GDPR — это регламент о правилах защиты персональных данных, который принял Европейский Союз в мае 2018 года. Да, с тех пор прошло уже два года, но многие компании продолжают совершать ошибки, выходя на иностранные рынки со своими приложениями и сервисами. В этой статье собрали для вас всё, что нужно знать.
Регламент требует от компаний сообщать своим пользователям о том, что на сайте или в мобильном приложении осуществляется сбор персональных данных (ПДн). Оповещение пользователей должно быть понятным и в доступной форме объяснять, какие именно данные будут собраны. Полный текст регламента можно посмотреть здесь. Важно понимать, что трактовка GDPR позволяет относить к понятию «персональные данные» буквально любую информацию о пользователях — даже куки и технические данные.
У GDPR также есть некоторые ключевые принципы: например, все данные вы должны собирать легально и с явного согласия пользователя. Согласие пользователя — это лишь одно из возможных правовых оснований для обработки ПДн. В целом, для легальной обработки как правило достаточно согласия пользователя или контракта с пользователем (к которому в т.ч. относятся оферта и условия использования сайта/сервиса) или наличия законных интересов Оператора (лица, обрабатывающего ПДн). Количество данных, которые вы собираете, должно сводиться к минимуму, необходимому для ваших целей. Хранение и обработка данных должны соответствовать всем требованиям безопасности и ограничиваться сроками, необходимыми для обработки персональных данных. Требования безопасности включают в себя:
Всё так, именно Евросоюз начал беспокоиться о защите персональных данных своих граждан. Но подчинение или неподчинение Регламенту зависит не только от места учреждения вашей компании, но и от того, есть ли среди вашей аудитории граждане ЕС (а если быть точными, то ещё и Норвегии, Исландии и Лихтенштейна).
Если вы обрабатываете или храните данные пользователей из этих стран — то добро пожаловать на борт GDPR. Даже если среди ваших пользователей есть граждане РФ, которые постоянно или временно проживают или просто находятся на территории ЕС, на вас всё равно распространяются правила GDPR. Это при условии, если вы целенаправленно таргетируете свои продукты и услуги на пользователей из ЕС или систематически анализируете поведение европейских пользователей. Например, житель ЕС случайно заходит на ваш сайт. Если ваш сайт не поддерживает ни один из европейских языков, услуги предоставляются не в евро, а контактные телефоны и география доставки не ЕС и т.д., то все это не делает для вас обязательным выполнение GDPR. Если же вы готовы предоставлять услуги жителям ЕС, а ваш сайт для этого адаптирован, правила GDPR необходимо соблюдать.
Тогда вы можете ограничить доступ к сервисам своей компании пользователям из ЕС. Ну а если этого не сделать, тогда за невыполнение Регламента компаниям грозит штраф до 20 000 000 евро, либо в размере до 4% годового оборота компании за предыдущий год, в зависимости от того, какая цифра больше.
Подошли к самому интересному. Вот вам небольшой чек-лист, который поможет понять, всё ли у вас готово для выхода на аудиторию ЕС с точки зрения сбора и хранения ПДн.
То есть у вас должен быть баннер (либо сообщение), которые явно дают понять, что вы намерены собирать, хранить и обрабатывать ПДн пользователей — уведомление об обработке. У юзеров должна быть возможность отказаться от этой процедуры. Помимо того, необходимо предоставить пользователям подробную информацию (ее можно включить в отдельный документ — privacy policy),о том,какие данные собираете, для каких целей, на каких основаниях, каким третьим лицам эти данные передаете, а также данные об Операторе и срок обработки данных (либо критерий определения этого срока). Также здесь необходимо указать, какой софт и какие маркетинговые платформы вы используете.
Например: ваша компания делает рассылку с помощью стороннего сервиса. Тогда в соглашении нужно чётко указать, какие данные пользователей и в каких целях будут передаваться этому сервису (опять же при условии, что сервис рассылок соблюдает Регламент).
Ещё пример: ваша компания использует систему аналитики — в соглашении точно также надо прописать, какие данные и с какими целями вы передаёте этим сервисам.
Когда два года назад GDPR вступил в силу, у многих почтовые ящики были буквально забиты письмами про GDPR с просьбой принять новое соглашение. И это необходимая мера. Вы должны информировать пользователя об изменениях в сообщении о согласии на обработку ПДн, а также сообщать дату последнего изменения. Не забудьте объяснить, какие именно данные будете собирать, а также рассказать, как долго будете их хранить.
