1019
Маркетинг Читати 13 хвилин 12 липня 2023

Як GDPR впливає на розробку ІТ-продукту і де його шукати на сайті і в застосунку

Як GDPR впливає на розробку ІТ-продукту і де його шукати на сайті і в застосунку
Катерина Дубас
Катерина Дубас
CIPP/E, Head of Data Protection Practice
Legal IT Group

Інтернет працює на основі (і завдяки) активному обміну різними даними – у тому числі і персональними. У свою чергу, персональні дані врегульовані законодавством, і у кожній країні – своїм власним. 

Тому ми поговоримо про те, як переконати нашого потенційного клієнта у нашому виконанні вимог GDPR – і як спростити його власний комплаєнс при роботі з нами.

Чому всі досі говорять про GDPR?

При розробці нового рішення (програми чи навіть елементу програм) доводиться враховувати вимоги законодавства про захист персональних даних. У ЄС основним законом (регламентом Європейського Союзу, спільним для всіх країн-учасниць ЄС) є General Data Protection Regulation, або GDPR. ІР-адреси, наприклад, є персональними даними – про це прямо говорить і сам GDPR (перевірте самі).

GDPR діє з 2018 року і вже не раз (і навіть не тисячу разів) застосовувався державними органами ЄС для штрафування порушників. Цей регламент дуже обʼємний і містить безліч вказівок на те, що слід зробити для захисту персональних даних. Але наразі поширених схем сертифікацій чи бейджів про відповідність GDPR, які б змушували наглядовий орган відступити, немає – а отже, треба тлумачити, втілювати і доказувати свій комплаєнс з вимогами регламенту. 

От якраз на «доказувати» ми й зупинимось.

Як продемонструвати, що продукт – у комплаєнсі з GDPR?

Етап 0: Cookie banner (сповіщення про використання файлів cookies)

Європеєць, досвідчений у спілкуванні з компаніями щодо своїх прав, обов’язково зверне увагу, коли вперше відкриє сайт і не змушений буде пройти через процедуру налаштування cookies. 

На банері має бути: 

EDPB (European Data Protection Board – служба ЄС як міжнародної організації, як регулятор регуляторів і майданчик для державних органів з питань захисту персональних даних) має наступний банер: 

Cookie banner

Змінити своє рішення можна на сторінці політики cookies у будь-який час: 

Cookie PolicyCookie Policy

Ні, інформації, яку надає браузер при наведенні на сертифікат біля адреси сайту, буде недостатньо. І так, всі інструменти мають бути робочими: ніякого обміну даними у правильному банері, що відповідає ePrivacy Directive (i GDPR), походить саме з директиви (п. 25 преамбули): 

п. 25 преамбули

Але будьте уважні: посилання директиви на згоду на обробку (consent) – це відсилання до того стандарту, що встановлений GDPR. Ідентифікатори cookies, як і зібрана з їх допомогою інформація, також можуть бути персональними даними – і тоді стандарт інформування про ці файли треба підіймати теж до рівня GDPR. 

Знов-таки – це перше, що бачить користувач. Якщо він не побачить потрібних кнопок на кшталт «відмовитися від усіх cookies» або не зможе повернутися назад, щоб змінити свій вибір – він цілком може звернутися до вас зі скаргою, закрити сайт або піти напряму до регулятора.

Штрафів за неправильні політики на сайтах уже доволі багато – отже, регулятори давно навчились і звикли їх застосовувати.

Етап 1: Політика приватності (privacy policy)

Впізнали? Вона сама: той довжелезний нудний юридичний текст, посилання на який треба в кожному футері та кожній реєстраційній формі.

На сайті EUIPO (European Union Intellectual Property Office – теж організація при ЄС, що займається реєстрацією і обліком (у тому числі – публічним показом) знаків для товарів і послуг та патентів, що діють на всій території ЄС):

EUIPO

І при реєстрації кабінету на сайті: 

Реєстрація кабінету на сайті

Потреба у ній обумовлена статтями 12-14 GDPR: 

Статті 12-14 GDPR

Більше інформацій про те, як треба писати політику приватності, можна знайти у гайдлайнах EDPB, рекомендаціях державного органу з питань захисту персональних даних, або навіть в штрафних санкціях.

До речі, багато що про компанію говорить перелік третіх осіб, що залучені в обробку (інформація про них має бути в політиці приватності). Наприклад, якщо серед них є неодноразово оштрафовані або загалом визнані ненадійними національними органами – це може викликати недовіру і питання від всіх зацікавлених осіб (клієнтів-корпорацій, юзерів, бізнес-партнерів, підрядників, навіть державних органів).

