м. Київ, вул. Кудряшова 3
ПН-ПТ: 9:00-19:00 СБ: 10:00-17:00
Блог /

Як скласти політику конфіденційності: детальний туторіал від IT-юристів Stalirov&Co

У серпні 2021 року помилки WhatsApp у складанні Privacy Policy коштували компанії 225 млн EUR. А в січні 2022 року Google довелося заплатити 90 млн EUR за порушення процедури отримання згоди на використання файлів cookie. У статті IT-юристи розповідають як уникнути штрафів, блокування IT-продуктів та скласти політику конфіденційності за вимогами GDPR, CCPA та інших актів.

Що таке політика конфіденційності?

Політика конфіденційності — це юридична угода, в якій пояснюється, яку особисту інформацію ви збираєте від відвідувачів веб-сайту або додатку, як її використовуєте та захищаєте.

 

Навіщо потрібна політика конфіденційності?

Виділимо 4 причини розробити та опублікувати документ.

Виконати вимоги GDPR, CCPA та локальних законів щодо обробки персональних даних

Розробка політики конфіденційності – це вимога закону. Якщо IT-продукт охоплює аудиторії різних країн, то Політика конфіденційності має виконувати вимоги законів таких регіонів. У такому разі діє правило: якщо користувач приходить до вас, то застосовується ваш закон; якщо ви йдете до користувача, то застосовується його закон.

  • У Каліфорнії діє Каліфорнійський закон про захист конфіденційності в Інтернеті (CalOPPA) та закон про конфіденційність споживачів (CCPA). Акти розповсюджуються на компанії, які збирають особисті дані мешканців Каліфорнії, а значить, їхня дія виходить за межі одного штату.
  • США – Закон про захист конфіденційності дітей в Інтернеті (COPPA).
  • У Канаді – Закон про захист особистої інформації та електронних документів (PIPEDA).
  • У ЄС – Загальний регламент із захисту даних (GDPR).

Від того, де знаходиться ваш споживач, залежить за вимогами якого акту потрібно розробляти Privacy Policy. Наприклад, є відмінності між CCPA та GDPR. Захист першого поширюється на B2C сегмент, а другого — на B2C і B2B.

 

Паблішити мобільні додатки в AppStore та Google Play

У 2018 році AppStore затребував, щоб усі додатки розробили Privacy Policy. Тепер розробники додатків для iOS повинні опублікувати Політику конфіденційності, перш ніж продукт буде надіслано на перевірку в AppStore.

 

В Угоді про розповсюдження програмних продуктів Google Play, з якою ви повинні погодитися як розробник, йдеться про те, що Політика конфіденційності потрібна для всіх додатків Android. Крім того, команда Android Security and Privacy заявила, що за 2021 рік заблокували 1,2 мільйона додатків, що порушують конфіденційність.

 

Підключити Google Analytics, Google Ads, збирати дані за допомогою файлів Cookie, використовувати інструменти ремаркетингу

Google Analytics включили у свій Terms of Service вимогу про обов'язкове розміщення Політики конфіденційності. Сервіс зберігає файли cookie на комп'ютері користувача і з їх допомогою збирає дані, але для таких дій потрібно отримати дозвіл.

 

Google Ads вимагає повідомити користувачам, що IT-рішення використовує ремаркетинг для реклами товару чи послуги, і користувач може відмовитися від неї.

 

Twitter Lead Generation Card вимагає ввести URL-адресу вашої Політики, щоб скористатися послугами. Така ж умова у Facebook. Коли ви використовуєте API Facebook, ви запитуєте особисті дані користувачів. Тому Facebook вимагає, щоб ви надали Політику конфіденційності та гарантували дотримання законів.

 

У 2020 році активісти виявили, що Zoom для iOS відправляє аналітичні дані до Facebook, навіть якщо користувачі не мають облікового запису в соціальній мережі. Але у політиці конфіденційності не було жодного слова про це. Після розголосу, сервіс для відеоконференцій провели оновлення та припинили обмін інформацією.

 

Підключити платіжну систему для інтернет-платежів

Системи еквайрингу вимагають, щоб сайт або додаток повідомляли користувачів про передачу платіжним системам персональних даних. Тому для підключення PayPal, Stripe, Apple Pay, Google Pay та інших платіжних систем доведеться розробити Privacy Policy. Для оплати в додатках, інтернет-магазинах та інших IT-продуктах потрібно повідомити користувачів, яку фінансову інформацію ви збираєте і куди йдуть платіжні дані.

