Как сделать ваше мобильное приложение совместимым с GDPR

Что такое GDPR?

GDPR расшифровывается как Общий регламент по защите данных.
GDPR вступит в силу с 25 мая 2018 года. Он предназначен для защиты хранения и использования пользовательских данных, а также для обеспечения того, чтобы пользователь контролировал свои данные, а не компании, отвечающие за пользовательские данные.

Основные определения GDPR

Чтобы помочь вам понять GDPR для приложений, есть несколько ключевых определений, на которые мы будем ссылаться в этой статье.
Контроллер данных: Контролер данных — это организация, которая определяет цели и средства сбора и обработки персональных данных. Если вы владеете веб-сайтом или мобильным приложением и решаете, что собирать, как собирать и с какой целью, вы являетесь контролером данных.
Обработчик данных. Обработчик данных — это организация, которая обрабатывает персональные данные от имени контроллера данных. Например, сторонние сервисы, которые подключаются к вашему веб-сайту или приложению, такие как Analytics (Google Analytics, KISSMetrics), облачные сервисы (AWS), которые получают доступ к данным ваших клиентов или размещают их.
Субъект данных: физическое лицо, чьи данные обрабатываются. Например, пользователь приложения или посетитель веб-сайта.
Полный список определений GDPR можно найти в статье 4 регламента.

Влияет ли GDPR на меня?

Скорее всего, да!
GDPR распространяется на все предприятия, клиенты или посетители веб-сайта/мобильного приложения из Европейского Союза (ЕС). Это означает, что любая организация в мире, которая каким-либо образом работает с личными данными резидентов ЕС, обязана защищать данные своих пользователей и соблюдать GDPR.

Что означает «персональные данные» в соответствии с GDPR?

« Персональные данные » в соответствии с GDPR включают в себя любую информацию, относящуюся к идентифицируемому лицу, которое может быть прямо или косвенно идентифицировано, в частности, посредством ссылки на идентификатор.
Сфера охвата широка и включает в себя что угодно, от личной информации до файла cookie, размещенного в чьем-либо браузере аналитическим инструментом отслеживания, который вы можете использовать для отслеживания использования вашего веб-сайта.
Для вашего веб-сайта или приложений это означает, что вы должны учитывать, как вы собираете и храните личные идентификационные данные, такие как имена и адреса электронной почты, а также учитываете такие вещи, как IP-адреса пользователей и идентификаторы устройств (уникальные идентификаторы, которые устройства совместно используют внешние SDK). для рекламы и аналитики).

Что означает GDPR для вашего мобильного приложения?

Штрафы за несоблюдение GDPR высоки — либо 4% от годового мирового оборота, либо 20 миллионов евро (в зависимости от того, что больше!).
Соблюдение GDPR становится требованием для каждого бизнеса с клиентами, посетителями веб-сайтов или пользователями приложений в ЕС, и вы, вероятно, обеспокоены тем, соответствует ли ваше мобильное приложение GDPR.
Как издатель мобильного приложения, вам необходимо понимать, как вы получаете, передаете, храните и обрабатываете свои пользовательские данные. Вы должны потратить некоторое время, чтобы точно понять, как вы в настоящее время обеспечиваете безопасность данных для своих пользователей, и что вы можете сделать, чтобы улучшить это, чтобы иметь мобильное приложение, совместимое с GDPR.
Сеннид Боулз резюмирует, почему вы должны соответствовать требованиям, даже если поначалу это может потребовать много работы: «В конечном итоге вы можете получить менее полную информацию о клиентах, чем раньше. Некоторые KPI могут упасть. Но для компаний, у которых есть прямые отношения с клиентами, все это управляемо, и, с другой стороны, вы не только снижаете свой риск соответствия, но и получаете выгоду от повышенного доверия ваших клиентов к вам и онлайн-миру в целом».
Есть несколько ключевых моментов, относящихся к вашему мобильному приложению и бизнесу в целом, которые помогут вам обеспечить соответствие GDPR.
Прокрутите вниз, чтобы найти 9 вещей, которые вы должны учитывать, чтобы иметь мобильное приложение, совместимое с GDPR.

