г. Киев, ул. Кудряшова 3
ПН-ПТ: 9:00-19:00 СБ: 10:00-17:00

Как составить политику конфиденциальности: подробный туториал от IT-юристов Stalirov&Co

В августе 2021 ошибки WhatsApp в составлении Privacy Policy стоили компании 225 млн EUR. А в январе 2022 года Google пришлось заплатить 90 млн EUR за нарушение процедуры согласия на использование файлов cookie. В статье IT-юристы рассказывают как избежать штрафов, блокировки IT-продуктов и составить политику конфиденциальности на сайт по требованиям GDPR, CCPA и других актов.

Что такое политика конфиденциальности?

Политика конфиденциальности — это юридическое соглашение, в котором объясняется, какую личную информацию вы собираете от посетителей веб-сайта или приложения, как ее используете и защищаете. 

Политика конфиденциальности на сайт

Для чего нужна политика конфиденциальности?

Выделим 4 причины разработать и опубликовать документ.

Выполнить требования GDPR, CCPA и локальных законов по обработке персональных данных

Разработка политики конфиденциальности — это требование закона. Если IT-продукт охватывает аудитории разных стран, то Политика конфиденциальности должна выполнять требования законов таких регионов. В таком случае действует правило: если пользователь приходит к вам, то применяется ваш закон; если вы идете к пользователю, то применяется его закон. 

  • В Калифорнии действует Калифорнийские закон о защите конфиденциальности в Интернете (CalOPPA) и закон о конфиденциальности потребителей (CCPA). Акты распространяются на компании, которые собирают личные данные жителей Калифорнии, а значит их действие выходит за пределы одного штата.
  • В США —  Закон о защите конфиденциальности детей в Интернете (COPPA) .
  • В Канаде — Закон о защите личной информации и электронных документов (PIPEDA).
  • В ЕС — Общий регламент по защите данных (GDPR).

От того, где находится ваш потребитель, зависит по требованиям какого акта нужно разрабатывать Privacy Policy. К примеру, есть отличия между CCPA и GDPR. Защита первого распространяется на B2C сегмент, а вот второго — на B2C и B2B. 

 

Паблишить мобильные приложения в AppStore и Google Play

В 2018 году AppStore потребовал, чтобы все приложения опубликовали Privacy Policy. Теперь разработчики приложений для iOS должны опубликовать Политику конфиденциальности, прежде чем продукт будет отправлен на проверку в AppStore.

 

В Соглашении о распространении программных продуктов Google Play, с которым вы должны согласиться как разработчик, говорится, что Политика конфиденциальности требуется для всех приложений Android. Кроме этого, команда Android Security and Privacy заявила, что за 2021 год заблокировали 1,2 миллиона приложений, нарушающих конфиденциальность.

 

Подключить Google Analytics, Google Ads, собирать данные с помощью файлов Cookie, использовать инструменты ремаркетинга

Google Analytics включили в свой Terms of Service требование про обязательное размещение Политики конфиденциальности. Сервис хранит файлы cookie на компьютере пользователя и c их помощью собирают данные, но для таких действий нужно получить разрешение.

 

Google Ads требует сообщить юзерам, что IT-решение использует ремаркетинг для рекламы продукта или услуги, и пользователь может от нее отказаться.

 

Twitter Lead Generation Card требует ввести URL-адрес вашей Политики, чтобы воспользоваться услугами. Такое же условие у Facebook. Когда вы используете API Facebook, вы запрашиваете личные данные пользователей. Поэтому Facebook требует, чтобы вы предоставили Политику конфиденциальности и гарантировали соблюдение законов.

 

В 2020 году активисты обнаружили, что Zoom для iOS отправляет аналитические данные в Facebook, даже если у пользователей нет учетной записи в социальной сети. Но в политики конфиденциальности не было ни слова об этом. После огласки, сервис для видеоконференций провели обновление и прекратили обмен информацией.

 

Подключить платежную систему для интернет-платежей

Системы эквайринга требуют, чтобы сайт или приложение уведомляли пользователей о передаче платежным системам персональных данных. Поэтому для подключения PayPal, Stripe, Apple Pay, Google Pay и других платежных систем придется разрабатывать Privacy Policy. Для оплаты в приложениях, интернет-магазинах и других IT-продуктах нужно уведомить пользователей какую финансовую информацию вы собираете и куда уходят платежные данные.

 

Теперь вы знаете зачем нужна политика конфиденциальности на сайте и в мобильном приложении. Дальше расскажем как владельцам IT-продуктам составить документ.

