Як GDPR впливає на розробку ІТ-продукту і де його шукати на сайті і в застосунку

Чому всі досі говорять про GDPR?

При розробці нового рішення (програми чи навіть елементу програм) доводиться враховувати вимоги законодавства про захист персональних даних. У ЄС основним законом (регламентом Європейського Союзу, спільним для всіх країн-учасниць ЄС) є General Data Protection Regulation, або GDPR. ІР-адреси, наприклад, є персональними даними – про це прямо говорить і сам GDPR (перевірте самі).

GDPR діє з 2018 року і вже не раз (і навіть не тисячу разів) застосовувався державними органами ЄС для штрафування порушників. Цей регламент дуже обʼємний і містить безліч вказівок на те, що слід зробити для захисту персональних даних. Але наразі поширених схем сертифікацій чи бейджів про відповідність GDPR, які б змушували наглядовий орган відступити, немає – а отже, треба тлумачити, втілювати і доказувати свій комплаєнс з вимогами регламенту. 

От якраз на «доказувати» ми й зупинимось.

Як продемонструвати, що продукт – у комплаєнсі з GDPR?

Етап 0: Cookie banner (сповіщення про використання файлів cookies)

Європеєць, досвідчений у спілкуванні з компаніями щодо своїх прав, обов’язково зверне увагу, коли вперше відкриє сайт і не змушений буде пройти через процедуру налаштування cookies. 

На банері має бути: 

• сповіщення, що використовуються cookies (та опис їх цілей, тривалості дії і походження);
• посилання на політику (cookies, як правило) з описом кожної cookie, яка використовується;
• кнопки, чекбокси, будь-які інші інструменти згоди чи незгоди з установкою конкретного cookie;
• інструмент для зміни свого рішення (наприклад, відкликання згоди на всі чи окремі cookie).

EDPB (European Data Protection Board – служба ЄС як міжнародної організації, як регулятор регуляторів і майданчик для державних органів з питань захисту персональних даних) має наступний банер: 

Змінити своє рішення можна на сторінці політики cookies у будь-який час: 

Ні, інформації, яку надає браузер при наведенні на сертифікат біля адреси сайту, буде недостатньо. І так, всі інструменти мають бути робочими: ніякого обміну даними у правильному банері, що відповідає ePrivacy Directive (i GDPR), походить саме з директиви (п. 25 преамбули): 

Але будьте уважні: посилання директиви на згоду на обробку (consent) – це відсилання до того стандарту, що встановлений GDPR. Ідентифікатори cookies, як і зібрана з їх допомогою інформація, також можуть бути персональними даними – і тоді стандарт інформування про ці файли треба підіймати теж до рівня GDPR. 

Знов-таки – це перше, що бачить користувач. Якщо він не побачить потрібних кнопок на кшталт «відмовитися від усіх cookies» або не зможе повернутися назад, щоб змінити свій вибір – він цілком може звернутися до вас зі скаргою, закрити сайт або піти напряму до регулятора.

Штрафів за неправильні політики на сайтах уже доволі багато – отже, регулятори давно навчились і звикли їх застосовувати.

Етап 1: Політика приватності (privacy policy)

Впізнали? Вона сама: той довжелезний нудний юридичний текст, посилання на який треба в кожному футері та кожній реєстраційній формі.

На сайті EUIPO (European Union Intellectual Property Office – теж організація при ЄС, що займається реєстрацією і обліком (у тому числі – публічним показом) знаків для товарів і послуг та патентів, що діють на всій території ЄС):

І при реєстрації кабінету на сайті: 

Потреба у ній обумовлена статтями 12-14 GDPR: 

Більше інформацій про те, як треба писати політику приватності, можна знайти у гайдлайнах EDPB, рекомендаціях державного органу з питань захисту персональних даних, або навіть в штрафних санкціях.

До речі, багато що про компанію говорить перелік третіх осіб, що залучені в обробку (інформація про них має бути в політиці приватності). Наприклад, якщо серед них є неодноразово оштрафовані або загалом визнані ненадійними національними органами – це може викликати недовіру і питання від всіх зацікавлених осіб (клієнтів-корпорацій, юзерів, бізнес-партнерів, підрядників, навіть державних органів).

