Необходимо в очередной раз обновить Политику конфиденциальности и Правила использования сайта, сервиса и любого программного продукта, который доступен через Google Play или App Store. Вступила в силу новая политика Google и новые правила Apple – изменения действующих правил весьма существенны. Приведённая здесь консультация объяснит, почему необходимо обновить текущую редакцию Политики конфиденциальности. Вы узнаете в чём суть последних правил Google и Apple. Вы также получите ответ на вопрос – стоит ли связываться с персональными данными детей?

Почему стоит обновить Политику конфиденциальности в соответствии с последними правилами?

Политику конфиденциальности и Правила использования для Вашего ПО или сервиса следует обновить как можно скорее по причинам: а) законодательных новшеств и свежей судебной практике, связанных с отношениями, возникающими из публичных соглашений с пользователями, в том числе в связи с использованием их личных данных; б) произошли существенные изменения в политике Google и Apple, особенно в части работы с несовершеннолетними пользователями (детьми); в) программное обеспечение регулярно обновляется и дополняется новыми функциями, публичные соглашения также должны быть “up to date”.

Все названные причины рассмотрены далее по тексту консультации. Кроме того, ранее мы сообщали, что Гугл в принципе требует наличия публичных соглашений от правообладателей программных продуктов, которые размещаются через Google Play. Apple выдвигает аналогичное требование. В частности, необходимо наличие Политики конфиденциальности. Ознакомиться с указанной статьей юристов Legal Support возможно по ссылке – Почему Google требует Privacy Policy?

Изменения в законодательстве и новая судебная практика:

В ЕС появились первые судебные прецеденты по делам о нарушении правил, установленных General Data Protection Regulation. Также в ближайшее время будет представлена обновленная версия ePrivacy директивы ЕС. Более того, новые правила, также как и GDPR, будут приняты в форме регламента и будут носить обязательный, а не рекомендательный характер. В контексте положений Правил использования сервисов (служб), сайтов и ПО нельзя оставить без внимания и существенные изменения в сфере общеевропейских правил регулирования авторских правоотношений.

В последние годы значительное число интересных судебных решений было принято в США, как на уровне отдельных штатов, так и на федеральном уровне. Интерес федерального правительства, а также Конгресса США, к бизнесу в сфере IT приобрел более целенаправленный характер. Это, в первую очередь, относится к крупным корпорациям, и проявляется в разных направлениях возможного регулирования – от налогообложения до защиты прав потребителей (пользователей).

Чего стоит лишь прошедшие слушания в Конгрессе США относительно криптовалютного проекта Facebook. Речь идёт о проекте Libra. При этом, предметом слушания были не только риски и сложности, связанные с запуском внутренней криптовалюты Facebook. Предметом жарких дискуссий стало надлежащее обеспечение сохранности личных данных пользователей и защита их прав на приватность.

Необходимость обеспечения надлежащей сохранности персональных данных и соответствие юридическим требованиям ЕС, США и других юрисдикций (их объединений) давно не носит характер “рекомендаций и пожеланий”. Рекордный в США, да и в целом в мире, штраф в 5 миллиардов долларов за нарушения правил работы с персональными данными и прав пользователей подтверждает всю серьезность регулирования в данной сфере.

За нарушение конфиденциальности данных пользователей, Федеральная торговая комиссия США одобрила штраф в размере 5 млрд долларов в отношении Facebook в рамках разбирательства по делу Cambridge Analytica. Напомним, в 2015 – 2016 в результате действий Facebook и Cambridge Analytica незаконно, в нарушение существующих правил, переданы данные о более чем 50 млн пользователей социальной сети.

Как избежать такой участи? Обновить политику конфиденциальности и актуализировать положения других соглашений с пользователями, предусмотреть в офертах максимум возможных “сценариев”. Что еще? Строго соблюдать взятые обязательства и законодательные правила, предпринять надлежащие технические и организационные мероприятия для защиты данных Ваших пользователей.

