Большинство privacy policies в сети - это шаблоны, скопированные с чужого сайта, с неверным контактом AG, неверным механизмом opt-out и раскрытиями, которые не совпадают с реальными потоками данных. Я изучаю ваш стек, составляю документ и говорю вам в точности, какие обязательства по CPRA, GDPR и FTC не подлежат обсуждению при том, как вы реально ведете бизнес.
Фиксированные цены. Прямая работа со мной. Никаких почасовых сюрпризов, если только вы специально не запросите уровень индивидуального составления.
Один документ. Одна правка. Понятные комментарии о том, что не так, и исправленный черновик, который можно публиковать.
PaypalButtons.contractReview349, когда появится NCP id.
Privacy Policy + переработка Terms of Service + шаблон Data Processing Agreement. Один раунд правок. Памятка по пробелам в соответствии.
privacyComplianceBundle1200. Напишите на почту, чтобы начать, пока id создается.
Нешаблонная работа: нестандартные потоки данных, координация с представителем в ЕС/Великобритании, biometric notice, переработка ad-tech, ответ регулятору.
Шесть конкретных результатов, каждый написан под ваш конкретный стек и юрисдикции — а не общий шаблон, который я переклеиваю под новой этикеткой.
Notice at Collection, категории собираемых персональных данных, деловые цели обработки, сроки хранения, третьи лица, которым данные продаются или передаются, и матрица прав потребителя — привязанные к реальным потокам данных в вашем стеке, а не скопированные из SaaS-шаблона.
Ссылка «Do Not Sell or Share My Personal Information», ссылка «Limit the Use of My Sensitive Personal Information», заявление об учете Global Privacy Control и сам opt-out endpoint или интеграция баннера, задокументированные для вашей команды разработки.
Рабочий список всех поставщиков, которые касаются PI пользователей, с классификацией по роли в обработке (controller, processor, sub-processor) и юрисдикции. Требуется как раскрытие по CPRA, если вы продаете или передаете данные, и требуется по GDPR Article 28 в любом случае. Стартовый реестр питает ваш шаблон DPA.
Пункты об уведомлении, привязанные к California Civ. Code 1798.82, мозаике из законов 50 штатов, срокам GDPR Article 33/34 и FTC Health Breach Notification Rule, когда в объеме есть данные о здоровье. Плюс внутренний сценарий эскалации, чтобы ваша команда знала, что делать в первые 72 часа.
Классификация каждого cookie и трекера в реальном развертывании вашего сайта, текст и конфигурация баннера согласия и обновленная cookie policy, совпадающая с баннером. Согласовано с текущими позициями CPPA по enforcement в отношении Google Analytics, Meta Pixel и аналогичных.
Если вы обрабатываете точную геолокацию, финансовые счета, биометрические идентификаторы, данные о здоровье или содержимое коммуникаций, CPRA относится к ним иначе. Пакет включает формулировки уведомления, механизм «Limit the Use» и средства контроля хранения/обработки, которые нужны, чтобы заявить о carve-outs.
Если любой из этих сценариев совпадает с вашим бизнесом, пакет окупается в тот момент, когда клиент, инвестор или регулятор просит «покажите вашу программу конфиденциальности».
Инвесторы спрашивают. Корпоративные потенциальные клиенты спрашивают. App stores отклоняют листинг без работающего privacy URL. Запуск с политикой из бесплатного генератора - самый быстрый способ загнать себя в заявления, о которых вы пожалеете на due diligence перед раундом seed.
Как только вы пересекаете 100,000 калифорнийских потребителей или домохозяйств — или достигаете триггеров по выручке/доле продаж — вы обязаны делать раскрытия CPRA, учитывать GPC и предоставлять ссылки opt-out. Большинство стандартных политик Shopify не включают ничего из этого.
Большинство потребительских приложений о здоровье не подпадают под HIPAA, но они подпадают под California CMIA и FTC Health Breach Notification Rule (недавно расширенное поправками 2024 года). У каждого из них свои обязательства по уведомлению и свои сроки по breach.
Корпоративные клиенты не подпишут договор без Data Processing Agreement, сопоставленного с GDPR Article 28. Пакет включает шаблон DPA, который вы можете отправить, чтобы сделки перестали застревать на этапе закупок, плюс SCCs для международных передач данных.
Section 1033 of Dodd-Frank, GLBA Privacy Rule, Safeguards Rule и новое правило CFPB Personal Financial Data Rights - все взаимодействует с вашим privacy notice. Пакет согласует уровни так, чтобы ваша политика не противоречила вашей позиции по Reg E и 1033.
Список для быстрого просмотра дефектов, которые я нахожу примерно в половине политик, попадающих ко мне на стол — и того, как выглядит исправленная версия.
Шаблоны, скопированные в 2018–2020 годах, до сих пор направляют пользователей к California Attorney General для жалоб по CCPA. С июля 2023 года enforcement по большинству потребительских вопросов перешел к California Privacy Protection Agency (CPPA).
