Объемы экспорта IT-услуг каждый год в среднем растут на 26,8%. Часть экспорта занимают украинские веб-сервисы, которые выходят на рынки ЕС и США, а значит должны выполнять требования законов по сбору и обработке персональных данных в этих странах, таких как общий регламент по защите данных в ЕС (GDPR) и закон о защите персональных данных пользователей штата Калифорния (CCPA).

Услуги по GDPR анализу IT-продуктов становятся востребованнее в Украине. Чтобы разобраться, как проходит GDPR аудит, юристы поделились кейсами и рассказали, как составляли политики конфиденциальности для сервиса автоматического отслеживания данных в Instagram — Hypelitix. Это инструмент, с помощью которого пользователь получает доступ к анализу общедоступных данных профилей инфлюэнсеров в Instagram. Продукт позволяет отслеживать метаданные постов, IGTV и историй профиля, чтобы фильтровать их по хэштегам и упоминаниям.

В статье вы найдете перечень пунктов, которые должны быть в Политике конфиденциальности, чтобы соответствовать GDPR, и примеры пунктов из публичного документа Hypelitix.

Персональные данные, которые собирает веб-сервис

Составьте в Политике конфиденциальности перечень всех персональных данных, которые собирает и обрабатывает IT-продукт.

Например, Hypelitix собирает и обрабатывает персональные данные пользователей веб-сервиса и инфлюэнсеров. Поэтому в Политике конфиденциальности составлены 2 отдельные группы данных.

Первая группа — данные пользователей: имя, email и IP адрес.

Вторая группа — данные инфлюэнсеров, к которым относятся ссылка на профиль, имя, аватар, язык, био, страна/город/штат, количество постов, количество подписок и подписчиков, публикации, сторис и IGTV. Кроме этого, к персональным данным инфлюэнсеров относятся изображения, фотографии, аудио- и видеоклипы, рилсы, звуки, музыка, приложения, медиаданные публикаций, включая присутствие или отсутствие упоминаний или хэштегов.

Цели сбора и обработки

Опишите цели сбора и обработки данных. Они должны быть конкретными, законными и отчетливыми. Hypelitix обрабатывает данные с целью предоставления клиенту аналитической информации. Их законными интересами при работе с персональными данными являются цели прямого маркетинга, как указано в статье 47 GDPR, и статистические цели, как указано в статьях 113 и 162 GDPR.

Интеграции и внешние сервисы

Важно предупредить пользователей какие сторонние сервисы получают доступ к их персональным данным. Hypelitix сотрудничает с поставщиками аналитических услуг, такими как Google Inc., включая платформу Google Cloud Vision API, для распознавания текста на изображениях и видео в социальной сети «Instagram». Кроме этого, Hypelitix может передавать персональные данные Paypal, Inc. Перечислите эти сервисы и укажите, что ответственность за хранения данных, которые становятся доступны сервисам, так же лежит и на них.

Время хранения данных

Hypelitix хранит информацию до тех пор, пока учетная запись пользователя активна. Если он не выполняет никаких действий в сервисе в течение одного года, Hypelitix может удалить его личную информацию из сервиса. Что касается инфлюэнсеров, Hypelitix может удалить личные данные из сервиса и сделать их недоступными для пользователей. Это может занять до одного месяца.

Место хранения данных

Укажите место хранения персональных данных пользователей, это может быть сервер в вашей стране или в ЕС. Все персональные данные, которые собирает Hypelitix, хранятся сторонними процессорами на защищенных серверах AWS Amazon и Hetzner.

Меры безопасности

Перечислите способы защиты персональных данных которые вы используете при обработки информации. Hypelitix хранит данные в зашифрованном виде. Доступ к информации об инфлюэнсере невозможен без присвоенного идентификационного кода хранилища.

Дисклеймеры

Дисклеймеры ограничивают ответственность собственника продукта там, где процессы сбора, обработки и хранения данных вне его контроля. Когда Hypelitix получает персональные данные не от субъектов данных напрямую, а из социальной сети «Instagram», веб-сервис не может информировать каждого из пользователей об обработке их данных. Единственный способ сообщить об обработке в таком случае — Политика конфиденциальности. Документ, должен включать оговорку о том, что сбор происходит в соответствии со статьей 62 и статьей 14(5)(b) GDPR, и Hypelitix может не получать разрешение инфлюэнсера на сбор данных о нем. В то же время инфлюэнсер всегда может обратиться в службу поддержки сервиса с запросом на удаление или изменение сведений о нем.

Автор статьи: Валерий Сталиров, CEO компании IT-юристов Stalirov&Co