Мобильные приложения и политика конфиденциальности
Самая частая причина — это отсутствие такого документа как Privacy Policy или несоответствие его приложению.
Сегодня в статье мы разберём что же это такое Privacy Policy и почему важно иметь этот юридический документ.
Privacy Policy — это политика конфиденциальности, которую декларирует в своём IT-продукте правообладатель. В ней определяют политику в отношении персональных и других данных, которые вы получаете от пользователя. Основная задача Privacy Policy — донести до пользователя какие данные собираются, как они обрабатываются и как они раскрываются (передаются третьим лицам). Политика конфиденциальности требуется для всех видов IT-продуктов и должна быть опубликован в Интернете на сайте правообладателя, а ссылка в сторе должна вести именно на этот документ.
Резюме
В российском законодательстве это называется «Политика обработки и защиты персональных данных», которая закрепляет схожие с Privacy Policy положения и регулируется Федеральным законом от 27 июля 2006 г. № 152-ФЗ «О персональных данных».
В Европейском Союзе и странах, входящих в его состав — установлены требования регламентом Regulation (EU) 2016/679 (General Data Protection Regulation), который вступил в юридическую силу 25 мая 2018 года. Пару лет назад приходили уведомления об изменении в политике конфиденциальности и была повсеместная истерия что же делать и как подгонять свой продукт к новым требованиям.
В Соединенных Штатах Америки нет единого кодифицированного федерального закона, однако вопрос о защите персональных данных разрозненно регулируют различные федеральные законы и законы штатов (к примеру, есть прекрасный солнечный штат Калифорния, где на каждый случай жизни есть свой отдельный закон — к примеру, California Consumer Privacy Act of 2018, который во многом напоминает всем известный GDPR), руководящие принципы, разработанные правительственными учреждениями и отраслевыми группами, которые не имеют силы закона, но должны исполняться. Почему-то в США это децентрализованное регулирование считается «передовой практикой»...
Общий закон о защите данных в Бразилии (Lei Geral de Proteção de Dados, LGPD) от 16 августа 2020 — это закон о конфиденциальности данных. Он будет распространяться на бразильские и иностранные компании, которые обрабатывают персональные данные пользователей, находящихся в Бразилии.
Сфера правового регулирования персональных данных только развивается и постоянно меняется. К примеру, 16 июля 2020 года Европейский суд своим решением по делу C-311/18 признал недействительным соглашение о правилах передачи персональных данных между ЕС и США (EU-U.S. Privacy Shield), но не признало недействительными стандартные договорные условия (Standard Contractual Clauses, SCC), которые остаются законным механизмом передачи персональных данных за пределы ЕС, Швейцарии или Великобритании.
Как видно — в каждом регионе правовое регулирование политики конфиденциальности своё, соответственно, отличаются требования и понятие что такое персональные данные, как с ними работать. Один из ярких примеров — вопрос считается ли IP-адрес персональными данными: в Российской Федерации — не считается, в Евросоюзе считается, а в США — зависит от случая, но по общей тенденции не считается.
Есть одно важное различие между Privacy Policy и нашей российской «Политикой обработки и защиты персональных данных»: Privacy Policy должна быть более детальной и «заточенной» под продукт, который регулирует, в отличии от «Политики обработки...», которая регулирует все связи с персональными данными физических лиц — покупателей, работников, заказчиков и т.д. Конечно, никто не мешает и под продукт создать отдельную «Политику обработки...» в рамках российского законодательства — нарушением являться не будет.
В связи с тем, что правовое регулирование полностью различное, несмотря на схожие цели — недостаточно взять готовый шаблон «Политики обработки...», использовать Google Translate для перевода на английский и радоваться как ловко сэкономили деньги на юристе. Требуется отдельная разработка политики конфиденциальности в зависимости от характера и сферы продукта, аудитории, способа монетизации, используемых технологий, наличия партнеров, рекламодателей и применимого законодательство, а также в совокупности с положениями как минимум Terms & Conditions (пользовательское соглашение) и EULA (лицензионное соглашение).
Однажды, ко мне обратились за юридическим аудитом одной мобильной игры, сказав, что юрист подготовил для них все документы. Они их опубликовали, но в сторах оказались заблокированными. Когда посмотрел документы — я долго смеялся, т.к. тот юрист взял типовое пользовательское соглашение на русском языке, с использованием переводчика перевёл его на английский язык и рандомно в заголовках указал «(GDPR)», ведь заказчик просил сделать в соответствии с GDPR!...
Риски
Зачем же столько документов на английском языке, да к тому же в соответствии с чужим законодательством?
Для объяснения мы будем использовать ситуацию, когда есть просто мобильное приложение (допустим, казуальная синглпеерная игра) от разработчика из России. И оценим возможные риски.
1. Сразу хочу развенчать миф о гигантских штрафах по GDPR в размере 20 000 000 € или до 4 % от годового оборота компании. Во-первых, если Вы из России — им со своим штрафом до Вас не дотянуться и не взыскать, поскольку Российская Федерация не является участницей таких международных договоров с ЕС. А вот, если есть у вас есть точка продаж или представительство в странах ЕС, то уже не получится прикрыться этим от санкций за правонарушения. Во-вторых, исполнительные органы Евросоюза очень адекватны и если они увидели какие-то нарушения, то они прежде всего свяжутся с Вами и укажут на эти нарушения, дадут срок их устранить, а если надо — предложат инструкцию как.
А вот что могут сделать: запретить доступ к Вашему IT-продукту своим гражданам и запретить Вам въезд в страну, где нарушили законодательство.
2. App Store и Google Play — сторы, которые подчиняются прежде всего требованиям законодательства, где созданы и предъявляют соответствующие требования.
30 августа 2018 года Apple в ультимативной форме потребовал, чтобы у всех приложений, опубликованных в App Store были опубликованы политики конфиденциальности до 3 октября 2018 года, иначе обещали блокировать. С одной стороны пользователи теперь могут ознакомится с порядком обработки их персональных данных, с другой стороны — разработчик волен в любой момент внести изменения в политику конфиденциальности, включив в нее условия, ущемляющие права пользователей (если политика опубликована на стороннем ресурсе).
Google уже с 2017 года требует и блокирует приложения, которые юридически не соответствуют предъявляемым требованиям. Обращу внимание, что Google более придирчив к правовой документации приложений в отличии от Apple, зато все приложения iOS в App Store попадают под стандартную защиту EULA от Apple.
Мобильные приложения в основном распространяются через эти сторы и даже временная блокировка на них ведёт к потере аудитории, а соответственно, отсутствию платежей и развитию. В общем, блокировка или удаление из App Store и Google Play мобильного приложения — это очень критичный момент для бизнеса.
3. Риски получения гражданско-правовых исков от пользователей зарубежных стран о возмещении причинённого вреда также никто не отменял (статья 1219 Гражданского кодекса Российской Федерации).
Полностью обезопасить свой бизнес от всех предполагаемых рисков — просто невозможно, однако будет разумно минимизировать их и создать условия для выполнения минимальных требований законодательства, где ведётся бизнес, где основная масса пользователей и где Вы сами. Таким образом, большинство проблем можно не решать, а просто предупредить их...
Спасибо за внимание!