 

Пункты, которые нужно добавить в Privacy Policy

Ниже найдете основные вопросы, на которые стоит ответить в Политике конфиденциальности.

Какие данные вы собираете и обрабатываете?

В первую очередь дайте определение персональным данным. А дальше фиксируйте отдельные категории данных в зависимости от типа продукта. 

Персональные данные - это любая информация, которая прямо или косвенно относится к конкретному пользователю.

IT-юристы Stalirov&Co разрабатывали Политику для биржи фриланса Youwex и прописали, что платформа собирает данные:

  • о заказчиках: имя, фамилия, электронный адрес и пароль.
  • о фрилансерах: имя, фамилия, электронный адрес, пароль, почтовый индекс, страна, знание языка, образование, опыт работы. Кроме этого фрилансер предоставляет подтверждающие документы, добавляет фото, видео и презентации.
  • о результатах обслуживания: отзывы, комментарии, обращения в службу поддержки, жалобы, претензии и содержание сообщений.
  • о транзакциях: кредитная/дебетовая карта.

 

Еще один продукт, с которым работали IT-юристы  —  SmartWatch Sync & Bluetooth notifier. Это приложение для синхронизации часов с Android-устройством. Перечень личной информации для этого IT-решения отличается от Youwex, и включает данные:

  • учетной записи Google;
  • идентификатор устройства;
  • модель устройства;
  • адрес электронной почты, имя, фамилия, местоположение;
  • платежные данные. 

 

Какие цели сбора и обработки данных?

Цели должны быть конкретными, законными и отчетливыми. 

 

Для мобильной игры Island 211 IT-юристы прописали такие цели:

  • регистрация в игре;
  • демонстрация рекламного контента;
  • проведение взаиморасчетов между игроками;
  • выведение денежных средств;
  • оказание клиентской поддержки и другие цели.

 

Цели для Youwex отличаются. Платформа собирает и обрабатывает данные, чтобы:

  • помочь пользователям найти профиль фрилансера, бронировать и проводить онлайн сессии;
  • проверить право на предоставление услуг в выбранном разделе и направлении, и поддерживать сервисы на высоком профессиональном уровне;
  • выполнить требования законодательства в сфере финансов и бухгалтерского учета, подтвердить транзакции между заказчиком и фрилансером;
  • предотвратить мошенническую деятельность на платформе и помочь управлять профилями пользователей.

 

Кому можно передавать собранные данные?

IT-продукт может делиться информацией с поставщиками дополнительных услуг: платежными системами, службами доставки, социальными сетями. А также с партнерами, судами, правоохранительными и государственными органам и другим лицам.  Главное требование — раскрытие информации третьи лицам в объеме необходимом для выполнения запроса.

 

Какие сторонние сервисы использует IT-продукт?

Предупредите пользователей о том, что к их персональным данным получают доступ посторонние сервисы. Например, приложение SmartWatch использует систему Flurry —  платформу аналитики мобильных приложений. Все действия и клики пользователя внутри продукта, записываются и обрабатываются. Кроме этого SmartWatch  использует AdMob  для упрощения получения дохода благодаря рекламе, и Firebase для аналитики.

 

Дополнительно приложениям нужно получать согласие на доступ к системным настройкам телефона: местоположение и вибрация, фоновая работа, открытие сетевых ссылок, функции покупок, хранение данных во внешних хранилищах. Кроме перечня, нужно описать цель доступа. Например, приложению SmartWatch нужен доступ к местоположению для поиска устройств Bluetooth в радиусе действия.

 

Еще один кейс IT-юристов — Hypelitix. Это веб-сервис, который предоставляет общедоступные данные профилей Instagram: метаданные постов, IGTV и историй профиля. Для распознавания текста на изображениях и видео в  Instagram сервис использует Google Cloud Vision.

 

Задача автора Политики конфиденциальности информировать пользователя о посторонних сервисах и, по возможности, закрепить ссылки на их публичные документы. Это правило распространяется и на платежные системы.

 

Файлы Cookie

Сперва дайте определение Сookie.

Это фрагмент данных, который сервер отправляет в веб-браузер пользователя. Cookie применяется для аналитики, продуктивности и в рекламных целях. 

