Как создать политику конфиденциальности для мобильного приложения?

Узнайте у Mobio, как создать понятную и прозрачную политику конфиденциальности для мобильного приложения.

29 показов
200 открытий

Мобильные приложения в подавляющем большинстве собирают и используют личные данные пользователей. Это могут быть сведения, которые предоставляются самостоятельно (ФИО, email, дата рождения) или данные, которые собираются косвенно (геолокация пользователя, частота посещения или история поиска в браузере). Персональная информация, в том числе и собранная при помощи SDK, может также передаваться третьим лицам. В связи с ужесточением правил по защите пользовательских данных грамотно составленная политика конфиденциальности (РР) имеет важное значение. В этой статье Mobio рассмотрит, почему необходима РР, и предоставит конкретное руководство по составлению комплексной политики конфиденциальности для мобильного приложения.

Что такое политика конфиденциальности и зачем она нужна?

Политика конфиденциальности — это юридический документ, в котором описывается, как мобильное приложение собирает, использует и хранит данные пользователя, а также куда эта информация может передаваться. Такой документ не только укрепляет доверие пользователей, сообщая об их правах, но и является необходимым по ряду законодательных актов. Так, порядок обработки персональных данных регулируется:

• в ЕС — GDPR (общий регламент по защите данных);

• в Великобритании — GDPR, Регламент о конфиденциальности в электронных коммуникациях (PECR);

• в США — CCPA (Калифорнийский закон о защите конфиденциальности потребителей) и CalOPPA;

• в России — федеральный закон N 152-ФЗ «О персональных данных».

Если приложение будет распространяться за пределами локального рынка, оно должно соответствовать не только местным, но и международным актам. Невыполнение законодательных требований грозит штрафом до 2% от годового оборота компании. К примеру, французская CNIL (Национальная комиссия по информатике и свободам) в 2022 году оштрафовала Google на €150 млн и Facebook* на €60 млн, заявив, что «facebook.com, google.fr и youtube.com не позволяют “отказываться от файлов cookie“ так же просто, как “принимать” их».

От приложения к приложению политика конфиденциальности может сильно отличаться. Приложение для социальных сетей может собирать больше личных данных, чем приложение прогноза погоды, игровое приложение может использовать информацию для покупок в приложении, в то время как фитнес-приложение будет отслеживать данные для измерения прогресса и контроля в тренировках. Важно адаптировать свою политику конфиденциальности к конкретным потребностям приложения и быть прозрачным для пользователей в отношении того, как используются их данные.

Когда нужна политика конфиденциальности?

Для мобильных приложений наличие политики конфиденциальности является обязательным: -для iOS приложений это прописано в Review App Store:

• для iOS приложений это прописано в Review App Store:

Соблюдать нельзя нарушать: всё о Политике конфиденциальности

Уверены, вы не раз ставили галочку рядом с фразой «Согласен с политикой конфиденциальности», не изучив документ и даже не задумываясь о том, что он в себе несет. Однако если пользователь приложения или сайта может позволить себе игнорировать существование Политики конфиденциальности и не знать о том, кто и как хранит его персональные данные, то владелец того же сайта или приложения обязан разбираться в таких вопросах.

Политика… чего?

Privacy Policy или Политика конфиденциальности (ПК) — это документ, в котором декларируется IT-продукт — приложение или сайт. Его цель — информировать пользователя о том, как компания использует его данные. ПК определяет, что относится к персональным данным пользователя, как владелец приложения или сайта их собирает, обрабатывает, хранит и кому передает.

Что относится к персональным данным?

Любая информация, которая относится к конкретному физическому лицу, позволяющая определить его.

Например, к персональным данным не относят отдельный номер телефона как набор цифр или отдельный e-mail адрес. Но если телефон связан с конкретными ФИО человека, а e-mail состоит из имени и фамилии владельца — это уже персональные данные.

Известен случай в судебной практике, когда персональными данными были признаны обезличенный id пользователя вместе со временем просмотра веб-страницы, URL, HTTP referer, User Agent и куки.

Она нужна только тем сервисам, которые работают с кредитными картами и паспортными данными?