 

Тепер ви знаєте навіщо потрібна політика конфіденційності на сайті та у мобільному додатку. Далі розповімо як власникам ІТ-продуктів скласти документ.

 

Пункти, які потрібно додати до Privacy Policy

Нижче знайдете основні питання, на які варто відповісти у Політиці конфіденційності.

Які дані ви збираєте та обробляєте?

Насамперед дайте визначення персональним даним. А далі фіксуйте окремі категорії даних, залежно від типу продукту.

Персональні дані -  це будь-яка інформація, яка прямо чи опосередковано відноситься до конкретного користувача.

 

IT-юристи Stalirov&Co розробляли Політику для біржі фрілансу Youwex і прописали, що платформа збирає дані:

  • про замовників: ім'я, прізвище, електронну адресу та пароль.
  • про фрілансерів: ім'я, прізвище, електронну адресу, пароль, поштовий індекс, країна, знання мови, освіта, досвід роботи. Окрім цього фрілансер надає підтверджуючі документи, додає фото, відео та презентації.
  • про результати обслуговування: відгуки, коментарі, звернення до служби підтримки, скарги, претензії та зміст повідомлень.
  • про транзакції: кредитна/дебетова картка.

 

Ще один продукт, з яким працювали IT-юристи – SmartWatch Sync&Bluetooth notifier. Це додаток для синхронізації годинника з Android-пристроєм. Перелік особистої інформації для цього IT-рішення відрізняється від Youwex, і включає дані:

  • облікового запису Google;
  • ідентифікатор пристрою;
  • модель пристрою;
  • адресу електронної пошти, ім'я, прізвище, місцезнаходження;
  • платіжні дані.

 

Які цілі збору та обробки даних?

Цілі мають бути конкретними, законними та чіткими.

Для мобільної гри Island 211 IT-юристи прописали такі цілі:

  • реєстрація у грі;
  • демонстрація рекламного контенту;
  • проведення взаєморозрахунків між гравцями;
  • виведення коштів;
  • надання клієнтської підтримки та інші цілі.

 

Цілі для Youwex відрізняються. Платформа збирає та обробляє дані, щоб:

  • допомогти користувачам знайти профіль фрілансера, бронювати та проводити онлайн сесії;
  • перевірити право на надання послуг у вибраному розділі та напрямку, підтримувати сервіси на високому професійному рівні;
  • виконати вимоги законодавства у сфері фінансів та бухгалтерського обліку, підтвердити транзакції між замовником та фрілансером;
  • запобігти шахрайській діяльності на платформі та допомогти керувати профілями користувачів.

 

Кому можна надсилати зібрані дані?

ІТ-продукт може ділитися інформацією з постачальниками додаткових послуг: платіжними системами, службами доставки, соціальними мережами. А також із партнерами, судами, правоохоронними та державними органами та іншими особами. Головна вимога - розкриття інформації третіми особами в обсязі необхідному для виконання запиту.

 

Які сторонні сервіси використовує IT-продукт?

Попередьте користувачів про те, що доступ до їх персональних даних отримують сторонні сервіси. Наприклад, програма SmartWatch використовує систему Flurry - платформу аналітики мобільних додатків. Всі дії та кліки користувача всередині продукту, записуються та обробляються. Крім цього SmartWatch використовує AdMob для спрощення отримання доходу завдяки рекламі та Firebase для аналітики.

 

Також додатку потрібно отримувати згоду на доступ до системних налаштувань телефону: місцезнаходження та вібрація, фонова робота, відкриття мережевих посилань, функції покупок, зберігання даних у зовнішніх сховищах. Окрім переліку, потрібно описати мету доступу. Наприклад, програма SmartWatch потребує доступу до геолокації для пошуку пристроїв Bluetooth у радіусі дії.

 

Ще один кейс IT-юристів – Hypelitix. Це веб-сервіс, який надає загальнодоступні дані профілів Instagram: метадані постів, IGTV та історій профілю. Для розпізнавання тексту на зображеннях та відео у Instagram сервіс використовує Google Cloud Vision.

 

Завдання автора Політики конфіденційності інформувати користувача про сторонні сервіси та, за можливості, закріпити посилання на їхні публічні документи. Це правило поширюється і на платіжні системи.

 

Файли cookie

Спочатку дайте визначення Cookie.

Це фрагмент даних, який сервер надсилає до веб-браузера користувача. Cookie застосовується для аналітики, продуктивності та в рекламних цілях.

