Анализ политики конфиденциальности популярных сервисов от экспертов Роскачества
По результатам исследования Центра цифровой экспертизы Роскачества, некоторые приложения собирают максимальное количество данных вне зависимости от того, насколько они необходимы для работы.
Эксперты Центра цифровой экспертизы Роскачества проанализировали 175 текстов Политик самых популярных сервисов и приложений (такси, доставка еды, аптеки и другие) и обнаружили:
-
у 9% не прописано требование по получению согласия субъекта на передачу персональных данных (в соответствии с положениями 152-ФЗ),
-
у 11% часть информации содержится в ином документе, на который нет ссылки в проверяемом документе,
-
15% политик не переведена на русский язык,
-
в 20% документов есть указание на передачу данных третьим лицам, помимо требований установленных законодательством,
-
у 33% отсутствует указание о хранении данных на территории РФ,
-
в 66% документов указано, что один раз получая одобрение политики (при первичной установке программы), сервис может автоматически передавать данные пользователя по своему усмотрению.
Уже на этапе ознакомления с Политикой можно многое понять о компании-разработчике.
Основные маркеры того, что сервис не особо заботится о благополучии пользователей:
- Сервис собирает много информации. Ключевое слово — «без ограничений»
Аптека «Апрель», служба такси «Ситимобил», сервисы каршеринга BelkaCar, Делимобиль, RENTMEE, Lifcar X, Cars7, BiBiCar и URAмобиль напрямую заявляют, что собирают подробную информацию об активности пользователя в приложении. Здесь и MAC-адрес, и данные об интернет-провайдере, а также дата использования Сервисов.
Среди мобильных приложений Samsung сообщает, что собирает информацию с клавиатуры, «смотрит», какой текст печатается (сервис интеллектуальная клавиатура).
Samsung, Xiaomi, Safari обрабатывают данные с устройств в любом количестве и могут использовать на свое усмотрение, есть даже возможность сбора медицинских данных пользователя.
- Перепечатки абзацев из законодательных актов
Например, в Политике отсутствует информация об Операторе. Кто конкретно собирает и обрабатывает данные — не понятно. Некоторые сервисы «ленятся» и просто копируют определение из ст.3 ФЗ «О персональных данных».
Так сделали при составлении Политики «СберАптеки» и сервиса доставки «Пятерочка». Там вставили цитаты из законов.
- Некоторые сервисы указывают, что хранят лог-файлы и после окончания работы сервиса
Лог — текстовый файл с информацией о действиях пользователей, которая хранится на сервере. По закону, такие файлы должны храниться до того момента, пока сервис исполняет свои обязательства.
Однако существуют сервисы, которые продолжают использовать данные пользователей и после окончания работы сервиса, к примеру Аптека Вита и Здравсити продолжают обработку данных в течение еще 5 лет. А онлайн-сервис more.tv и вовсе указывает, что пользовательские данные хранятся в течение 75 лет.
- Размытая информация о третьих лицах
Сервис такси Gett заявляет, что может раскрывать ваши персональные данные организациям группы Gett и третьим лицам (включая поставщиков услуг) в различных странах. В списке значатся Израиль, Ирландия, Кипр, Россия, Соединенное Королевство и США.
Следовательно, ваши данные, собираемые Gett, могут быть переданы в страну, которую ваше местное законодательство не считает обеспечивающей надлежащий уровень защиты. Что с ними будут делать — загадка.
Из всех исследованных политик 9% передают данные третьим лицам помимо требований, установленных законодательством. То есть нет конкретных сведений: кто эти третьи лица, какие данные им передаются и где найти их правовые документы.
К примеру, в сервисах Instagram, BelkaCar, RENTMEE, Bitwarden - Менеджер паролей и Фитнес тренер FitProSport нет списка сторонних партнеров и ссылок на их собственные политики конфиденциальности.
- Сложная навигация по документу и грамматические ошибки
Также текст плохо или непонятно отформатирован. Все это подрывает доверие и демонстрирует, что компания не так уж и заботится о своих клиентах.
Хорошо, если политика конфиденциальности содержит следующие элементы:
-
Краткое изложение политики и ее положений
-
Оглавление разделов политики
-
Заголовки для конкретных разделов
-
Ссылки на подразделы политики или связанные с ней другие документы
Сам текст должен быть хорошо структурирован и состоять из кликабельных разделов, подстраниц и спойлеров.
- Нечеткие формулировки, обилие громоздких и сложных юридических конструкций
Этим грешат почти все тексты Политик. Многие пункты сформулированы без конкретики. Создается впечатление, как будто компания таким образом хочет минимизировать потенциальную ответственность.
«СбераАптека» дает размытое определение оператора обработки данных, а Аптека ГОРЗДРАВ упоминает в тексте политики не менее 4 разных юридических лиц, при этом некоторые их действия противоречат друг другу.
- Текст Политики давно не актуализировался
Например, у сервиса доставки «Пятерочка» на сайте выложен документ 2015 года, и с тех пор он не обновлялся. Однако лучший вариант, если на страницах политики будет размещена сводка о последних изменениях.
Центр цифровой экспертизы Роскачества рекомендует:
Если вы сомневаетесь, не согласны с количеством собираемых данных или вам не понятны условия их использования, возможно, стоит поискать альтернативный вариант сервиса или приложения. Всегда можно обратиться в службу или чат поддержки, а также позвонить на «горячую линию» с вопросами.
У вас всегда есть выбор — отдать предпочтение более надежному игроку рынка, у которого Политика конфиденциальности составлена понятнее и четче.