Наш ведущий юрист Анастасия Булатова в специальной колонке для Rusbase рассказывает, как соблюсти законы о персональных данных при создании IT-продуктов.

Анастасия Булатова
Ведущий юрист
Политика конфиденциальности: какие проблемы могут возникнуть при её нарушении и как их избежать

В России за нарушение политики обработки и защиты персональных данных предусмотрен штраф в размере до 70-100 тыс. рублей. В мире к январю 2020 года общая сумма таких штрафов достигла €114 млн. Разбираемся, как создателям IT-продуктов избежать нарушений законодательства.
Что такое политика конфиденциальности

Privacy Policy, или Политика конфиденциальности (ПК) — это документ, в котором декларируется IT-продукт — приложение или сайт. Его цель — информировать пользователя о том, как компания использует его данные. ПК определяет, что относится к персональным данным пользователя, как владелец приложения или сайта их собирает, обрабатывает, хранит и кому передает.

Персональные данные — любая информация, которая относится к конкретному физическому лицу, позволяющая определить его. Например, к ним не относят отдельный номер телефона как набор цифр или отдельный e-mail адрес. Но если телефон связан с конкретными ФИО человека, а e-mail состоит из имени и фамилии владельца — это уже персональные данные.

Известен случай в судебной практике, когда персональными данными признали обезличенный id пользователя вместе со временем просмотра веб-страницы, URL, HTTP referer, User Agent и куки.

Политика конфиденциальности требуется для любых информационных ресурсов и IT-продуктов, которые используют персональные данные. При наличии любой обратной связи, отслеживании и идентификации пользователя по его мобильному устройству уже необходима ПК.
Можно ли обойтись без разработки политики конфиденциальности

При отсутствии у приложения ПК его невозможно будет загрузить в маркет приложений AppStore и Google Play. В 2018 году AppStore потребовал, чтобы для всех приложений была опубликована Privacy Policy, соответствующая новым требованиям. Тогда же произошла самая массовая блокировка приложений в маркете: многие правообладатели не успели обновить ПК в согласно новым правилам.
Кто регулирует соблюдение политики конфиденциальности

В России «Политика обработки и защиты персональных данных» регулируется федеральным законом «О защите персональных данных». В Европе есть регламентируемые требования — General Data Protection Regulation (GDPR), в США нет единого документа — требования различны для каждого штата.

В международном законодательстве политика конфиденциальности заточена на конкретный продукт, то есть для каждого нового приложения или сайта, в рамках которого будет происходить обработка персональных данных, должна быть разработана своя собственная подробная ПК.

В России же акцент делается на пользователя и предоставляемую с его стороны информацию. По сути, описывается не продукт, а то, как и какие данные будут предоставляться, обрабатываться, храниться и будут ли они передаваться третьим лицам. В отличие от зарубежного аналога, российский документ может содержать более общие формулировки, но он так же должен разрабатываться для конкретного приложения.
Важно: если приложение будет распространяться в России и за её пределами, оно должно соответствовать не только местным, российским, но и международным актам.
Как пользователь может понять, что ПК нарушается

Это довольно сложно, но возможно. Если изначально пользователь дал согласие на использование одних данных, а приложение начинает требовать другие — это повод подозревать нарушение ПК. Например, неправомерную передачу данных третьим лицам можно обнаружить, если приходит уведомление от стороннего сервиса с информацией, которая должна храниться только у определенного приложения.

Но сейчас пользователи каждый день оставляют свои данные множеству сервисов — от интернет-магазинов до службы такси — поэтому отследить, кто конкретно нарушил ПК и «слил» информацию практически невозможно.

Какие проблемы могут возникнуть при несоблюдении требований

В российском законодательстве предусмотрена ответственность за нарушение политики обработки и защиты персональных данных, а также за недоведение до пользователя условий использования его персональных данных. Размер штрафа — до 70-100 тыс. рублей за каждое нарушение. За несоблюдение требований GDPR придется выплатить сумму побольше: можно лишиться до 4% оборота компании при регулярных нарушениях.

Другой вид санкций — блокировка приложения. Как правило, это происходит после проверки ПК со стороны маркетплейсов. AppStore и Google Play диктуют собственные требования к политике конфиденциальности в соответствии с международным законодательством, а разработчики приложений из России руководствуются местными законами.

Как итог приложение блокируется за несоблюдение требований маркетплейса. Появляется конкуренция норм права: по факту приложение используется в России и соответствует всем ее законам, но площадки предъявляют повышенные требования, за несоблюдение которых и наказывают.

В России инициатором блокировки сайта или приложения за неправомерное использование данных часто выступает Роскомнадзор. Он является уполномоченным органом по защите прав субъектов персональных данных, ведет реестры операторов и нарушителей прав субъектов персональных данных.

