Чому варто провести GDPR перевірку Вашого веб-сайту просто зараз?

Веб-сайт компанії — це те місце, де, зазвичай, організація отримує найбільше персональних даних своїх користувачів. Будь-то e-commerce проєкт чи SAAS-рішення, користувачі приходять і починають взаємодіяти з функціоналом веб-ресурсу.  

Сьогодні куди не зайди, всюди треба клацнути кукі-банер (типу “відчепіться від мене, ок, ок”) і є сторінка з privacy policy. Деякі веб-сайти мають особисті кабінети, корзини та ще купу сторінок, де користувач залишає свої дані. 

Дослідження Google та Ipsos показують, що одним з ключових трендів сучасного маркетингу і веб-бізнесу в цілому є побудова довіри зі споживачами за рахунок турботи про їх приватність. 

GDPR, як, напевне, ключовий акт по регулюванню приватності в світі визначає багато умов та вимог: прозорість комунікації, поінформована згода, можливість реалізувати свої права і так далі. При цьому все більше компаній, навіть незалежно від того, чи підпадають вони під дію General data protection regulation, беруть ці вимоги за основу та впроваджують кращі privacy UX-практики, які виходять за межі мінімальних вимог GDPR. Це робиться з метою переконати користувача, що його приватність дійсно поставлена на перше місце і компанія дбає про нього. 

Регулювання змінюються, постійно виходять нові гайденси по GDPR, а веб-сайти оновлюються новим функціоналом та механіками роботи з персональними даними. Саме тому час від часу необхідно проводити GDPR аудит свого веб-сайту на предмет і відповідності GDPR, і кращим практикам UX-практикам. 

Privacy UX (досвід користувача в контексті приватності) як вимога сучасності     

Користувачі очікують турботи про їх приватність, простого та інтуїтивно зрозумілого privacy-функціоналу і можливості легко реалізувати свої права. Це може бути і запит на отримання даних про себе, і на уточнення даних, і навіть на видалення. Від організації очікується, що реалізація таких прав буде бездоганною. 

До речі, багато розслідувань контролюючих органів (data processing authority) починається з таких от запитів користувачів. Досліджується вся історія комунікації між компанією та суб’єктом персональних даних і часто такі розслідування закінчуються штрафами. 

Наприклад, штраф може бути накладений через те, що компанія в рамках gdpr consent (згоди на обробку персональних даних) використовувала “темні паттерни приватності”, наприклад, вординг, який спеціально вводив користувача в оману або навіть використання кольорів / дропдавн-меню, метою яких було дезорієнтувати користувача та фактично, зманіпулювавши ним, змусити клацнути відповідну кнопку. У таких випадках часто пишуть, що у компанії була відсутня legal basis for processing of personal data (юридична підстава для обробки персональних даних), адже їхня згода не відповідає вимогам GDPR, а тому, така згода не згодою. 

Саме тому сьогодні доцільного говорити саме про Privacy UX design thinking, або ж про шлях користувача в контексті приватності. Від першого дотику (людина побачила кукі-банер) і до останньої взаємодії (людина клацає на клавішу “Видалити всі мої дані” в особистому кабінеті в спеціальному меню), те як відбувається privacy взаємодія з користувачем є визначальним для досягнення певною компанією GDPR compliance в цілому.    

GDPR аудит веб-сайту як актив компанії та дорожня карта для отримання конкурентних переваг

Що ж, запрошуємо у світ цікавих privacy пригод користувача веб-сайту. Деякі епізоди можуть здаються знайомими, а деякі заграють новими фарбами. 

Ми будемо дивитись на ці пригоди як незалежний спостерігач і для того, щоб розпочати GDPR аудит умовного веб-сайту, нам потрібно визначитись з методологією. 

Отже:

1. Обираємо веб-сайт та аналізуємо інформацію про суть діяльності компанії власника цього веб-сайту для розуміння контексту обробки персональних даних в рамках веб-сайту
2. Визначаємо на що саме ми будемо веб-сайт перевіряти – GDPR, CCPA, LGPD чи інше регулювання, а можливо, все разом. 

Далі нам потрібна дорожня карта користувача і конкретні запитання – що саме нас цікавить на кожному з етапів. Поїхали. 

