Мир новых технологий (обзоры, новинки)
Содержание
В этой статье вы найдете 12 связанных с GDPR полезных кейсов для владельцев приложений, product owner-ов и всех, кто желает разработать приложение. Вы также узнаете об основах GDPR и о том, что этот закон означает для владельцев приложений?
GDPR (Общий регламент по защите данных) — это европейский закон о защите данных и приватности. Его цель — дать людям полный контроль над своими персональными данными. Закон был принят 27 апреля 2016 года, и он вступит в силу 25 мая 2018. Этот день станет важным для многих компаний, так как означает значительные изменения по поводу приватности.
Граждане Евросоюза, а также Норвегии, Исландии и Лихтенштейна, станут субъектами GDPR, но закон значительно повлияет на все организации. Если вы владелец компании, которая обрабатывает данные граждан стран, которые попадают под действие закона, GDPR распространяется и на вас. Даже если ваша компания зарегистрирована в другом месте.
Как подготовиться к GDPR: 15 ключевых шагов
Давайте разберем несколько определений мира GDPR.
Контролер (или администратор) — физическое или юридическое лицо, которое использует данные для достижения бизнес-целей. В нашем случае это владелец приложения.
Обработчик данных — физическое или юридическое лицо, которое обрабатывает данные от имени контролера. Например, сторонние сервисы вроде Google, Amazon, Fabric, HockeyApp и другие. Иногда компании разработки на аутсорсе могут также считаться обработчиками данных.
Субъект данных — физическое лицо, данные которого обрабатываются. В нашем случае это пользователь приложения.
Офицер по защите данных — физическое лицо, которое помогает контролеру или обработчику с соответствием GDPR. Такой сотрудник требуется, если количество данных достаточно большое или эти данные чувствительные.
Контролер и обработчик могут подвергнуться административным штрафам, если они нарушают положения GDPR, даже непреднамеренно. Существует два вида штрафов.
Больше деталей о штрафах можно найти в статье 83 Регламента.
Ещё никогда права пользователей приложений не защищались настолько полно. Поэтому мы должны по-новому взглянуть на планирование и разработку приложения, чтобы полностью соответствовать требованиям Регламента.
В законе нет точных и пошаговых правил. Он дает нам только список общих правил, о которых нужно помнить при создании программ. Поэтому мы можем ожидать, что правовой подход будет базироваться на прецедентах, которые произойдут в будущем и которые мы не можем предсказать сейчас. До первых судебных решений по этому вопросу мы можем только предполагать, какое направление примут финальные интерпретации закона судьями Евросоюза.
Вы должны помнить, что недостаточная безопасность персональных данных может привести к оттоку пользователей из приложения, а защита прав пользователей может стать дополнительным магнитом для клиентов. Поэтому подготовка к стандартам GDPR становится важной вещью для вашего бизнеса, которая может отразиться на будущих доходах.
Мы проанализировали несколько распространенных кейсов, связанных с обработкой персональных данных в разработке мобильных приложений и подготовили для вас несколько правил.
Персональные данные — это любая информация о физическом лице или информация об этом человеке, которая дает вам способность идентифицировать его или её. Вы должны помнить об этом при планировании разработки приложения. Информация может вести к человеку напрямую или нет, важно то, есть ли у вас возможность при их помощи идентифицировать конкретного человека.
Если деанонимизация требует сил и ресурсов, непропорционально соотносящихся с полученной информаций, ваше решение соответствует GDPR.
Да, и это стоит принимать во внимание при разработке приложения, так как, согласно GDPR, у каждого пользователя есть право запросить удаление персональных данных, которые могут привести к его или её идентификации.
У вас нет влияния на то, что пользователи будут размещать персональные данные другого человека в приложении. Субъекты, чьи персональные данные были опубликованы без разрешения, должны иметь возможность связаться с вашим офицером по защите данных (или контролером). В таком случае они могут отправить запрос на удаление этих данных из вашей системы, и вы обязаны будете удалить их.