 

IT-юристы готовили Политику конфиденциальности для интернет-магазина SnekerStudio. В документ внесли подробное описание видов Cookie, время и цель их хранения. Например, basket_id хранится 4 года для функционирования Корзины на сайте. Google DoubleClick применяет IDE в рекламных целях, и собирает информацию о том, как юзер использует веб-сайт. Время хранения — 1 год. Facebook использует _fbp  и fr cookie для доставки релевантной рекламы. Время хранения - 2 месяца.

 

Нарушение правил GDPR o Cookie файлах приводит к штрафам. В январе 2022 года французский орган по защите данных (CNIL) наложил на Google LLC 90 млн EUR штрафа. Все потому, что на YouTube легко принять файлы cookie, а отказаться от них сложнее. CNIL отметил, что для отказа от файлов cookie YouTube требуется, чтобы пользователь сделал несколько кликов, а для принятия — всего один клик. Но отказ от использования Cookie должен быть таким же простым, как и согласие, а Google нарушили такое требования GDPR.

 

Важно получить явное согласие от пользователя на использование Cookie файлов и предоставить возможность отозвать такое решение. 

 

Рассылка рекламы

Отдельный пункт Политики конфиденциальности стоит посвятить рассылке маркетинговых материалов. Обозначьте, что можете использовать данные для внутреннего маркетинга, доставки электронных писем, в том числе с помощью почтовых рассылок, SMS и текстовых сообщений. Но у пользователя должна быть возможность отказаться от рассылки. Это обязательное требование GDPR и СCPA.

 

В июле 2020 года Управление по защите данных Италии наложило штраф в размере 17 млн EUR на телекоммуникационную компанию Wind за ее незаконную деятельность в области прямого маркетинга. Компания рассылала итальянцам рекламу без их согласия. Но отказаться от нее клиенты не смогли из-за того, что указаны неверные контактные данные.

 

Такой же кейс был у гиганта финансовых услуг BBVA. Испанский DPA наложил на компанию 5 млн EUR штрафа за отправку SMS-сообщений без согласия потребителей.

Какие меры безопасности предпринимает веб-сайт или приложение?

Сайты и приложения внедряют физические, электронные и процедурные меры безопасности для защиты персональных данных. Статья 32 GDPR предлагает такие меры безопасности:

  • анонимизация;
  • шифрование;
  • целостность и постоянная конфиденциальность;
  • устойчивость систем и сервисов обработки;
  • способность своевременно восстановить доступ;
  • тестирование эффективности.

 

Приведем пример нарушений. Аудитория Zoom увеличилась с 10 миллионов ежедневных пользователей в декабре 2019 года до 300 миллионов ежедневных пользователей в апреле 2020 года. Вместе с этим методы безопасности программы подверглись тщательной проверке. Эксперты обнаружили ряд нарушений. 
🔸В марте 2020 году исследователь Джонатан Лейтшу обнаружил в Zoom для Mac тривиальную удаленную уязвимость 0day, которая позволяет любому вредоносному ПО включать камеру без разрешения пользователя.
🔸Позже The New York Times сообщил, что Zoom использовал функцию интеллектуального анализа данных, которая сопоставляла имена и адреса электронной почты пользователей Zoom с их профилями LinkedIn без ведома пользователей. Такие действия нарушают правила GDPR об анонимности. В ответ на критику, Zoom навсегда удалил эту функцию. 
🔸И одна из последних проблем - микрофон Mac моu оставаться включенным и слушать, даже после окончания собрания Zoom.
Такие ситуации демонстрируют, что Zoom не предпринимает достаточные меры безопасности, чтобы соответствовать требованиям ст. 32 GDPR.

 

Где и как долго хранятся персональные данные?

Каждый IT-продукт самостоятельно определяет место и время хранения личной информации юзеров. Например биржа фриланса Youwex обязуется удалить данные платформы в течение 180 дней с момента удаления профиля. 

Интернет-магазин SnekerStudio хранит данные все время существования личного кабинета. 

Срок хранения у SmartWatch зависит от цели сбора данных. Например, данные регистрации учетной записи хранятся в маркетинговых целях пока приложение установлено на телефоне. 

 

Как получить доступ, обновить или удалить данные?

Чтобы политика конфиденциальности соответствовала GDPR, опишите как пользователь может получить доступ, просмотреть, обновить, исправить и удалить любые личные данные. Алгоритм действий должен быть простым. Например, отправить запрос на адрес электронной почты. 

Вот как это сделали разработчики Youwex.

