В последнее время (начало 2022 г.) новости были полны сообщений о том, что Google Analytics (в частности, Universal Analytics) объявлены незаконными, Facebook грозят штрафы и т. д.

Предположим, вы инженер-программист или руководите инженерной организацией. В этом случае вы можете задаться вопросом, как избежать таких препятствий для соблюдения требований.

Первоначально опубликовано в Блоге Wide Angle Analytics.

Как стать совместимым с помощью этих 5 ПРОСТЫХ ШАГОВ

Просто шутка. Это было бы в лучшем случае заблуждением, а в худшем — вредным.

К сожалению, простых хаков не бывает, и вместо того, чтобы вводить в заблуждение, мы будем честными.

GDPR и большинство требований законодательства могут быть выполнены только при должной подготовке и процессе. Поэтому, чем раньше вы начнете, тем менее болезненными они будут.

Как вы начинаете свой путь к соблюдению требований?

Наиболее всеобъемлющее и полное руководство исходит из источника, который некоторые могут счесть наименее вероятным. Французская национальная комиссия по информатике и свободе, CNIL.

CNIL — французский регулирующий орган, которому поручено соблюдать правила конфиденциальности. Он несет ответственность за несколько громких решений, благодаря которым он появился на первых страницах многих новостных агентств.

Еще в июне 2020 года CNIL опубликовал GDPR для разработчиков. Это очень подробное руководство, которое охватывает множество деталей.

Шестнадцать шагов

В руководстве перечислены 17 шагов. Это немного дерзко. Последний шаг помечен как шестнадцатый, но не дайте себя обмануть. В истинной девелоперской моде мы считаем с нуля 😃

Эти шаги:

  1. Разрабатывать в соответствии с GDPR
  2. Идентифицировать личные данные
  3. Подготовьте свою разработку
  4. Защитите свою среду разработки
  5. Управляйте своим исходным кодом
  6. Сделайте осознанный выбор архитектуры
  7. Защитите свои веб-сайты, приложения и серверы
  8. Минимизируйте сбор данных
  9. Управление профилями пользователей
  10. Управляйте своими библиотеками и SDK
  11. Обеспечение качества кода и его документации
  12. Тестируйте свои приложения
  13. Информировать пользователей
  14. Готовьтесь к осуществлению прав людей
  15. Определить срок хранения данных
  16. Учитывать правовую основу при технической реализации
  17. Используйте аналитику на своих сайтах и ​​в приложениях

Я настоятельно рекомендую вам глубже погрузиться в эти разделы. Есть много информации. Кроме того, текст лаконичен, доступен и удобен для инженеров.

Это отличный пример того, как регулирующее учреждение прилагает большие усилия для обучения, а не наказания.

Я должен пройти все семнадцать шагов?

Да и нет.

Да, вы должны ознакомиться со всеми этими шагами. Хорошая новость заключается в том, что если вы придерживаетесь современных методов разработки, таких как:

  • управление версиями исходного кода,
  • прослеживаемость изменений,
  • проектная документация,
  • тестирование и
  • внедрение практики безопасности.

Скорее всего, вы сразу же быстро отметите несколько шагов.

В зависимости от вашей текущей организационной зрелости, процессы и другие юридические аспекты вашей деятельности останутся.

Будет несколько тем, которые потребуют вашего дальнейшего внимания. Вероятно, это:

  • вопросы по хранению данных,
  • понимание необходимости минимизации данных,
  • получить полное представление о том, как ваши поставщики (обработчики данных) обрабатывают доверенную информацию,
  • и т. д.

Идем еще дальше

Документы CNIL идут еще дальше, помимо GDPR. Например, раздел 16 охватывает Использование аналитики на ваших веб-сайтах и ​​в приложениях.

Правила, перечисленные в этом разделе, относятся к Директиве ePrivacy. Директива означает, что она не является автоматически законом, и каждое государство-член ЕС примет ее с местными вариациями.

Предположим, вы развертываете веб-аналитику на своем веб-сайте и не запрашиваете явного согласия. В этом случае выбранное вами решение должно соответствовать следующим правилам:

  1. Чтобы информировать пользователей об их использовании, например, через Политику конфиденциальности;
  2. Дать им возможность возражать против их использования;
  3. Ограничить следующими целями только измерение аудитории и/или A/B-тестирование;
  4. Не сверять обрабатываемые данные с другой обработкой;
  5. Ограничить область действия трассировщика одним сайтом или редактором приложений;
  6. Обрезать последний байт IP-адреса;
  7. Ограничить срок службы трекеров до 13 месяцев.

К счастью, Wide Angle Analytics отвечает всем вышеперечисленным требованиям, при условии, что вы укажете его использование в общедоступной политике конфиденциальности.