетинг без вашего согласия, если при этом мы основываемся на наших законных интересах. У вас есть абсолютное право в любое время отказаться от прямого маркетинга или профилирования, которое мы осуществляем в целях прямого маркетинга. Для этого выполните следующие действия:

• обновите параметры в профиле Adobe ID;
• обновите параметры в учетных записях конкретного веб-сайта или приложения;
• щелкните ссылку «отписаться» в нижней части наших рекламных писем; или
• обратитесь к нам, используя информацию, предоставленною в конце этой политики конфиденциальности.

Какая информация собирается компаниями при использовании решений Adobe Experience Cloud?

Решения Adobe Experience Cloud позволяют нашим корпоративным клиентам персонализировать свои веб-сайты, приложения и маркетинговые сообщения и повышать эффективность их работы. Например, корпоративные клиенты могут использовать решения Adobe Experience Cloud для сбора и анализа информации о том, каким образом вы используете их веб-сайты ). Собранная информация хранится на наших компьютерах для использования этими корпоративными клиентами.

Как долго компания Adobe хранит информацию пользователей?

При регистрации учетной записи Adobe ID мы обрабатываем и храним большую часть личной информации, которой располагаем о вас, пока вы являетесь активным пользователем наших продуктов, услуг или приложений. Когда вы закрываете свою учетную запись, мы начинаем удалять некоторую личную информацию, хранить которую из деловых соображений нам больше не нужно, например ваш хешированный пароль и токенизированные реквизиты платежного счета. Однако мы обычно храним ваши личные данные, связанные с договором и транзакциями, которые у нас с вами были, в течение семи лет с момента нашего последнего взаимодействия.

Если мы обрабатывает личную информацию в целях маркетинга или делаем это с вашего согласия, мы осуществляем обработку этой информации до момента, пока вы не скажете нам остановиться, и в течение короткого периода после этого (этот период нужен, чтобы внедрить ваши запросы). Помимо этого, мы храним постоянную запись о том, что вы попросили нас не отсылать вам сообщения прямого маркетинга и не обрабатывать вашу информацию. Это нужно для того, чтобы выполнять ваш запрос в будущем.

Возможно ли изменение данной политики конфиденциальности?

Время от времени мы можем изменять или обновлять данную политику конфиденциальности (или другие документы в Центре обработки конфиденциальной информации Adobe) с целью адаптации Adobe к новым технологиям, отраслевым практикам, нормативным требованиям или для других целей. Если мы это сделаем, мы изменим дату «последнего обновления» в верхней части этой политики и разместим на этой странице пересмотренную политику, чтобы вы знали, какую информацию мы собираем, как мы ее используем и при каких обстоятельствах мы можем ее раскрыть. Мы рекомендуем время от времени просматривать веб-страницу Центра обработки конфиденциальной информации Adobe для ознакомления с актуальными данными о принципах соблюдения конфиденциальности, которых придерживается компания. При определенных обстоятельствах (например, в случае определенных существенных изменений) мы уведомим вас об этих изменениях и, если этого требует применимое законодательство, получим ваше согласие. Уведомление о таких изменениях может быть направлено вам по электронной почте, опубликовано в наших приложениях или на веб-сайтах или сообщено вам другими способами, соответствующими действующему законодательству. https://feedback-form.truste.com/watchdog/request .

• Комментарии .
  Если посетитель оставляет комментарий на сайте, мы собираем данные указанные в форме комментария, а также IP адрес посетителя и данные user-agent браузера с целью определения спама. Анонимизированная строка создаваемая из вашего адреса email («хеш») может предоставляться сервису Gravatar, чтобы определить используете ли вы его. Политика конфиденциальности Gravatar доступна здесь: https://automattic.com/privacy/ . После одобрения комментария ваше изображение профиля будет видимым публично в контексте вашего комментария
• Куки .
  Если вы оставляете комментарий на нашем сайте, вы можете включить сохранение вашего имени, адреса email и вебсайта в куки. Это делается для вашего удобства, чтобы не заполнять данные снова при повторном комментировании. Эти куки хранятся в течение одного года.
• Встраиваемое содержимое других вебсайтов.
  Статьи на этом сайте могут включать встраиваемое содержимое (например видео, изображения, статьи и др.), подобное содержимое ведет себя так же, как если бы посетитель зашел на другой сайт. Эти сайты могут собирать ваши данные, использовать куки, внедрять дополнительное отслеживание третьей стороной и следить за вашим взаимодействием с внедренным содержимым, включая отслеживание взвимодействия если у вас есть учетная запись и вы авторизовались на том сайте.
• Веб-аналитика.

  Этот сайт использует сервис веб-аналитики Яндекс.Метрика, предоставляемый компанией ООО «ЯНДЕКС», 119021, Россия, Москва, ул. Л. Толстого, 16 (далее - Яндекс).

  Сервис Яндекс.Метрика использует технологию «cookie» - небольшие текстовые файлы, размещаемые на компьютере пользователей с целью анализа их пользовательской активности.

  Собранная при помощи cookie информация не может идентифицировать вас, однако может помочь нам улучшить работу нашего сайта. Информация об использовании вами данного сайта, собранная при помощи cookie, будет передаваться Яндексу и храниться на сервере Яндекса в ЕС и Российской Федерации. Яндекс будет обрабатывать эту информацию для оценки использования вами сайта, составления для нас отчетов о деятельности нашего сайта, и предоставления других услуг. Яндекс обрабатывает эту информацию в порядке, установленном в условиях использования сервиса Яндекс.Метрика.

  Вы можете отказаться от использования файлов cookie, выбрав соответствующие настройки в браузере. Также вы можете использовать инструмент - https://yandex.ru/support/metrika/general/opt-out.html. Однако это может повлиять на работу некоторых функций сайта. Используя этот сайт, вы соглашаетесь на обработку данных о вас Яндексом в порядке и целях, указанных выше.

Как долго мы храним ваши данные

Если вы оставляете комментарий, то сам комментарий и его метаданные сохраняются неопределенно долго. Это делается для того, чтобы определять и одобрять последующие комментарии автоматически, вместо помещения их в очередь на одобрение.

Какие у вас права на ваши данные

При наличии учетной записи на сайте или если вы оставляли комментарии, то вы можете запросить файл экспорта персональных данных, которые мы сохранили о вас, включая предоставленные вами данные. Вы также можете запросить удаление этих данных, это не включает данные, которые мы обязаны хранить в административных целях, по закону или целях безопасности.