GDPR для приложения
Здорово, когда новый продукт получается настолько хорош, что вывести его хочется на все рынки сразу. И если ваша цель – это клиенты и пользователи-европейцы, значит, настало время задуматься о GDPR-комплаенсе.
Как известно, общий регламент ЕС по защите данных, известный как GDPR, заменил Директиву о защите данных 95/46/EC несколько лет назад, дав людям больше контроля над своими личными данными, которые собираются, хранятся и обрабатываются так называемыми контроллерами и обработчиками. Новые правила имеют определенные последствия для компаний, которые ведут свой бизнес в ЕС (или имеют какое-то отношение к личным данным граждан ЕС), а также для их IT продуктов.
Так на что же следует обратить внимание в первую очередь, если вашем продуктом является приложение?
Privacy by Design
Одно из краеугольных требований GDPR заключается в том, чтобы хранить и обрабатывать только те категории персональных данных, которые необходимы для надлежащей работы вашего IT продукта. Риск несоблюдения этого правила действительно велик, если вы не продумаете детали до начала разработки, например, приложения. Стоит хорошо подумать и честно спросить себя: «Действительно ли нам важно собирать даты рождения / полные адреса / годовой доход / и т. д. наших пользователей? Правда ли мы нуждаемся в таком количестве информации или планируем собирать их «для галочки» и «на всякий случай?». Проблема состоит в том, что многие задумываются о сборе данных уже после создания «костяка» или почти всего приложения. Получается, что во время создания «дизайна» «приватность» не учитывается. Предвидя этот вероятный образ мышления, авторы GDPR создали требование, известное как Privacy by Design.
Эта идея ставит вопрос собираемых данных на первое место, делая его первичным, а потому – учтенным в последующей разработке. Принятие решения о личных данных, которые действительно нужны (а также упреждающее понимание рисков, которые могут исходить из хранения и обработки каждой категории информации) должно красной нитью пройти через всю концепцию вашего приложения или любого другого продукта IT сферы и быть одним из первых шагов на пути к их созданию. Так что лучше не торопитесь и найдите достаточно времени, чтобы увидеть полную картину до начала разработки.
Согласие
Для сбора и обработки любых персональных данных необходимо правовое основание, вариантов которых в соответствии с Регламентом целых шесть (глава 6 GDPR). Согласие – занимает среди них первое место.
В качестве правового основания для обработки персональных данных согласие является четко и добровольно предоставленным разрешением лица обрабатывать его / ее персональные данные для одной или нескольких запрошенных целей, которое при этом также может быть легко отозвано, если лицо (субъект данных) не хочет, чтобы обработка продолжалась.
Важно помнить, что согласие в соответствии с GDPR всегда является действием. Автоматически поставленные галочки «Я согласен» напротив политики конфиденциальности при регистрации больше не актуальны. У европейцев в почете ясность, а это означает, что согласие никогда не следует предполагать.
Персональные данные детей
Известно, что довольно большой процент пользователей приложений (это особенно касается игр) — несовершеннолетние. Поскольку дети обычно менее осведомлены о возможных рисках для своих персональных данных, а также о своих правах как субъектов данных (права детей в этом смысле не отличаются от прав взрослых), они нуждаются в особом подходе.
Согласно GDPR, возраст согласия на обработку персональных данных составляет 16 лет. Некоторые страны применяют другой возраст, иногда он меньше, другие же придерживаются возраста по GDPR.
Некоторые компании и организации принимают решение собирать и обрабатывать персональные данные детей младше возраста, определенного Регламентом или внутренним законом. Однако это не означает, что согласия можно избежать — просто в приведенном случае его дает не ребенок, а один из его родителей или лицо, несущее родительскую ответственность.
Ориентируясь на более молодую аудиторию для своего приложения, учтите, что GDPR защищает личные данные несовершеннолетних пользователей и другими способами, например, существуют более строгие требования к автоматическому принятию решений относительно таких данных.
Аудит и карта персональных данных
По сути, соблюдение GDPR полностью связано с регулярным аудитом процессов, совершаемых с персональными данными. Вот почему аудит GDPR, или, как его еще называют, Data Protection Impact Assessment (DPIA), должен стать первым шагом на вашем пути к выполнению всех требований GDPR.
На самом деле DPIA касается не всех аспектов соблюдения нормативных требований, а только оценки воздействия данных. Организациям не запрещено использовать другие формы аудита, не упомянутые в Регламенте, помимо DPIA; однако такой аудит не будет надлежащим доказательством ваших действий в отношении соблюдения.
Стоит также потрудиться и отобразить потоки данных при помощи карты. По сути, карта данных содержит информацию о типах и категориях собираемых данных, целях их сбора, правовых основаниях для обработки, информации о хранении данных (место хранения, период хранения и т. Д.), Методах и направлениях передачи данных, а также о местонахождении третьих лиц.
И немного о политике приватности
Важно, чтобы ваши политики было легко найти и легко читать, а вашим клиентам (особенно если это молодая аудитория) не потребовалось слишком много усилий, чтобы узнать, как ваша компания использует их персональные данные.
Также время от времени следите за своими политиками, регулярно обновляйте их, чтобы сохранять соответствие между текстом и тем, что на самом деле происходит с данными. Помните, что вы обязаны сообщать своим пользователям об обновлении политик.
Катерина Петренко
Junior IT lawyer