 

ІТ-юристи готували Політику конфіденційності для інтернет-магазину SnekerStudio. У документ внесли докладний опис видів cookie, час та мету їх зберігання. Наприклад, basket_id зберігається 4 роки для функціонування Кошика на сайті. Google DoubleClick використовує IDE в рекламних цілях, і збирає інформацію про те, як користувач використовує сайт. Час зберігання – 1 рік. Facebook використовує _fbp та fr cookie для доставки релевантної реклами. Час зберігання – 2 місяці.

 

Порушення правил GDPR щодо Cookie файлів призводить до штрафів. У січні 2022 року французький орган із захисту даних (CNIL) наклав на Google LLC 90 млн EUR штрафу. Все тому, що на YouTube легко прийняти файли cookie, а відмовитись від них складніше. CNIL зазначив, що для відмови від файлів cookie YouTube потрібно, щоб користувач зробив кілька кліків, а для прийняття – лише один клік. Але відмова від використання Cookie має бути такою ж простою, як і згода, а Google порушили такі вимоги GDPR.

 

Важливо отримати явну згоду від користувача на використання Cookie файлів і надати можливість відкликати таке рішення.

 

Розсилки реклами

Окремий пункт Політики конфіденційності варто присвятити розсилці рекламних матеріалів. Позначте, що можете використовувати дані для внутрішнього маркетингу, доставки електронних листів, у тому числі за допомогою поштових розсилок та SMS. Але у користувача має бути можливість відмовитись від розсилки. Це обов'язкова вимога GDPR та СCPA.

 

У липні 2020 року Управління захисту даних Італії наклало штраф у розмірі 17 млн ​​EUR на телекомунікаційну компанію Wind за її незаконну діяльність у галузі прямого маркетингу. Компанія розсилала італійцям рекламу без їхньої згоди. Але відмовитися від неї клієнти не змогли через те, що вказано неправильні контактні дані.

 

Такий самий кейс був у гіганта фінансових послуг BBVA. Іспанський DPA наклав на компанію 5 млн EUR штрафу за відправку SMS-повідомлень без згоди споживачів.

 

Які заходи безпеки вживає веб-сайт або додаток?

Сайти та додатки впроваджують фізичні, електронні та процедурні заходи безпеки для захисту персональних даних. Стаття 32 GDPR пропонує такі заходи безпеки:

  • анонімізація;
  • шифрування;
  • цілісність та постійна конфіденційність;
  • стійкість систем та сервісів обробки;
  • здатність своєчасно відновити доступ;
  • тестування ефективності.

 

Наведемо приклади порушень. Аудиторія Zoom збільшиласьвся з 10 мільйонів щоденних користувачів у грудні 2019 року до 300 мільйонів щоденних користувачів у квітні 2020 року. Через це методи безпеки програми зазнали ретельної перевірки. Експерти виявили низку порушень.
🔸У березні 2020 року дослідник Джонатан Лейтшу виявив у Zoom для Mac тривіальну віддалену вразливість 0day, яка дозволяє будь-якому шкідливому ПЗ включати камеру без дозволу користувача.
🔸Пізніше The New York Times повідомив, що Zoom використовував функцію інтелектуального аналізу даних, яка зіставляла імена та адреси електронної пошти користувачів Zoom із їхніми профілями LinkedIn без відома користувачів. Такі дії порушують правила GDPR про анонімність. У відповідь на критику Zoom назавжди видалив цю функцію.
🔸І одна з останніх проблем - мікрофон Mac може залишатися включеним і слухати, навіть після закінчення зборів Zoom.
Такі ситуації демонструють, що Zoom не вживає достатніх заходів безпеки, щоб відповідати вимогам ст. 32 GDPR.

 

Де та як довго зберігаються персональні дані?

Кожен IT-продукт самостійно визначає місце та час зберігання особистої інформації користувачів. Наприклад, біржа фрілансу Youwex зобов'язується видалити дані платформи протягом 180 днів з моменту видалення профілю.

Інтернет-магазин SnekerStudio зберігає дані весь час існування особистого кабінету.

Термін зберігання SmartWatch залежить від мети збору даних. Наприклад, дані реєстрації облікового запису зберігаються у маркетингових цілях, поки додаток встановлений ​​на телефоні.

 

Як отримати доступ, оновити або видалити дані?

Щоб політика конфіденційності відповідала GDPR, опишіть, як користувач може отримати доступ, переглянути, оновити, виправити та видалити будь-які особисті дані. Алгоритм дій має бути простим. Наприклад, надіслати запит на адресу електронної пошти.

