Як скласти політику конфіденційності: детальний туторіал від IT-юристів Stalirov&Co

У листопаді 2024 року помилки  Netflix у складанні Privacy Policy коштували компанії 4,75 млн EUR. А в січні 2022 року Google довелося заплатити 90 млн EUR за порушення процедури отримання згоди на використання файлів cookie. 

У цій статті IT-юристи розповідають як уникнути штрафів, блокування IT-продуктів та скласти політику конфіденційності за вимогами GDPR, CCPA та інших актів.

Що таке політика конфіденційності та угода користувача?

Політика конфіденційності (Privacy Policy) — це юридична угода, в якій пояснюється, яку особисту інформацію ви збираєте від відвідувачів веб-сайту або додатку, як її використовуєте та захищаєте.

Також на вебсайтах і в мобільних додатках розміщують Угоду користувача, яка описує правила взаємодії користувачів із програмним продуктом.

Ці два документи допоможуть знизити ризик претензій, виконати вимоги законодавства та підвищити довіру користувачів.

Навіщо потрібна політика конфіденційності?

Виділимо 4 причини розробити та опублікувати документ.

Виконати вимоги GDPR, CCPA та локальних законів щодо обробки персональних даних

Розробка політики конфіденційності – це вимога закону. Якщо IT-продукт охоплює аудиторії різних країн, то Політика конфіденційності має виконувати вимоги законів таких регіонів. 

• У Каліфорнії діє Каліфорнійський закон про захист конфіденційності в Інтернеті (CalOPPA) та закон про конфіденційність споживачів (CCPA). Акти розповсюджуються на компанії, які збирають особисті дані мешканців Каліфорнії, а значить, їхня дія виходить за межі одного штату. Ваша компанія може знаходитися в Сіетлі або Бостоні, але обробляти персональні дані користувачів із Каліфорнії. У такому разі компанія із Сіетла або Бостона повинна виконувати вимоги CalOPPA та CCPA.
• США – Закон про захист конфіденційності дітей в Інтернеті (COPPA).
• У Канаді – Закон про захист особистої інформації та електронних документів (PIPEDA).
• У ЄС – Загальний регламент із захисту даних (GDPR).

Від того, де знаходиться ваш споживач, залежить за вимогами якого акту потрібно розробляти Privacy Policy.

Паблішити мобільні додатки в AppStore та Google Play

У 2018 році AppStore затребував, щоб усі додатки розробили Privacy Policy. Тепер розробники додатків для iOS повинні опублікувати Політику конфіденційності, перш ніж продукт буде надіслано на перевірку в AppStore.

В Угоді про розповсюдження програмних продуктів Google Play, з якою ви повинні погодитися як розробник, йдеться про те, що Політика конфіденційності потрібна для всіх додатків Android. Крім того, команда Android Security and Privacy заявила, що за 2021 рік заблокували 1,2 мільйона додатків, що порушують конфіденційність.

Підключити Google Analytics, Google Ads, збирати дані за допомогою файлів Cookie, використовувати інструменти ремаркетингу

Google Analytics включили у свій Terms of Service вимогу про обов'язкове розміщення Політики конфіденційності. Сервіс зберігає файли cookie на комп'ютері користувача і з їх допомогою збирає дані, але для таких дій потрібно отримати дозвіл.

Google Ads вимагає повідомити користувачам, що IT-рішення використовує ремаркетинг для реклами товару чи послуги, і користувач може відмовитися від неї.

Twitter Lead Generation Card вимагає ввести URL-адресу вашої Політики, щоб скористатися послугами. Така ж умова у Facebook. Коли ви використовуєте API Facebook, ви запитуєте особисті дані користувачів. Тому Facebook вимагає, щоб ви надали Політику конфіденційності та гарантували дотримання законів.

Однак на практиці компанії не завжди розкривають, як обробляють дані.

Підключити платіжну систему для інтернет-платежів

Системи еквайрингу вимагають, щоб сайт або додаток повідомляли користувачів про передачу платіжним системам персональних даних. Тому для підключення PayPal, Stripe, Apple Pay, Google Pay та інших платіжних систем доведеться розробити Privacy Policy. Для оплати в додатках, інтернет-магазинах та інших IT-продуктах потрібно повідомити користувачів, яку фінансову інформацію ви збираєте і куди йдуть платіжні дані.

Тепер ви знаєте навіщо потрібна політика конфіденційності на сайті та у мобільному додатку. Далі розповімо як власникам ІТ-продуктів скласти документ.

Пункти, які потрібно додати до Privacy Policy

Нижче знайдете основні питання, на які варто відповісти у Політиці конфіденційності.

Які дані ви збираєте та обробляєте?

Насамперед дайте визначення персональним даним. Наприклад, це будь-яка інформація, яка прямо чи опосередковано відноситься до конкретного користувача. А далі фіксуйте окремі категорії даних, залежно від типу продукту.