Це політика приватності соціальної мережі Tandem:

Політика приватності соціальної мережі Tandem

При цьому декілька наглядових органів (наприклад, CNIL у Франції або DSB у Австрії) прийшли до думки, що використовувати GA у спосіб, що відповідав би GDPR, можна тільки за вживання складних додаткових кроків. Оскільки обговорення штрафів, накладених на Google, часто дуже медійне – користувачі помітять і будуть відчувати себе невпевнено.

Схожа ситуація і з OpenAI. Якщо маєте функціональність, що працює на продуктах OpenAI – цілком ймовірно, що користувачі не знайомі на всі 100% з технологією, тому дбайте про пояснення та інформування. 

Спробуйте GPT-3-інструменти Serpstat, що працюють з використанням напрацювань Open AI та даних з наших пошукових баз!

Список нових інструментів поповнюється щодня, а протестувати їх на реальних проєктах можна з безоплатним тестовим періодом на 7 днів!

Зареєструватись!

Етап 2. Інструменти для реалізації прав субʼєктів даних (data subject rights). 

Права, які може попросити у вас реалізувати кожен чи кожна, хто перебуває у ЄС, включають у себе: 

Компанія може візуалізувати свою повагу до цих прав у кілька способів. Наприклад:

Наприклад, ось тут на банері Eurofond за замовчуванням не повинні збиратися cookies, що не мають ключового значення для роботи сайту. 

Банер Eurofond

Окрім комплаєнсу з вимогами ePrivacy Directive, обовʼязок за замовчуванням не збирати інформацію відповідатиме і статті 25 GDPR.

А тут Google пропонує автоматизовані інструменти управління даними:

Автоматизовані інструменти управління даними

Наявність інформації тут-і-зараз, її детальне і зрозуміле користувачу пояснення, робочі інструменти, підтвердження, що запит прийнятий і інформування про статус запиту переконують, що компанія знає все про свої дані та інтегрувала в код сайту або застосунку всі інструменти, що уможливлюють виконання запитів. 

У застосунків часто є власні особливості комплаєнсу: наприклад, надання сповіщень про обробку даних поступово (layered approach) через обмеження в розмірі екрану девайсу, та більш суворі аудити елементів (наприклад, SDK) і партнерів. Також у застосунків є додатковий виклик — розміщення продукту та проходження перевірки маркетплейсу (того ж App Store).

Додатковою вишенькою буде першокласна робота людей з обробки запитів. Якщо комунікація щодо запиту швидка, дружня, компетентна і повністю прозора – це вкаже на те, що персонал компанії отримав прекрасні знання про GDPR. Правило таке – якщо персонал та підрядники компанії обізнані з регламентом і можуть легко знайти та обробити дані – отже, компанія витратила час і зусилля на документування процесів і розробку дружньої GDPR архітектури сайтів, застосунків і баз. 

Етап 3. Участь у організаціях, що займаються захистом даних, а також проходження перевірок для отримання знаків безпечності

Нагадуємо: поки не існує сертифікації, яка б переконала наглядовий орган, що у вас все гаразд з обробкою даних. Навіть отримання свідоцтва про проходження аудиту за стандартом ISO 27701 (стандарт для управління обробкою персональних даних) не захистить вас від того, що регулятор може знайти проблему – наприклад, у роботі банера для cookies або підбору мови у політиці приватності.

Однак наявність бейджів, печаток, знаків організацій чи притримання правил якогось кодексу поведінки вказує, що компанія щонайменше звернула увагу на потребу комплаєнсу і пройшла процедуру перевірки своїх процесів третьою особою.

Ось тут, наприклад, Game Analytics демонструє бейдж kidSAFE

Бейдж kidSAFE

Zoho – TRUSTe: 

Бейдж TRUSTe

Навіть якщо у вас поки що немає бейджів сертифікацій по GDPR, ви можете додати до портфоліо сертифікат про відповідність ISO 27701 або про проходження перевірки за приватною програмою комплаєнсу TRUSTe (надається організацією TrustArc: вказівка, що компанія пройшла аудит іншої компанії чи організації). Це не гарантує захисту від перевірок і штрафів, але свідчить про додатковий етап звітування перед незалежним органом.

Екстремальним видом такої перевірки може бути аудит регулятора (опублікований на сайті, до прикладу). Але це досить ризикований крок, оскільки регулятор може заборонити чи навіть оштрафувати за будь-який знайдений недолік. Тому навряд будь-яка організація колись довірить регулятору перевіряти абсолютно всі свої процеси. 