Новая политика Google и Apple – в чём суть изменений?

В чём суть новой политики Google и новых правил Apple? Новая политика Google принесла новые требования относительно способа подачи контента, рассчитанного на детей, а также относительно процесса работы с персональными данными детей. Требования к организации работы с личными данными несовершеннолетних обсудим позже. Сейчас тезисно об изменениях политики Google и новых правилах подачи контента для самой “чувствительной” и незащищенной возрастной группы пользователей:

• Развлекательные приложения для детей, в частности игры, должны быть более конкретны и однозначны в подачи игровой информации. В первую очередь имеется ввиду, что встроенные в приложения магазины по продаже игровых предметов должны содержать чёткую и конкретную информацию о таких виртуальных предметах. Например, описание “сундука с сокровищами” в магазине ролевой игры про пиратов должно содержать чёткую информацию о шансе выпадения тех либо иных игровых предметов.
• Приложения и сервисы, которые рассчитаны на детей (могут использоваться детьми), должны сопровождаться информацией об этом. К таким приложениям, кроме правил Google, указанных в первом пункте перечня, применяются все правила Google, предусмотренные Designed for Families program (о самом главном в следующем пункте).
• Запрет некоторых видов рекламы и другого контента, который может быть прямо или косвенно доступен для детей. Все информационные уведомления, встроенные в приложение, и сообщения для пользователей должны излагаться чётко и недвусмысленно.
• Новая политика Google фактически не содержит исчерпывающего перечня требований для приложений, рассчитанных на детей. Это объясняется тем, что политика Google, кроме собственных правил, отсылает к действующим регуляторным правилам ЕС и США. Для разработчиков и правообладателей приложений, ориентированных на детей, политика Google содержит указание на необходимость строгого соблюдения правил General Data Protection Regulation и COPPA (сокращение от The Children’s Online Privacy Protection Act).

Все перечисленные новшества и изменённые требования политики Гугл стоит внедрить в положения публичных соглашений. Что же до новых правил Apple, в дополнение к указанному, требуется исчерпывающее информирование пользователя о целях обработки его данных и получение отдельного согласия на обработку данных для персонализации рекламы и установления предпочтений пользователя.

Таким образом, необходимо обновить Политику конфиденциальности и Условия использования приложения с учетом изложенных особенностей или составить абсолютно новые публичные соглашения. Изменения в законодательстве, новая судебная практика, обновленная политика Google и Apple – не единственная причина обновить Политику конфиденциальности, Правила использования, оферты и юридические предостережения. Есть и еще одна, более банальная причина.

Изменение и дополнение функциональных возможностей приложений:

Программное обеспечение может дополняться новыми функциями и возможностями. Также, может расширяться круг потенциальных пользователей или увеличиваться объем сведений о пользователе, которые собираются через встроенный инструментарий приложения или любым другим способом, в том числе силами и техническими средствами компаний-посредников.

Что следует предпринять в этом случае? Установить круг изменений и дополнений в отношении программного продукта, проверить насколько они влияют на права и обязанности пользователей или возможные для пользователей последствия использования ПО. Проанализировать полученные сведения и, в случае необходимости, обновить Политику конфиденциальности и другие оферты.

Работа с персональными данными детей – стоит или нет?

Короткий ответ – не стоит, если программное приложение специально не предназначено для детей. Понятно, если дети – целевая аудитория программного продукта, то без обработки личных данных этих пользователей не обойтись. В таком случае, необходимо неуклонно следовать правилам программы Google Designed for Families, предписаниям EU GDPR, COPPA и CCPA (the California Consumer Privacy Act).

Калифорнийский закон о конфиденциальности данных потребителей, в отличии от GDPR, не имеет прямо предусмотренного принципа экстерриториального действия. Однако, наряду со сводом правил ЕС о защите данных, CCPA также стал определённым стандартом, которому следует соответствовать. Именно Калифорнийский закон о конфиденциальности данных называют первым полноценным и всесторонним законом о конфиденциальности США.

