GDPR, CCPA и Закон о файлах cookie: что они означают для вас и вашего мобильного приложения

Для разработчиков приложений, использующих Adalo (конструктор приложений без кода для веб-приложений, управляемых базами данных, и нативных приложений iOS и Android с одной версией для всех трех платформ, опубликованных в Apple App Store и Google Play), понимание этих юридических требований является обязательным перед запуском любого приложения, собирающего данные пользователей.

Это руководство охватывает все, что вам нужно знать о соответствии требованиям конфиденциальности для мобильных приложений, от нормативных требований США и ЕС до практических шагов по реализации.

Общие юридические требования к мобильным приложениям

Законы о конфиденциальности по всему миру имеют общие требования для приложений, обрабатывающих персональные данные. Вы должны:

• Раскрывать информацию о своей деятельности по обработке данных через комплексную политику конфиденциальности
• Обеспечить эффективные меры безопасности для защиты персональных данных
• Внедрить методы получения согласия пользователя или облегчения его отзыва

Согласие означает осознанное добровольное согласие индивидуума на участие в определенном событии или процессе. Его можно получить любым методом, который требует от пользователя совершить аффирмативное и проверяемое действие — флажки, текстовые поля, переключатели или отправку подтверждающего письма по электронной почте.

В целом пользователи должны быть информированы о:

• Реквизитах владельца приложения и контактной информации
• Дате вступления в силу вашей политики конфиденциальности
• Процессе уведомления об изменениях политики
• Какие данные собираются и зачем
• Доступе третьих лиц к их данным (кто такие третьи лица и какие данные они собирают)
• Правах в отношении их данных, включая доступ, исправление и удаление

Эти требования применяются независимо от способа разработки вашего приложения. Используете ли вы инструменты построения приложений на базе ИИ от Adalo или традиционные методы разработки, юридические обязательства остаются неизменными.

США, ЕС, Международное право: как определить применимое к вам законодательство

Как правило, законы конкретного региона применяются, если:

• Вы осуществляете свою деятельность в этом регионе
• Вы используете услуги обработки или серверы, расположенные в регионе
• Ваш сервис ориентирован на пользователей из этого региона

Это фактически означает, что региональные нормативные требования могут применяться к вам и/или вашему бизнесу независимо от того, находитесь ли вы в регионе или нет. По этой причине всегда рекомендуется обрабатывать данные с учетом наиболее строгих применимых нормативных требований.

Вот простое практическое правило:

• Применимое законодательство: Соблюдайте законы страны, в которой вы осуществляете свою деятельность, а также страны, на которую ориентировано ваше приложение
• Язык ваших документов: Ваши юридические документы должны быть написаны на том же языке, что и ваше приложение, чтобы пользователи могли их понять

С более чем 3 миллионами приложений, созданных на Adalo, и пользователями, охватывающими глобальные рынки, большинству разработчиков приложений необходимо учитывать как нормативные требования США, так и ЕС. Давайте рассмотрим основные требования для каждого.

Законодательство США: CalOPPA и CCPA

В США в настоящее время не существует единого комплексного национального набора нормативных требований по данным. Различные законы штатов, отраслевые рекомендации и конкретные федеральные законы создают лоскутное одеяло требований. Поскольку деятельность в Интернете редко ограничивается только одним штатом, всегда лучше придерживаться наиболее строгих применимых нормативных требований, таких как те, которые реализованы в Калифорнии.

Закон Калифорнии об онлайн-конфиденциальности (CalOPPA)

CalOPPA был первым законом штата, который сделал политику конфиденциальности обязательной. Он применяется к любому лицу или компании, чей веб-сайт или приложение обрабатывает персональные данные жителей Калифорнии. В дополнение к требуемым выше раскрытиям информации, CalOPPA требует, чтобы вы:

• Размещали вашу политику конфиденциальности на главной странице вашего веб-сайта/приложения
• Включали описание процесса, посредством которого пользователи могут запросить изменения персональных данных (если такой процесс существует)
• Включали заявление о том, как обрабатываются запросы «Не отслеживать»
• Уведомляли пострадавших пользователей в случае нарушений безопасности, влияющих на их данные

Что касается согласия, законодательство США обычно требует, чтобы вы предоставили пользователям четкий вариант отзыва согласия (отказ). Однако различные правила применяются в случаях, включающих «чувствительные данные» — информацию о здоровье, кредитные отчеты, данные учащихся или личную информацию детей в возрасте до 13 лет. В таких случаях должно быть проверяемое действие отказа, такое как установка флажка или другое аффирмативное действие.

Закону о конфиденциальности потребителей Калифорнии (CCPA)

CCPA дополняет, но не заменяет CalOPPA — оба по-прежнему применяются. Полностью имеющий силу с 1 июля 2020 года, CCPA расширяет права потребителей на конфиденциальность для жителей Калифорнии.

