Получить бесплатную предварительную консультацию
Получить бесплатную предварительную консультацию
Политика конфиденциальности для мобильного приложения
Мобильное приложение, как и веб-сайт, обязано соблюдать требования по защите персональных данных пользователей. Более того, магазины приложений (Google Play, Apple App Store) обычно требуют наличия у приложения Privacy Policy (политики конфиденциальности) – без неё могут даже отклонить публикацию. Разработка Политики конфиденциальности для мобильного приложения во многом аналогична таковой для сайта, но есть нюансы, связанные со спецификой мобильных устройств.
Что учитывать при составлении политики для приложения:
Что учитывать при составлении политики для приложения:
- Перечень собираемых данных. Распишите конкретно, какие персональные данные приложение получает от пользователя или его устройства. Например: ФИО, email при регистрации аккаунта; номер телефона, если требуется; геолокация (GPS-данные) – если приложение трекает местоположение; фото/медиафайлы – если пользователь может загружать фото; идентификатор устройства, IP-адрес, версия ОС и т.д. Мобильные приложения часто запрашивают различные разрешения (доступ к камере, контактам, микрофону) – обязательно объясните в политике, для чего нужны эти доступы. Например: «Приложение запрашивает доступ к камере, чтобы пользователь мог прикреплять фотографии к отзывам». Пользователи ценят прозрачность, а регуляторы требуют этого по закону.
- Цели и способы обработки. Укажите, для чего вы используете собранные данные. Например: геолокация – чтобы показывать ближайшие точки сервиса; контакты – чтобы приглашать друзей по желанию пользователя; микрофон – для распознавания голосовых команд и пр. Также опишите способы: данные передаются на защищенный сервер, хранятся и обрабатываются автоматически для таких-то функций приложения. Если используете аналитические SDK (Firebase, AppMetrica) или рекламные идентификаторы для показа персонализированной рекламы, это тоже нужно раскрыть (с указанием, какие метрики собираются – использование приложения, ошибки, рекламный ID и т.д.).
- Правовые основания. Как правило, основание – согласие пользователя (он его дает, устанавливая и используя приложение и принимая условия политики). Можно указать, что установка приложения и регистрация в нём считается согласием на обработку данных. Если есть иные основания – например, необходимо для исполнения договора (предоставления услуги через приложение) – тоже упомяните.
- Передача данных третьим лицам. Мобильные приложения нередко обращаются к сторонним сервисам: пуш-уведомления (Firebase Cloud Messaging), карты (Google Maps API), платежи (Stripe, YooMoney SDK). Перечислите ключевых партнеров, которым могут раскрываться данные пользователя. Например: «Персональные данные могут передаваться следующим категориям получателей: облачной платформе Firebase (Google LLC) – для хранения данных аккаунта и аналитики; сервису Crashlytics – для отслеживания ошибок приложения; почтовому сервису SendGrid – для отправки email-писем» и т.д. Конечно, все технические детали расписывать не надо, но кто получает данные и для чего – нужно указать.
- Хранение и безопасность в приложении. Расскажите, как и где хранятся данные мобильных пользователей: обычно это серверная часть (бэкенд), а на самом устройстве – что-то минимальное (кэш, локальные настройки). Отметьте, что данные граждан РФ хранятся на серверах в России (если у вас так). Опишите меры безопасности: шифрование передачи данных (HTTPS), возможно, шифрование чувствительной информации в базе, авторизация запросов. Для пользователя важно знать, что его данные защищены – упоминание о защитных мерах повышает доверие.
- Права пользователя. Политика для приложения должна, как и обычная, содержать раздел о правах субъектов данных. Напишите, что пользователь может запросить информацию о своих данных, исправить их, удалить аккаунт (со всеми данными), отозвать согласие, и как он может это сделать (например, написать в поддержку по email). Также укажите, что для отзыва согласия на определенные разрешения (геолокация, контакты) пользователь может в настройках телефона отключить эти разрешения для приложения – это тоже способ контроля.
- Контакты и ответственный. Обязательно включите сведения об операторе данных: название компании или ИП, адрес, e-mail для связи. Пользователь должен знать, к кому обращаться по вопросам privacy. Это требование закона – оператор обязан предоставить контактные данные.
- Размещение политики. Политика конфиденциальности должна быть легко доступна. Обычно ее публикуют на сайте (и дают ссылку в описании приложения в сторах) или в виде веб-страницы. Можно также сделать раздел внутри приложения (раздел "О приложении" -> "Политика конфиденциальности", который открывает веб-вид). Главное, чтобы на момент установки у пользователя была возможность ознакомиться. Google Play, например, требует указать URL политики при загрузке приложения, если оно запрашивает персональные данные.
Учёт иностранных требований
Если приложение ориентировано на международный рынок (например, есть пользователи из ЕС, США), нужно учесть и GDPR (для европейцев) и иные регулирования. GDPR требует сообщать еще больше деталей (юридические основания обработки, назначить Data Protection Officer в ряде случаев, специальный блок о правах ЕС-резидентов и пр.). Для App Store (Apple) важно также соответствовать требованиям Apple по прозрачности использования данных – там при загрузке нужно указывать, какие виды данных собираются (это показывается на странице приложения). Поэтому ваша политика должна не противоречить тем декларациям. В целом, если вы выполните требования российского закона 152-ФЗ, а также явно опишете любые особые моменты (геоданные, согласие на пуш-рекламу и т.п.), то на 90% покроете и зарубежные требования, так как принципы схожи.
Политика для мобильного приложения – обязательный документ, обеспечивающий прозрачность работы с данными. Она должна быть написана понятным языком (по возможности избегать сугубо юридических формулировок) и отражать реальные функции приложения. Это и защита от претензий регуляторов, и элемент заботы о пользователях. Многие проблемы с доверием к приложениям связаны именно с тем, что пользователь не понимает, куда пойдут его данные или зачем требуют доступ к микрофону. Хорошо составленная Privacy Policy снимает эти вопросы, а заодно защищает вас от штрафов по статье 13.11 КоАП РФ (которая грозит за отсутствие политики или ошибки в ней)
Если приложение ориентировано на международный рынок (например, есть пользователи из ЕС, США), нужно учесть и GDPR (для европейцев) и иные регулирования. GDPR требует сообщать еще больше деталей (юридические основания обработки, назначить Data Protection Officer в ряде случаев, специальный блок о правах ЕС-резидентов и пр.). Для App Store (Apple) важно также соответствовать требованиям Apple по прозрачности использования данных – там при загрузке нужно указывать, какие виды данных собираются (это показывается на странице приложения). Поэтому ваша политика должна не противоречить тем декларациям. В целом, если вы выполните требования российского закона 152-ФЗ, а также явно опишете любые особые моменты (геоданные, согласие на пуш-рекламу и т.п.), то на 90% покроете и зарубежные требования, так как принципы схожи.
Политика для мобильного приложения – обязательный документ, обеспечивающий прозрачность работы с данными. Она должна быть написана понятным языком (по возможности избегать сугубо юридических формулировок) и отражать реальные функции приложения. Это и защита от претензий регуляторов, и элемент заботы о пользователях. Многие проблемы с доверием к приложениям связаны именно с тем, что пользователь не понимает, куда пойдут его данные или зачем требуют доступ к микрофону. Хорошо составленная Privacy Policy снимает эти вопросы, а заодно защищает вас от штрафов по статье 13.11 КоАП РФ (которая грозит за отсутствие политики или ошибки в ней)