1. Конфиденциальность по дизайну

Конфиденциальность по дизайну теперь является юридическим требованием GDPR. С того момента, как вы начнете создавать свое мобильное приложение, вы должны учитывать конфиденциальность своих пользователей.
Согласно статье 23 GDPR , ваше приложение должно хранить и обрабатывать только те пользовательские данные, которые абсолютно необходимы.
Это означает, что когда вы разрабатываете свое мобильное приложение или поручаете его разработку третьей стороне, вам необходимо учитывать защиту данных и конфиденциальность пользователей.
Конфиденциальность по дизайну не является новой концепцией и относится к тому, чтобы думать о конфиденциальности данных ваших пользователей в вашем приложении, веб-сайте или программном обеспечении с самого начала, а не оставлять ее на потом. Идея конфиденциальности по замыслу включает в себя решение о том, какие данные вам нужны, а какие нет. В обзоре Брайана Пагана по разработке приложений с учетом конфиденциальности он спрашивает, действительно ли вам нужно имя пользователя И дата рождения. Во многих случаях достаточно одного из этих полей. Он пишет: «Риск того, что кто-то откроет кредитную карту на мое имя, намного превышает выгоду от получения этого «с днем ​​​​рождения». спам маркетинговая электронная почта от вашей компании».
При разработке и создании мобильного приложения стоит рассмотреть все варианты.
Пользователи вашего приложения не только юридические требования, но и оценят дополнительные меры конфиденциальности, которые вы предусмотрели для них!

Наша рекомендация:

Думайте о своих пользовательских данных с самого начала и не позволяйте им быть запоздалыми.
Если страницы с вашего веб-сайта загружаются в ваше мобильное приложение (например, контактная форма), рассмотрите возможность сбора данных на веб-сайте при рассмотрении вашего приложения.
Вы должны думать о конфиденциальности по дизайну, когда создаете новые функции или создаете новую страницу в своем приложении, чтобы оставаться в соответствии с GDPR.
Кроме того, вы должны шифровать личные данные с помощью надежных алгоритмов шифрования. Это поможет вам свести к минимуму последствия утечки данных.

2. Спросите явное согласие

В соответствии с GDPR компании должны запрашивать и получать согласие пользователей для сбора, использования и перемещения персональных данных.
Сюда входят данные, собранные для рекламы, аналитики, регистрации сбоев или чего-либо еще. Подписка должна быть понятной и ясной. Вам не удастся избежать запутанных Условий и положений, которые вряд ли кто-то прочитает или полностью не поймет.
Явное согласие может быть легко предоставлено через экран согласия при запуске вашего приложения. Пользователи вашего приложения решили загрузить ваше приложение в первую очередь, поэтому, скорее всего, большинство людей будут рады дать согласие на использование вашего приложения и получение дальнейших сообщений от вашего бизнеса, при условии, что получатель увидит выгоду.
Ваши пользователи также должны иметь возможность отзывать согласие так же легко, как и давать его. Возможно, вам придется обновить свою Политику конфиденциальности, чтобы решить эту проблему, и добавить еще одну страницу на свой веб-сайт, где пользователи могут отказаться.

Наша рекомендация:

Когда кто-то регистрируется в вашем мобильном приложении, его следует попросить дать согласие на сбор его данных или на получение сообщений, таких как электронные письма или push-уведомления. Мы настоятельно рекомендуем отображать экран согласия при запуске приложения, так как это единственный способ полностью соответствовать GDPR. Вы также должны уведомлять пользователей на этих экранах, где именно будут использоваться их данные. Например, будут ли они отслеживаться в Google Analytics или отправлять данные в Google Admob для показа им релевантной рекламы? Ваши пользователи должны знать об этом, и вы обязаны информировать их, как только они начнут использовать ваше мобильное приложение, соответствующее GDPR!
Кроме того , ваше мобильное приложение, совместимое с GDPR, должно иметь специальную страницу, на которой пользователи могут отказаться от сообщений от вас или попросить удалить их данные из них.
MobiLoud предоставляет мобильным приложениям страницу настроек push-уведомлений, которая помогает, по крайней мере, в том, что касается уведомлений вашего приложения.

