Як скласти політику конфіденційності: детальний туторіал від IT-юристів Stalirov&Co

У серпні 2021 року помилки WhatsApp у складанні Privacy Policy коштували компанії 225 млн EUR. А в січні 2022 року Google довелося заплатити 90 млн EUR за порушення процедури отримання згоди на використання файлів cookie. У статті IT-юристи розповідають як уникнути штрафів, блокування IT-продуктів та скласти політику конфіденційності за вимогами GDPR, CCPA та інших актів.

Що таке політика конфіденційності?

Політика конфіденційності — це юридична угода, в якій пояснюється, яку особисту інформацію ви збираєте від відвідувачів веб-сайту або додатку, як її використовуєте та захищаєте.

Навіщо потрібна політика конфіденційності?

Виділимо 4 причини розробити та опублікувати документ.

Виконати вимоги GDPR, CCPA та локальних законів щодо обробки персональних даних

Розробка політики конфіденційності – це вимога закону. Якщо IT-продукт охоплює аудиторії різних країн, то Політика конфіденційності має виконувати вимоги законів таких регіонів. У такому разі діє правило: якщо користувач приходить до вас, то застосовується ваш закон; якщо ви йдете до користувача, то застосовується його закон.

• У Каліфорнії діє Каліфорнійський закон про захист конфіденційності в Інтернеті (CalOPPA) та закон про конфіденційність споживачів (CCPA). Акти розповсюджуються на компанії, які збирають особисті дані мешканців Каліфорнії, а значить, їхня дія виходить за межі одного штату.
• США – Закон про захист конфіденційності дітей в Інтернеті (COPPA).
• У Канаді – Закон про захист особистої інформації та електронних документів (PIPEDA).
• У ЄС – Загальний регламент із захисту даних (GDPR).

Від того, де знаходиться ваш споживач, залежить за вимогами якого акту потрібно розробляти Privacy Policy. Наприклад, є відмінності між CCPA та GDPR. Захист першого поширюється на B2C сегмент, а другого — на B2C і B2B.

Паблішити мобільні додатки в AppStore та Google Play

У 2018 році AppStore затребував, щоб усі додатки розробили Privacy Policy. Тепер розробники додатків для iOS повинні опублікувати Політику конфіденційності, перш ніж продукт буде надіслано на перевірку в AppStore.

В Угоді про розповсюдження програмних продуктів Google Play, з якою ви повинні погодитися як розробник, йдеться про те, що Політика конфіденційності потрібна для всіх додатків Android. Крім того, команда Android Security and Privacy заявила, що за 2021 рік заблокували 1,2 мільйона додатків, що порушують конфіденційність.

Підключити Google Analytics, Google Ads, збирати дані за допомогою файлів Cookie, використовувати інструменти ремаркетингу

Google Analytics включили у свій Terms of Service вимогу про обов'язкове розміщення Політики конфіденційності. Сервіс зберігає файли cookie на комп'ютері користувача і з їх допомогою збирає дані, але для таких дій потрібно отримати дозвіл.

Google Ads вимагає повідомити користувачам, що IT-рішення використовує ремаркетинг для реклами товару чи послуги, і користувач може відмовитися від неї.

Twitter Lead Generation Card вимагає ввести URL-адресу вашої Політики, щоб скористатися послугами. Така ж умова у Facebook. Коли ви використовуєте API Facebook, ви запитуєте особисті дані користувачів. Тому Facebook вимагає, щоб ви надали Політику конфіденційності та гарантували дотримання законів.

Підключити платіжну систему для інтернет-платежів

Системи еквайрингу вимагають, щоб сайт або додаток повідомляли користувачів про передачу платіжним системам персональних даних. Тому для підключення PayPal, Stripe, Apple Pay, Google Pay та інших платіжних систем доведеться розробити Privacy Policy. Для оплати в додатках, інтернет-магазинах та інших IT-продуктах потрібно повідомити користувачів, яку фінансову інформацію ви збираєте і куди йдуть платіжні дані.

