Как составить политику конфиденциальности: подробный туториал от IT-юристов Stalirov&Co

В ноябре 2024 года ошибки Netflix в составлении Privacy Policy обошлись компании в 4,75 млн евро. А в январе 2022 года Google пришлось заплатить 90 млн евро за нарушение процедуры получения согласия на использование файлов cookie. 

В этой статье IT-юристы рассказывают как избежать штрафов, блокировки IT-продуктов и составить политику конфиденциальности на сайт по требованиям GDPR, CCPA и других актов.

Что такое политика конфиденциальности и условия использования?

Политика конфиденциальности (Privacy Policy) — это юридическое соглашение, в котором объясняется, какую личную информацию вы собираете от посетителей веб-сайта или приложения, как ее используете и защищаете. 

Также на сайтах и в мобильных приложениях размещают Пользовательское соглашение, которое описывает правила взаимодействия пользователей и программного продукта. 

Эти два документа помогут снизить риск претензий, выполнить требования законов и повысить доверие пользователей.

Для чего нужна политика конфиденциальности?

Выделим 4 причины разработать и опубликовать документ.

Выполнить требования GDPR, CCPA и локальных законов по обработке персональных данных

Разработка политики конфиденциальности — это требование закона. Если IT-продукт охватывает аудитории разных стран, то политика конфиденциальности должна выполнять требования законов таких регионов. 

• В Калифорнии действует Калифорнийские закон о защите конфиденциальности в Интернете (CalOPPA) и закон о конфиденциальности потребителей (CCPA). Акты распространяются на компании, которые собирают личные данные жителей Калифорнии, а значит их действие выходит за пределы одного штата. Ваша компания может находиться в Сиэтле или Бостоне, но обрабатывать персональные данные пользователей из Калифорнии. Тогда компания из Сиэтла или Бостона должна выполнять требования  CalOPPA и CCPA.
• В США —  Закон о защите конфиденциальности детей в Интернете (COPPA) .
• В Канаде — Закон о защите личной информации и электронных документов (PIPEDA).
• В ЕС — Общий регламент по защите данных (GDPR).

Паблишить мобильные приложения в AppStore и Google Play

В 2018 году AppStore потребовал, чтобы все приложения опубликовали Privacy Policy. Теперь разработчики приложений для iOS должны опубликовать политику конфиденциальности, прежде чем продукт будет отправлен на проверку в AppStore.

В Соглашении о распространении программных продуктов Google Play, с которым вы должны согласиться как разработчик, говорится, что политика конфиденциальности требуется для всех приложений Android. Кроме этого, команда Android Security and Privacy заявила, что за 2021 год заблокировали 1,2 миллиона приложений, нарушающих конфиденциальность.

Подключить Google Analytics, Google Ads, собирать данные с помощью файлов Cookie, использовать инструменты ремаркетинга

Google Analytics включили в свой Terms of Service требование про обязательное размещение политики конфиденциальности. Сервис хранит файлы cookie на компьютере пользователя и c их помощью собирают данные, но для таких действий нужно получить разрешение.

Google Ads требует сообщить юзерам, что IT-решение использует ремаркетинг для рекламы продукта или услуги, и пользователь может от нее отказаться.

Twitter Lead Generation Card требует ввести URL-адрес вашей политики, чтобы воспользоваться услугами. Такое же условие у Facebook. Когда вы используете API Facebook, вы запрашиваете личные данные пользователей. Поэтому Facebook требует, чтобы вы предоставили политику конфиденциальности и гарантировали соблюдение законов.

Однако на практике компании не всегда раскрывают, как обрабатывают данные.

Подключить платежную систему для интернет-платежей

Системы эквайринга требуют, чтобы сайт или приложение уведомляли пользовотелей о передаче платежным системам персональных данных. Поэтому для подключения PayPal, Stripe, Apple Pay, Google Pay и других платежных систем придется разрабатывать Privacy Policy. Для оплаты в приложениях, интернет-магазинах и других IT-продуктах нужно уведомить пользователей, какую финансовую информацию вы собираете и куда уходят платежные данные.

Теперь вы знаете зачем нужна политика конфиденциальности на сайте и в мобильном приложении. Дальше расскажем как владельцам IT-продуктов составить документ.

Пункты, которые стоит предусмотреть в Privacy Policy

Ниже найдете основные вопросы, на которые стоит ответить в политике конфиденциальности.

Какие данные вы собираете и обрабатываете?

В первую очередь дайте определение персональным данным. Например, это любая информация, которая прямо или косвенно относится к конкретному пользователю. А дальше фиксируйте отдельные категории данных в зависимости от типа продукта. 

