В последнее время (начало 2022 г.) новости были полны сообщений о том, что Google Analytics (в частности, Universal Analytics) объявлены незаконными, Facebook грозят штрафы и т. д.
Предположим, вы инженер-программист или руководите инженерной организацией. В этом случае вы можете задаться вопросом, как избежать таких препятствий для соблюдения требований.
Первоначально опубликовано в Блоге Wide Angle Analytics.
Как стать совместимым с помощью этих 5 ПРОСТЫХ ШАГОВ
Просто шутка. Это было бы в лучшем случае заблуждением, а в худшем — вредным.
К сожалению, простых хаков не бывает, и вместо того, чтобы вводить в заблуждение, мы будем честными.
GDPR и большинство требований законодательства могут быть выполнены только при должной подготовке и процессе. Поэтому, чем раньше вы начнете, тем менее болезненными они будут.
Как вы начинаете свой путь к соблюдению требований?
Наиболее всеобъемлющее и полное руководство исходит из источника, который некоторые могут счесть наименее вероятным. Французская национальная комиссия по информатике и свободе, CNIL.
CNIL — французский регулирующий орган, которому поручено соблюдать правила конфиденциальности. Он несет ответственность за несколько громких решений, благодаря которым он появился на первых страницах многих новостных агентств.
Еще в июне 2020 года CNIL опубликовал GDPR для разработчиков. Это очень подробное руководство, которое охватывает множество деталей.
Шестнадцать шагов
В руководстве перечислены 17 шагов. Это немного дерзко. Последний шаг помечен как шестнадцатый, но не дайте себя обмануть. В истинной девелоперской моде мы считаем с нуля 😃
Эти шаги:
- Разрабатывать в соответствии с GDPR
- Идентифицировать личные данные
- Подготовьте свою разработку
- Защитите свою среду разработки
- Управляйте своим исходным кодом
- Сделайте осознанный выбор архитектуры
- Защитите свои веб-сайты, приложения и серверы
- Минимизируйте сбор данных
- Управление профилями пользователей
- Управляйте своими библиотеками и SDK
- Обеспечение качества кода и его документации
- Тестируйте свои приложения
- Информировать пользователей
- Готовьтесь к осуществлению прав людей
- Определить срок хранения данных
- Учитывать правовую основу при технической реализации
- Используйте аналитику на своих сайтах и в приложениях
Я настоятельно рекомендую вам глубже погрузиться в эти разделы. Есть много информации. Кроме того, текст лаконичен, доступен и удобен для инженеров.
Это отличный пример того, как регулирующее учреждение прилагает большие усилия для обучения, а не наказания.
Я должен пройти все семнадцать шагов?
Да и нет.
Да, вы должны ознакомиться со всеми этими шагами. Хорошая новость заключается в том, что если вы придерживаетесь современных методов разработки, таких как:
- управление версиями исходного кода,
- прослеживаемость изменений,
- проектная документация,
- тестирование и
- внедрение практики безопасности.
Скорее всего, вы сразу же быстро отметите несколько шагов.
В зависимости от вашей текущей организационной зрелости, процессы и другие юридические аспекты вашей деятельности останутся.
Будет несколько тем, которые потребуют вашего дальнейшего внимания. Вероятно, это:
- вопросы по хранению данных,
- понимание необходимости минимизации данных,
- получить полное представление о том, как ваши поставщики (обработчики данных) обрабатывают доверенную информацию,
- и т. д.
Идем еще дальше
Документы CNIL идут еще дальше, помимо GDPR. Например, раздел 16 охватывает Использование аналитики на ваших веб-сайтах и в приложениях.
Правила, перечисленные в этом разделе, относятся к Директиве ePrivacy. Директива означает, что она не является автоматически законом, и каждое государство-член ЕС примет ее с местными вариациями.
Предположим, вы развертываете веб-аналитику на своем веб-сайте и не запрашиваете явного согласия. В этом случае выбранное вами решение должно соответствовать следующим правилам:
- Чтобы информировать пользователей об их использовании, например, через Политику конфиденциальности;
- Дать им возможность возражать против их использования;
- Ограничить следующими целями только измерение аудитории и/или A/B-тестирование;
- Не сверять обрабатываемые данные с другой обработкой;
- Ограничить область действия трассировщика одним сайтом или редактором приложений;
- Обрезать последний байт IP-адреса;
- Ограничить срок службы трекеров до 13 месяцев.
К счастью, Wide Angle Analytics отвечает всем вышеперечисленным требованиям, при условии, что вы укажете его использование в общедоступной политике конфиденциальности.