В августе 2021 ошибки WhatsApp в составлении Privacy Policy стоили компании 225 млн EUR. А в январе 2022 года Google пришлось заплатить 90 млн EUR за нарушение процедуры согласия на использование файлов cookie. В статье IT-юристы рассказывают как избежать штрафов, блокировки IT-продуктов и составить политику конфиденциальности на сайт по требованиям GDPR, CCPA и других актов.
Что такое политика конфиденциальности?
Политика конфиденциальности — это юридическое соглашение, в котором объясняется, какую личную информацию вы собираете от посетителей веб-сайта или приложения, как ее используете и защищаете.
Для чего нужна политика конфиденциальности?
Выделим 4 причины разработать и опубликовать документ.
Выполнить требования GDPR, CCPA и локальных законов по обработке персональных данных
Разработка политики конфиденциальности — это требование закона. Если IT-продукт охватывает аудитории разных стран, то Политика конфиденциальности должна выполнять требования законов таких регионов. В таком случае действует правило: если пользователь приходит к вам, то применяется ваш закон; если вы идете к пользователю, то применяется его закон.
- В Калифорнии действует Калифорнийские закон о защите конфиденциальности в Интернете (CalOPPA) и закон о конфиденциальности потребителей (CCPA). Акты распространяются на компании, которые собирают личные данные жителей Калифорнии, а значит их действие выходит за пределы одного штата.
- В США — Закон о защите конфиденциальности детей в Интернете (COPPA) .
- В Канаде — Закон о защите личной информации и электронных документов (PIPEDA).
- В ЕС — Общий регламент по защите данных (GDPR).
От того, где находится ваш потребитель, зависит по требованиям какого акта нужно разрабатывать Privacy Policy. К примеру, есть отличия между CCPA и GDPR. Защита первого распространяется на B2C сегмент, а вот второго — на B2C и B2B.
Паблишить мобильные приложения в AppStore и Google Play
В 2018 году AppStore потребовал, чтобы все приложения опубликовали Privacy Policy. Теперь разработчики приложений для iOS должны опубликовать Политику конфиденциальности, прежде чем продукт будет отправлен на проверку в AppStore.
В Соглашении о распространении программных продуктов Google Play, с которым вы должны согласиться как разработчик, говорится, что Политика конфиденциальности требуется для всех приложений Android. Кроме этого, команда Android Security and Privacy заявила, что за 2021 год заблокировали 1,2 миллиона приложений, нарушающих конфиденциальность.
Подключить Google Analytics, Google Ads, собирать данные с помощью файлов Cookie, использовать инструменты ремаркетинга
Google Analytics включили в свой Terms of Service требование про обязательное размещение Политики конфиденциальности. Сервис хранит файлы cookie на компьютере пользователя и c их помощью собирают данные, но для таких действий нужно получить разрешение.
Google Ads требует сообщить юзерам, что IT-решение использует ремаркетинг для рекламы продукта или услуги, и пользователь может от нее отказаться.
Twitter Lead Generation Card требует ввести URL-адрес вашей Политики, чтобы воспользоваться услугами. Такое же условие у Facebook. Когда вы используете API Facebook, вы запрашиваете личные данные пользователей. Поэтому Facebook требует, чтобы вы предоставили Политику конфиденциальности и гарантировали соблюдение законов.
Подключить платежную систему для интернет-платежей
Системы эквайринга требуют, чтобы сайт или приложение уведомляли пользователей о передаче платежным системам персональных данных. Поэтому для подключения PayPal, Stripe, Apple Pay, Google Pay и других платежных систем придется разрабатывать Privacy Policy. Для оплаты в приложениях, интернет-магазинах и других IT-продуктах нужно уведомить пользователей какую финансовую информацию вы собираете и куда уходят платежные данные.
Теперь вы знаете зачем нужна политика конфиденциальности на сайте и в мобильном приложении. Дальше расскажем как владельцам IT-продуктам составить документ.
Пункты, которые нужно добавить в Privacy Policy
Ниже найдете основные вопросы, на которые стоит ответить в Политике конфиденциальности.
Какие данные вы собираете и обрабатываете?
В первую очередь дайте определение персональным данным. А дальше фиксируйте отдельные категории данных в зависимости от типа продукта.
IT-юристы Stalirov&Co разрабатывали Политику для биржи фриланса Youwex и прописали, что платформа собирает данные:
- о заказчиках: имя, фамилия, электронный адрес и пароль.
- о фрилансерах: имя, фамилия, электронный адрес, пароль, почтовый индекс, страна, знание языка, образование, опыт работы. Кроме этого фрилансер предоставляет подтверждающие документы, добавляет фото, видео и презентации.
- о результатах обслуживания: отзывы, комментарии, обращения в службу поддержки, жалобы, претензии и содержание сообщений.
- о транзакциях: кредитная/дебетовая карта.
Еще один продукт, с которым работали IT-юристы — SmartWatch Sync & Bluetooth notifier. Это приложение для синхронизации часов с Android-устройством. Перечень личной информации для этого IT-решения отличается от Youwex, и включает данные:
- учетной записи Google;
- идентификатор устройства;
- модель устройства;
- адрес электронной почты, имя, фамилия, местоположение;
- платежные данные.
Какие цели сбора и обработки данных?
Цели должны быть конкретными, законными и отчетливыми.
Для мобильной игры Island 211 IT-юристы прописали такие цели:
- регистрация в игре;
- демонстрация рекламного контента;
- проведение взаиморасчетов между игроками;
- выведение денежных средств;
- оказание клиентской поддержки и другие цели.