Тепер ви знаєте навіщо потрібна політика конфіденційності на сайті та у мобільному додатку. Далі розповімо як власникам ІТ-продуктів скласти документ.

Пункти, які потрібно додати до Privacy Policy

Нижче знайдете основні питання, на які варто відповісти у Політиці конфіденційності.

Які дані ви збираєте та обробляєте?

Насамперед дайте визначення персональним даним. А далі фіксуйте окремі категорії даних, залежно від типу продукту.

IT-юристи Stalirov&Co розробляли Політику для біржі фрілансу Youwex і прописали, що платформа збирає дані:

• про замовників: ім'я, прізвище, електронну адресу та пароль.
• про фрілансерів: ім'я, прізвище, електронну адресу, пароль, поштовий індекс, країна, знання мови, освіта, досвід роботи. Окрім цього фрілансер надає підтверджуючі документи, додає фото, відео та презентації.
• про результати обслуговування: відгуки, коментарі, звернення до служби підтримки, скарги, претензії та зміст повідомлень.
• про транзакції: кредитна/дебетова картка.

Ще один продукт, з яким працювали IT-юристи – SmartWatch Sync&Bluetooth notifier. Це додаток для синхронізації годинника з Android-пристроєм. Перелік особистої інформації для цього IT-рішення відрізняється від Youwex, і включає дані:

• облікового запису Google;
• ідентифікатор пристрою;
• модель пристрою;
• адресу електронної пошти, ім'я, прізвище, місцезнаходження;
• платіжні дані.

Які цілі збору та обробки даних?

Цілі мають бути конкретними, законними та чіткими.

Для мобільної гри Island 211 IT-юристи прописали такі цілі:

• реєстрація у грі;
• демонстрація рекламного контенту;
• проведення взаєморозрахунків між гравцями;
• виведення коштів;
• надання клієнтської підтримки та інші цілі.

Цілі для Youwex відрізняються. Платформа збирає та обробляє дані, щоб:

• допомогти користувачам знайти профіль фрілансера, бронювати та проводити онлайн сесії;
• перевірити право на надання послуг у вибраному розділі та напрямку, підтримувати сервіси на високому професійному рівні;
• виконати вимоги законодавства у сфері фінансів та бухгалтерського обліку, підтвердити транзакції між замовником та фрілансером;
• запобігти шахрайській діяльності на платформі та допомогти керувати профілями користувачів.

Кому можна надсилати зібрані дані?

ІТ-продукт може ділитися інформацією з постачальниками додаткових послуг: платіжними системами, службами доставки, соціальними мережами. А також із партнерами, судами, правоохоронними та державними органами та іншими особами. Головна вимога - розкриття інформації третіми особами в обсязі необхідному для виконання запиту.

Які сторонні сервіси використовує IT-продукт?

Попередьте користувачів про те, що доступ до їх персональних даних отримують сторонні сервіси. Наприклад, програма SmartWatch використовує систему Flurry - платформу аналітики мобільних додатків. Всі дії та кліки користувача всередині продукту, записуються та обробляються. Крім цього SmartWatch використовує AdMob для спрощення отримання доходу завдяки рекламі та Firebase для аналітики.

Також додатку потрібно отримувати згоду на доступ до системних налаштувань телефону: місцезнаходження та вібрація, фонова робота, відкриття мережевих посилань, функції покупок, зберігання даних у зовнішніх сховищах. Окрім переліку, потрібно описати мету доступу. Наприклад, програма SmartWatch потребує доступу до геолокації для пошуку пристроїв Bluetooth у радіусі дії.

Ще один кейс IT-юристів – Hypelitix. Це веб-сервіс, який надає загальнодоступні дані профілів Instagram: метадані постів, IGTV та історій профілю. Для розпізнавання тексту на зображеннях та відео у Instagram сервіс використовує Google Cloud Vision.