В соответствии с CCPA компании, ориентированные на потребителей Калифорнии, должны включать конкретные раскрытия информации в свои политики конфиденциальности:

• Описания прав потребителей
• Партнеры обработки и их цели
• Источники данных и собранные категории
• Информацию о продаже или обмене данных

Пользователи из Калифорнии должны быть информированы о возможности продажи их данных. Здесь под словом "продажа" понимается "обмен с третьими сторонами в целях получения любой прибыли, денежной или иной." Раскрытие информации должно быть видимым на главной странице и должно включать ссылку на отказ (DNSMPI).

Вы можете узнать больше о CCPA здесь.

Право ЕС: GDPR и Директива об электронной конфиденциальности (Закон о файлах cookie)

GDPR определяет, как личные данные должны обрабатываться на законном основании, и может применяться к вам независимо от того, находится ли ваша компания в ЕС или нет. Если ваше приложение может использоваться пользователями из ЕС (или вы находитесь в ЕС), GDPR применяется к вам.

Требования согласия по GDPR

По сравнению с нормативными актами США, GDPR более строг в отношении согласия. Согласие в соответствии с GDPR должно быть "явным и добровольным." Это означает, что механизм получения согласия должен быть однозначным и включать четкое действие "принять." Нормативные акты специально запрещают предварительно отмеченные поля и аналогичные механизмы "отказа."

Вы можете узнать больше о GDPR здесь.

Директива об электронной конфиденциальности (Закон о файлах cookie)

Пользователи ЕС должны быть информированы об использовании файлов cookie и получить возможность согласиться или отклонить. Директива об электронной конфиденциальности требует осведомленного согласия пользователей перед сохранением файлов cookie на устройстве пользователя и их отслеживанием. Если ваше приложение (или любой сторонний сервис, используемый вашим приложением) использует файлы cookie, вы должны получить действительное согласие перед установкой.

Это применяется к приложениям, разработанным на любой платформе. Когда вы публикуете свое приложение Adalo в App Store и Google Play, эти требования согласия по файлам cookie распространяются на ваше приложение в обе магазины.

Требования к политике конфиденциальности

В соответствии с законодательством большинства стран, раскрытие информации, связанной с конфиденциальностью и вашей деятельностью по обработке данных, является обязательным. Мобильные приложения не исключение — они должны предоставить политику конфиденциальности и, если они используют файлы cookie и аналогичные технологии отслеживания, политику использования файлов cookie.

Чтобы быть в соответствии, ваша политика должна быть:

• Актуальной с текущими практиками обработки данных
• Понятной на простом языке
• Однозначной о том, какие данные вы собираете и почему
• Легко доступной во всем приложении

Вы можете нести дополнительную ответственность за раскрытие дополнительной информации пользователям, третьим сторонам и органам надзора в зависимости от применимого к вам законодательства.

Без политики конфиденциальности вы рискуете отклонением приложения

Оба требуют, чтобы приложения имели действительную политику конфиденциальности и соответствовали применимому законодательству. Apple App Store и Google Play требуют, чтобы приложения имели действительную политику конфиденциальности и соответствовали применимому законодательству. Невыполнение этого требования может привести к огромным штрафам, отклонению приложения магазином, открытию вас судебным разбирательствам и негативно повлиять на репутацию вашего приложения.

Это особенно важно для разработчиков, использующих такие платформы, как Adalo, которые публикуют одновременно в оба магазина приложений из единой кодовой базы. Ваша политика конфиденциальности должна удовлетворять требованиям Apple и Google одновременно.

Требования iOS к конфиденциальности приложений

App Store Connect требует политику конфиденциальности для всех новых приложений и обновлений приложений. Статья 5.1 руководства по проверке App Store Apple содержит обзор рекомендаций Apple по конфиденциальности и оснований для отклонения, если эти условия не соблюдаются.

Статья 5.1.1 о сборе и хранении данных указывает:

(i) Политики конфиденциальности: Все приложения должны включать ссылку на свою политику конфиденциальности в поле метаданных App Store Connect и внутри приложения в легко доступном месте. Политика конфиденциальности должна четко и явно:

• Указать, какие данные, если таковые имеются, собирает приложение/сервис, как оно их собирает и все способы использования этих данных
• Подтвердить, что любая третья сторона, с которой приложение делится данными пользователя — такие как инструменты аналитики, рекламные сети, сторонние SDK, а также любые материнские, дочерние или другие связанные компании — обеспечат такую же или равную защиту данных пользователя, как указано в политике конфиденциальности приложения
• Объяснить политику хранения/удаления данных и описать, как пользователь может отозвать согласие и/или запросить удаление своих данных

Ссылка на политику конфиденциальности вашего приложения или текст будут доступны для редактирования только при отправке новой версии вашего приложения. Благодаря неограниченным обновлениям приложений Adalo в платных планах, вы можете пересмотреть и повторно опубликовать всякий раз, когда ваши практики конфиденциальности изменяются.

