Блокировки приложений в App Store или Google Play стали всё чаще и чаще, а требования законов всё выше и выше. Одна из главных причин блокировок приложений в сторах - отсутствие необходимой юридической документации.
Сегодня в статье мы разберём что же это такое Privacy Policy и почему важно иметь этот юридический документ.
Privacy Policy - это политика конфиденциальности, которую декларирует в своём IT-продукте разработчик или издатель. В ней определяют политику в отношении персональных и других данных, которые вы получаете от пользователя. Основная задача Privacy Policy – декларировать и донести до пользователя продукта какие данные собираются, как они обрабатываются и как они раскрываются (передаются третьим лицам). Документ требуется для всех видов IT-продуктов, к примеру, фактически, устанавливая приложение, пользователь соглашается с описанными в политике конфиденциальности положениями.
Резюме
В российском законодательстве это называется "Политика обработки и защиты персональных данных", которая закрепляет схожие с Privacy Policy положения и регулируется Федеральным законом от 27 июля 2006 г. N 152-ФЗ “О персональных данных”.
В Европейском Союзе и странах, входящих в его состав - установлены требования регламентом Regulation (EU) 2016/679 (General Data Protection Regulation), который вступил в юридическую силу 25 мая 2018 года. Помните всем приходили уведомления об изменении в политике конфиденциальности и была повсеместная истерия что же делать и как подгонять свой продукт к новым требованиям?
В Соединенных Штатах Америки нет единого кодифицированного федерального закона, однако вопрос о защите персональных данных разрозненно регулируют различные федеральные законы и законы штатов (к примеру, есть прекрасный солнечный штат Калифорния, где на каждый случай жизни есть свой отдельный закон - к примеру, California Consumer Privacy Act of 2018, который во многом напоминает всем известный GDPR), руководящие принципы, разработанные правительственными учреждениями и отраслевыми группами, которые не имеют силы закона, но должны исполняться. Почему-то в США это децентрализованное регулирование считается «передовой практикой»...
Как видно - в каждом регионе правовое регулирование политики конфиденциальности своё, соответственно, отличаются требования и понятие что такое персональные данные, как с ними работать. Один из ярких примеров - вопрос считается ли IP-адрес персональными данными: в Российской Федерации - не считается, в Евросоюзе считается, а в США - зависит от случая, но по общей тенденции не считается.
Есть одно важное различие между Privacy Policy и нашей российской "Политикой обработки и защиты персональных данных": Privacy Policy должна быть более детальной и "заточенной" под продукт, который регулирует, в отличии от "Политики обработки...", которая регулирует все связи с персональными данными физических лиц - покупателей, работников, заказчиков и т.д. Конечно, никто не мешает и под продукт создать отдельную "Политику обработки..." в рамках российского законодательства - нарушением являться не будет.
В связи с тем, что правовое регулирование полностью различное, несмотря на схожие цели - недостаточно взять готовый шаблон "Политики обработки...", использовать Google Translate для перевода на английский и радоваться как ловко сэкономили деньги на юристе. Требуется отдельная разработка политики конфиденциальности в зависимости от характера и сферы продукта, аудитории, способа монетизации, используемых технологий, наличия партнеров, рекламодателей и применимого законодательство, а также в совокупности с положениями как минимум Terms & Conditions (пользовательское соглашение) и EULA (лицензионное соглашение).
Однажды, ко мне обратились за юридическим аудитом одной мобильной игры, сказав, что юрист подготовил для них все документы. Они их опубликовали, но в сторах оказались заблокированными. Когда посмотрел документы - я долго смеялся, т.к. тот юрист взял типовое пользовательское соглашение на русском языке, с использованием переводчика перевёл его на английский язык и рандомно в заголовках указал "(GDPR)", ведь заказчик просил сделать в соответствии с GDPR!...
Риски
Зачем же столько документов на английском языке, да к тому же в соответствии с чужим законодательством?
Для объяснения мы будем использовать ситуацию, когда есть просто мобильное приложение (допустим, казуальная синглпеерная игра) от разработчика из России. И оценим возможные риски.
1. Сразу хочу развенчать миф о гигантских штрафах по GDPR в размере 20 000 000 € или до 4 % от годового оборота компании. Во-первых, если Вы из России - им со своим штрафом до Вас не дотянуться и не взыскать, поскольку Российская Федерация не является участницей таких международных договоров с ЕС. А вот, если есть у вас есть точка продаж или представительство в странах ЕС, то уже не получится прикрыться этим от санкций за правонарушения. Во-вторых, исполнительные органы Евросоюза очень адекватны и если они увидели какие-то нарушения, то они прежде всего свяжутся с Вами и укажут на эти нарушения, дадут срок их устранить, а если надо - предложат инструкцию как.
А вот что могут сделать: запретить доступ к Вашему IT-продукту своим гражданам и запретить Вам въезд в страну, где нарушили законодательство.
2. App Store и Google Play - сторы, которые подчиняются прежде всего требованиям законодательства, где созданы и предъявляют соответствующие требования.
30 августа 2018 года Apple в ультимативной форме потребовал, чтобы у всех приложений, опубликованных в App Store были опубликованы политики конфиденциальности до 3 октября 2018 года, иначе обещали блокировать. С одной стороны пользователи теперь могут ознакомится с порядком обработки их персональных данных, с другой стороны - разработчик волен в любой момент внести изменения в политику конфиденциальности, включив в нее условия, ущемляющие права пользователей (если политика опубликована на стороннем ресурсе).
Google уже с 2017 года требует и блокирует приложения, которые юридически не соответствуют предъявляемым требованиям. Обращу внимание, что Google более придирчив к правовой документации приложений в отличии от Apple, зато все приложения iOS в App Store попадают под стандартную защиту EULA от Apple.
Мобильные приложения в основном распространяются через эти сторы и даже временная блокировка на них ведёт к потере аудитории, а соответственно, отсутствию платежей и развитию. В общем, блокировка или удаление из App Store и Google Play мобильного приложения - это очень критичный момент для бизнеса.
3. Риски получения гражданско-правовых исков от пользователей зарубежных стран о возмещении причинённого вреда также никто не отменял (статья 1219 Гражданского кодекса Российской Федерации).
Полностью обезопасить свой бизнес от всех предполагаемых рисков - просто невозможно, однако будет разумно минимизировать их и создать условия для выполнения минимальных требований законодательства, где ведётся бизнес, где основная масса пользователей и где Вы сами. Таким образом, большинство проблем можно не решать, а просто предупредить их...
Спасибо за внимание!