Соблюдать нельзя нарушать: всё о Политике конфиденциальности
Уверены, вы не раз ставили галочку рядом с фразой «Согласен с политикой конфиденциальности», не изучив документ и даже не задумываясь о том, что он в себе несет. Однако если пользователь приложения или сайта может позволить себе игнорировать существование Политики конфиденциальности и не знать о том, кто и как хранит его персональные данные, то владелец того же сайта или приложения обязан разбираться в таких вопросах.
Политика… чего?
Privacy Policy или Политика конфиденциальности (ПК) — это документ, в котором декларируется IT-продукт — приложение или сайт. Его цель — информировать пользователя о том, как компания использует его данные. ПК определяет, что относится к персональным данным пользователя, как владелец приложения или сайта их собирает, обрабатывает, хранит и кому передает.
Что относится к персональным данным?
Любая информация, которая относится к конкретному физическому лицу, позволяющая определить его.
Например, к персональным данным не относят отдельный номер телефона как набор цифр или отдельный e-mail адрес. Но если телефон связан с конкретными ФИО человека, а e-mail состоит из имени и фамилии владельца — это уже персональные данные.
Известен случай в судебной практике, когда персональными данными были признаны обезличенный id пользователя вместе со временем просмотра веб-страницы, URL, HTTP referer, User Agent и куки.
Она нужна только тем сервисам, которые работают с кредитными картами и паспортными данными?
Нет, этот документ требуется для любых информационных ресурсов и IT-продуктов, которые используют персональные данные.
При наличии любой обратной связи, отслеживании и идентификации пользователя по его мобильному устройству — уже необходима ПК.
Можно ли обойтись без разработки Политики конфиденциальности?
При отсутствии у приложения ПК его невозможно будет загрузить в маркет приложений AppStore и Google Play.
В 2018 году AppStore потребовал, чтобы для всех приложений была опубликована Privacy Policy, соответствующая новым требованиям. Тогда же произошла самая массовая блокировка приложений в маркете — многие правообладатели не успели обновить ПК в согласно новым правилам.
Кто регулирует соблюдение Политики конфиденциальности?
В России «Политика обработки и защиты персональных данных» регулируется федеральным законом «О защите персональных данных». В Европе есть регламентируемые требования — «General Data Protection Regulation» (GDPR); в США нет единого документа — требования различны для каждого штата..
В международном законодательстве политика конфиденциальности (Privacy Policy) заточена на конкретный продукт. То есть, для каждого нового приложения или сайта, в рамках которого будет происходить обработка персональных данных, должна быть разработана своя собственная подробная ПК.
В России же акцент делается на пользователя и предоставляемую с его стороны информацию. По сути, описывается не продукт, а то, как и какие данные будут предоставляться, обрабатываться, храниться и будут ли они передаваться третьим лицам. В отличие от зарубежного аналога, российский документ может содержать более общие формулировки, но он так же должен разрабатываться для конкретного приложения.
Если приложение будет распространяться в России и за ее пределами, оно должно соответствовать не только местным, российским, но и международным актам.
Как пользователь может понять, что ПК нарушается?
Это довольно сложно, но возможно. Если изначально пользователь дал согласие на использование одних данных, а приложение начинает требовать другие — это повод подозревать нарушение ПК.
Например, неправомерную передачу данных третьим лицам можно обнаружить, если приходит уведомление от стороннего сервиса с информацией, которая должна храниться только у определенного приложения. Но сейчас пользователи каждый день оставляют свои данные множеству сервисов — от интернет-магазинов до службы такси — поэтому отследить, кто конкретно нарушил ПК и «слил» информацию практически невозможно.
Какие могут возникнуть проблемы при несоблюдении требований?
В российском законодательстве предусмотрена ответственность за нарушение Политики обработки и защиты персональных данных, а также за недоведение до пользователя условий использования его персональных данных. Размер штрафа — до 70-100 тысяч рублей за каждое нарушение. А за несоблюдение требований GDPR придется выплатить сумму побольше — можно лишиться до 4% оборота компании при регулярных нарушениях.
Другой вид санкций — блокировка приложения. Как правило, это происходит после проверки ПК со стороны маркетплейсов. AppStore и Google Play диктуют собственные требования к политике конфиденциальности — в соответствии с международным законодательством, а разработчики приложений из России руководствуются местными законами. Как итог — приложение блокируется за несоблюдение требований маркетплейса. Появляется конкуренция норм права — по факту приложение используется в России и соответствует всем ее законам, но площадки предъявляют повышенные требования, за несоблюдение которых и наказывают.
В России инициатором блокировки сайта или приложения за неправомерное использование данных часто выступает Роскомнадзор. Он является уполномоченным органом по защите прав субъектов персональных данных; ведет реестры операторов и нарушителей прав субъектов персональных данных.
Помочь выявить нарушителя могут не только специализированные органы. Любой пользователь, заметивший нарушение Политики конфиденциальности, вправе написать жалобу на правообладателя и потребовать привлечь его к ответственности. Особо внимательные и жаждущие справедливости пользователи могут писать такие заявления ежедневно — компании это будет стоить десятки тысяч рублей штрафа.
Что еще может пойти не так?
Многие крупные международные компании сталкивались со сложностями именно из-за проблем с Политикой конфиденциальности:
Facebook: несоблюдение ПК
В 2020 году Южнокорейская комиссия по защите личной информации оштрафовала Facebook на $6,1 миллионов за нарушение закона о защите персональных данных. Как выяснилось, на протяжении 6 лет, с мая 2012 года по июнь 2018 года, соцсеть передавала другим компаниям личную информацию более 3,3 миллионов человек без их согласия. Личные данные пользователя соцсети и его друзей становились доступны третьим лицам, когда для авторизации в стороннем сервисе использовалась учетная запись Facebook.
