Как стать автором
Обновить

Защита данных пользователя: как добавить поддержку правил CCPA и GDPR в мобильное приложение

Время на прочтение16 мин
Количество просмотров4.8K
Всего голосов 41: ↑40 и ↓1+43
Комментарии10

Комментарии 10

Автор, спасибо за полезную статью. Я правильно понимаю, что GDPR позволяет пользователю поменять свое решение "согласен/несогласен" в любой момент, а CCPA фиксирует решение пользователя на 12 месяцев и поменять (например, разрешить сбор данных) до истечения 12 месяцев пользователь не может?

Или, скажем, может, но "спросить" его "а не желаете ли поменять мнение?" никто не имеет права?

Привет. Рад, что было полезно!
Отвечая на вопрос: и да, и нет. CCPA никак не ограничивает пользователя в его праве поменять решение, но ограничивает нас, как операторов его данных. Мы можем спрашивать не чаще, чем раз в 12 месяцев. По сути, так закон защищает пользователя от нашего спама запросами. Если сказано «нет», то следующий раз переспросить можно только через год.

Спасибо! Я правильно понимаю, что в случае с CCPA переспросить можно через 12 мес., НО если пользователь сам поменяет решение (например, поставит галочку "хочу отдавать данные), то компания может их брать, т.к. это было желание самого пользователя (даже если еще не прошло 12 месяцев)?

И как *эта же* ситуация (пользователь САМ решил снова начать отдавать данные) работает в случае с GDPR?

Про CCPA — да, так и есть. Пользователь может поменять своё решение в любой момент: может отказаться или согласиться. Но мы не можем просить об этом чаще раза в год.

В GDPR нет подобных ограничений про конкретный срок, но сказано, что мы не должны принуждать пользователя к согласию. Скорее всего частый показ запроса на данные будет трактован как давление на пользователя. Сам он при этом может менять решение когда угодно. Более того, не только общее, но и детально по конкретным операторам данных. Сегодня разрешить отдавать данные в какую-то рекламную сеть, а завтра передумать и запретить её. И разрешить другую.

Понял. Еще раз вам большое спасибо за полезную информацию! Последний вопрос: кто должен следовать нормативам GDPR (и CCPA)? Сборщик данных, или их обработчик тоже? Или кто-то еще? А что входит в понятие обработки (если обработчика касаются эти регулирования)?

Тут необходима небольшая ремарка.

CCPA не оперирует понятием обработки данных (это ближе к российским законам о персональных данных). Он больше направлен в сторону бизнеса и гражданских прав, чем в сторону технических действий с информацией. Цель — не допустить раскрытия и передачи данных без согласия пользователя, а где данные хранятся и как обрабатываются особо не регламентируется.

GDPR прописан гораздо конкретнее и разделяет роли обработчика данных (процессор) и того, кто их собирает (контроллер).

Теперь непосредственно по тому, кто и что должен.

1. К кому применяется CCPA.

Любой бизнес, который работает в Калифорнии и/или собирает данные о пользователях из Калифорнии. И дополнительные условия (достаточно любого из них):

  • ежегодный доход более 25 миллионов долларов;
  • бизнес покупает, получает и/или продает данные более чем 50 000 пользователей из Калифорнии;
  • получает более половины дохода от продажи данных пользователей.

Дополнительные условия защищают небольшие бизнесы от этих требований, потому что для них получение согласия и выполнение всех остальных требований — это дорого. Если бизнес удовлетворяет этим условиям, то не важно, что он делает (обрабатывает, передает или раскрывает информацию) — нужно согласие пользователя, «комплекс разумных мер по защите данных», а еще «предоставить способ для подачи уведомления о получении всех собранных о пользователе данных, как минимум, бесплатный телефонный номер». Как видите, все сложно — и это мы ещё не касались законов о защите персональных данных детей, таких как COPPA.

2. К кому применяется GDPR.

Вообще к любой организации, которая работает на территории Евросоюза и/или собирает данные о пользователях из Евросоюза.

Получать согласие должен контроллер. Но при этом пользователь должен быть чётко информирован, кто и с какой целью будет эту информацию обрабатывать. И если он возражает, то контроллер не должен передавать информацию этому конкретному процессору. А процессор вместе с информацией должен получать сигнал о согласии пользователя от контроллера.
Оба закона очень сложны, допускают много трактовок и накладывают много обязанностей. Это обязанности по реализации согласия в приложении, правила хранения данных, поддержания строгой отчётности, обеспечение доступа пользователей к собранным данным, запросы на удаление данных, назначение офицера (ответственного за пользовательские данные), взаимодействие с партнерами (кому мы передаем данные). А ещё соответствующая политика безопасности.

Поэтому перед тем, как приступать к реализации и выполнению требований этих законов, я бы советовал обратиться за юридической консультацией. Эта статья затрагивает только техническую реализацию, как один из вариантов и не является руководством (тем более, в вашем случае реализации скорее всего будет отличаться).

Спасибо вам огромное, очень ценю, что нашли время так подробно прокомментировать. Буду изучать дальше!

 и кроме того не покрывают законодательство по персональным данным только в ЕС и США. 

что-то тут режет глаз. может НЕ лишняя ?

Спасибо, поправил.
Зарегистрируйтесь на Хабре, чтобы оставить комментарий