19.07.2022

Политика конфиденциальности: в чем подвох?

Добавить в закладки
Россияне не читают политики конфиденциальности. А зря...

Что делать, если не можете заснуть? Читать политики конфиденциальности...

Перед началом использования приложений и онлайн-сервисов вам стоит ознакомиться с их политиками конфиденциальности. Это нужно, чтобы понять, как владельцы IT-продукта будут распоряжаться вашими персональными данными.

Как правило, текст политик длинный, монотонный, и никто не хочет его читать. Исследование 2019 года показало, что 99% условий использования приложений никто не читает. Ведь по сложности они близки к статьям из научных журналов.

В 2020 году американец Скотт Элчисон даже запускал подкаст Ts&Zzz, предназначенный для тех, кто хочет заснуть. В каждом выпуске он зачитывал политику конфиденциальности одной из крупных компаний. За полтора года вышло 36 эпизодов.

Так на что же мы слепо подписываемся, когда скачиваем очередное приложение? В мае Центр цифровой экспертизы (ЦЦЭ) Роскачества уже давал рекомендации, как быстро и эффективно вычленить нужное из обширного повествования.

В России политика конфиденциальности заточена на конкретный продукт и пользователя с информацией о нем. Описывается, как и какие данные будут предоставляться, обрабатываться, храниться и будут ли они передаваться третьим лицам. 

Как понять, что политика конфиденциальности нарушается 

Для этого и нужно хотя бы бегло просмотреть текст политики и выделить основные моменты: какие данные собирает сервис, кому может их передавать и как можно отказаться от проморассылок / каким образом отозвать свои данные.

4 признака нарушений в нормативных документах

  1. Если вы дали согласие на использование одних данных, а приложение начинает требовать другие.
  2. Если вам приходят уведомления от стороннего сервиса с информацией, которой вы поделились с определенным приложением.
  3. Владелец сайта отказывается удалить отзыв, содержащий ваши персональные данные, из публичного доступа.
  4. Владелец сайта отказывается предоставить доступ к индивидуальным сведениям, собранным о вас.

Кроме того, уже на этапе ознакомления с политикой конфиденциальности можно многое понять о компании-разработчике. 

7 признаков невнимательного отношения сервиса к пользователям

Называем основные маркеры того, что сервис не особо заботится о своем имидже и, что хуже, о благополучии своих пользователей

1. Сервис собирает много информации. Ключевые слова – «без ограничений».

Аптека «Апрель», служба такси «Ситимобил», сервисы каршеринга BelkaCar, «Делимобиль», Rentmee, Lifcar X, Cars7, BiBiCar и «URAмобиль» напрямую заявляют, что собирают подробную информацию об активности пользователя в приложении. Здесь и MAC-адрес, и данные об интернет-провайдере, а также дата использования сервисов.

В политике приложений родительского контроля Google Family Link, Safe Family, «Нортон», «Где мои дети» написано, что сервисы собирают диагностические данные, которые никак напрямую не связаны с работой программы (IP-адрес, посещаемые сайты и т. п.).

Среди мобильных приложений Samsung сообщает, что собирает информацию с клавиатуры, «смотрит», какой текст печатается (сервис «интеллектуальная клавиатура»).

Samsung, Xiaomi, Safari обрабатывают данные с устройств в любом количестве и могут использовать их на свое усмотрение, есть даже возможность сбора медицинских данных пользователя.

Получается, что приложения работают как шпионские, собирая максимальное количество данных вне зависимости от того, насколько они необходимы для работы. 

2.   Перепечатка абзацев из законодательных актов. 

Например, в политике отсутствует информация об операторе. Кто конкретно собирает и обрабатывает данные – непонятно. Некоторые сервисы «ленятся» и просто копируют определение из ст. 3 ФЗ «О персональных данных». 

Например, так сделали при составлении политики «СберАптеки» и сервиса доставки «Пятерочка». Там вставили цитаты из законов. 

3.   Некоторые сервисы указывают, что хранят лог-файлы и после окончания своей работы.

Лог – текстовый файл с информацией о действиях пользователей, которая хранится на сервере. По закону она должна храниться до того момента, пока сервис исполняет свои обязательства. 

Однако существуют сервисы, которые продолжают использовать ваши данные и после окончания своей работы: к примеру, «Аптека Вита» и «Здравсити» продолжают обработку данных в течение еще пяти лет. А онлайн-сервис more.tv и вовсе указывает, что пользовательские данные хранятся в течение 75 лет. 

4.   Размытая информация о третьих лицах.

Сервис такси Gett заявляет, что может раскрывать ваши персональные данные организациям группы Gett и третьим лицам (включая поставщиков услуг) в различных странах. В списке значатся Израиль, Ирландия, Кипр, Россия, Соединенное Королевство и США. 

