Как читать политики конфиденциальности: что скрывают скучные тексты?

Кто есть кто

В нашей стране нельзя собирать, хранить и обрабатывать персональные данные граждан без их согласия. Размещение политики конфиденциальности на веб-сайте – обязательное требование ч. 2 ст. 18.1 152-ФЗ «О персональных данных». Она должна соответствовать законам того региона, где предлагается и используется IT-продукт или сервис. За нарушения владельцев сайтов штрафуют по ст. 13.11 КоАП.

Кроме того, права пользователей интернета защищает GDPR (General Data Protection Regulation), или Общий регламент по защите персональных данных. Его международный статус позволяет распространять действие закона не только на территорию ЕС.

Вовсе не обязательно все знать или быть юристом, чтобы разобраться в политике конфиденциальности. Тем не менее знание терминов будет не лишним при чтении правовых актов в целом, да и просто расширяет кругозор.

• Оператор – владелец сайта. Это, как правило, юридическое лицо, которое собирает персональные данные и распоряжается ими.

• Пользователь – человек, имеющий доступ к сайту или продукту Оператора посредством сети интернет.

Вы становитесь субъектом персональных данных каждый раз, когда:

• заполняете профили на сайтах при регистрации;

• подписываетесь на почтовую рассылку;

• пишете в форме обратной связи, оформляете заказ и т. п.

Оператор осуществляет следующие действия:

• Сбор информации – получение сведений о человеке. Например, вы заполнили форму заказа на сайте.

• Обработка информации – передача и хранение данных. Например, ваш номер телефона может быть сообщен курьерской компании.

• Хранение информации – запись информации на различных носителях для последующего использования.

• Пользователь соглашается поделиться личной информацией о себе, чтобы сервис мог предоставить необходимые услуги.

• Персональные данные – любая информация о посетителе сайта.

• Ф.И.О., электронный адрес, номер телефона (и другое).

• Данные профиля соцсети (дата рождения, статус и т. п.).

• Содержание отзывов, комментариев и сообщений (в этом сервисе).

Каждый сервис должен определять сам, какую информацию он собирает, и уведомлять об этом в пункте «Предмет политики конфиденциальности».

Выбор без выбора

Как ни крути, но выходит, что продукт можно использовать только на тех условиях, которые предлагает его разработчик или владелец. Политика конфиденциальности только констатирует этот факт.

Тут можно задаться вопросом: «Зачем ее читать, если все равно нажмешь “Принимаю”?» Безусловно, прочтение политики конфиденциальности потребует от вас много времени. Однако, чтобы понимать, какие данные о вас собирает сервис, достаточно будет взглянуть на ключевые пункты. Считайте это возможностью вести осознанную цифровую жизнь.

«Такая “простыня”, сейчас засну!»

Если пользователь, открывая страницу с документом, видит сплошной массив текста, то это плохой признак. Правильно составленная политика – это структурированный документ, в котором есть навигационные элементы. По ним и следует ориентироваться.

Чтобы не оказаться в ситуации, когда прочитал соглашение на 200 страниц и не принял его, определите для себя, что вам важно узнать из документа.

Какие ваши данные собирает сервис и для каких целей.

Цели сбора данных должны быть конкретными, законными и отчетливыми. Особенно важно понять, какую финансовую информацию о вас собирают и куда уходят платежные данные.

Кому передается информация о вас.

Как правило, сервис делится информацией с поставщиками дополнительных услуг: платежными системами, службами доставки, социальными сетями. А также с партнерами, органами правопорядка и и другими лицами. Основное требование – информация раскрывается третьим лицам в объеме, необходимом для выполнения запроса. Ссылки на публичные документы сторонних сервисов могут быть приведены в политике конфиденциальности.

Сервис обязан передавать информацию третьим лицам только для целей, указанных в политике. Исключение составляют органы исполнительной власти (МВД, суды и пр.). Также данное правило может быть отозвано при чрезвычайных происшествиях.

Процедуры отзыва разрешений или отказа от рекламных рассылок.

Например, файлы cookie. На компьютере пользователя они собирают статистические данные, которые потом применяются для аналитики, продуктивности и в рекламных целях. Важно получить явное согласие от пользователя на использование сookie-файлов и предоставить возможность отозвать такое решение. Так, в январе 2022 года Google пришлось заплатить 90 млн евро за нарушение процедуры согласия на использование файлов cookie.

Также сервис должен предоставлять возможность пользователю отказаться от рассылок и оповещений.

Что компания может делать для защиты данных пользователя

В политике конфиденциальности может быть указано, какие физические, электронные и процедурные меры безопасности для защиты персональных данных внедряют сайты и приложения. Это нужно знать, чтобы быть уверенным, что камера «не отслеживает», а микрофон «не слушает» лишнего.

В статье 32 GDPR перечисляются следующие возможные меры безопасности:

• анонимизация,

• шифрование,

• целостность и постоянная конфиденциальность,

• устойчивость систем и сервисов обработки,

• способность своевременно восстановить доступ,

• тестирование эффективности.

Сергей Кузьменко

старший специалист по тестированию цифровых продуктов Роскачества

– Обязательно обращайте внимание на перечень данных, передаваемых третьим лицам – посредникам и партнерам компании-разработчика. Важно следить за тем, какие разрешения запрашивают приложения. К примеру, если приложение «Фонарик» запрашивает разрешение на доступ к микрофону, фотогалерее или контактам, это должно насторожить. Стоит давать разрешения только на те запросы приложений, которые действительно необходимы для выполнения основной функциональности.