Цели для Youwex отличаются. Платформа собирает и обрабатывает данные, чтобы:
- помочь пользователям найти профиль фрилансера, бронировать и проводить онлайн сессии;
- проверить право на предоставление услуг в выбранном разделе и направлении, и поддерживать сервисы на высоком профессиональном уровне;
- выполнить требования законодательства в сфере финансов и бухгалтерского учета, подтвердить транзакции между заказчиком и фрилансером;
- предотвратить мошенническую деятельность на платформе и помочь управлять профилями пользователей.
Кому можно передавать собранные данные?
IT-продукт может делиться информацией с поставщиками дополнительных услуг: платежными системами, службами доставки, социальными сетями. А также с партнерами, судами, правоохранительными и государственными органам и другим лицам. Главное требование — раскрытие информации третьи лицам в объеме необходимом для выполнения запроса.
Какие сторонние сервисы использует IT-продукт?
Предупредите пользователей о том, что к их персональным данным получают доступ посторонние сервисы. Например, приложение SmartWatch использует систему Flurry — платформу аналитики мобильных приложений. Все действия и клики пользователя внутри продукта, записываются и обрабатываются. Кроме этого SmartWatch использует AdMob для упрощения получения дохода благодаря рекламе, и Firebase для аналитики.
Дополнительно приложениям нужно получать согласие на доступ к системным настройкам телефона: местоположение и вибрация, фоновая работа, открытие сетевых ссылок, функции покупок, хранение данных во внешних хранилищах. Кроме перечня, нужно описать цель доступа. Например, приложению SmartWatch нужен доступ к местоположению для поиска устройств Bluetooth в радиусе действия.
Еще один кейс IT-юристов — Hypelitix. Это веб-сервис, который предоставляет общедоступные данные профилей Instagram: метаданные постов, IGTV и историй профиля. Для распознавания текста на изображениях и видео в Instagram сервис использует Google Cloud Vision.
Задача автора Политики конфиденциальности информировать пользователя о посторонних сервисах и, по возможности, закрепить ссылки на их публичные документы. Это правило распространяется и на платежные системы.
Файлы Cookie
Сперва дайте определение Сookie.
IT-юристы готовили Политику конфиденциальности для интернет-магазина SnekerStudio. В документ внесли подробное описание видов Cookie, время и цель их хранения. Например, basket_id хранится 4 года для функционирования Корзины на сайте. Google DoubleClick применяет IDE в рекламных целях, и собирает информацию о том, как юзер использует веб-сайт. Время хранения — 1 год. Facebook использует _fbp и fr cookie для доставки релевантной рекламы. Время хранения - 2 месяца.
Важно получить явное согласие от пользователя на использование Cookie файлов и предоставить возможность отозвать такое решение.
Рассылка рекламы
Отдельный пункт Политики конфиденциальности стоит посвятить рассылке маркетинговых материалов. Обозначьте, что можете использовать данные для внутреннего маркетинга, доставки электронных писем, в том числе с помощью почтовых рассылок, SMS и текстовых сообщений. Но у пользователя должна быть возможность отказаться от рассылки. Это обязательное требование GDPR и СCPA.
Какие меры безопасности предпринимает веб-сайт или приложение?
Сайты и приложения внедряют физические, электронные и процедурные меры безопасности для защиты персональных данных. Статья 32 GDPR предлагает такие меры безопасности:
- анонимизация;
- шифрование;
- целостность и постоянная конфиденциальность;
- устойчивость систем и сервисов обработки;
- способность своевременно восстановить доступ;
- тестирование эффективности.
Где и как долго хранятся персональные данные?
Каждый IT-продукт самостоятельно определяет место и время хранения личной информации юзеров. Например биржа фриланса Youwex обязуется удалить данные платформы в течение 180 дней с момента удаления профиля.
Интернет-магазин SnekerStudio хранит данные все время существования личного кабинета.
Срок хранения у SmartWatch зависит от цели сбора данных. Например, данные регистрации учетной записи хранятся в маркетинговых целях пока приложение установлено на телефоне.
Как получить доступ, обновить или удалить данные?
Чтобы политика конфиденциальности соответствовала GDPR, опишите как пользователь может получить доступ, просмотреть, обновить, исправить и удалить любые личные данные. Алгоритм действий должен быть простым. Например, отправить запрос на адрес электронной почты.
Вот как это сделали разработчики Youwex.
2 дополнительные рекомендации для политики конфиденциальности
Размещайте Политику конфиденциальности в доступном месте
Pew Research Center опросили 4272 американца. Только 9% из них полностью читают политику конфиденциальности, прежде чем согласиться с ней. Около 36% сказали, что никогда не читают документ. Несмотря на неутешительную статистику, документ должен быть легкодоступным. К тому же это требование GDPR и CalOPPA. Пользовательские привычки демонстрируют, что регистрационная форма или футер сайта идеальные места для ссылки на Политику и получения согласия.
Пишите Политику конфиденциальности понятным для пользователя языком
Журналист Kevin Litman-Navarro изучил 150 политик конфиденциальности. С помощью сервиса Lexile он проверил насколько легко понять документы. По стандартам сервиса врачи и юристы должны понимать материал с оценкой 1440. К удивлению журналиста, многие политики превышают этот стандарт. Вам может показаться, что это второстепенный вопрос. Но даже контролирующие органы обращают внимание на критерий доступности. DPA Ирландии в деле WhatsApp заявило, что мессенджер не выполнил требования о легкодоступности политики. Компания должна использовать язык, понятный для пользователей. Это и другие нарушения стоили WhatsApp 225 млн EUR.
Предлагаем не повторять ошибок мировых гигантов: делать текст политики понятным, выбирать удобное форматирование и внедрять функциональную навигацию.