Политика конфиденциальности: что скрывают скучные тексты?

Роскачество настоятельно просит контролировать, какие доступы вы открываете приложению, какие данные оно о вас получит и передаст ли их куда-то – все это прописано в Политике конфиденциальности. Да, ее нужно читать.

Политика конфиденциальности: что скрывают скучные тексты?

На веб-сайте или в мобильном приложении до начала пользования сервисом человек должен принять оферту по обработке его персональных данных. Этот длиннющий текст видели все. Почему важно ознакомиться с этим документом и что он может скрывать?

В нашей стране нельзя собирать, хранить и обрабатывать персональные данные граждан без их согласия. Размещение Политики конфиденциальности на веб-сайте — обязательное требование части 2 ст. 18.1 152-ФЗ «О персональных данных». Она должна соответствовать законам того региона, где предлагается и используется IT-продукт или сервис. За нарушения владельцев сайтов штрафуют по ст. 13.11 КоАП.

Кроме того, права пользователей Интернета защищает GDPR (General Data Protection Regulation), или Общий регламент по защите персональных данных. Его международный статус позволяет распространять действие закона не только на территорию ЕС.

Политика конфиденциальности — юридический документ, в котором владелец сайта рассказывает, как он поступает с личными данными пользователей. Давайте разберемся в действующих лицах, которые фигурируют в тексте.

Вовсе необязательно все знать или быть юристом, чтобы разобраться в Политике конфиденциальности. Кроме того, знание терминов будет не лишним при чтении правовых актов в целом, да и просто расширяет кругозор.

Оператор — владелец сайта. Это, как правило, юридическое лицо, которое собирает и распоряжается персональные данные.

Пользователь — человек, имеющий доступ к сайту или продукту Оператора посредством сети Интернет.

Вы становитесь субъектом персональных данных каждый раз, когда:

— заполняете профили на сайтах при регистрации;

— подписываетесь на почтовую рассылку;

— пишите в форме обратной связи, оформляете заказ и т. п.

Оператор осуществляет следующие действия:

Сбор информации — получение сведений о человеке. Например, вы заполнили форму заказа на сайте.

Обработка информации — передача и хранение данных. Например, ваш номер телефона может быть сообщен курьерской компании.

Хранение информации — запись информации на различных носителях для последующего использования.

Пользователь соглашается поделиться личной информацией о себе, чтобы сервис мог предоставить ему нужные услуги.

Персональные данные — любая информация о посетителе сайта.

  • ФИО, электронный адрес, номер телефона (и другое)
  • Данные профиля соцсети (дата рождения, статус и т.п.)
  • Содержание отзывов, комментариев и сообщений (в этом сервисе).

Каждый сервис должен определять сам, какую информацию он собирает, и уведомлять об этом в пункте «Предмет политики конфиденциальности».

Выбор без выбора

Как ни крути, но выходит, что продукт можно использовать только на тех условиях, которые предлагает его разработчик или владелец. Политика конфиденциальности только констатирует этот факт.

Тут можно задаться вопросом: «Зачем ее читать, если все равно нажмешь «Принимаю»? Конечно, нужно потратить время, чтобы читать Политику конфиденциальности каждого сервиса. Но почему бы просто не взглянуть на ключевые пункты, чтобы понимать, какую личную информацию и данные о вас собирают? Воспринимайте это как маленькую возможность начать контролировать свою цифровую жизнь.

«Такая «простыня», сейчас засну»

Если пользователь, открывая страницу с документом, видит сплошной массив текста, то это плохой признак. Правильно составленная Политика — это структурированный документ, в котором есть навигационные элементы. По ним и следует ориентироваться.

Если компания заботится о своих клиентах и пользователях, то выложит понятный и хорошо структурированный документ Политики конфиденциальности.

Чтобы не оказаться в ситуации, когда прочитал соглашение на 200 страниц и не принял его, определите для себя, что вам важно узнать из документа.

— Какие ваши данные собирает сервис и для каких целей

Цели сбора данных должны быть конкретными, законными и отчетливыми. Особенно важно понять, какую финансовую информацию о вас собирают и куда уходят платежные данные.

— Кому передается информация о вас

Как правило, сервис делится информацией с поставщиками дополнительных услуг: платежными системами, службами доставки, социальными сетями, а также с партнерами, органами правопорядка и другими лицами. Основное требование — информация раскрывается третьим лицам в объеме, необходимом для выполнения запроса. Ссылки на публичные документы сторонних сервисов могут быть приведены в Политике.

Сервис обязан передавать информацию третьим лицам только для целей, указанных в Политике. Исключение составляют органы исполнительной власти (МВД, суды и пр.). Также данное правило может быть отозвано при чрезвычайных происшествиях.

— Процедуры отзыва разрешений или отказа от рекламных рассылок

Например, файлы Cookie. На компьютере пользователя они собирают статистические данные, которые потом применяются для аналитики, продуктивности и в рекламных целях. Важно получить явное согласие от пользователя на использование сookie-файлов и предоставить возможность отозвать такое решение. Так, в январе 2022 года Google пришлось заплатить 90 млн EUR за нарушение процедуры согласия на использование файлов cookie.

Также сервис должен предоставлять возможность пользователю отказаться от рассылок и оповещений.

— Что компания делает для защиты данных пользователя

Какие физические, электронные и процедурные меры безопасности для защиты персональных данных внедряют сайты и приложения. Это нужно знать, чтобы быть уверенным что камера «не отслеживает», а микрофон «не слушает» лишнего.

В статье 32 GDPR перечисляются следующие меры безопасности:

  • анонимизация;
  • шифрование;
  • целостность и постоянная конфиденциальность;
  • устойчивость систем и сервисов обработки;
  • способность своевременно восстановить доступ;
  • тестирование эффективности.

«Обязательно обращайте внимание на перечень данных, передаваемых третьим лицам – посредникам и партнерам компании-разработчика. Важно следить за тем, какие разрешения запрашивают приложения, к примеру: если приложение «Фонарик» запрашивает разрешение на доступ к микрофону, фотогалерее или контактам, это должно насторожить. Стоит давать разрешения только на те запросы приложений, которые действительно необходимы для выполнения основной функциональности», — говорит Сергей Кузьменко, старший специалист по тестированию цифровых продуктов Роскачества.

Подписывайтесь на наши группы, чтобы быть в курсе событий отрасли.

Перейти к началу страницы

Подпишитесь на новости индустрии

Нажимая на кнопку "подписаться", вы соглашаетесь с


политикой обработки персональных данных