Сбор данных в эпоху конфиденциальности: как и зачем использовать Google Consent mode. 1 часть — GDPR

В этой части не будет практики, но вся информация будет тесно связана с режимом согласия Google, поскольку в его основе лежат принципы Общего регламента по защите данных (GDPR), о котором и пойдет речь.

General Data Protection Regulation — европейский закон, который в корне поменял правила сбора и обработки личной информации, заставив многие компании пересмотреть свои политики конфиденциальности. Регламент был принят в мае 2018 года и предоставил резидентам Евросоюза возможность управлять своими персональными данными: IP-адресами, идентификаторами устройств, местоположением, файлами cookie и т.д. Теперь у пользователей появилась возможность легко запрашивать у компаний цель сбора и обработки личной информации, место хранения и, в случае необходимости, делать запрос на ее удаление.

Несмотря на то, что GDPR — европейский закон, соблюдать его приходится любому сервису, который использует данные граждан ЕС, независимо от того, где он зарегистрирован.

За нарушение норм GDPR для компаний предусматриваются внушительные штрафы (вплоть до 4% годового дохода бизнеса, или €20 млн.) Например, уже в первый день действия регламента Google и Facebook получили исков на общую сумму в $8,8 млрд.

________________________________________________________________

Подход к защите персональных данных в GDPR основан на семи главных принципах:

• Законность, справедливость и прозрачность (личная информация должна быть получена законными и справедливыми средствами с согласия субъекта данных);

• Ограничения цели использования (данные пользователя можно применять только с целью, о которой вы ему сообщили);

• Минимизация данных (не собирать больше пользовательских данных, чем вам необходимо для работы);

• Точность (персональная информация должна быть точной, полной и актуальной);

• Ограничение хранения (собранные данные можно хранить только в течение времени, необходимого для достижения цели, с которой вы их собрали);

• Конфиденциальность (личные данные должны быть защищены от потери или несанкционированного доступа, уничтожения, использования, модификации или раскрытия);

• Подотчетность (Компании должны доказать, что придерживаются всех принципов GDPR).

Что появилось с введением GDPR?

• Многоуровневая система штрафов в зависимости от тяжести нарушения:

•Уровень 1: 2% от глобального оборота или €10 млн.

•Уровень 2: 4% глобального оборота или €20 млн.

• Требование к получению однозначных и добровольных согласий на обработку персональных данных;

• Расширение права на доступ к персональным данным, их удаление и перенос;

• Требование к проведению компаниями инвентаризации информационных активов;

• Необходимость предоставить регулятору отчеты об утечках данных в течение 72 часов с момента обнаружения инцидента, а также проинформировать владельца персональных данных;

• Ответственность операторов персональных данных за обработчиков личной информации;

• Необходимость соблюдения требований по информационной безопасности при проектировании ИТ-решений;

• Наличие в ЕС представителей зарубежных компаний, обрабатывающих большие объемы персональных данных;

• Добавление биометрических и генетических данных к специальным категориям личной информации;

• Особые требования для мониторинга, шифрования и обезличивания данных.

Основные выводы:

• Цели GDPR: унификация и защита пользовательских данных, приведение в соответствие технологий актуальному законодательству.

• Каждый резонансный инфоповод утечки данных или другой чувствительной информации ведет к ужесточению политики GDPR.

• Для компаний GDPR означает:

• Серьезные штрафы за нарушение требований;
• Внедрение технических решений для соблюдения закона;
• Максимально ответственное отношение к утечкам и возможным уязвимостям.

Крупные последствия

За нарушение GDPR многие компании получили огромные штрафы, в том числе и всем известные техногиганты. Вот несколько ярких примеров:

Свежий кейс 2022 года: взыскания в размере €210 млн с Google и Meta за нарушение правил использования файлов cookie во Франции. Французский регулятор установил, что "сайты facebook.com, google.fr и youtube.com не позволяют отказываться от установки cookie так же легко, как и соглашаться".

Крупный штраф для Amazon размером €746 млн в 2021 г. Конкретные причины штрафа пока не обнародованы, но известно, что нарушение связано с согласием на использование файлов cookie. Пока что это самый крупный штраф за нарушение GDPR.

Google получил штраф на €50 млн в 2020 году за отсутствие «прозрачности» и использование персональных данных в рекламных целях. Эксперты посчитали, что компания Google недостаточно проинформировала пользователей об использовании их данных.

• Особые требования для мониторинга, шифрования и обезличивания данных.

Подробнее об истории штрафов можно почитать в презентации KPMG, где разбираются многие юридические аспекты.

Что с защитой данных в России?

Закон о персональных данных в РФ (№ 152-ФЗ) напрямую не сообщает, входят ли cookie в понятие «персональных данных».

Но в случае признания личной информации пользователей онлайн-ресурсов персональными данными, к компаниям применяются обязанности операторов, в частности — требование о локализации обработки персональных данных граждан России. Так, со 2 декабря 2019 года введены специальные штрафы за нарушение данного правила. Сумма взыскания для компаний может составить от 1 до 6 млн руб., а в случае повторного нарушения — до 18 млн руб.

Российская Федерация не входит в ЕС, поэтому GDPR не распространяется на ее территорию. Однако дочерние структуры российских организаций, работающие в Евросоюзе, попадают под действие регламента напрямую. А на организации, расположенные за пределами территории ЕС и обрабатывающие данные европейцев, регламент влияет косвенно – через их деловых партнеров, которые вынуждены учитывать риски такого сотрудничества.

Поэтому, если ваш сайт рассчитан на аудиторию из стран Евросоюза, согласие пользователей на сбор cookie – обязателен.

Также, например, сайт, расположенный в Бразилии и показывающий персонализированную рекламу или контент пользователям из Португалии, обязан для соблюдения регламента GDPR запрашивать согласие пользователей на обработку персональных данных.

Основные выводы:

• Законодательство РФ не дает однозначных трактовок о том, что является персональными данными (cookie), но оставляет возможность попадания под штраф.

• Несоблюдение законодательства ЕС не грозит штрафами компаниям нерезидентам ЕС, но может грозить санкциями от подрядчиков и партнеров из ЕС.

После введения GDPR компаниям пришлось пересмотреть свои подходы к принципам сбора и анализа личных данных, что повлекло за собой массу изменений в ИТ-экосистеме. В следующих частях мы более детально рассмотрим, как GDPR повлиял на web-аналитику, что нужно делать, чтобы соблюдать его нормы, и как в этом помогает Google consent mode.

Авторы: Матвей Попков - аналитик Centra