Разработка
12 кейсов, которые помогут разобраться с требованиями GDPR
Общий регламент по защите данных вступит в силу уже совсем скоро, и создателям приложений стоит к этому подготовиться. В этом могут помочь разные кейсы по использованию персональных данных, описанные в этой статье.
В этой статье вы найдете 12 связанных с GDPR полезных кейсов для владельцев приложений, product owner-ов и всех, кто желает разработать приложение. Вы также узнаете об основах GDPR и о том, что этот закон означает для владельцев приложений?
Основы GDPR
GDPR (Общий регламент по защите данных) — это европейский закон о защите данных и приватности. Его цель — дать людям полный контроль над своими персональными данными. Закон был принят 27 апреля 2016 года, и он вступит в силу 25 мая 2018. Этот день станет важным для многих компаний, так как означает значительные изменения по поводу приватности.
На кого распространится GDPR?
Граждане Евросоюза, а также Норвегии, Исландии и Лихтенштейна, станут субъектами GDPR, но закон значительно повлияет на все организации. Если вы владелец компании, которая обрабатывает данные граждан стран, которые попадают под действие закона, GDPR распространяется и на вас. Даже если ваша компания зарегистрирована в другом месте.
Определения
Давайте разберем несколько определений мира GDPR.
Контролер (или администратор) — физическое или юридическое лицо, которое использует данные для достижения бизнес-целей. В нашем случае это владелец приложения.
Обработчик данных — физическое или юридическое лицо, которое обрабатывает данные от имени контролера. Например, сторонние сервисы вроде Google, Amazon, Fabric, HockeyApp и другие. Иногда компании разработки на аутсорсе могут также считаться обработчиками данных.
Субъект данных — физическое лицо, данные которого обрабатываются. В нашем случае это пользователь приложения.
Офицер по защите данных — физическое лицо, которое помогает контролеру или обработчику с соответствием GDPR. Такой сотрудник требуется, если количество данных достаточно большое или эти данные чувствительные.
Административные штрафы
Контролер и обработчик могут подвергнуться административным штрафам, если они нарушают положения GDPR, даже непреднамеренно. Существует два вида штрафов.
- До 10 миллионов евро или 2% оборота предыдущего года (смотря что будет больше) — для контролера, обработчика, организации по контролю или сертификации, которые нарушают свои обязательства.
- До 20 миллионов евро или 4% оборота предыдущего года — для контролера, который нарушает принципы обработки персональных данных. Например, обрабатывает персональные данные без согласия пользователя, нарушает права субъектов данных или передает персональные данные не соответствующему GDPR получателю в другую страну.
Больше деталей о штрафах можно найти в статье 83 Регламента.
Что GDPR означает для владельцев приложений
Ещё никогда права пользователей приложений не защищались настолько полно. Поэтому мы должны по-новому взглянуть на планирование и разработку приложения, чтобы полностью соответствовать требованиям Регламента.
В законе нет точных и пошаговых правил. Он дает нам только список общих правил, о которых нужно помнить при создании программ. Поэтому мы можем ожидать, что правовой подход будет базироваться на прецедентах, которые произойдут в будущем и которые мы не можем предсказать сейчас. До первых судебных решений по этому вопросу мы можем только предполагать, какое направление примут финальные интерпретации закона судьями Евросоюза.
Вы должны помнить, что недостаточная безопасность персональных данных может привести к оттоку пользователей из приложения, а защита прав пользователей может стать дополнительным магнитом для клиентов. Поэтому подготовка к стандартам GDPR становится важной вещью для вашего бизнеса, которая может отразиться на будущих доходах.
Мы проанализировали несколько распространенных кейсов, связанных с обработкой персональных данных в разработке мобильных приложений и подготовили для вас несколько правил.
Примеры работы с GDPR
1. У меня есть доступ только к анонимным данным из приложения, например, ID установки или другим метрикам в аналитике Google или похожих инструментах. Что мне надо сделать, чтобы соответствовать GDPR?
Персональные данные — это любая информация о физическом лице или информация об этом человеке, которая дает вам способность идентифицировать его или её. Вы должны помнить об этом при планировании разработки приложения. Информация может вести к человеку напрямую или нет, важно то, есть ли у вас возможность при их помощи идентифицировать конкретного человека.
Если деанонимизация требует сил и ресурсов, непропорционально соотносящихся с полученной информаций, ваше решение соответствует GDPR.
2. У меня есть приложение, где люди могут создавать контент, то есть писать комментарии или переписываться. Они могут размещать там персональные данные. Имеет ли это значение в рамках GDPR?
Да, и это стоит принимать во внимание при разработке приложения, так как, согласно GDPR, у каждого пользователя есть право запросить удаление персональных данных, которые могут привести к его или её идентификации.
У вас нет влияния на то, что пользователи будут размещать персональные данные другого человека в приложении. Субъекты, чьи персональные данные были опубликованы без разрешения, должны иметь возможность связаться с вашим офицером по защите данных (или контролером). В таком случае они могут отправить запрос на удаление этих данных из вашей системы, и вы обязаны будете удалить их.
3. Я использую аналитику Google, Firebase, Crashlytics или HockeyApp в качестве стороннего решения для поддержки моей разработки. Они соответствуют GDPR?
Вам нужно будет убедиться, что ваши сторонние сервисы соответствуют GDPR. Вы можете посмотреть это в их условиях использования. На время написания этой статьи (9 апреля 2018) Fabric утверждает, что будет готова к требованиям GDPR к 25 мая.