IT-юристы Stalirov&Co разрабатывали политику для биржи фриланса Youwex и прописали, что платформа собирает данные:

• о заказчиках: имя, фамилия, электронный адрес и пароль, данные о транзакциях (данные дебетовых/кредитных карт)
• о фрилансерах: имя, фамилия, электронный адрес, пароль, почтовый индекс, страна, знание языка, образование, опыт работы. Кроме этого фрилансер предоставляет подтверждающие документы, добавляет фото, видео и презентации.

Еще один продукт, с которым работали IT-юристы  —  SmartWatch Sync & Bluetooth notifier. Это приложение для синхронизации часов с Android-устройством. Перечень личной информации пользователя, для этого IT-решения отличается от Youwex, и включает данные:

• учетной записи Google;
• идентификатор устройства;
• модель устройства;
• адрес электронной почты, имя, фамилия, местоположение;
• платежные данные.

Также, IT-юристы Stalirov&Co писали политику для InsuranceHunter, платформы поиска страховых компаний в США и ЕС. Документ составлен сразу по требованиям и CCPA, и GDPR. Вот список личной информации, которую собирает InsuranceHunter о пользователях:

• данные для идентификации: имя, дату рождения, возраст и любые сведения о семье;.
• биографические данные: семейное положение, пол и статус занятости;
• контактные данные: домашний или другой физический адрес, адрес электронной почты и номер телефона;
• данные о водителе: сведения об автомобильных авариях и информацию о транспортном средстве;
• финансовые данные: кредитная информация и годовой доход;
• данные о состоянии здоровья:  биометрические параметры (рост, вес) и сведения о состоянии здоровья.
• техническая информация, такая как IP-адрес или идентификатор.

Какие цели  и основания сбора и обработки данных?

Цели должны быть конкретными, законными и отчетливыми.

Для мобильной игры Island 211 IT-юристы прописали такие цели:

• регистрация в игре;
• демонстрация рекламного контента;
• проведение взаиморасчетов между игроками;
• выведение денежных средств;
• оказание клиентской поддержки и другие цели.

Цели для Youwex отличаются. Платформа собирает и обрабатывает данные, чтобы:

• помочь пользователям найти профиль фрилансера, бронировать и проводить онлайн сессии;
• проверить право на предоставление услуг в выбранном разделе и направлении, и поддерживать сервисы на высоком профессиональном уровне;
• выполнить требования законодательства в сфере финансов и бухгалтерского учета, подтвердить транзакции между заказчиком и фрилансером;
• предотвратить мошенническую деятельность на платформе и помочь управлять профилями пользователей.

Запрещается использовать данные для целей, не указанных в политике. Компания Twitter нарушила это правил и ей придется выплатить 150 млн долларов по решению Федеральной торговой комиссии США. Все потому, что Twitter получили номера телефонов пользователей под предлогом использования в целях безопасности, но использов их для таргетированной рекламы. 

Кому можно передавать собранные данные?

IT-продукт может делиться информацией с поставщиками дополнительных услуг: платежными системами, службами доставки, социальными сетями, а также с партнерами, судами, правоохранительными и государственными органам.  Главное требование — раскрытие информации третьим лицам в объеме, необходимом для выполнения запроса, но не более. Такие лица должны соблюдать правила политики конфиденциальности при взаимодействии с данными пользователей. В политике нужно указать, кому передаются данные и для каких целей.

Какие сторонние сервисы использует IT-продукт?

Предупредите пользователей о том, что к их персональным данным получают доступ сторонние сервисы. Например, приложение SmartWatch использует систему Flurry —  платформу аналитики мобильных приложений. Все действия и клики пользователя внутри продукта, записываются и обрабатываются. Кроме этого SmartWatch  использует AdMob для упрощения получения дохода благодаря рекламе, и Firebase для аналитики.

Дополнительно приложениям нужно получать согласие на доступ к системным настройкам телефона: местоположение и вибрация, фоновая работа, открытие сетевых ссылок, функции покупок, хранение данных во внешних хранилищах. Кроме перечня, нужно описать цель доступа. Например, приложению SmartWatch нужен доступ к местоположению для поиска устройств Bluetooth в радиусе действия.

Еще один кейс IT-юристов — Hypelitix. Это веб-сервис, который предоставляет общедоступные данные профилей Instagram: метаданные постов, IGTV и историй профиля. Для распознавания текста на изображениях и видео в  Instagram сервис использует Google Cloud Vision.

Задача политики конфиденциальности информировать пользователя о сторонних сервисах и, по возможности, закрепить ссылки на их публичные документы. Это правило распространяется и на платежные системы.

Файлы Cookie

Сперва дайте определение Сookie.