Зазвичай, першою точкою дотику в контексті приватності (privacy touch point) є вхід користувача на сайт, як такий і демонстрація йому кукі-банера та взаємодія з ним. Саме в цей момент закидаються всі ці Facebook Pixel та що там ще розробники накидали в свій контейнер. 

Є певні обов’язкові кукі, без яких сайт працювати не може, але є і ті, без яких може, наприклад, маркетингові кукі. 

Ми ж в рамках дослідження можемо перевірити наступне.

Cookie-banner GDPR compliance check та cookie privacy UX перевірка

Privacy UX частина:

• дивимось, чи відображається кукі-банер коректно;
• дивимось, чи в рамках кукі-банера надається чітка та вичерпна інформація про кукі, які використовуються; 
• перевіряємо, чи кукі-банер включає в себе опцію прийняти чи відмовити у прийнятті кукі і вплив цих; виборів на подальше користування сайтом і отримання / не отримання кукі на свій еквіпмент;
• перевірки на наявність темних патернів кукі (пересмажених реп’яшків) відповідно до гайденсів контролюючих органів.

GDPR compliance частина:

• перевіряємо, чи самі кукі в комплаєнс з GDPR;
• перевіряємо, чи в кукі полісі є вся необхідна інформація, така як мета збору даних, суть кікі та яка саме інформація збирається;
• перевіряємо.

Після перевірки приходимо до висновку щодо compliance чи не compliance кукі банера в цілому, можливих покращень, а також наявності темних патернів чи інших ризикових механік в контексті User experience. 

Йдемо далі і перевіряємо, як саме “відчувається” приватність на сайті і що нам говорить privacy policy? 

Перевірка UX privacy сайту в цілому та відповідність політики приватності вимогам GDPR

• перевіряємо, чи політика приватності на сайті легкодоступна та зрозуміла;
• дивимось, чи політика приватності містить всі необхідні елементи та інформацію, як це передбачається GDPR, наприклад, інформацію щодо даних, які збираються, строки зберігання персональних даних, типи підрядників тощо;
• перевіряємо в контексті Privacy UX, чи є в наявності зрозумілі пояснення, що відбувається з приватністю користувача, наприклад, у форматі privacy FAQ.

У результаті таких перевірок отримуємо інформацію про стан privacy policy, її відповідність Регламенту (GDPR) та уявлення про privacy UX сайту в цілому і крокуємо далі. 

Наступний піт-стоп, або ж data privacy зупинка – “Згода на обробку персональних даних”.

Зі згодами завжди весело. Отже, гайда дивитись.

Перевірка згоди (GDPR consent) на відповідність General data protection regulation

• перевіряємо, чи в рамках веб-сайту отримується валідна згода від користувачів перед збором відповідних персональних даних;
• перевіряємо, чи згода поінформована, конкретна, чітка та не двозначна;
• дивимось, чи користувач може відкликати свою згоду так само легко, як надав її.

Як можна помітити, тут ми не робимо акцент окремо на Consent privacy UX, бо в самі вимоги GDPR вже вшиті реквайременти (яке ж цікаве слово вийшло, щоб не було тавтології) щодо умов досвіду користувача, які мають мати місце під час надання згоди, щоб така згода була валідною. 

Як результат, знову ж таки, отримуємо інформацію про стан комплаєнсу щодо згоди, як підстави обробки даних в рамках веб-сайту, що аналізується. 

Двері зачиняються, і наш privacy compliance потяг везе нас до наступної privacy зупинки, яка, насправді, ціла станція з багатьма відгалуженнями та переходами. Вітаємо на Data subject requests platform. Місце, де суб’єкт персональних даних може дізнатись про себе щось нове (наприклад, якщо запитає скомпоновану інформацію про себе, може уточнити свої дані та таким чином, змінити ту бульбашку персоналізованої реклами, в якій він плаває, а може, і зовсім закінчити подорож, попросивши видалити його дані. Назавжди.  