3. Обеспечение видимости и прозрачности

Одним из наиболее важных аспектов GDPR является то, как на самом деле используются собранные вами данные. Если вы являетесь контролером данных, вам необходимо знать, как ваши пользователи могут эффективно управлять своими пользовательскими данными и защищать их.
Доказательство видимости и прозрачности с помощью четкой и понятной Политики конфиденциальности не только приносит пользу пользователям вашего мобильного приложения, но и является обязательным требованием для магазинов приложений. Google удалит ваше приложение, если они не смогут найти Политику конфиденциальности на странице вашего профиля в Play Store и в вашем приложении.
Вы также должны предоставить своим пользователям информацию о том, каких третьих лиц вы используете для сбора или обработки пользовательских данных.
Например, если ваше приложение подключается к внешним службам, таким как решения для пользовательской аналитики (например, Google Analytics, Fabric), поставщики рекламы (например, Admob, MoPub) или поставщики push-уведомлений (например, Firebase, OneSignal), вы должны четко сообщить об этом пользователям. в вашей Политике конфиденциальности.
Вы также должны убедиться, что все сторонние поставщики, которые собирают любые пользовательские данные, соответствуют требованиям GDPR. Они будут «обработчиками данных», а вы останетесь «контроллером данных». Таким образом, у вас должны быть письменные соглашения, которые соответствуют уровню гарантий с точки зрения защиты и безопасности данных, который требует GDPR. Для некоторых из них вы сможете подписать соглашения об обработке данных, которые добавляют необходимые формулировки к существующим условиям вашего соглашения.

Наша рекомендация:

Создайте или обновите страницу Политики конфиденциальности вашего мобильного приложения. Вы можете выбрать элемент боковой панели или меню, который ссылается на юридические условия вашего мобильного приложения. Это позволит пользователям легко находить, читать и понимать, как ваше мобильное приложение использует их данные.
Если вы создали свое приложение на основе контента вашего веб-сайта и используете MobiLoud, это очень просто сделать, добавив ссылку в меню вашего приложения на вкладке «Конфигурация меню» в настройках вашего приложения.

4 . Отвечать на запросы пользователей

Если кто-то спросит, как вы используете их данные, в соответствии с GDPR вы по закону обязаны ответить на них. Это называется запросом на предметный доступ.
Запрос субъекта на доступ может быть сделан физически или в цифровом виде. Когда пользователь запрашивает информацию о своих данных или копию своих данных, которые используются в вашем мобильном приложении, у вас есть один месяц, чтобы ответить. На сложные запросы у вас будет до трех месяцев, чтобы ответить.
Может показаться, что вам нужно будет вкладывать больше времени и усилий в обслуживание клиентов, но если ваш бизнес настроен на процессы, соответствующие GDPR, это не должно занимать у вас слишком много времени. В конце концов, предоставление высококачественного обслуживания вашим клиентам и пользователям мобильных приложений — это хорошо!
Первоначально вы можете отвечать на эти специальные запросы, но в конечном итоге вы захотите иметь внутренний процесс для генерации ответа на такого рода запросы.

Наша рекомендация:

Создайте страницу на своем веб-сайте и в мобильном приложении, содержащую контактную информацию о вашей компании. Это позволит пользователям легко связаться с вами и обеспечит прозрачность с вашей стороны. Приложите усилия, чтобы быстро и четко ответить на все запросы доступа субъекта.

5. Право быть забытым

В статье 17 GDPR подчеркивается право на стирание или «право на забвение» . Это означает, что когда пользователь просит вас удалить его данные, полученные через ваш веб-сайт или мобильное приложение, вы обязаны удалить все личные данные, которые вы храните о нем во всех системах, независимо от того, контролируете ли вы его данные напрямую или через инструмент или SaaS, который вы используете. в вашем приложении (например, Google Analytics).
Если вы хотите, чтобы ваше мобильное приложение соответствовало GDPR, вы можете предоставить такие решения, как удаление пользовательских данных из вашей собственной базы данных непосредственно из приложения или наличие простой контактной формы или специальной страницы, где пользователь может запросить удаление своих данных. .

Наша рекомендация :

Будьте прозрачными и позвольте пользователям легко связаться с вами по поводу удаления их данных. Когда кто-то просит удалить его данные, отнеситесь к этому серьезно и выполняйте запрос на каждой системе, которой вы управляете.
Вы также обязаны уведомить сторонних обработчиков данных о том, что данные также должны быть удалены с их серверов. Это можно сделать, вызвав их API, который позволяет удалить личные данные (если это предоставлено провайдером).