Чтобы соответствовать требованиям GDPR нужно:

• Получить явное согласие пользователей перед активацией любых файлов Cookie.
• Объяснить, какие данные собирает каждый Cookie и с какой целью, используя понятный и доступный язык.
• Фиксировать и хранить подтвержденное согласие пользователей.
• Обеспечить пользователям доступ к функционалу сайта даже при отказе от Cookie.
• Предоставить возможность отозвать согласие так же легко, как и дать его.

Важно получить явное согласие от пользователя на использование Cookie файлов и предоставить возможность отозвать такое решение. 

Чтобы избежать штрафов, добавьте в политику следующую информацию:

• Какие виды файлов Cookie применяются на сайте?
• Какие персональные данные собираются и обрабатываются с их помощью?
• Где именно будут обрабатываться данные и в какие страны или организации они могут передаваться?
• Каковы цели использования файлов Cookie?
• В течение какого периода они будут отслеживать активность пользователей?
• Как пользователи могут дать согласие на использование Cookie или отказаться от них?
• Какие шаги нужно предпринять, чтобы отозвать свое согласие?

Рассылка рекламы

В июле 2020 года Управление по защите данных Италии наложило штраф в размере 17 млн EUR на телекоммуникационную компанию Wind за ее незаконную деятельность в области прямого маркетинга. Компания рассылала итальянцам рекламу без их согласия. Но отказаться от нее клиенты не смогли из-за того, что указаны неверные контактные данные.

Такой же кейс был у гиганта финансовых услуг BBVA. Испанский DPA наложил на компанию 5 млн EUR штрафа за отправку SMS-сообщений без согласия потребителей. 

Какие меры безопасности предпринимает веб-сайт или приложение?

Сайты и приложения внедряют физические, электронные и процедурные меры безопасности для защиты персональных данных. Статья 32 GDPR предлагает такие меры безопасности:

• анонимизация;
• шифрование;
• целостность и постоянная конфиденциальность;
• устойчивость систем и сервисов обработки;
• способность своевременно восстановить доступ;
• тестирование эффективности.

Например, некастодиальный кошелек Hasher Wallet, для которого IT-юристы Stalirov&Co писали политику конфиденциальности, обеспечивает шифрование данных с использованием AES-192-CBC, хеширование md5 и анонимизацию. Доступ к приложению зашифрован с помощью технологии безопасности транспортного уровня (TLS). Также Hasher Wallet применяем строгую транспортную безопасность HTTPS.

Как долго хранятся персональные данные?

Данные должны храниться не дольше, чем это необходимо для достижения целей, для которых они были собраны.  Например, биржа фриланса Youwex обязуется удалить данные платформы в течение 180 дней с момента удаления профиля. 

Срок хранения у SmartWatch зависит от цели сбора данных. Например, данные регистрации учетной записи хранятся в маркетинговых целях пока приложение установлено на телефоне. 

Мессенджер Dober хранит персональные данные пользователей до момента удаление учетной записи.

Как получить доступ, обновить или удалить данные?

Чтобы политика конфиденциальности соответствовала GDPR и CCPA, опишите как пользователь может получить доступ, просмотреть, обновить, исправить и удалить любые личные данные. Алгоритм действий должен быть простым. Например, отправить запрос на адрес электронной почты. 

Где и как разместить политику конфиденциальности на сайте?

Pew Research Center опросили 4272 американца. Только 9% из них полностью читают политику конфиденциальности, прежде чем согласиться с ней. Около 36% сказали, что никогда не читают документ. Несмотря на неутешительную статистику, документ должен быть легкодоступным. К тому же это требование GDPR и CalOPPA. Пользовательские привычки демонстрируют, что регистрационная форма и футер сайта идеальные места для ссылки на Политику и получения согласия.

Пишите политику конфиденциальности понятным для пользователя языком

Журналист Kevin Litman-Navarro изучил 150 политик конфиденциальности. С помощью сервиса Lexile он проверил насколько легко понять документы. По стандартам сервиса врачи и юристы должны понимать материал с оценкой 1440. К удивлению журналиста, многие политики оказались слишком сложными и превысили этот стандарт. 

Контролирующие органы обращают внимание на критерий доступности и простоты. DPA Ирландии в деле WhatsApp заявило, что мессенджер не выполнил требования о легкодоступности политики. Компания должна использовать язык, понятный для пользователей. Это и другие нарушения стоили WhatsApp 225 млн EUR. 

Предлагаем не повторять ошибок мировых гигантов: делать текст политики понятным, выбирать удобное форматирование и внедрять функциональную навигацию. Правильно составленная политика конфиденциальности защищает как пользователей, так и бизнес, обеспечивая соответствие законам и повышая доверие к продукту.