Новая политика Google полностью соответствует правилам California Consumer Privacy Act. Почему такой гигант индустрии следует правилам Калифорнийского закона? Ответ очевиден – местом регистрации и расположения Google Inc является Калифорния. Таким образом, Политика конфиденциальности и Правила использования сервиса или приложения, доступного через Google Play, также должны соответствовать CCPA, GDPR и, кроме того, политике Google.

Самый важный совет при работе с персональными данными детей – сведите процесс сбора и обработки личных данных несовершеннолетних лиц к минимуму. В отношениях с этой категорией пользователей принцип минимизация данных (data minimisation) носит первоочередное значение. Вместе с тем, данное требование относится к работе с любыми персональными данными. Статья 5 (пункт “c”) GDPR предусматривает, что следует собирать, хранить и обрабатывать только те данные, которые абсолютно (крайне) необходимы для выполнения поставленных задач.

CCPA касается обработки персональных данных не только лишь детей. А вот дополнительные требования COPPA применяются именно при работе с данными детей. Стоит ли идти на обработку данных детей? Это всегда сложный вопрос, развернутый ответ на него зависит от целесообразности работы с персональными данными детей в каждом конкретном случае. Если ПО предназначено для детей, то еще перед его запуском необходимо предусмотреть и упредить возможные риски. Далее, следует строго соблюсти все указанные выше требования. Следующий шаг – провести аудит работы с личными данными, проверить актуальность и надежность проведенных организационных и юридических мероприятий.

Во всех случаях организации работы с персональными данными не стоит забывать о конечной цели предпринимаемых действий. Составление и обновление Политики конфиденциальности – лишь одно из мероприятий в рамках комплексной работы. Да, эту сторону медали видит пользователь, а наличие Политики конфиденциальности или аналогичного документа требует Google. Истинная задача – соответствие законодательным правилам для обеспечения сохранности данных пользователей и соблюдения их прав. Именно этого от Вас требует политика Google, EU GDPR, COPPA и другие нормативные документы.

На самом деле, бизнесу выгодно стремиться к истинной цели. Только комплексная и качественная организация работы с персональными данными максимально гарантирует юридическую безопасность Вашего бизнеса. Блог Legal Support включает подробные консультации о всесторонней и комплексной работе с персональными данными. Руководителям компаний и правообладателям программных продуктов рекомендуем ознакомиться с материалами консультации – GDPR data mapping. Прочтение статьи позволит понять общую картину организации работы с данными, роль и значение Политики конфиденциальности, а также обязательной в соответствии с EU GDPR инвентаризации.

Как получить обновленную Политику конфиденциальности?

Мы предоставили ответы по существу на все поставленные вопросы. Остался лишь один – как получить обновленную версию Политики конфиденциальности и соответствующую помощь юриста? Есть, как минимум, 2 варианта: обновить Политику конфиденциальности (ее текущую редакцию) или разработать абсолютно новый документ.

Составить новый документ, внедрив в его положения требования обновленной политики Google, а также механизм соблюдения COPPA, GDPR и реализации прав пользователя или законного представителя (в случае с детьми) – оптимальный вариант. Подготовленный документ должен быть четким, однозначным и понятным для конечного пользователя. Альтернативный способ – обновить текст действующей Политики конфиденциальности, привести его в порядок с учётом вышеизложенного. В обоих случаях в новой Политике конфиденциальности надо учесть изменения в законодательстве, последнюю судебную практику, актуальную политику Google и Apple.

Опыт и навыки юристов объединения Legal Support и Terms and Privacy Bot (форма оформления технического задания на разработку публичных соглашения) сделают процесс обновления Политики конфиденциальности максимально быстрым, понятным и удобным. Актуальные контакты юристов указаны в соответствующем разделе веб-сайта Legal Support.

юрист Legal Support, Евгений Мовчун

Блог – Обновить Политику конфиденциальности в соответствии с последними правилами Google и Apple