Нет, этот документ требуется для любых информационных ресурсов и IT-продуктов, которые используют персональные данные.

При наличии любой обратной связи, отслеживании и идентификации пользователя по его мобильному устройству — уже необходима ПК.

Можно ли обойтись без разработки Политики конфиденциальности?

При отсутствии у приложения ПК его невозможно будет загрузить в маркет приложений AppStore и Google Play.

В 2018 году AppStore потребовал, чтобы для всех приложений была опубликована Privacy Policy, соответствующая новым требованиям. Тогда же произошла самая массовая блокировка приложений в маркете — многие правообладатели не успели обновить ПК в согласно новым правилам.

Кто регулирует соблюдение Политики конфиденциальности?

В России «Политика обработки и защиты персональных данных» регулируется федеральным законом «О защите персональных данных». В Европе есть регламентируемые требования — «General Data Protection Regulation» (GDPR); в США нет единого документа — требования различны для каждого штата..

В международном законодательстве политика конфиденциальности (Privacy Policy) заточена на конкретный продукт. То есть, для каждого нового приложения или сайта, в рамках которого будет происходить обработка персональных данных, должна быть разработана своя собственная подробная ПК.

В России же акцент делается на пользователя и предоставляемую с его стороны информацию. По сути, описывается не продукт, а то, как и какие данные будут предоставляться, обрабатываться, храниться и будут ли они передаваться третьим лицам. В отличие от зарубежного аналога, российский документ может содержать более общие формулировки, но он так же должен разрабатываться для конкретного приложения.

Если приложение будет распространяться в России и за ее пределами, оно должно соответствовать не только местным, российским, но и международным актам.

Как пользователь может понять, что ПК нарушается?

Это довольно сложно, но возможно. Если изначально пользователь дал согласие на использование одних данных, а приложение начинает требовать другие — это повод подозревать нарушение ПК.

Например, неправомерную передачу данных третьим лицам можно обнаружить, если приходит уведомление от стороннего сервиса с информацией, которая должна храниться только у определенного приложения. Но сейчас пользователи каждый день оставляют свои данные множеству сервисов — от интернет-магазинов до службы такси — поэтому отследить, кто конкретно нарушил ПК и «слил» информацию практически невозможно.

Какие могут возникнуть проблемы при несоблюдении требований?

В российском законодательстве предусмотрена ответственность за нарушение Политики обработки и защиты персональных данных, а также за недоведение до пользователя условий использования его персональных данных. Размер штрафа — до 70-100 тысяч рублей за каждое нарушение. А за несоблюдение требований GDPR придется выплатить сумму побольше — можно лишиться до 4% оборота компании при регулярных нарушениях.

Другой вид санкций — блокировка приложения. Как правило, это происходит после проверки ПК со стороны маркетплейсов. AppStore и Google Play диктуют собственные требования к политике конфиденциальности — в соответствии с международным законодательством, а разработчики приложений из России руководствуются местными законами. Как итог — приложение блокируется за несоблюдение требований маркетплейса. Появляется конкуренция норм права — по факту приложение используется в России и соответствует всем ее законам, но площадки предъявляют повышенные требования, за несоблюдение которых и наказывают.

В России инициатором блокировки сайта или приложения за неправомерное использование данных часто выступает Роскомнадзор. Он является уполномоченным органом по защите прав субъектов персональных данных; ведет реестры операторов и нарушителей прав субъектов персональных данных.

Помочь выявить нарушителя могут не только специализированные органы. Любой пользователь, заметивший нарушение Политики конфиденциальности, вправе написать жалобу на правообладателя и потребовать привлечь его к ответственности. Особо внимательные и жаждущие справедливости пользователи могут писать такие заявления ежедневно — компании это будет стоить десятки тысяч рублей штрафа.

Что еще может пойти не так?

Многие крупные международные компании сталкивались со сложностями именно из-за проблем с Политикой конфиденциальности:

При подготовке материала использовались источники:
https://vc.ru/u/148741-mobio-inc/746231-kak-sozdat-politiku-konfidencialnosti-dlya-mobilnogo-prilozheniya
https://vc.ru/services/242655-soblyudat-nelzya-narushat-vse-o-politike-konfidencialnosti