Согласие должно быть сформулировано чётко, понятно и прозрачно, с использованием простого языка и формулировок. Пользователь должен давать согласие по своей воле, поэтому не нужно делать соответствующее поле с уже проставленной галочкой — пользователь должен сделать это сам.
Например, для работы вашего сервиса требуются данные A, а данные B — опциональны и нужны для маркетинговых активностей. Тогда вы должны разграничить эти понятия, пояснив пользователю, что галочку напротив данных A необходимо поставить, чтобы сервис работал, а напротив данных B — чтобы вы, например, делали ежедневную рассылку или показывали персонализированные объявления. Тогда пользователь будет сам решать, соглашаться ли ему делиться с вами данными B, или оставить только данные А.
Здесь всё просто — минимизируйте количество данных, которые вы собираете у пользователя. Например, можно уменьшить количество полей, а также сделать заполнение некоторых их них опциональным, тогда это облегчит процесс регистрации.
Лучше всего, если в аккаунте юзера есть раздел управления его персональными данными.
Например: вы делаете рассылку, которая состоит из писем двух типов — транзакционные и маркетинговые. Первые включают системные уведомления, например, о статусе заказа, о сбросе пароля и так далее. Вторые же — опциональны, их нельзя включать по умолчанию, пользователь сам должен решить, нужна ли ему информация о скидках, акциях и так далее. Но и маркетинговые рассылки можно условно разбить на несколько категорий, чтобы ваши пользователи могли выбрать, например, получать информацию о скидках, но не получать анонсов предстоящих событий.
Когда ваш пользователь сообщает о том, что больше не хочет работать с вашим сервисом, можно предложить ему такое же соглашение, только с вопросом, можно ли вам сохранить некоторые его данные. Опять же прозрачно и подробно напишите, какие именно и для каких целей. Например, оставить у себя его email для того, чтобы продолжать делать рассылки.
В политике по работе с ПДн можно прописать два срока хранения данных: один для получения продукта или услуги, а второй — для маркетинговых целей. И первый может составлять, например, два месяца, а второй — год с момента последней активности пользователя.
За пределами целей обработки с персональными данными можно работать только в общественных интересах, а также для проведения научных или исторических исследований в статистических целях.
А также предупредите своих пользователей, что их ПДн будут храниться в зашифрованном виде. Шифрование данных — одна из рекомендаций GDPR по безопасному хранению ПДн. Для защиты от утечек можно, например, использовать DLP (Data Loss Prevention). Установите на сайт SSL-сертификат.
Согласно Регламенту, вы обязаны рассказать об инциденте релевантному вашей географии регулятору: как, почему и в каком количестве случилась утечка, какие данные слились, и какие меры вы принимаете и будете принимать. На то, чтобы сообщить об утечке у вас есть 72 часа.
По крайней мере, выясните, у каких сервисов есть доступ к ПДн ваших пользователей и соблюдают ли они GDPR. Все, кто участвуют в цепочке обработки данных, должны быть указаны в политике конфиденциальности. В случае, если вы поручаете обработку ПДн третьему лицу, либо обрабатываете ПДн совместно с другим процессором, необходимо заключить Standart Contractual Clauses (которые заключаются, если есть передача партнёру за пределы ЕС), либо Data Processing Agreements с вашими партнёрами. Необходимость заключения документов зависит от типа обработки ПДн и от других факторов, подробнее здесь и здесь.
Все пакеты (packages) или внешние зависимости (dependencies), которые использует ваш сервис, должны соответствовать Регламенту.
Отвечает ли оно GDPR? Нас интересует соответствие двум параметрам — privacy by design и privacy by default. Первое — про то, что ПО разработано с соблюдением приватности, а второе — про то, что при установке юзеру предлагают максимальные настройки безопасности по умолчанию.
Выше — лишь небольшой перечень базовых правил, который пригодится всем. GDPR очень обширный, он регламентирует многие вещи. Например, если среди ваших пользователей есть дети до 16 лет, то их ПДн можно обрабатывать только с разрешения родителей или законных представителей.
Во-первых, лишний раз напомним, что не любые, а только те, что указали в сообщении о сборе ПДн. А во-вторых, есть категория данных, которые нельзя собирать ни при каких обстоятельствах (но и здесь существуют исключения, например, при наличии явного согласия пользователя на сбор этих сведений):
Так и есть, главное — придерживаться простого алгоритма.
Всё, данные ваших пользователей теперь в надёжных руках.
Надеемся, данная статья была для вас полезной. Узнайте решениях для iOS 14.5+ и сохраните конфиденциальность и точность атрибуции в рамках ATT.