Завдання автора Політики конфіденційності інформувати користувача про сторонні сервіси та, за можливості, закріпити посилання на їхні публічні документи. Це правило поширюється і на платіжні системи.

Файли cookie

Спочатку дайте визначення Cookie.

ІТ-юристи готували Політику конфіденційності для інтернет-магазину SnekerStudio. У документ внесли докладний опис видів cookie, час та мету їх зберігання. Наприклад, basket_id зберігається 4 роки для функціонування Кошика на сайті. Google DoubleClick використовує IDE в рекламних цілях, і збирає інформацію про те, як користувач використовує сайт. Час зберігання – 1 рік. Facebook використовує _fbp та fr cookie для доставки релевантної реклами. Час зберігання – 2 місяці.

Важливо отримати явну згоду від користувача на використання Cookie файлів і надати можливість відкликати таке рішення.

Розсилки реклами

Окремий пункт Політики конфіденційності варто присвятити розсилці рекламних матеріалів. Позначте, що можете використовувати дані для внутрішнього маркетингу, доставки електронних листів, у тому числі за допомогою поштових розсилок та SMS. Але у користувача має бути можливість відмовитись від розсилки. Це обов'язкова вимога GDPR та СCPA.

Які заходи безпеки вживає веб-сайт або додаток?

Сайти та додатки впроваджують фізичні, електронні та процедурні заходи безпеки для захисту персональних даних. Стаття 32 GDPR пропонує такі заходи безпеки:

• анонімізація;
• шифрування;
• цілісність та постійна конфіденційність;
• стійкість систем та сервісів обробки;
• здатність своєчасно відновити доступ;
• тестування ефективності.

Де та як довго зберігаються персональні дані?

Кожен IT-продукт самостійно визначає місце та час зберігання особистої інформації користувачів. Наприклад, біржа фрілансу Youwex зобов'язується видалити дані платформи протягом 180 днів з моменту видалення профілю.

Інтернет-магазин SnekerStudio зберігає дані весь час існування особистого кабінету.

Термін зберігання SmartWatch залежить від мети збору даних. Наприклад, дані реєстрації облікового запису зберігаються у маркетингових цілях, поки додаток встановлений ​​на телефоні.

Як отримати доступ, оновити або видалити дані?

Щоб політика конфіденційності відповідала GDPR, опишіть, як користувач може отримати доступ, переглянути, оновити, виправити та видалити будь-які особисті дані. Алгоритм дій має бути простим. Наприклад, надіслати запит на адресу електронної пошти.

2 додаткові рекомендації щодо політики конфіденційності

Розміщуйте Політику конфіденційності у доступному місці

Pew Research Center опитали 4272 американці. Лише 9% із них повністю читають політику конфіденційності, перш ніж погодитися з нею. Близько 36% зауважили, що ніколи не читають документ. Незважаючи на невтішну статистику, документ має бути доступним. До того ж це вимога GDPR та CalOPPA. Звички користувача демонструють, що реєстраційна форма або футер сайту ідеальні місця для посилання на Політику та отримання згоди.

Пишіть Політику конфіденційності зрозумілою для користувача мовою

Журналіст Kevin Litman-Navarro дослідив 150 політик конфіденційності. За допомогою сервісу Lexile він перевірив, наскільки легко зрозуміти документи. За стандартами сервісу лікарі та юристи повинні розуміти матеріал з оцінкою 1440. Проте більшість політик перевищують цей стандарт. Вам може здатися, що це другорядне питання. Але навіть контролюючі органи звертають увагу на критерій доступності. DPA Ірландії у справі WhatsApp зазначив, що месенджер не виконав вимог щодо легкодоступності політики. Компанія повинна використовувати мову, зрозумілу для користувачів. Це та інші порушення коштували WhatsApp 225 млн. EUR.

Пропонуємо не повторювати помилок світових гігантів: робити текст політики зрозумілим, вибирати зручне форматування та впроваджувати функціональну навігацію.