IT-юристи Stalirov&Co розробляли Політику для біржі фрілансу Youwex і прописали, що платформа збирає дані:

• про замовників: ім'я, прізвище, електронну адресу та пароль.
• про фрілансерів: ім'я, прізвище, електронну адресу, пароль, поштовий індекс, країна, знання мови, освіта, досвід роботи. Окрім цього фрілансер надає підтверджуючі документи, додає фото, відео та презентації.
• про результати обслуговування: відгуки, коментарі, звернення до служби підтримки, скарги, претензії та зміст повідомлень.
• про транзакції: кредитна/дебетова картка.

Ще один продукт, з яким працювали IT-юристи – SmartWatch Sync&Bluetooth notifier. Це додаток для синхронізації годинника з Android-пристроєм. Перелік особистої інформації для цього IT-рішення відрізняється від Youwex, і включає дані:

• облікового запису Google;
• ідентифікатор пристрою;
• модель пристрою;
• адресу електронної пошти, ім'я, прізвище, місцезнаходження;
• платіжні дані.

Також IT-юристи Stalirov&Co розробили політику для InsuranceHunter, платформи пошуку страхових компаній у США та ЄС. Документ було складено відповідно до вимог CCPA та GDPR.

Ось список особистої інформації, яку InsuranceHunter збирає про користувачів:

• Дані для ідентифікації: ім’я, дата народження, вік та будь-які відомості про сім’ю.
• Біографічні дані: сімейний стан, стать і статус зайнятості.
• Контактні дані: домашня або інша фізична адреса, електронна пошта та номер телефону.
• Дані про водія: відомості про автомобільні аварії та інформація про транспортний засіб.
• Фінансові дані: кредитна інформація та річний дохід.
• Дані про стан здоров’я: біометричні параметри (зріст, вага) та відомості про стан здоров’я.
• Технічна інформація: IP-адреса або ідентифікатор.

Які цілі збору та обробки даних?

Цілі мають бути конкретними, законними та чіткими.

Для мобільної гри Island 211 IT-юристи прописали такі цілі:

• реєстрація у грі;
• демонстрація рекламного контенту;
• проведення взаєморозрахунків між гравцями;
• виведення коштів;
• надання клієнтської підтримки та інші цілі.

Цілі для Youwex відрізняються. Платформа збирає та обробляє дані, щоб:

• допомогти користувачам знайти профіль фрілансера, бронювати та проводити онлайн сесії;
• перевірити право на надання послуг у вибраному розділі та напрямку, підтримувати сервіси на високому професійному рівні;
• виконати вимоги законодавства у сфері фінансів та бухгалтерського обліку, підтвердити транзакції між замовником та фрілансером;
• запобігти шахрайській діяльності на платформі та допомогти керувати профілями користувачів.

Забороняється використовувати дані для цілей, не зазначених у політиці. Компанія Twitter порушила це правило, і їй доведеться виплатити 150 мільйонів доларів за рішенням Федеральної торгової комісії США. Усе через те, що Twitter отримав номери телефонів користувачів під приводом використання їх у цілях безпеки, але використовував їх для таргетованої реклами.

Кому можна надсилати зібрані дані?

ІТ-продукт може ділитися інформацією з постачальниками додаткових послуг: платіжними системами, службами доставки, соціальними мережами. А також із партнерами, судами, правоохоронними та державними органами. Головна вимога - розкриття інформації третіми особами в обсязі необхідному для виконання запиту, але не більше. Такі особи повинні дотримуватися правил політики конфіденційності під час взаємодії з даними користувачів. У політиці необхідно вказати, кому передаються дані та з якою метою.

Які сторонні сервіси використовує IT-продукт?

Попередьте користувачів про те, що доступ до їх персональних даних отримують сторонні сервіси. Наприклад, програма SmartWatch використовує систему Flurry - платформу аналітики мобільних додатків. Всі дії та кліки користувача всередині продукту, записуються та обробляються. Крім цього SmartWatch використовує AdMob для спрощення отримання доходу завдяки рекламі та Firebase для аналітики.

Також додатку потрібно отримувати згоду на доступ до системних налаштувань телефону: місцезнаходження та вібрація, фонова робота, відкриття мережевих посилань, функції покупок, зберігання даних у зовнішніх сховищах. Окрім переліку, потрібно описати мету доступу. Наприклад, програма SmartWatch потребує доступу до геолокації для пошуку пристроїв Bluetooth у радіусі дії.

Ще один кейс IT-юристів – Hypelitix. Це веб-сервіс, який надає загальнодоступні дані профілів Instagram: метадані постів, IGTV та історій профілю. Для розпізнавання тексту на зображеннях та відео у Instagram сервіс використовує Google Cloud Vision.

Завдання політики конфіденційності інформувати користувача про сторонні сервіси та, за можливості, закріпити посилання на їхні публічні документи. Це правило поширюється і на платіжні системи.

Файли cookie

Спочатку дайте визначення Cookie.