Пользователь может войти в свой профиль и изменить информацию о себе в той степени, в которой это позволяет система. Также он имеет право подать запрос на изменение информации о себе по электронной почте: support@youwex.com. Если он хочет подать запрос на удаление персональных данных в соответствии с требованиями GDPR, ему необходимо отправить сообщение на эл. почту support@youwex.com. При подаче запроса по электронной почте пользователя попросят предоставить информацию, для идентификации и проверки. 

 

2 дополнительные рекомендации для политики конфиденциальности

Размещайте Политику конфиденциальности в доступном месте

Pew Research Center опросили 4272 американца. Только 9% из них полностью читают политику конфиденциальности, прежде чем согласиться с ней. Около 36% сказали, что никогда не читают документ. Несмотря на неутешительную статистику, документ должен быть легкодоступным. К тому же это требование GDPR и CalOPPA. Пользовательские привычки демонстрируют, что регистрационная форма или футер сайта идеальные места для ссылки на Политику и получения согласия.

Пишите Политику конфиденциальности понятным для пользователя языком

Журналист Kevin Litman-Navarro изучил 150 политик конфиденциальности. С помощью сервиса Lexile он проверил насколько легко понять документы. По стандартам сервиса врачи и юристы должны понимать материал с оценкой 1440. К удивлению журналиста, многие политики превышают этот стандарт. Вам может показаться, что это второстепенный вопрос. Но даже контролирующие органы обращают внимание на критерий доступности. DPA Ирландии в деле WhatsApp заявило, что мессенджер не выполнил требования о легкодоступности политики. Компания должна использовать язык, понятный для пользователей. Это и другие нарушения стоили WhatsApp 225 млн EUR. 

 

Предлагаем не повторять ошибок мировых гигантов: делать текст политики понятным, выбирать удобное форматирование и внедрять функциональную навигацию.

 

 

Меню статьи

Ответы на часто задаваемые вопросы

  • Как правильно сообщить пользователям об изменениях в нашей политике конфиденциальности?

    Пользователи должны дать явное согласие с обновленными правилами политики. Используйте всплывающее окно, чтобы проинформировать об изменениях и получить согласие.

  • Как часто следует обновлять политику конфиденциальности?

    Документ нужно обновлять каждый раз, когда возникают изменения в процессе сбора, обработки и хранения данных. Например, расширяется перечень персональных данные, которые обрабатывает компания, новые стороны получают доступ к данным или меняется место хранения. Политика конфиденциальности - это инструкция для пользователя, которая всегда должна быть актуальной. 

     

    Также, стоит вносить изменения, когда обновляется законодательство. Например, в июле 2023 года вступили в силу изменения CCPA. Это значит, что програмним продуктам, которые обрабатывают персональные данные жителей Калифорнии, нужно обновить политики. 

  • Нужны ли нам отдельные политики конфиденциальности для разных юрисдикций?

    Не нужно составлять отдельные политики конфиденциальности для разных юрисдикций. Достаточно написать один документ по требованиям законов, которые действуют в странах пользователей вашего програмного продукта. Например, политика конфиденциальности на сайте, который доступнен в Европе и США, должна одновременно учитывать требования GDPR и CCPA.

Последние статьи

Про контролируемые иностранные компании (КИК) для IT-бизнеса простыми словами
Про контролируемые иностранные компании (КИК) для IT-бизнеса простыми словами
18.09.23
Что такое КИК, какую отчетность нужно подавать и какие налоги платить - рассказываем в статье
Читать статью

Кейсы по теме статьи

Все кейсы
Для полноценной работы веб-сайта и улучшения предоставления услуг мы используем анонимные данные, предоставленные файлами Cookies!
ОК
Перезвоните мне IT-юрист свяжется с вами
для обсуждения деталей
Запрос на расчет услуги IT-юрист свяжется с вами
для обсуждения деталей
Благодарим за обращение!

IT-юрист свяжется с вами и расскажет о юридических решениях

OK
Благодарим за запрос!

IT-юрист перезвонит вам для обсуждения деталей

OK
Благодарим за отзыв!

Мы будем рады, если вы расскажете о нас друзьям и коллегам

OK
Благодарим за запрос!

Команда IT-юристов свяжется с вами и расскажет о вариантах решений

OK
Благодарим за запрос!

IT-юрист свяжется с вами и задаст несколько дополнительных вопросов

OK
Благодарим за интерес!

Ожидайте рекомендации IT-юристов

OK
Благодарим за запрос!

Команда IT-юристов подготовит решение для вас

OK
Благодарим за обращение!

IT-юрист разберет вашу ситуацию и предложит решение

OK