Ось як це зробили розробники Youwex. Користувач може увійти до свого профілю та змінити інформацію про себе в тому об’ємі, який дозволено системою. Також він має право подати запит на зміну інформації про себе електронною поштою: support@youwex.com. Якщо він хоче подати запит на видалення персональних даних відповідно до вимог GDPR, йому необхідно надіслати повідомлення на ел. пошту support@youwex.com. При наданні запиту електронною поштою користувача попросять надати інформацію для ідентифікації та перевірки.

 

2 додаткові рекомендації щодо політики конфіденційності

Розміщуйте Політику конфіденційності у доступному місці

Pew Research Center опитали 4272 американці. Лише 9% із них повністю читають політику конфіденційності, перш ніж погодитися з нею. Близько 36% зауважили, що ніколи не читають документ. Незважаючи на невтішну статистику, документ має бути доступним. До того ж це вимога GDPR та CalOPPA. Звички користувача демонструють, що реєстраційна форма або футер сайту ідеальні місця для посилання на Політику та отримання згоди.

 

Пишіть Політику конфіденційності зрозумілою для користувача мовою

Журналіст Kevin Litman-Navarro дослідив 150 політик конфіденційності. За допомогою сервісу Lexile він перевірив, наскільки легко зрозуміти документи. За стандартами сервісу лікарі та юристи повинні розуміти матеріал з оцінкою 1440. Проте більшість політик перевищують цей стандарт. Вам може здатися, що це другорядне питання. Але навіть контролюючі органи звертають увагу на критерій доступності. DPA Ірландії у справі WhatsApp зазначив, що месенджер не виконав вимог щодо легкодоступності політики. Компанія повинна використовувати мову, зрозумілу для користувачів. Це та інші порушення коштували WhatsApp 225 млн. EUR.

 

Пропонуємо не повторювати помилок світових гігантів: робити текст політики зрозумілим, вибирати зручне форматування та впроваджувати функціональну навігацію.

 

Меню статті
Слідкуйте за останніми новинами

Останні статті

Як забезпечити безпеку даних за допомогою DPA?
Як забезпечити безпеку даних за допомогою DPA?
27.07.22
Що таке Data protection agreement, кому потрібно підписувати DPA та що написати в DPA
Читати статтю
Data protection officer - кому потрібен і які функції у фахівця
Data protection officer - кому потрібен і які функції у фахівця
08.07.22
Каким компаниям нужны Data protection officers и какие задачи выполняет сотрудник.
Читати статтю
Як організувати релокейт у Польщу: гайд з реєстрації IT-компанії та оформлення команди
Як організувати релокейт у Польщу: гайд з реєстрації IT-компанії та оформлення команди
16.06.22
Якщо ви збираєтеся організувати релокейт в Польщу, стаття для вас. IT-юристи розповідають як вийти на європейський ринок, зареєструвати компанію, перекласти та оформити команду.
Читати статтю
Як скласти політику конфіденційності: детальний туторіал від IT-юристів Stalirov&Co
Як скласти політику конфіденційності: детальний туторіал від IT-юристів Stalirov&Co
01.06.22
Політика конфіденційності. Як скласти політику конфіденційності для сайту
Читати статтю
Інструкція для IT-компаній зі складання гіг-контрактів
Інструкція для IT-компаній зі складання гіг-контрактів
31.05.22
Розповідаємо про плюси і мінуси гіг-контракту, і чим він відрізняється від договору з ФОП.
Читати статтю

Кейси на тему статті

Всі кейси
Передзвоніть мені IT-юрист зв'яжеться з вами
для обговорення деталей
Дякуємо за звернення!

IT-юрист зв'яжеться з вами та розкаже про юридичні рішення

OK
Дякуємо за запит!

IT-юрист зателефонує вам для з'ясування деталей

OK
Дякуємо за відгук!

Ми будемо раді, якщо ви розкажете про нас друзям і колегам

OK
Дякуємо за запит!

Команда IT-юристів зв'яжеться з вами та розкаже про варіанти рішень

OK
Дякуємо за запит!

IT-юрист зв'яжеться з вами та поставить декілька додаткових питань

OK
Дякуємо за інтерес!

Очікуйте рекомендації IT-юристів

OK
Дякуємо за запит!

Команда IT-юристів підготує рішення для вас

OK
Дякуємо за звернення!

IT-юрист розбере вашу ситуацію та запропонує рішення

OK