Сбор данных в эпоху конфиденциальности: как и зачем использовать Google Consent mode. 1 часть — GDPR

Этой статьей мы начинаем цикл материалов, посвященных Google Consent mode. Тема не новая, но информации в интернете по ней не так много, и зачастую она содержит либо сугубо юридические аспекты, либо только техническую реализацию. Мы же попытаемся раскрыть вопрос наиболее полно и создать целостную картину, рассказав о законах, которые повлияли на создание Google Consent mode, и о том, как и зачем российским компаниям его использовать.

В этой части не будет практики, но вся информация будет тесно связана с режимом согласия Google, поскольку в его основе лежат принципы Общего регламента по защите данных (GDPR), о котором и пойдет речь.

General Data Protection Regulation — европейский закон, который в корне поменял правила сбора и обработки личной информации, заставив многие компании пересмотреть свои политики конфиденциальности. Регламент был принят в мае 2018 года и предоставил резидентам Евросоюза возможность управлять своими персональными данными: IP-адресами, идентификаторами устройств, местоположением, файлами cookie и т.д. Теперь у пользователей появилась возможность легко запрашивать у компаний цель сбора и обработки личной информации, место хранения и, в случае необходимости, делать запрос на ее удаление.

Сбор данных в эпоху конфиденциальности: как и зачем использовать Google Consent mode. 1 часть — GDPR

Несмотря на то, что GDPR — европейский закон, соблюдать его приходится любому сервису, который использует данные граждан ЕС, независимо от того, где он зарегистрирован.

За нарушение норм GDPR для компаний предусматриваются внушительные штрафы (вплоть до 4% годового дохода бизнеса, или €20 млн.) Например, уже в первый день действия регламента Google и Facebook получили исков на общую сумму в $8,8 млрд.

________________________________________________________________

Подход к защите персональных данных в GDPR основан на семи главных принципах:

  • Законность, справедливость и прозрачность (личная информация должна быть получена законными и справедливыми средствами с согласия субъекта данных);
  • Ограничения цели использования (данные пользователя можно применять только с целью, о которой вы ему сообщили);
  • Минимизация данных (не собирать больше пользовательских данных, чем вам необходимо для работы);
  • Точность (персональная информация должна быть точной, полной и актуальной);
  • Ограничение хранения (собранные данные можно хранить только в течение времени, необходимого для достижения цели, с которой вы их собрали);
  • Конфиденциальность (личные данные должны быть защищены от потери или несанкционированного доступа, уничтожения, использования, модификации или раскрытия);
  • Подотчетность (Компании должны доказать, что придерживаются всех принципов GDPR).

Что появилось с введением GDPR?

  • Многоуровневая система штрафов в зависимости от тяжести нарушения:

•Уровень 1: 2% от глобального оборота или €10 млн.

•Уровень 2: 4% глобального оборота или €20 млн.

  • Требование к получению однозначных и добровольных согласий на обработку персональных данных;
  • Расширение права на доступ к персональным данным, их удаление и перенос;
  • Требование к проведению компаниями инвентаризации информационных активов;
  • Необходимость предоставить регулятору отчеты об утечках данных в течение 72 часов с момента обнаружения инцидента, а также проинформировать владельца персональных данных;
  • Ответственность операторов персональных данных за обработчиков личной информации;
  • Необходимость соблюдения требований по информационной безопасности при проектировании ИТ-решений;
  • Наличие в ЕС представителей зарубежных компаний, обрабатывающих большие объемы персональных данных;
  • Добавление биометрических и генетических данных к специальным категориям личной информации;
  • Особые требования для мониторинга, шифрования и обезличивания данных.

Основные выводы:

  • Цели GDPR: унификация и защита пользовательских данных, приведение в соответствие технологий актуальному законодательству.
  • Каждый резонансный инфоповод утечки данных или другой чувствительной информации ведет к ужесточению политики GDPR.
  • Для компаний GDPR означает:
  • Серьезные штрафы за нарушение требований;
  • Внедрение технических решений для соблюдения закона;
  • Максимально ответственное отношение к утечкам и возможным уязвимостям.

Крупные последствия

За нарушение GDPR многие компании получили огромные штрафы, в том числе и всем известные техногиганты. Вот несколько ярких примеров:

Свежий кейс 2022 года: взыскания в размере €210 млн с Google и Meta за нарушение правил использования файлов cookie во Франции. Французский регулятор установил, что "сайты facebook.com, google.fr и youtube.com не позволяют отказываться от установки cookie так же легко, как и соглашаться".

Крупный штраф для Amazon размером €746 млн в 2021 г. Конкретные причины штрафа пока не обнародованы, но известно, что нарушение связано с согласием на использование файлов cookie. Пока что это самый крупный штраф за нарушение GDPR.

Google получил штраф на €50 млн в 2020 году за отсутствие «прозрачности» и использование персональных данных в рекламных целях. Эксперты посчитали, что компания Google недостаточно проинформировала пользователей об использовании их данных.

  • Особые требования для мониторинга, шифрования и обезличивания данных.
Сбор данных в эпоху конфиденциальности: как и зачем использовать Google Consent mode. 1 часть — GDPR

Подробнее об истории штрафов можно почитать в презентации KPMG, где разбираются многие юридические аспекты.

Что с защитой данных в России?

Закон о персональных данных в РФ (№ 152-ФЗ) напрямую не сообщает, входят ли cookie в понятие «персональных данных».

Но в случае признания личной информации пользователей онлайн-ресурсов персональными данными, к компаниям применяются обязанности операторов, в частности — требование о локализации обработки персональных данных граждан России. Так, со 2 декабря 2019 года введены специальные штрафы за нарушение данного правила. Сумма взыскания для компаний может составить от 1 до 6 млн руб., а в случае повторного нарушения — до 18 млн руб.

Российская Федерация не входит в ЕС, поэтому GDPR не распространяется на ее территорию. Однако дочерние структуры российских организаций, работающие в Евросоюзе, попадают под действие регламента напрямую. А на организации, расположенные за пределами территории ЕС и обрабатывающие данные европейцев, регламент влияет косвенно – через их деловых партнеров, которые вынуждены учитывать риски такого сотрудничества.

Поэтому, если ваш сайт рассчитан на аудиторию из стран Евросоюза, согласие пользователей на сбор cookie – обязателен.

Также, например, сайт, расположенный в Бразилии и показывающий персонализированную рекламу или контент пользователям из Португалии, обязан для соблюдения регламента GDPR запрашивать согласие пользователей на обработку персональных данных.

Основные выводы:

  • Законодательство РФ не дает однозначных трактовок о том, что является персональными данными (cookie), но оставляет возможность попадания под штраф.
  • Несоблюдение законодательства ЕС не грозит штрафами компаниям нерезидентам ЕС, но может грозить санкциями от подрядчиков и партнеров из ЕС.

После введения GDPR компаниям пришлось пересмотреть свои подходы к принципам сбора и анализа личных данных, что повлекло за собой массу изменений в ИТ-экосистеме. В следующих частях мы более детально рассмотрим, как GDPR повлиял на web-аналитику, что нужно делать, чтобы соблюдать его нормы, и как в этом помогает Google consent mode.

Авторы: Матвей Попков - аналитик Centra

1717
2 комментария

"как и зачем использовать Google Consent Mode"
*описание закона GDPR*
Лично я зашёл прочитать про этот режим

В следующих частях мы более детально рассмотрим, как GDPR повлиял на web-аналитику, что нужно делать, чтобы соблюдать его нормы, и как в этом помогает Google consent mode. Скоро вернемся со следующим выпуском)