Етап 4: Підписання Data Processing Agreement 

Що робить юридичний відділ, коли погоджує закупівлю нового програмного забезпечення для роботи компанії? Читає всі політики, особливу увагу лишаючи для публічної оферти та угоди про обробку даних. Нас цікавить саме останній.

Ця угода про обробку даних має схожі назви (Data Protection Addendum, Data Processing Agreement, Data Transfer Agreement тощо) і зазвичай містить Standard Contractual Clauses – набір стандартизованих положень, погоджених Комісією ЄС, який може використовуватися для законного переміщення даних жителів ЄС за межі ЄС. 

Компанії можуть обирати кілька різних стратегій для підписання цього договору:

Hubspot поєднує другу і третю стратегії: включивши угоду в публічну оферту, але пропонує скачати підписану копію:

HubspotHubspot

Zoho пропонує більш закриту форму

Zoho

OpenAI пішов тим самим шляхом, тобто збирає інформацію, щоб запропонувати власний драфт, але доступний він буде лише на наступних етапах: 

OpenAI

Висновок

Яку стратегію обрати – обирає компанія, кожна з них має свої переваги та недоліки. Але коли така угода уже є в доступі для перегляду, вона дбайливо і детально виписана (зокрема, містить списки підрядників і опис конкретних цілей і способів обробки даних) – це пришвидшує юридичний аналіз і дозволяє пришвидшити перемовини, а також продемонструє технічним журналістам і користувачам прозорість ваших намірів.

Але головне – культура та комунікація.

Робота техпідтримки, маркетолога і агента у соцмережах часто ключова. Саме вона доносить до користувача відчуття власної цінності. Ігнорування питань про персональні дані, замовчування проблем чи витоків, зверхність чи жарти над приватністю і власним ставленням до неї виллються у індексовані пошуковиками треди і пости на форумах про те, що продукту вашої компанії не слід довіряти. 

Ці треди і пости пишуть не завжди ваші конкуренти – це можуть бути журналісти, які зацікавлені темою технологій, фахівці з інфобезпеки, що розвивають власний бренд, або навіть просто ваші ж колишні працівники.

Найгірший випадок – останній: брак культури поваги до приватності користувачів, погляд крізь пальці на поширення скрінів з даними чи смішних скрінів з ІоТ-девайсу або відеокамери завжди десь проявиться і стривожить абсолютно всіх – навіть потенційних покупців. 

Тому всі ознаки компалаєнсу на сайті завжди приходять зсередини – від команди. Саме працівники порадять, як краще пояснити обробку, як продемонструвати дієвість мір захисту, які сертифікаційні програми бажано було б пройти, щоб подолати кризу довіри. І саме команда у випадку розслідування буде працювати з наглядовим органом – або журналістами. 

Почніть з простого: покажіть, що ваша команда має досвід і знання. Потім перегляньте політику приватності, налаштуйте банер для cookies, інвестуйте в покращення налаштувань особистого кабінету користувача. Всі ці дрібні деталі створюють те, для чого GDPR і був створений: контроль користувача над інформацією про себе і своїм вибором. Наприклад, вибором користуватися саме вашими сайтами і застосунками. 

Думка авторів гостьових дописів може не збігатися з думкою редакції та спеціалістів Serpstat.

Оцініть статтю за п’ятибальною шкалою

Ця стаття вже була оцінена 5 людьми середньою оцінкою 5 із 5 можливих
Знайшли помилку? Виділіть її та натисніть Ctrl + Enter, щоб повідомити нам.

Використовуйте кращі SEO інструменти

Аналіз домену

Дізнайтеся про сильні та слабкі сторони будь-якого сайту за допомогою аналізу домену

Перевірка індексації

Дізнайтеся, які сторінки сайту не беруть участі у видачі за допомогою інструменту перевірка індексації

Моніторинг позицій

Відстежуйте зміну ранжування цільових запитів використовуючи моніторинг позицій ключів

Аналіз конкурентів

Зробіть повний аналіз сайтів конкурентів для SEO та PPC

Поділіться статтею з вашими друзями

Ви впевнені?

Знайомство з сервісом

Serpstat економить час, як і ми готові заощадити ваш, на знайомстві з ключовими можливостями сервісу.

Наш фахівець зв'яжеться з вами і за підсумком запропонує відповідний варіант, який може включати персональну демонстрацію, пробний період, навчальні статті та записи вебінарів, консультацію фахівця, а також комфортні умови для старту використання Serpstat.

Ім’я

Введіть адресу електронної пошти

Телефон

Будемо раді вашому коментарю

Дякуємо, ми зберегли ваші нові налаштування розсилок.

Повідомити про помилку

Скасувати
Відкрити чат технічної підтримки
mail pocket flipboard Messenger telegramm