Це політика приватності соціальної мережі Tandem:

При цьому декілька наглядових органів (наприклад, CNIL у Франції або DSB у Австрії) прийшли до думки, що використовувати GA у спосіб, що відповідав би GDPR, можна тільки за вживання складних додаткових кроків. Оскільки обговорення штрафів, накладених на Google, часто дуже медійне – користувачі помітять і будуть відчувати себе невпевнено.

Схожа ситуація і з OpenAI. Якщо маєте функціональність, що працює на продуктах OpenAI – цілком ймовірно, що користувачі не знайомі на всі 100% з технологією, тому дбайте про пояснення та інформування. 

Етап 2. Інструменти для реалізації прав субʼєктів даних (data subject rights). 

Права, які може попросити у вас реалізувати кожен чи кожна, хто перебуває у ЄС, включають у себе: 

• право на інформацію про те, як саме компанія обробляє дані; 
  
• право на доступ до даних (на копію даних та на інформацію, чи обробляє компанія дані);
• право на уточнення і виправлення даних про себе; 
  
• право заперечувати проти обробки;
  
• право вимагати видалити дані (відкликати свою згоду на обробку даних); 
  
• право забороняти обробку своїх даних повністю автоматизованими інструментами, що тягнуть за собою прийняття юридично важливих рішень;
  
• право переносити дані від одного контролера до іншого; 
  
• право звертатися до регулятора зі скаргою; 
  
• право вимагати компенсацію у випадку нанесення шкоди і так далі. 
  

Компанія може візуалізувати свою повагу до цих прав у кілька способів. Наприклад:

• додати спеціальний інструмент (у акаунті або просто на сайті); 
  
• показати метрику (кількість звернень про реалізацію, кількість виконаних запитів, кількість запитів у роботі тощо); 
  
• детально описати кожне з них у інтерфейсі як підказки або в іншій документації; 
  
• виділити окрему пошту та/або телефон для відповідей на всі запитання, повʼязані з приватністю і захистом персональних даних тощо. 
  

Наприклад, ось тут на банері Eurofond за замовчуванням не повинні збиратися cookies, що не мають ключового значення для роботи сайту. 

Окрім комплаєнсу з вимогами ePrivacy Directive, обовʼязок за замовчуванням не збирати інформацію відповідатиме і статті 25 GDPR.

А тут Google пропонує автоматизовані інструменти управління даними:

Наявність інформації тут-і-зараз, її детальне і зрозуміле користувачу пояснення, робочі інструменти, підтвердження, що запит прийнятий і інформування про статус запиту переконують, що компанія знає все про свої дані та інтегрувала в код сайту або застосунку всі інструменти, що уможливлюють виконання запитів. 

У застосунків часто є власні особливості комплаєнсу: наприклад, надання сповіщень про обробку даних поступово (layered approach) через обмеження в розмірі екрану девайсу, та більш суворі аудити елементів (наприклад, SDK) і партнерів. Також у застосунків є додатковий виклик — розміщення продукту та проходження перевірки маркетплейсу (того ж App Store).

Додатковою вишенькою буде першокласна робота людей з обробки запитів. Якщо комунікація щодо запиту швидка, дружня, компетентна і повністю прозора – це вкаже на те, що персонал компанії отримав прекрасні знання про GDPR. Правило таке – якщо персонал та підрядники компанії обізнані з регламентом і можуть легко знайти та обробити дані – отже, компанія витратила час і зусилля на документування процесів і розробку дружньої GDPR архітектури сайтів, застосунків і баз. 

Етап 3. Участь у організаціях, що займаються захистом даних, а також проходження перевірок для отримання знаків безпечності

Нагадуємо: поки не існує сертифікації, яка б переконала наглядовий орган, що у вас все гаразд з обробкою даних. Навіть отримання свідоцтва про проходження аудиту за стандартом ISO 27701 (стандарт для управління обробкою персональних даних) не захистить вас від того, що регулятор може знайти проблему – наприклад, у роботі банера для cookies або підбору мови у політиці приватності.

Однак наявність бейджів, печаток, знаків організацій чи притримання правил якогось кодексу поведінки вказує, що компанія щонайменше звернула увагу на потребу комплаєнсу і пройшла процедуру перевірки своїх процесів третьою особою.