Требования GDPR утверждают, что мы должны проверять, имеют ли используемые нами сервисы сертификаты безопасности в соответствии с Регламентом. Мы ответственны за утечки персональных данных через сторонние организации.
4. Нужно ли мне иметь письменный контракт с любой сторонней организацией, которая будет обрабатывать данные?
Письменный контракт не обязателен. Закон предполагает определенное количество свободы, а также представляет более широкую концепцию “другого правового акта”.
Что нужно сделать, чтобы убедиться, что контракт или другой правовой акт соответствует требованиям GDPR? Все просто. Проверьте, что у провайдера услуг есть сертификат соответствия GDPR. Сертификация — это добровольно, но если вы хотите точно знать, что провайдер услуг подготовлен к GDPR, проверьте, есть ли у него сертификат.
5. Нужен ли мне офицер по защите данных?
Это необязательно. GDPR предоставляет вам определенную свободу в этом вопросе. Офицер по защите данных может быть сотрудником контролера или обработчика, а также человеком извне. Это дает нам определенную свободу выбора и возможность сократить расходы.
Модель аутсорсинга на основе контракта можно адаптировать под потребности и масштаб компании. Количество часов работы при этом может быть значительно ограничено.
6. Мое приложение использует только адреса электронной почты и логины (без имен и фамилий). Это считается персональными данными?
Да, считается. Не существует простого метода массовой верификации отсутствия персональных данных в адресе почты. Мы можем использовать псевдонимы на других порталах, которые можно будет связать с другими данными. Если мы не уверены, что элементы приложения могут помочь идентифицировать пользователя, то мы должны предполагать, что это может произойти.
7. В приложении мы используем логин через Facebook, Google и так далее. Приложение отправляет токен в бэкенд, которые автоматически читает ID пользователя (или его почту), но не имя и фамилию. Во время периода валидации токена (30 минут) я теоретически могу использовать его для ручного извлечения персональных данных. Нарушает ли это GDPR?
Ответить на этот вопрос очень сложно. Однозначного ответа не будет. Мы должны принять, что любая информация о пользователе, которая дает вам возможность идентифицировать физическое лицо, может нарушать правила GDPR. С другой стороны, мы можем также предполагать, что эти данные можно получить со значительными расходами, что несколько смягчает тон предыдущего правила. Пока мы не можем определить, как с этим будут работать регулирующие органы.
8. У меня онлайн-магазин, где персональные данные нужны для доставки. Что нужно включить в условия сервиса?
Условия сервиса должны включать условие о том, что вся информация в приложении будет защищена. Более того, условия сервиса должны включать полный список прав пользователя: право доступа, редактирование и удаление персональных данных и так далее.
Более того, вам нужно будет согласие пользователя на обработку персональных данных в целях функциональности приложения. В каждом приложении должен быть простой способ подтвердить свое согласие с этими требованиями. Вы должны четко и понятно рассказать о правилах, которые принимают пользователи.
9. У меня есть аналитика сбоев (Crashlytics или HockeyApp), в которой можно найти персональную информацию. Это важно?
Во-первых, вы должны быть уверены, что ваш провайдер системы соответствуют требованиям Регламента. Более того, важно, какие данные будут включены в отчеты и у кого будет к ним доступ. Давайте рассмотрим три кейса:
- Люди, которые видят отчеты, уже имеют законный доступ ко всем данным (то есть у компании есть своя команда разработки) — отчеты о багах нормально подходят GDPR.
- Данные отчетов анонимны и требуют много усилий на расшифровку. Этот способ отправки отчетов — лучший путь предоставить все данные команде тестировщиков, который соответствует требованиям GDPR.
- Отчеты содержат персональные данные, которые идут на аутсорс команде разработки. В этом случае внешняя компания должна стать организацией, которая обрабатывает персональные данные по требованиям GDPR, или отчеты должны отправляться в анонимной форме.
10. Должны ли моя команда разработки и команда тестировщиков иметь сертификаты об обучении защите персональных данных?
Нет. Единственный человек, который должен иметь специальные знания по этому вопросу, — это офицер по защите данных, который необязательно должен быть сотрудником компании. Но для вашего бизнеса будет хорошо, если ваши сотрудники в отделе разработки и тестирования будут знать о требованиях Регламента, потому что они смогут создавать соответствующие требованиям продукты быстрее.
11. Мое приложение обрабатывает персональные данные (не конкретные данные, указанные в статье 9), но на основе аналитики можно определить, что у пользователя есть физические особенности, например, он или она использует большой размер текста, а значит, имеет плохое зрение. Можно ли ко мне применить статью 9?
Нет. Мы не имеем дела с такими данными, а только предполагаем, что это так. Чтобы получить эту информацию, вам придется использовать большое количество ресурсов, и поэтому вы не нарушаете правила GDPR.
12. В моей системе возникла утечка персональных данных. Что мне делать?
Вы должны сообщить об утечке регулирующим органам в течение 72 часов после обнаружения утечки, если вы не можете доказать, что утечка не нарушает прав и свобод физических лиц. Если уведомление в соответствующие органы не было отправлено в течение 72 часов, оно должно сопровождаться причиной задержки.
Это одно из самых важных изменений, которое вносит Регламент. Вы можете прочитать об этом больше в статье 33.
Заключение
GDPR значительно повлияет на создателей мобильных приложений. С одной стороны, он представляет новые строгие правила и вносит изменения в процесс планирования и разработки. С другой стороны, защита персональных данных может привлечь пользователей в приложение и дать им ощущение безопасности.
Принятие стандартов GDPR может быть полезным для вашего бизнеса. Мы надеемся, что наши кейсы помогут вам извлечь пользу из изменения закона.