6. Оцените сервисы и SDK, которые вы используете

Если ваше приложение отправляет личные данные во внешнюю службу для обработки (например, для анализа использования приложения), вам необходимо ясно и прозрачно указать, где они находятся и кто будет контролировать передаваемые данные.
Затем вы должны подписать соглашения об обработке данных (DPA) с вашими обработчиками данных. Письменные договоры между вашим бизнесом и вашими обработчиками данных будут общим требованием GDPR. Чем раньше вы это сделаете, тем лучше!
Не думайте, что все третьи лица и SDK, подключенные к вашему приложению, соответствуют требованиям GDPR. Если происходит утечка данных на одной из ваших третьих сторон, которая приводит к раскрытию ваших пользовательских данных, вы несете ответственность.
Контроллер данных, в данном случае вы, издатель приложения, несет ответственность за обеспечение того, чтобы все процессы обработки данных третьих лиц соответствовали GDPR и применялись соответствующие меры безопасности данных. Чтобы убедиться в этом, вы должны напрямую поговорить со своими сторонними партнерами, спросить их об их последней Политике конфиденциальности и Условиях, а также о том, что они делают для соблюдения GDPR.
Вам следует тщательно проанализировать поставщиков, которые обрабатывают ваши данные, и уделить время тому, чтобы понять, соответствуют ли они требованиям GDPR. Если они базируются в США, зарегистрированы ли они в соответствии с Рамочной программой защиты конфиденциальности ЕС-США? Любой бизнес может пройти самостоятельную сертификацию в соответствии с этим, и наличие этой сертификации необходимо для того, чтобы этот поставщик соответствовал требованиям GDPR.
Это стоит потраченного времени –
Маркус Тернер, технический директор Enola Labs , говорит: « В конечном счете, более высокий уровень кибербезопасности является необходимым и целесообразным вложением для владельцев бизнеса, которые заботятся о защите своих клиентов и защите своего бизнеса. Я часто говорю предприятиям, что они могут заплатить аванс сейчас, чтобы защитить свои данные, или дождаться кибератаки и заплатить еще большую цену позже, чтобы навести порядок. Ожидание вполне может стоить вам вашего бизнеса ».
Поэтому убедитесь, что вы нашли время, чтобы проверить своих поставщиков технологий и инвестировать в необходимых, которые помогут защитить ваш бизнес от нарушения GDPR.

Наша рекомендация:

У вас должны быть контракты только с поставщиками, которые могут предоставить «достаточную гарантию» того, что требования GDPR будут выполнены, а данные ваших пользователей будут достаточно защищены.
Многие поставщики будут иметь страницы GDPR на своих веб-сайтах или обновят свою Политику конфиденциальности или Условия использования, чтобы обеспечить соответствие GDPR. Вы должны ознакомиться с этим или поговорить с кем-то из их службы поддержки или юридической службы, чтобы понять, соответствуют ли они требованиям GDPR или нет.

7. Уведомления об утечке данных

Чтобы повысить доверие между клиентами и предприятиями, а также в связи с заметными утечками данных такими компаниями, как Yahoo!, Uber, Equifax и другими, GDPR устанавливает для предприятий более сжатые сроки для уведомления национальных надзорных органов и их пользователей. Раскрытие должно произойти в течение 72 часов.
Чтобы гарантировать, что это возможно для вашего бизнеса, вам может потребоваться инвестировать в технологии, обеспечивающие непрерывное наблюдение за вашими данными и уведомляющие вас о наличии рисков. Вы также должны установить четкую процедуру того, как вы будете реагировать на утечку данных, включая то, как вы будете информировать пользователей и как вы будете защищать их данные.

Наша рекомендация:

Установите четкий пошаговый процесс, который вы можете использовать в случае утечки данных, включая то, как вы будете информировать пользователей и национальные надзорные органы об утечке.

8. Назначение сотрудника по защите данных

Вашей компании может потребоваться назначить сотрудника по защите данных (DPO), чтобы соответствовать GDPR. Это относится к вам, если:

• Вы являетесь органом государственной власти (за исключением судов, действующих в их судебном качестве);
• Ваша основная деятельность требует крупномасштабного, регулярного и систематического мониторинга отдельных лиц (например, отслеживание поведения в Интернете); или
• Ваша основная деятельность заключается в крупномасштабной обработке специальных категорий данных или данных, касающихся уголовных судимостей и правонарушений.

Хотя это может относиться не ко всем читателям, если ваш веб-сайт или мобильное приложение обрабатывает большие объемы отдельных данных, вам следует подумать о том, нужен ли вам сотрудник по защите данных, который поможет вам контролировать внутреннее соответствие, информировать и консультировать по обязательствам вашей компании по защите данных. и выступать в качестве контактного лица для субъектов данных (т. е. ваших пользователей) и надзорных органов.

Наша рекомендация:

Оцените, нужен ли вашему бизнесу DPO, чтобы соответствовать требованиям. Если это так, вам следует назначить его и сообщить пользователям вашего веб-сайта или мобильного приложения, как они могут связаться с вашим DPO.