Следовательно, ваши данные, которые собирает Gett, могут быть переданы в страну, которую ваше местное законодательство не считает обеспечивающей надлежащий уровень защиты. Эти данные могут храниться в такой стране, и что там с ними будут делать – загадка. 

Из всех исследованных политик 9% передают данные третьим лицам, помимо требований, установленных законодательством. То есть нет конкретных сведений, кто эти третьи лица, какие данные им передаются и где найти их правовые документы. 

К примеру, в сервисах Instagram, BelkaCar, Rentmee, «Bitwarden – Менеджер паролей» и «Фитнес тренер FitProSport» нет списка сторонних партнеров и ссылок на их собственные политики конфиденциальности. 

5.   Сложная навигация по документу и грамматические ошибки.

Также текст плохо или непонятно отформатирован. Все это подрывает доверие и демонстрирует, что компания не так уж и волнуется о своих клиентах.

Хорошо, если политика конфиденциальности содержит следующие элементы:

  • Краткое изложение политики и ее положений.
  • Оглавление разделов политики.
  • Заголовки для конкретных разделов.
  • Ссылки на подразделы политики или связанные с ней другие документы.

Сам текст должен быть хорошо структурирован и состоять из кликабельных разделов, подстраниц и спойлеров. 

6.   Нечеткие формулировки, обилие громоздких и сложных юридических конструкций.

Этим грешат почти все тексты политик. Многие пункты сформулированы без конкретики. Создается впечатление, как будто компания таким образом хочет минимизировать потенциальную ответственность. 

К примеру, ушедшее из РФ приложение для заказа такси DiDi представляется как технологическая платформа для независимых перевозчиков и сторонних извозчиков. Это означает, по сути, что в случае происшествий на дороге все претензии нужно будет предъявить водителю транспорта.

«СберАптека» дает размытое определение оператора обработки данных, а «Аптека Горздрав» упоминает в тексте политики не менее четырех разных юридических лиц, при этом некоторые их действия противоречат друг другу.

7.   Текст политики давно не актуализировался.

Например, у сервиса доставки «Пятерочка» на сайте выложен документ 2015 года, и с тех пор он не обновлялся. Однако лучший вариант, если на страницах политики будет размещена сводка о последних изменениях. 

Пора делать выводы, или что показал анализ 175 политик конфиденциальности

Наш киберюрист проанализировал более 175 политик конфиденциальности различных приложений (такси, доставка еды, аптеки и другие).

  • У 9% не прописано требование по получению согласия субъекта на передачу персональных данных (в соответствии с положениями 152-ФЗ).
  • У 11% часть информации содержится в ином документе, на который нет ссылки в проверяемом документе.
  • 15% политик не переведены на русский язык.
  • В 20% документов есть указание на передачу данных третьим лицам, помимо требований, установленных законодательством.
  • У 33% отсутствует указание о хранении данных на территории РФ.
  • В 66% документов указано, что, один раз получая одобрение политики (при первичной установке программы), сервис может автоматически передавать данные пользователя по своему усмотрению. Например, сервис такси передает данные компании-извозчику, доставка продуктов – курьерской службе, мобильный браузер – другим сторонним компаниям. Так создается таргетированная реклама. Искали недавно уроки игры на гитаре – получите шквал рекламы музыкальных школ и курсов.

Поставить галочку в графе «Принимаю» в политике конфиденциальности абсолютно несложно, однако нежелание изучить ее хотя бы бегло – сильное упущение. Ведь пользователь может отсеивать «средненькие» и подозрительные продукты еще на начальном этапе благодаря изучению политики.

Сервисы, которые четко прописывают этот важный документ и аккуратно его оформляют, внушают доверие с первого взгляда.

ЦЦЭ Роскачества рекомендует не стесняться

Позаботьтесь о своих цифровых правах. Не стесняйтесь уточнять информацию и задавать вопросы сервисам, которыми пользуетесь. Чем выше бдительность пользователей, тем больше компании и разработчики будут нацелены на улучшение качества своих услуг.

Если вы сомневаетесь, не согласны с количеством собираемых данных или вам непонятны условия их использования – возможно, стоит поискать альтернативный вариант сервиса или приложения. Всегда можно обратиться в службу или чат поддержки, а также позвонить на горячую линию с вопросами.

У вас всегда есть выбор – отдать предпочтение более надежному игроку рынка, у которого политика конфиденциальности составлена понятнее и четче.

Новый раздел на портале Роскачества, посвященный цифровой грамотности, поможет вам правильно читать политики конфиденциальности. Мы проанализировали 175 текстов и готовы поделиться результатами на нашем портале

 

Следите за новостями, подписывайтесь на рассылку.

При цитировании данного материала активная ссылка на источник обязательна.

0 комментариев
Наверх

Samsung Galaxy Note 8 (SM-N950F/DS) добавлен к сравнению Всего в списке 3 товара