ИсправлениеОбновленный путь подачи жалобы с указанием CPPA, при этом AG сохранен для тех вопросов-исключений, где у него все еще есть юрисдикция.
Потребительские приложения о здоровье предполагают, что HIPAA не применяется (верно) и на этом останавливаются (неверно). California CMIA охватывает обращенные к потребителю данные о здоровье и благополучии так, как федеральная норма не охватывает.
ИсправлениеУровень раскрытий, соответствующий CMIA, для калифорнийских пользователей, плюс согласование с FTC Health Breach Notification Rule в расширенной редакции поправок 2024 года.
CPRA создало отдельное право «Limit the Use of My Sensitive Personal Information» в дополнение к «Do Not Sell or Share». В большинстве политик до сих пор есть только последнее, и право на SPI остается нереализованным.
ИсправлениеОбе ссылки присутствуют, обе привязаны к работающему opt-out endpoint, обе учитываются наряду с Global Privacy Control.
Определение «sell» и «share» в CPRA шире, чем продажа в бытовом смысле — cross-context behavioral advertising тоже считается. Заявление «мы не продаем» при работающем Meta Pixel или Google Ads - это введение в заблуждение, которое enforcement actions уже цитировали.
ИсправлениеЧестное раскрытие «мы передаем для cross-context behavioral advertising» плюс ссылка opt-out, либо реальное отключение трекеров.
И CPRA, и GDPR требуют конкретных или конкретно определяемых сроков хранения. Только «as long as necessary» не соответствует требованиям и было в центре нескольких enforcement advisories CPPA в 2024 году.
ИсправлениеТаблица сроков хранения по категориям с конкретными временными рамками, плюс критерии для любой остаточной категории «as long as necessary».
Две рамки уведомлений, сшитые вместе, порождают противоречия: уровень CCPA говорит «мы собираем для business purposes», а уровень GDPR говорит «у нас есть legitimate interests». И то, и другое может быть правдой, но они должны чисто сопоставляться.
ИсправлениеЕдиное унифицированное уведомление с разделами для конкретных юрисдикций, которые перекрестно ссылаются, а не дублируют, и четкая матрица прав субъекта данных.
Баннер говорит «мы используем только essential cookies», а политика перечисляет 47 трекеров. Либо баннер вводит в заблуждение, либо политика. В любом случае это мишень для CPPA и проблема с действительностью согласия по GDPR Article 7.
ИсправлениеАудит реально развернутых cookies, текст баннера, который совпадает, и consent management platform, настроенная на гранулярный opt-in там, где это требуется.
Истцы по mass arbitration, исключение FAA 2022 года по Sexual Assault и недавние решения по California App Store - все зависит от того, был ли пункт об arbitration разумно доведен до сведения. Ссылка clickwrap, спрятанная на 14 абзацев вглубь, все чаще признается неисполнимой.
ИсправлениеЗаметное уведомление об arbitration с чекбоксом или подтверждением через прокрутку, формулировки для защиты от mass arbitration и предусмотренные законом carve-outs.
Снимок из четырех строк. Быстрый способ понять, окупается ли пакет на вашей стадии бизнеса.
Пришлите мне описание вашего продукта в один абзац и где живут ваши пользователи. Я скажу, достаточно ли проверки одного документа за $575 или пакет имеет больше смысла.
Написать мне напрямуюПрежде чем выбрать уровень, пройдите Privacy Compliance Readiness Score. Оценка 0-100 плюс список проваленных пунктов, сопоставленных с CCPA, GDPR, управлением поставщиками, потоком opt-out и реагированием на breach. Оценка ниже 40 → пакет. Оценка 40-75 → проверка одного документа. Оценка выше 75 → ежеквартальное обслуживание.
Каждый ответ разрешается в одном предложении до раскрытия. Нажмите на любой вопрос, чтобы увидеть полный ответ.
Реальные вопросы с форума Terms.Law, где основатели, фрилансеры и арендаторы разбирали ситуации, похожие на вашу.
Пришлите мне ваши текущие Privacy Policy и ToS (или пометку, что их у вас пока нет) плюс описание продукта в один абзац. Я пришлю в ответ подтверждение объема и счет PayPal в течение одного рабочего дня.
Написать мне, чтобы начать →Отказ от ответственности. Информация на этой странице предоставлена только в информационных целях и не является юридической консультацией. Чтение этой страницы или обращение ко мне не создает отношений «адвокат-клиент». Право в сфере privacy и защиты потребителей стремительно развивается — enforcement по CPRA, нормотворчество CPPA, поправки к FTC HBNR, расхождение между ЕС и Великобританией и лоскутное одеяло из комплексных законов о приватности отдельных штатов - все это меняет анализ — и любое соглашение действительно по состоянию на дату его заключения. Сергей Токмаков лицензирован в Калифорнии (CA Bar #279869); вопросы privacy и ToS, не требующие специфичного для конкретного штата судебного процесса, ведутся по всей стране. Прошлые результаты не гарантируют будущих исходов.