Instagram: неверная формулировка
В 2012 году Instagram обновил ПК, теперь в ней говорилось следующее: «Чтобы помочь нам с поставкой интересного платного контента, вы соглашаетесь с тем, что другие юридические лица могут платить нам за предоставление вашего имени пользователя, информации о том, что вам понравилось, фотографий и/или действий, которые вы осуществили в контексте с платным и коммерческим контентом, без какой-либо компенсации для вас».
Пользователи решили, что соцсеть будет продавать их фотографии рекламодателям, поэтому стали массово удалять аккаунты. Представителям Instagram пришлось объяснять — они лишь хотели персонализировать рекламные предложения. Они признали, что неправильная формулировка могла запутать пользователей и пообещали исправить текст.
WhatsApp: недовольство пользователей изменением Политики конфиденциальности
Согласно обновленной Политики конфиденциальности пользователи мессенджера обязаны предоставлять компании Facebook доступ к номерам телефонов, именам и фото профилей, сведениям о транзакциях, диагностическим данными из приложений и IP-адресами; Facebook также оставляла за собой право делиться данными с другими своими компаниями. На фоне этих событий выросло количество загрузок других мессенджеров: Telegram — на 91% за неделю, Signal на — 4200%. Недовольство и массовый уход пользователей заставили WhatsApp отложить обновление ПК.
Google: недостаточное информирование пользователей
Национальная комиссия по информатике и свободам Франции оштрафовала Google на 50 миллионов евро за недостаточное информирование пользователей при получении согласия на обработку и использование их данных. Комиссия утверждает, что пользователям не сообщается следующее: какие сайты имеют доступ к данным, в каком объеме они собираются и как долго хранятся. К тому же, информация разбросана по нескольким документам — из-за этого пользователям сложнее понять, что именно происходит с их данными.
Как избежать проблем при разработке ПК?
Шаг 1. Проанализировать объемы данных, которые будут обрабатываться и храниться.
Шаг 2. Разработать положения в соответствии с российским законодательством (если приложение будет выходить в других странах — в соответствии с международными требованиями).
Шаг 3. Изучить требования Apple и Google, дополнить положение в соответствии с ними — так, чтобы приложение соответствовало всем правилам.
Дополнительно можно ориентироваться на другие положения — например, на рекомендации Роскомнадзора по составлению документа, регулирующего сбор и обработку персональных данных.
Политика конфиденциальности должна быть ориентирована на обычного пользователя — быть краткой и однозначно понятной. Несмотря на то, что использование технических терминов неизбежно, сложный для восприятия юридический язык и мелкий шрифт недопустимы в документе.
Как подойти к созданию ПК?
Вариант 1. Использовать в качестве ПК стандартный шаблон из интернета или воспользоваться конструктором ПК.
Риски: получить штраф или столкнуться с блокировкой из-за нарушения ПК. В документе из интернета, скорее всего, будет описан стандартный порядок использования персональных данных. Но нет гарантии, что в действительности конкретное приложение или сайт собирает, хранит и передает данные точно таким же образом. Конструкторы ПК так же опираются на стандартные положения и не могут учесть всех тонкостей.
Вариант 2. Скачать шаблон ПК из интернета, отдать его на доработку штатному юристу.
Риски: потратить много времени — юристу, не работающему с ПК, на изучение и доработку документа понадобится несколько недель.
Вариант 3. Обратиться к аутсорсу — найти специалиста по созданию ПК. Крупные компании-разработчики предлагают такую услугу в дополнение к разработке приложения. В этом случае описать, как и какие данные обрабатываются, получиться наиболее точно и подробно.
Риски: отсутствуют (при условии высокого качества услуг). Опытные специалисты разработают документ меньше, чем за неделю.
А что делают крупные игроки?
Недавно Apple выпустила обновление iOS 14, которое запрещает передавать личные данные владельцев устройств без их личного соглашения. Специальные ярлыки в App Store сообщают, к каким данным приложение получит доступ после установки.
По следам Apple следует и Google — компания задумалась о создании аналога «ярлыка конфиденциальности» для приложений на Android. Компания ищет способ ограничить сбор и отслеживание данных в приложениях, чтобы одновременно угодить разработчикам и рекламодателям.
Теперь понятно
Политика конфиденциальности — это, прежде всего, защищенность бизнеса. Правильно составленный документ обезопасит приложение от блокировки и штрафов, а значит — от потери потребителей и прибыли. Как показывает практика, большинство проблем, связанных с ПК, можно предупредить. Поэтому перед релизом приложения лучше потратить ресурсы на качественную разработку документа у профессионалов, чем сэкономить деньги сейчас, но иметь риск в будущем потратить в десятки раз больше денег на выплату штрафов.
Тем не менее, многие компании продолжают игнорировать важность ПК. Так, к январю 2020 года было зафиксировано 160 тысяч нарушений GDPR, а общая сумма штрафов достигла 114 миллионов евро.
P.S.
Идея о том, что политика конфиденциальности — это нудный, сложный для восприятия текст, легла в основу подкаста Ts&Zzz. В нем ведущий читает пользовательские соглашения и политики конфиденциальности известных организаций, чтобы помочь слушателям быстрее заснуть. «Героями» выпусков уже стали ПК Instagram, Discord, Airbnb, TikTok и WhatsApp :)