Как написать Privacy Policy

Привет!

Команда VERSUS.legal продолжает публиковать статьи о правовых вопросах геймдева. В прошлый раз вы могли прочитать о множестве юридических подсказок для игровых разработчиков. А сегодня мы начинаем серию материалов о базовых документах, которые могут понадобиться на релизе вашей игры. В первой статье расскажем об одном из самых распространенных соглашений в индустрии – о политике конфиденциальности или Privacy Policy.

Без privacy policy сейчас не может обойтись, пожалуй, ни одно приложение. Так или иначе собирают персональные данные почти все. Если в вашей игра есть регистрация, встроенные покупки, аналитика использования в любом виде (в частности, логи ошибок) – то есть если клиент игры отправляет обратно разработчику любую информацию – то вам нужен такой документ. Его размещения в публичном доступе требуют как и законы многих стран (правда, иногда их требования к содержанию политики разнятся), так и правила App Store (начиная с 8 декабря 2020 года) и Google Play. По ссылкам вы можете ознакомиться с детальным перечнем функционала, который требует политику конфиденциальности.

Что будет, если у меня нет такой политики?

Вы можете быть признаны нарушающими закон и правила маркетплейса.

Штрафы за отсутствие опубликованной политики разнятся в зависимости от страны. Например, в России штраф составит от 15 000 рублей для юридических лиц. По правилам GDPR он может составить куда больше, вплоть до 20 миллионов евро. Но на практике самый большой штраф на сегодня составил 1800 евро – в Испании была оштрафована компания Solo Embrague за отсутствие политики конфиденциальности и баннера cookie на главной странице корпоративного сайта.

Что касается санкций от маркетплейсов, то они могут быть весомее, вплоть до удаления приложения. Например, Google присылает сообщения “Warning of Google Play Developer policy violation: Action Required Policy issue” («Предупреждение о нарушении политики Google Play Developer: Необходимо принять меры»).

Выглядят они примерно так:

Могу ли я сделать стандартную политику в одном из автоматических генераторов документов?

Можете, но не факт, что этот документ будет корректно составлен.

Недавно группа исследователей, в состав которой вошли специалисты из Университета Северной Каролины, Университета Иллинойса и IBM Research, изучила 11 430 политик конфиденциальности, случайно выбранных приложений из Google Play. Оказалось, что многие из изученных приложений использовали онлайн-сервисы для автоматического создания политик конфиденциальности. В таких политиках встречались противоречащие друг другу утверждения, они часто были частью стандартных шаблонов. Так, в 59 политиках текст был очень похож и основывался на 3 шаблонах, которые изначально были неверно составлены.

Поэтому если вы хотите быть уверенными, что все делаете правильно, лучше подготовить свою политику. С учетом ваших реальных процессов по сбору и передаче данных пользователей.

На каком языке должна быть составлена политика?

Основная ее версия, конечно, на английском. Но здесь нужно учесть, что у некоторых стран особые требования в законах. Например, в Польше закон о польском языке обязывает предоставлять информацию субъекту данных именно на нем. Поэтому все уведомления о конфиденциальности, адресованные пользователю, тоже должны быть на польском. В целом, такое же правило и в российском законе о защите прав потребителей. Он требует, чтобы информация для потребителей была на русском языке. И Польша с Россией тут не исключение, такие законы есть еще у нескольких десятков стран.

Но на практике мы не знакомы со случаями привлечения к ответственности за отсутствие перевода.

Каким требованиям должна соответствовать политика?

Это самый сложный и интересный момент. Дело в том, что законы разных стран и правила маркетплейсов не всегда совпадают друг с другом. Но приложения, как правило, работают глобально и направлены на аудиторию многих стран мира (особенно если они на английском языке). Это фактически означает, что, имея одно приложение или игру, вы попадаете под действие многих региональных правил одновременно. Поэтому при подготовке документа необходимо выбрать самые строгие правила из возможных и следовать им.

