Сбор данных в эпоху конфиденциальности: как и зачем использовать Google Consent mode. 1 часть — GDPR
Этой статьей мы начинаем цикл материалов, посвященных Google Consent mode. Тема не новая, но информации в интернете по ней не так много, и зачастую она содержит либо сугубо юридические аспекты, либо только техническую реализацию. Мы же попытаемся раскрыть вопрос наиболее полно и создать целостную картину, рассказав о законах, которые повлияли на создание Google Consent mode, и о том, как и зачем российским компаниям его использовать.
В этой части не будет практики, но вся информация будет тесно связана с режимом согласия Google, поскольку в его основе лежат принципы Общего регламента по защите данных (GDPR), о котором и пойдет речь.
General Data Protection Regulation — европейский закон, который в корне поменял правила сбора и обработки личной информации, заставив многие компании пересмотреть свои политики конфиденциальности. Регламент был принят в мае 2018 года и предоставил резидентам Евросоюза возможность управлять своими персональными данными: IP-адресами, идентификаторами устройств, местоположением, файлами cookie и т.д. Теперь у пользователей появилась возможность легко запрашивать у компаний цель сбора и обработки личной информации, место хранения и, в случае необходимости, делать запрос на ее удаление.
Несмотря на то, что GDPR — европейский закон, соблюдать его приходится любому сервису, который использует данные граждан ЕС, независимо от того, где он зарегистрирован.
За нарушение норм GDPR для компаний предусматриваются внушительные штрафы (вплоть до 4% годового дохода бизнеса, или €20 млн.) Например, уже в первый день действия регламента Google и Facebook получили исков на общую сумму в $8,8 млрд.
________________________________________________________________
Подход к защите персональных данных в GDPR основан на семи главных принципах:
- Законность, справедливость и прозрачность (личная информация должна быть получена законными и справедливыми средствами с согласия субъекта данных);
- Ограничения цели использования (данные пользователя можно применять только с целью, о которой вы ему сообщили);
- Минимизация данных (не собирать больше пользовательских данных, чем вам необходимо для работы);
- Точность (персональная информация должна быть точной, полной и актуальной);
- Ограничение хранения (собранные данные можно хранить только в течение времени, необходимого для достижения цели, с которой вы их собрали);
- Конфиденциальность (личные данные должны быть защищены от потери или несанкционированного доступа, уничтожения, использования, модификации или раскрытия);
- Подотчетность (Компании должны доказать, что придерживаются всех принципов GDPR).
Что появилось с введением GDPR?
- Многоуровневая система штрафов в зависимости от тяжести нарушения:
•Уровень 1: 2% от глобального оборота или €10 млн.
•Уровень 2: 4% глобального оборота или €20 млн.
- Требование к получению однозначных и добровольных согласий на обработку персональных данных;
- Расширение права на доступ к персональным данным, их удаление и перенос;
- Требование к проведению компаниями инвентаризации информационных активов;
- Необходимость предоставить регулятору отчеты об утечках данных в течение 72 часов с момента обнаружения инцидента, а также проинформировать владельца персональных данных;
- Ответственность операторов персональных данных за обработчиков личной информации;
- Необходимость соблюдения требований по информационной безопасности при проектировании ИТ-решений;
- Наличие в ЕС представителей зарубежных компаний, обрабатывающих большие объемы персональных данных;
- Добавление биометрических и генетических данных к специальным категориям личной информации;
- Особые требования для мониторинга, шифрования и обезличивания данных.
Основные выводы:
- Цели GDPR: унификация и защита пользовательских данных, приведение в соответствие технологий актуальному законодательству.
- Каждый резонансный инфоповод утечки данных или другой чувствительной информации ведет к ужесточению политики GDPR.
- Для компаний GDPR означает:
- Серьезные штрафы за нарушение требований;
- Внедрение технических решений для соблюдения закона;
- Максимально ответственное отношение к утечкам и возможным уязвимостям.
Крупные последствия
За нарушение GDPR многие компании получили огромные штрафы, в том числе и всем известные техногиганты. Вот несколько ярких примеров:
Свежий кейс 2022 года: взыскания в размере €210 млн с Google и Meta за нарушение правил использования файлов cookie во Франции. Французский регулятор установил, что "сайты facebook.com, google.fr и youtube.com не позволяют отказываться от установки cookie так же легко, как и соглашаться".
Крупный штраф для Amazon размером €746 млн в 2021 г. Конкретные причины штрафа пока не обнародованы, но известно, что нарушение связано с согласием на использование файлов cookie. Пока что это самый крупный штраф за нарушение GDPR.
Google получил штраф на €50 млн в 2020 году за отсутствие «прозрачности» и использование персональных данных в рекламных целях. Эксперты посчитали, что компания Google недостаточно проинформировала пользователей об использовании их данных.
- Особые требования для мониторинга, шифрования и обезличивания данных.
Подробнее об истории штрафов можно почитать в презентации KPMG, где разбираются многие юридические аспекты.
Что с защитой данных в России?
Закон о персональных данных в РФ (№ 152-ФЗ) напрямую не сообщает, входят ли cookie в понятие «персональных данных».
Но в случае признания личной информации пользователей онлайн-ресурсов персональными данными, к компаниям применяются обязанности операторов, в частности — требование о локализации обработки персональных данных граждан России. Так, со 2 декабря 2019 года введены специальные штрафы за нарушение данного правила. Сумма взыскания для компаний может составить от 1 до 6 млн руб., а в случае повторного нарушения — до 18 млн руб.
Российская Федерация не входит в ЕС, поэтому GDPR не распространяется на ее территорию. Однако дочерние структуры российских организаций, работающие в Евросоюзе, попадают под действие регламента напрямую. А на организации, расположенные за пределами территории ЕС и обрабатывающие данные европейцев, регламент влияет косвенно – через их деловых партнеров, которые вынуждены учитывать риски такого сотрудничества.
Поэтому, если ваш сайт рассчитан на аудиторию из стран Евросоюза, согласие пользователей на сбор cookie – обязателен.
Также, например, сайт, расположенный в Бразилии и показывающий персонализированную рекламу или контент пользователям из Португалии, обязан для соблюдения регламента GDPR запрашивать согласие пользователей на обработку персональных данных.
Основные выводы:
- Законодательство РФ не дает однозначных трактовок о том, что является персональными данными (cookie), но оставляет возможность попадания под штраф.
- Несоблюдение законодательства ЕС не грозит штрафами компаниям нерезидентам ЕС, но может грозить санкциями от подрядчиков и партнеров из ЕС.
После введения GDPR компаниям пришлось пересмотреть свои подходы к принципам сбора и анализа личных данных, что повлекло за собой массу изменений в ИТ-экосистеме. В следующих частях мы более детально рассмотрим, как GDPR повлиял на web-аналитику, что нужно делать, чтобы соблюдать его нормы, и как в этом помогает Google consent mode.
Авторы: Матвей Попков - аналитик Centra
"как и зачем использовать Google Consent Mode"
*описание закона GDPR*
Лично я зашёл прочитать про этот режим
В следующих частях мы более детально рассмотрим, как GDPR повлиял на web-аналитику, что нужно делать, чтобы соблюдать его нормы, и как в этом помогает Google consent mode. Скоро вернемся со следующим выпуском)