Ось тут, наприклад, Game Analytics демонструє бейдж kidSAFE: 

Zoho – TRUSTe: 

Навіть якщо у вас поки що немає бейджів сертифікацій по GDPR, ви можете додати до портфоліо сертифікат про відповідність ISO 27701 або про проходження перевірки за приватною програмою комплаєнсу TRUSTe (надається організацією TrustArc: вказівка, що компанія пройшла аудит іншої компанії чи організації). Це не гарантує захисту від перевірок і штрафів, але свідчить про додатковий етап звітування перед незалежним органом.

Екстремальним видом такої перевірки може бути аудит регулятора (опублікований на сайті, до прикладу). Але це досить ризикований крок, оскільки регулятор може заборонити чи навіть оштрафувати за будь-який знайдений недолік. Тому навряд будь-яка організація колись довірить регулятору перевіряти абсолютно всі свої процеси. 

Етап 4: Підписання Data Processing Agreement 

Що робить юридичний відділ, коли погоджує закупівлю нового програмного забезпечення для роботи компанії? Читає всі політики, особливу увагу лишаючи для публічної оферти та угоди про обробку даних. Нас цікавить саме останній.

Ця угода про обробку даних має схожі назви (Data Protection Addendum, Data Processing Agreement, Data Transfer Agreement тощо) і зазвичай містить Standard Contractual Clauses – набір стандартизованих положень, погоджених Комісією ЄС, який може використовуватися для законного переміщення даних жителів ЄС за межі ЄС. 

Компанії можуть обирати кілька різних стратегій для підписання цього договору:

• лишати пошту або інший контакт для запиту індивідуального договору; 
  
• робити договір частиною своєї публічної оферти, доступною у публічному доступі без додаткових рухів для прийняття з боку користувача; 
  
• пропонувати інструмент для підписання угоди (наприклад, можливість за лінком підписати угоду через сервіс підпису документів після перемовин з сейл-представником, наприклад).
  

Hubspot поєднує другу і третю стратегії: включивши угоду в публічну оферту, але пропонує скачати підписану копію:

Zoho пропонує більш закриту форму: 

OpenAI пішов тим самим шляхом, тобто збирає інформацію, щоб запропонувати власний драфт, але доступний він буде лише на наступних етапах: 

Висновок

Яку стратегію обрати – обирає компанія, кожна з них має свої переваги та недоліки. Але коли така угода уже є в доступі для перегляду, вона дбайливо і детально виписана (зокрема, містить списки підрядників і опис конкретних цілей і способів обробки даних) – це пришвидшує юридичний аналіз і дозволяє пришвидшити перемовини, а також продемонструє технічним журналістам і користувачам прозорість ваших намірів.

Але головне – культура та комунікація.

Робота техпідтримки, маркетолога і агента у соцмережах часто ключова. Саме вона доносить до користувача відчуття власної цінності. Ігнорування питань про персональні дані, замовчування проблем чи витоків, зверхність чи жарти над приватністю і власним ставленням до неї виллються у індексовані пошуковиками треди і пости на форумах про те, що продукту вашої компанії не слід довіряти. 

Ці треди і пости пишуть не завжди ваші конкуренти – це можуть бути журналісти, які зацікавлені темою технологій, фахівці з інфобезпеки, що розвивають власний бренд, або навіть просто ваші ж колишні працівники.

Найгірший випадок – останній: брак культури поваги до приватності користувачів, погляд крізь пальці на поширення скрінів з даними чи смішних скрінів з ІоТ-девайсу або відеокамери завжди десь проявиться і стривожить абсолютно всіх – навіть потенційних покупців. 

Тому всі ознаки компалаєнсу на сайті завжди приходять зсередини – від команди. Саме працівники порадять, як краще пояснити обробку, як продемонструвати дієвість мір захисту, які сертифікаційні програми бажано було б пройти, щоб подолати кризу довіри. І саме команда у випадку розслідування буде працювати з наглядовим органом – або журналістами. 

Почніть з простого: покажіть, що ваша команда має досвід і знання. Потім перегляньте політику приватності, налаштуйте банер для cookies, інвестуйте в покращення налаштувань особистого кабінету користувача. Всі ці дрібні деталі створюють те, для чого GDPR і був створений: контроль користувача над інформацією про себе і своїм вибором. Наприклад, вибором користуватися саме вашими сайтами і застосунками.