Все слышали новость о том, что Фэйсбук «выбросил» десятки тысяч приложений из-за проблем с приватностью.

Это ставит перед разработчиками много вопросов, на которые надо срочно искать ответы:

● Как создать «безопасное» приложение?
● Что такое вообще эта ваша приватность?
● И почему вокруг этой темы так много шумихи в последнее время?

Чтобы разобраться во всем этом, мы побеседовали с экспертами по защите персональных данных Джейсоном Кронком, США, и Сергеем Воронкевичем, СНГ.

Джейсон Кронк CIPP/US, CIPT, CIPM, FIP — автор книги «Strategic Privacy by Design», эксперт и тренер по проектированию защиты персональных данных. Cпикер и автор IAPP, Privacy and Security Forum, Intel Security Conference. Приглашенный лектор Florida State University и Indiana University. Сертифицированный профессионал (CIPP/US), технолог (CIPT) и менеджер (CIPM) в сфере приватности. Биография.

Сергей Воронкевич
CIPP/E, CIPM, MBA — Тренер и ведущий консультант консалтинговой компании в области защиты персональных данных Data Privacy Office. Сертифицированный менеджер в сфере информационной приватности (CIPM) и сертифицированный профессионал в этой же
сфере (CIPP/E). Биография.

Что такое приватность?

Основная ошибка при внедрении GDPR — это рассчитывать на силы и ресурсы только одного человека. Распространенная практика — ожидать от юриста самостоятельной работы по Регламенту. В такой ситуации, если он не будет обладать достаточно серьезным весом в организации и не сможет убедить коллег в необходимости общей слаженной работы, то все сведется к подготовке бесполезных шаблонов документов, которые не будут защищать компанию.

GDPR не реализовать в одиночку

Еще хуже, если это будет даже не юрист. Отдав GDPR-вопросы копирайтеру или маркетологу, вы можете получить шаблонную политику приватности (политику конфиденциальности) у себя на сайте. Вы же помните, почему это плохо? В такой политике ваши пользователи не увидят, зачем при подписке на email-рассылку вы взяли их номера телефонов. А потом будут удивлены, получив звонок с предложением товара или услуги. Итог: двойная жалоба за прямой маркетинг и политику приватности.

Сергей Воронкевич, MBA, CIPP/E

Английскую версию политики приватности – privacy policy – ошибочно переводят как «политика конфиденциальности». В чем здесь ошибка?

«Политика конфиденциальности» – это переводческая традиция, которую вы можете встретить даже на русскоязычных версиях таких платформ как Google и Apple. Однако, конфиденциальность – это один из принципов информационной безопасности. Согласно этому принципу, ваша информация защищена от несанкционированного доступа.

Сергей Воронкевич, MBA, CIPP/E

Копирование и генерирование политики приватности

Копирование шаблонной политики приватности или использование генераторов (автоматическое составление) – весьма распространенная практика. Действительно, в некоторых случаях это может сэкономить время, если речь идет о копировании повторяющейся информации, которая универсальна для многих сайтов. Но это правда лишь при условии, что вы копируете ее из надежного источника или используете качественный генератор.

Копирование

Если вы все же копируете шаблонную политику приватности, то вам нужно перепроверить соответствие данного документа статьям 13 и 14 GDPR (General Data Protection Regulation — Общий Регламент Европейского Союза по защите персональных данных), а также изменить пункты, индивидуальные для каждой компании:

1. Цели обработки
2. Законные основания для обработки
3. Сроки обработки

Сложно найти политику приватности, которая бы соответствовала всем процессам в вашей компании и одновременно GDPR. Большинство политик приватности, даже европейских компаний, не соответствуют GDPR.

Скопированная политика приватности может содержать в себе обработки персональных данных, которых в компании нет и быть не может. Это создает большие проблемы при реализации прав субъектов данных. Например, пользователь вашего сервиса захочет реализовать свое право на переносимость данных, но вы его реализовать не в состоянии.