Как правило, в политике необходимо прописать:

  • Сведения о владельце веб-сайта, приложения или игры, контактные данные ответственного лица;
  • Полный перечень данных, которые собираются;
  • Цель и предполагаемый срок обработки данных;
  • Правовое основание для обработки (например, согласие самого субъекта, в силу требований закона и так далее);
  • У каких третьих лиц и для какой цели есть доступ к собранным данным (с указанием страны, куда данные передаются);
  • Права субъектов в отношении своих данных и как они могут их реализовать (в частности, как они могут отказаться от обработки их данных).

Но это только базовые положения. Обязательно изучите региональные требования стран, на которые вы делаете основную ставку по продажам.

Законы каких стран мне вероятнее всего надо учесть?

Стоит обратить внимание на европейское законодательство (GDPR и ePrivacy Directive (так называемый “Cookie Law”) и законы штата Калифорния (Закон Калифорнии о защите конфиденциальности в Интернете (CalOPPA) и Закон штата Калифорния о конфиденциальности потребителей (CCPA).

Например, калифорнийские законы дополнительно просят включить в политику конфиденциальности заявление о том, как будут обрабатываются запросы субъектов персональных данных с просьбой перестать их отслеживать. А также положение о том, как оператор будет уведомлять пользователей об изменениях к политике конфиденциальности. Кроме того, в соответствии с CCPA пользователи должны быть проинформированы о возможности продажи их данных.

Меняется ли что-то, если мое приложение направлено на детскую аудиторию?

Да, если ваше приложение собирает, использует или раскрывает личную информацию о детях младше 13 лет. К таким действиям применяются особые правила, например, американский Закон о защите конфиденциальности детей в Интернете (COPPA).

Вы должны уведомить родителей пользователей и получить их поддающееся проверке (!) согласие перед тем как собирать, использовать или раскрывать информацию. И, конечно, должны обеспечивать безопасность собранной информации. Это также необходимо отразить в политике конфиденциальности.

Я подготовил политику конфиденциальности, что дальше?

Вы должны разместить подробную политику конфиденциальности в двух местах: на странице приложения в сторе и внутри вашего приложения – например, если в нем есть функция регистрации.

Для страницы приложения магазины требуют именно ссылку на залитую политику, а не сам ее текст. В идеале privacy policy можно разместить на вашем сайте – причем в легкодоступном пользователем месте, например, в футере. Но если его нет, можно загрузить документ в отдельный репозиторий, например, на GitHub, и дать ссылку на него.

Также рекомендуем добавить ссылку на политику конфиденциальности в тексте согласия на обработку данных (если оно у вас есть). И обязательно следить за ее актуальностью.

В целом, если у вас нет возможности обратиться к юристу, мы бы рекомендовали не пользоваться генераторами документов, а вместо этого:

  • Изучить политики конфиденциальности и их структуру у нескольких крупных разработчиков;
  • Составить список данных, которые вы получаете от пользователя;
  • Учесть возрастные и региональные особенности, о которых мы рассказали выше;
  • И наконец, составить собственный документ.

Если у вас есть опыт работы с privacy policy – обязательно поделитесь в комментариях! А в следующем материале мы поговорим об EULA, то есть о пользовательском соглашении.

9292
14 комментариев

за отсутствие баннера cookie на главной странице корпоративного сайтаНынче за такое награждать надо.

15
Ответить

Интересно, есть ли условия, при которых этот баннер легально можно не вывешивать?

1
Ответить
6
Ответить

Комментарий недоступен

4
Ответить

Если ты в одиночку делаешь мобильную игру и не гений английского вкупе со знанием юридических тонкостей в разных странах, то вряд ли ты сделаешь политику конфиденциальности на английском правильнее и лучше, опираясь на политики крупных студий, чем политика, которую получишь от генератора.

2
Ответить

Комментарий недоступен

Ответить

Анна, в целом в ваших словах есть резон - и хоть какая-то политика лучше, чем никакой.
Бездумно копировать Политики крупных студий тоже не вариант - все собирают данные для разных целей и передают разным третьим лицам, и чужая информация в Политике никак вас не защитит. Поэтому если нет возможности составить ее самому (например, из-за языкового барьера), и нет возможности нанять юриста, да, генераторы - это выход, хоть, как я написала в статье, неидеальный, так как они тоже допускают ошибки. 

Ответить