Узнайте больше о Политике конфиденциальности для приложений iOS.

Требования Android к конфиденциальности приложений

Google Play явно требует, чтобы ссылка на политику конфиденциальности была видна на странице листинга вашего приложения в магазине и внутри вашего приложения в случаях, когда:

• Ваше приложение обрабатывает личные или конфиденциальные данные пользователей, как определено в политиках пользовательских данных (включая информацию, позволяющую идентифицировать личность, финансовую информацию и информацию об оплате, информацию аутентификации, данные адресной книги или контактов, данные датчиков микрофона и камеры, а также конфиденциальные данные устройства)
• Ваше приложение участвует в программе "Designed for Families" (независимо от доступа к конфиденциальным разрешениям или данным)

Однако важно отметить, что помимо требований платформы, в соответствии с подавляющим большинством законодательства — особенно законодательством Калифорнии CalOPPA, CCPA и GDPR — уведомления о конфиденциальности требуются по закону, независимо от конкретных требований Google.

Если ваше приложение Android обрабатывает персональные данные по причинам, не связанным с его функциональностью, вы обязаны сделать дополнительные, легко заметные раскрытия об этом использовании и собрать согласие пользователя, где требуется.

Узнайте больше о Политика конфиденциальности для приложений Android.

Файлы cookie, трекеры и аналогичные технологии

Многие разработчики приложений используют файлы cookie в приложении или на веб-сайте приложения для всего, начиная со статистики использования и заканчивая рекламой ремаркетинга. Если вы используете не-освобожденные файлы cookie (статистические, рекламные или профилирующие файлы cookie) и у вас есть пользователи из ЕС, вы обязаны по закону — а также законопослушными третьими сторонами, такими как Apple и Google, — соответствовать юридическим требованиям Директивы об электронной конфиденциальности и GDPR.

Закон о файлах cookie требует информированного согласия пользователей перед сохранением файлов cookie на устройстве пользователя и/или их отслеживанием. Если у вас есть пользователи из ЕС и ваше приложение (или любой сторонний сервис, используемый вашим приложением) использует файлы cookie, трекеры и аналогичные технологии отслеживания:

• Вы должны информировать пользователей о ваших действиях по сбору данных и дать им возможность выбрать, разрешено ли это
• Вы должны получить информированное согласие перед установкой этих файлов cookie

Требования, связанные с файлами cookie, на практике

Вам необходимо:

• Предоставить политику файлов cookie
• Показать баннер файлов cookie при первом доступе пользователя
• Блокировать не-освобожденные файлы cookie перед получением согласия пользователя (и выпускать их только после получения информированного согласия)

Это обычно означает наличие действительной политики файлов cookie и решения для управления согласием на использование файлов cookie.

Требования к политике файлов cookie

Политика файлов cookie должна:

• Указывать тип установленных файлов cookie (статистические, рекламные и т.д.)
• Подробно описывать цель установки файлов cookie
• Указывать всех третьих лиц, которые устанавливают или могут устанавливать файлы cookie, со ссылками на их соответствующие политики и любые формы отказа
• Быть доступной на всех языках, на которых предоставляется сервис

Требования к баннеру файлов cookie

Баннер файлов cookie должен:

• Информировать пользователей о любых файлах cookie, которые использует ваше приложение
• Запрашивать согласие пользователя перед запуском этих файлов cookie (и четко указать, какое действие будет означать согласие)
• Быть достаточно заметным, чтобы быть замеченным
• Ссылаться на политику файлов cookie, которая объясняет назначение различных категорий файлов cookie и участвующих третьих лиц

Блокирование не-освобожденных файлов cookie перед согласием

Поскольку информированное включение или предварительное согласие требуется в соответствии с GDPR и Директивой об электронной конфиденциальности, вам нужен механизм, который блокирует не-освобожденные файлы cookie до тех пор, пока пользователь не даст согласие через активное действие, такое как нажатие кнопки "Принять". До получения согласия не могут быть установлены никакие файлы cookie, кроме освобожденных.

Кроме того, если вы получать доход от вашего приложения или его содержание путем размещения объявлений третьих сторон, вам следует подумать о соответствии стандартам отрасли, используя Фреймворк прозрачности и согласия IAB— который позволяет пользователям устанавливать предпочтения в отношении рекламы и сообщает согласие потребителя в участвующие сетях объявлений. Невыполнение этого может привести к ограниченному доступу к сетям объявлений и, в конечном итоге, к снижению доходов от объявлений.