Data subject requests check (Перевірка, як обробляються запити суб’єктів даних):

• по-перше, необхідно перевірити, чи є взагалі на сайті центр, локація, сторінка чи навіть теоретична можливість надіслати Data subject request і чи це реально працює;
• перевіряємо дружність до користувача інструментів для відправки DSR та отримання відповідей на них;
• тестуємо відправку самих запитів і чекаємо відповідей – це, мабуть, найголовніший інструмент перевірки, бо ми виступаємо як mystery shopper та фактично можемо побачити в роботі, як працює privacy програма в компанії, адже виконання наших запитів фактично змушує відкрити всі карти, які ще не відкриті.

У результаті такої перевірки ми можемо оцінити і можливість реалізації прав суб’єктів даних на сайті в контексті відповідності GDPR, так і в цілому – відчути на собі, чи дійсно компанія реагує на такі запити з повагою до користувача та чи піклується вона про його приватність.  

Наступна зупинка – моя улюблена. Комунікація приватності. 

У GDPR та багатьох гайдлайнах є роз’яснення щодо того, якою ж має бути така комунікація: прозорою, зрозумілою та чіткою, зокрема. До речі, в рамках такої комунікації має також бути враховано і те, на кого направлені відповідні повідомлення. Тобто, має бути оцінена аудиторія веб-сайту і визначено, чи вординг є не надто складним, чи навпаки, необхідно підійти до UX та UI приватності на сайті більш структуровано та стримано. 

Перевірка рівня комунікації приватності 

• дивимось, чи на веб-сайті відбувається комунікація privacy інформації у послідовній та прозорій манері та чи є зрозумілим, як саме буде оброблятись інформація і що, взагалі, відбувається

Тут ми оцінюємо стиль, рівень та спосіб комунікації приватності в цілому, в контексті всього сайту, враховуючи також, і відповіді на DSR і вординг таких відповідей, отримуючи враження, наче користувач сайту, або, якщо хочете – ядро цільової аудиторії. Такий підхід дозволяє комплексно оцінити privacy state of art на конкретному сайті. 

Звісно, вказані вище метрики та умови оцінювання не є виключними. На деяких сайтах може навіть не бути згоди, а може використовуватись інша правова підстава для обробки даних, тому, відповідно, план потрібно адаптувати і кастомізувати під кейс, фактично, спочатку будуючи privacy journey, а потім – оцінюючи кожну з зупинок і подорож в цілому. 

Окей, подивились. А що далі? Які результати? 

Структура GDPR-аудиту веб-сайту

Результат дослідження може бути викладений у форматі консультації, або, якщо хочете, privacy compliance memo. Суть – вказати на ситуацію, яка має місце, пробіли та способи їх усунення, а також зони росту для покращення privacy journey map користувача в цілому. 

Структура може бути наступною:

• Резюме / короткий зміст. У цій секції ми коротко описуємо результати дослідження та суть рекомендацій.

• Методологія. Ми вказуємо, яким саме чином проводилось дослідження, що досліджували та які способи були використані і чому.

• Результати. По кожному з етапів дослідження ми наводимо результати та пояснюємо причини з посиланнями на відповідні статті Регламенту, гайдлайни та штрафи.
• Рекомендації. Назва розділу говорить сама за себе. Вказуємо на конкретні кроки та зміни, які мають бути здійснені.

GDPR аудит для сайту, як GDPR compliance актив

Для ефективного data governance необхідно розуміти стан речей. Для здійснення покращень, або виправлення помилок, необхідно мати відправну точку. 

У штрафній GDPR практиці часто можна побачити, що в переписці з компанією контролюючий орган просить пояснити, чому саме та на підставі чого були прийнятті рішення про впровадження тих чи інших заходів і відсутність такого розуміння означає лиш те, що компанія працює з даними, так би мовити, навмання, що, вочевидь, є не добре.    

GDPR аудит веб-сайту стає втіленням такої відправної точки і в той же час виконує роль дорожньої карти для подальших кроків у чудернацькому світі, де користувачі розумно очікують, що компанії піклуватимуться про їх приватність навіть більше, ніж сказано в GDPR. 

Для кожного сайту відповідний GDPR compliance звіт буде мати свої особливості. Проведення дослідження та трактування його результатів – справа для команди GDPR професіоналів, бажано з CIPP/E сертифікатами.

Ми – саме такі:) Пишіть нам, щоб дізнатись деталі під Ваш кейс.