9. Шифрование и хранение данных

Ваше мобильное приложение должно использовать SSL или HTTPS для внешних коммуникаций. При передаче личной информации любого рода эти данные должны быть зашифрованы. Отсутствие шифрования данных означает, что отправленная информация будет в виде открытого текста и будет доступна через Интернет.
Если вы создали приложение, которое подключается к вашему веб-сайту или веб-серверам и передает конфиденциальные данные (например, имя пользователя/пароль), вам следует убедиться, что вы используете SSL для всех подключений из вашего приложения.
Шифрование актуально не только для внешних коммуникаций. Все данные, которые собирает ваше мобильное приложение, должны храниться в надежном месте, а ваши резервные копии также должны быть зашифрованы. Пользователи также должны знать, как долго их данные будут храниться.

Наша рекомендация:

Убедитесь, что ваше приложение использует безопасную связь через SSL и HTTPs, и убедитесь, что ваш SSL-сертификат правильно развернут.
Все хранимые данные должны использовать шифрование, и вы должны обеспечить прозрачность для субъектов данных в отношении того, как долго вы храните эти данные.

10. Зарегистрируйте и обоснуйте сбор данных

В статье 30 GDPR указывается, что каждый контролер данных или представитель контролера «должны вести учет действий по обработке данных, находящихся под его ответственностью».
Это означает, что для обеспечения соответствия требованиям GDPR вам следует начать документировать все данные, которые вы собираете (самостоятельно или через третье лицо).
Вы должны создать безопасный, полный журнал вашей деятельности по сбору данных.
В качестве хорошего примера того, как это сделать, мы рекомендуем прочитать Шаг 1 руководства Startup Resources по соблюдению GDPR .
Этот журнал должен включать все и любые личные данные, которые вы собираете о посетителях и пользователях веб-сайта. От имен людей (если они собраны) до IP-адресов и страны, в которой они находятся.
Затем вы должны обосновать , почему вы собираете эти данные. Вам необходимо определить , где вы их храните, как долго они хранятся, как можно обосновать сбор данных и многое другое.

Наша рекомендация:

Убедитесь, что вы полностью осведомлены обо всех типах пользовательских данных, которые вы собираете, и убедитесь, что вы можете обосновать, почему вы их собираете.
Четкая и полная документация, к которой вы можете обратиться, не только поможет вам, когда клиенты или пользователи спросят о ваших политиках GDPR, но и обеспечит соблюдение нормативных требований и защитит как ваш бизнес, так и мобильное приложение.

Подведение итогов

GDPR — это юридическое требование, и оно неизбежно для любого бизнеса, который каким-либо образом взаимодействует с людьми и клиентами в ЕС.
Любой, чьи данные обрабатываются, должен иметь возможность осуществлять свои права на свои данные, даже если они находятся под вашим контролем.
Вам потребуется мобильное приложение, совместимое с GDPR. Не обеспечив соблюдение требований, вы рискуете получить крупные штрафы и потерять доверие клиентов к вашему бизнесу! По этой причине создание процесса для обеспечения соответствия для вашего бизнеса и мобильного приложения должно быть для вас приоритетом.
Мы считаем, что вам не следует воспринимать GDPR как головную боль, несмотря на его строгие правила. Предоставление вашим пользователям мобильного приложения, соответствующего GDPR, даст им понять, что вы их цените и привержены безопасности их данных. Для многих компаний обеспечение соответствия будет дополнительным преимуществом и заставит ваших пользователей доверять вашему мобильному приложению, поэтому вам следует принять это!
Если вы хотите узнать больше о GDPR, мы включили ссылки на несколько ресурсов ниже:

• Прочтите весь Общий регламент по защите данных, опубликованный Европейским парламентом, чтобы ознакомиться с ним.
• Прочтите превосходное руководство Kyvio для понимания GDPR, эту статью от SafeDK и это практическое руководство GDPR для разработчиков.
• Прочтите краткое руководство Startup Resources по обеспечению соответствия требованиям для стартапов и малого бизнеса
• Самостоятельно сертифицируйте свой бизнес в соответствии с Рамочной программой защиты конфиденциальности ЕС-США. Это предоставляет компаниям по обе стороны Атлантики механизм для соблюдения требований ЕС по защите данных при передаче персональных данных из Европейского Союза в Соединенные Штаты.

Если ваш веб-сайт соответствует требованиям GDPR и вы хотите создать мобильное приложение, соответствующее GDPR, MobiLoud предлагает решение, которое будет соответствовать GDPR и предоставит вашему бизнесу новую платформу для взаимодействия с пользователями и охвата.