Помочь выявить нарушителя могут не только специализированные органы. Любой пользователь, заметивший нарушение политики конфиденциальности, вправе написать жалобу на правообладателя и потребовать привлечь его к ответственности. Особо внимательные и жаждущие справедливости пользователи могут писать такие заявления ежедневно — компании это будет стоить десятки тысяч рублей штрафа.

Что ещё может пойти не так


Многие крупные международные компании сталкивались со сложностями именно из-за проблем с политикой конфиденциальности.

Facebook: несоблюдение ПК

В 2020 году Южнокорейская комиссия по защите личной информации оштрафовала Facebook на $6,1 млн за нарушение закона о защите персональных данных. Как выяснилось, на протяжении шести лет, с мая 2012 года по июнь 2018 года, соцсеть передавала другим компаниям личную информацию более 3,3 млн человек без их согласия. Личные данные пользователя соцсети и его друзей становились доступны третьим лицам, когда для авторизации в стороннем сервисе использовалась учетная запись Facebook.

Instagram: неверная формулировка

В 2012 году Instagram обновил ПК, в ней говорилось следующее: «Чтобы помочь нам с поставкой интересного платного контента, вы соглашаетесь с тем, что другие юридические лица могут платить нам за предоставление вашего имени пользователя, информации о том, что вам понравилось, фотографий и/или действий, которые вы осуществили в контексте с платным и коммерческим контентом, без какой-либо компенсации для вас».

Пользователи решили, что соцсеть будет продавать их фотографии рекламодателям, поэтому стали массово удалять аккаунты. Представителям Instagram пришлось объяснять: они лишь хотели персонализировать рекламные предложения. Они признали, что неправильная формулировка могла запутать пользователей и пообещали исправить текст.

WhatsApp: недовольство пользователей изменением политики конфиденциальности

Согласно обновленной политики конфиденциальности пользователи мессенджера обязаны предоставлять компании Facebook доступ к номерам телефонов, именам и фото профилей, сведениям о транзакциях, диагностическим данным из приложений и IP-адресами.

Facebook также оставляла за собой право делиться данными с другими своими компаниями. На фоне этих событий выросло количество загрузок других мессенджеров: Telegram — на 91% за неделю, Signal на — 4200%. Недовольство и массовый уход пользователей заставили WhatsApp отложить обновление ПК.

Google: недостаточное информирование пользователей

Национальная комиссия по информатике и свободам Франции оштрафовала Google на €50 млн за недостаточное информирование пользователей при получении согласия на обработку и использование их данных. Комиссия утверждает, что пользователям не сообщается следующее: какие сайты имеют доступ к данным, в каком объеме они собираются и как долго хранятся. К тому же информация разбросана по нескольким документам: из-за этого пользователям сложнее понять, что именно происходит с их данными.

Как избежать проблем при разработке ПК


Шаг 1. Проанализировать объемы данных, которые будут обрабатываться и храниться.

Шаг 2. Разработать положения в соответствии с российским законодательством (если приложение будет выходить в других странах — в соответствии с международными требованиями).

Шаг 3. Изучить требования Apple и Google, дополнить положение в соответствии с ними так, чтобы приложение соответствовало всем правилам.

Дополнительно можно ориентироваться на другие положения — например, на рекомендации Роскомнадзора по составлению документа, регулирующего сбор и обработку персональных данных.

Важно: политика конфиденциальности должна быть ориентирована на обычного пользователя, быть краткой и однозначно понятной. Несмотря на то, что использование технических терминов неизбежно, сложный для восприятия юридический язык и мелкий шрифт недопустимы в документе.
Как подойти к созданию ПК

Вариант 1. Использовать в качестве ПК стандартный шаблон из интернета или воспользоваться конструктором ПК.

В документе из интернета, скорее всего, будет описан стандартный порядок использования персональных данных. Но нет гарантии, что в действительности конкретное приложение или сайт собирает, хранит и передает данные точно таким же образом. Конструкторы ПК так же опираются на стандартные положения и не могут учесть всех тонкостей.

Вариант 2. Скачать шаблон ПК из интернета, отдать его на доработку штатному юристу.

Вариант 3. Обратиться к специалисту по созданию ПК.

Политика конфиденциальности — это прежде всего защищенность бизнеса. Правильно составленный документ обезопасит приложение от блокировки и штрафов, а значит, от потери потребителей и прибыли.

Как показывает практика, большинство проблем, связанных с ПК, можно предупредить. Тем не менее многие компании продолжают игнорировать важность ПК. Так, к январю 2020 года было зафиксировано 160 тыс. нарушений GDPR, а общая сумма штрафов достигла €114 млн.