Щоб відповідати вимогам GDPR, потрібно:

• Отримати явну згоду користувачів перед активацією будь-яких файлів Cookie.
• Пояснити, які дані збирає кожен Cookie і з якою метою, використовуючи зрозумілу та доступну мову.
• Фіксувати й зберігати підтверджену згоду користувачів.
• Забезпечити користувачам доступ до функціоналу сайту навіть у разі відмови від Cookie.
• Надати можливість відкликати згоду так само легко, як і надати її.

Важливо отримати явну згоду від користувача на використання Cookie файлів і надати можливість відкликати таке рішення.

Щоб уникнути штрафів, додайте до політики таку інформацію:

• Які види файлів Cookie застосовуються на сайті?
• Які персональні дані збираються і обробляються за їхньою допомогою?
• Де саме будуть оброблятися дані та в які країни або організації вони можуть передаватися?
• Які цілі використання файлів Cookie?
• Протягом якого періоду вони відстежуватимуть активність користувачів?
• Як користувачі можуть надати згоду на використання Cookie або відмовитися від них?
• Які кроки потрібно зробити, щоб відкликати свою згоду?

Розсилки реклами

У липні 2020 року Управління захисту даних Італії наклало штраф у розмірі 17 млн ​​EUR на телекомунікаційну компанію Wind за її незаконну діяльність у галузі прямого маркетингу. Компанія розсилала італійцям рекламу без їхньої згоди. Але відмовитися від неї клієнти не змогли через те, що вказано неправильні контактні дані.

Такий самий кейс був у гіганта фінансових послуг BBVA. Іспанський DPA наклав на компанію 5 млн EUR штрафу за відправку SMS-повідомлень без згоди споживачів.

Які заходи безпеки вживає веб-сайт або додаток?

Сайти та додатки впроваджують фізичні, електронні та процедурні заходи безпеки для захисту персональних даних. Стаття 32 GDPR пропонує такі заходи безпеки:

• анонімізація;
• шифрування;
• цілісність та постійна конфіденційність;
• стійкість систем та сервісів обробки;
• здатність своєчасно відновити доступ;
• тестування ефективності.

Наприклад, некостодіальний гаманець Hasher Wallet, для якого IT-юристи Stalirov&Co розробляли політику конфіденційності, забезпечує шифрування даних із використанням AES-192-CBC, хешування md5 та анонімізацію. Доступ до застосунку зашифрований за допомогою технології безпеки транспортного рівня (TLS). Також Hasher Wallet застосовує сувору транспортну безпеку HTTPS.

Як довго зберігаються персональні дані?

Дані повинні зберігатися не довше, ніж це необхідно для досягнення цілей, для яких вони були зібрані. Наприклад, біржа фрілансу Youwex зобов'язується видалити дані платформи протягом 180 днів з моменту видалення профілю.

Термін зберігання SmartWatch залежить від мети збору даних. Наприклад, дані реєстрації облікового запису зберігаються у маркетингових цілях, поки додаток встановлений ​​на телефоні.

Месенджер Dober зберігає персональні дані користувачів до моменту видалення облікового запису.

Як отримати доступ, оновити або видалити дані?

Щоб політика конфіденційності відповідала GDPR, опишіть, як користувач може отримати доступ, переглянути, оновити, виправити та видалити будь-які особисті дані. Алгоритм дій має бути простим. Наприклад, надіслати запит на адресу електронної пошти.

Де і як розмістити політику конфіденційності на сайті?

Pew Research Center опитали 4272 американці. Лише 9% із них повністю читають політику конфіденційності, перш ніж погодитися з нею. Близько 36% зауважили, що ніколи не читають документ. Незважаючи на невтішну статистику, документ має бути доступним. До того ж це вимога GDPR та CalOPPA. Звички користувача демонструють, що реєстраційна форма та футер сайту ідеальні місця для посилання на Політику та отримання згоди.

Пишіть Політику конфіденційності зрозумілою для користувача мовою

Журналіст Кевін Літман-Наварро вивчив 150 політик конфіденційності. За допомогою сервісу Lexile він перевірив, наскільки легко зрозуміти документи. За стандартами сервісу лікарі та юристи повинні розуміти матеріал з оцінкою 1440. На здивування журналіста, багато політик виявилися занадто складними і перевищили цей стандарт.

Контролюючі органи звертають увагу на критерій доступності та простоти. DPA Ірландії у справі WhatsApp заявила, що месенджер не виконав вимоги щодо легкодоступності політики. Компанія повинна використовувати мову, зрозумілу для користувачів. Це та інші порушення коштували WhatsApp 225 млн EUR.

Пропонуємо не повторювати помилок світових гігантів: робити текст політики зрозумілим, вибирати зручне форматування і впроваджувати функціональну навігацію. Правильно складена політика конфіденційності захищає як користувачів, так і бізнес, забезпечуючи відповідність законам і підвищуючи довіру до продукту.