Вам нужно будет убедиться, что ваши сторонние сервисы соответствуют GDPR. Вы можете посмотреть это в их условиях использования. На время написания этой статьи (9 апреля 2018) Fabric утверждает, что будет готова к требованиям GDPR к 25 мая.
Требования GDPR утверждают, что мы должны проверять, имеют ли используемые нами сервисы сертификаты безопасности в соответствии с Регламентом. Мы ответственны за утечки персональных данных через сторонние организации.
Письменный контракт не обязателен. Закон предполагает определенное количество свободы, а также представляет более широкую концепцию “другого правового акта”.
Что нужно сделать, чтобы убедиться, что контракт или другой правовой акт соответствует требованиям GDPR? Все просто. Проверьте, что у провайдера услуг есть сертификат соответствия GDPR. Сертификация — это добровольно, но если вы хотите точно знать, что провайдер услуг подготовлен к GDPR, проверьте, есть ли у него сертификат.
Это необязательно. GDPR предоставляет вам определенную свободу в этом вопросе. Офицер по защите данных может быть сотрудником контролера или обработчика, а также человеком извне. Это дает нам определенную свободу выбора и возможность сократить расходы.
Модель аутсорсинга на основе контракта можно адаптировать под потребности и масштаб компании. Количество часов работы при этом может быть значительно ограничено.
Да, считается. Не существует простого метода массовой верификации отсутствия персональных данных в адресе почты. Мы можем использовать псевдонимы на других порталах, которые можно будет связать с другими данными. Если мы не уверены, что элементы приложения могут помочь идентифицировать пользователя, то мы должны предполагать, что это может произойти.
Ответить на этот вопрос очень сложно. Однозначного ответа не будет. Мы должны принять, что любая информация о пользователе, которая дает вам возможность идентифицировать физическое лицо, может нарушать правила GDPR. С другой стороны, мы можем также предполагать, что эти данные можно получить со значительными расходами, что несколько смягчает тон предыдущего правила. Пока мы не можем определить, как с этим будут работать регулирующие органы.
Условия сервиса должны включать условие о том, что вся информация в приложении будет защищена. Более того, условия сервиса должны включать полный список прав пользователя: право доступа, редактирование и удаление персональных данных и так далее.
Более того, вам нужно будет согласие пользователя на обработку персональных данных в целях функциональности приложения. В каждом приложении должен быть простой способ подтвердить свое согласие с этими требованиями. Вы должны четко и понятно рассказать о правилах, которые принимают пользователи.
Во-первых, вы должны быть уверены, что ваш провайдер системы соответствуют требованиям Регламента. Более того, важно, какие данные будут включены в отчеты и у кого будет к ним доступ. Давайте рассмотрим три кейса:
Нет. Единственный человек, который должен иметь специальные знания по этому вопросу, — это офицер по защите данных, который необязательно должен быть сотрудником компании. Но для вашего бизнеса будет хорошо, если ваши сотрудники в отделе разработки и тестирования будут знать о требованиях Регламента, потому что они смогут создавать соответствующие требованиям продукты быстрее.
Нет. Мы не имеем дела с такими данными, а только предполагаем, что это так. Чтобы получить эту информацию, вам придется использовать большое количество ресурсов, и поэтому вы не нарушаете правила GDPR.
Вы должны сообщить об утечке регулирующим органам в течение 72 часов после обнаружения утечки, если вы не можете доказать, что утечка не нарушает прав и свобод физических лиц. Если уведомление в соответствующие органы не было отправлено в течение 72 часов, оно должно сопровождаться причиной задержки.
Это одно из самых важных изменений, которое вносит Регламент. Вы можете прочитать об этом больше в статье 33.
GDPR значительно повлияет на создателей мобильных приложений. С одной стороны, он представляет новые строгие правила и вносит изменения в процесс планирования и разработки. С другой стороны, защита персональных данных может привлечь пользователей в приложение и дать им ощущение безопасности.
Принятие стандартов GDPR может быть полезным для вашего бизнеса. Мы надеемся, что наши кейсы помогут вам извлечь пользу из изменения закона.