Специальные требования для приложений, используемых детьми

Если ваше приложение сознательно собирает, использует или раскрывает персональную информацию детей в возрасте до 13 лет, есть специальные руководящие принципы, которые вы обязаны соблюдать в соответствии с подавляющим большинством законодательства, включая как законодательство США, так и ЕС.

США: Требования COPPA

Закон об охране конфиденциальности детей в Интернете (COPPA) — это федеральный закон Соединенных Штатов, защищающий персональные данные и права детей в возрасте до 13 лет. В соответствии с COPPA операторы веб-сайтов или онлайн-сервисов, которые либо ориентированы на детей в возрасте до 13 лет (либо имеют фактическое знание о том, что они собирают персональную информацию от детей в возрасте до 13 лет), должны:

• Уведомить родителей
• Получить проверяемое согласие перед сбором, использованием или раскрытием персональной информации
• Безопасно хранить информацию, которую они собирают от детей

"Проверяемое" означает использование метода получения согласия, который не может быть легко подделан ребенком и который доказуемо, вероятно, будет дан взрослым— например, контрольные вопросы или проверка кредитной карты.

Центральным требованием этого Закона является наличие политики конфиденциальности, соответствующей COPPA на месте.

ЕС: Требования GDPR для детей

В соответствии с Общим регламентом по защите данных ЕС (GDPR), согласие является одним из законных оснований для обработки данных детей. Если вы используете это основание для обработки данных детей младше 13 лет, вы должны получить проверяемое согласие родителя или опекуна, если только предоставляемый вами сервис не является профилактическим или консультационным сервисом.

Вы должны предпринять разумные усилия (используя доступные технологии), чтобы проверить, что лицо, дающее согласие, действительно несет родительскую ответственность за ребенка. Кроме того, если вы ориентируетесь на детей старше 13 лет, вы должны написать четкие и соответствующие возрасту уведомления о конфиденциальности, чтобы они понимали, на что они дают согласие.

Узнайте больше о юридические требования для приложений, используемых детьми.

Как сделать ваше приложение соответствующим требованиям за несколько минут

Создание политики конфиденциальности и управление согласием на использование файлов cookie для вашего приложения может быть настоящей головной болью. iubenda решения могут помочь: их генератор политики конфиденциальности и решение для управления файлами cookie упрощают соответствие многим законам и требованиям платформ приложений.

Их решения:

• Доступны для независимых разработчиков и небольших команд
• Разработаны международной командой юристов
• Полностью настраиваются под вашу конкретную практику обработки данных
• Доступны на 8 языках
• Всегда актуальны в соответствии с основными глобальными законодательствами, такими как COPPA, CCPA, GDPR и другие

Посетите iubenda.com/en/mobile чтобы создать вашу политику конфиденциальности и управлять согласием на использование файлов cookie для соответствия требованиям GDPR, CCPA, ePrivacy и крупных магазинов приложений.

Создание приложений, соответствующих требованиям конфиденциальности, с помощью Adalo

Ada, конструктор искусственного интеллекта Adalo, позволяет вам описать то, что вы хотите, и генерирует ваше приложение. Magic Start создает полные основы приложения из описания, а Magic Add добавляет функции на естественном языке.

Конструктор приложений Adalo на базе искусственного интеллекта упрощает интеграцию соответствия требованиям конфиденциальности в ваше приложение с самого начала. С помощью Magic Start вы можете создавать полные основы приложений из описаний, включая потоки аутентификации пользователей, поддерживающие управление согласием. Magic Add позволяет описать необходимые вам функции, такие как «добавить экран принятия политики конфиденциальности», и платформа создаст необходимые компоненты.

Модульная инфраструктура платформы масштабируется для обслуживания приложений с миллионами активных пользователей в месяц без верхнего предела записей в базе данных для платных планов. Это означает, что ваши записи о согласии на конфиденциальность, предпочтения пользователей и логи соответствия требованиям могут расти без достижения ограничений по хранилищу — это распространенное ограничение на других платформах.

В отличие от платформ, которые взимают плату на основе использования или записей в базе данных, платные планы Adalo включают неограниченное использование без неожиданных счетов. Вы не столкнетесь с неожиданными расходами по мере роста вашей базы пользователей и увеличения количества записей согласия.

Хотите вывести ваше приложение на новый уровень, но не знаете, с чего начать? Получите помощь от всемирно известной команды эксперты Adalo которые могут помочь вам создавать, отлаживать и обеспечивать соответствие вашего приложения требованиям. Вы даже можете получить индивидуальное обучение от эксперта, чтобы помочь вам решить ваши проблемы —узнать больше.

Ключевые выводы

• Политики конфиденциальности обязательны для одобрения в магазине приложений и юридического соответствия в большинстве юрисдикций
• Следуйте самому строгому применимому закону— если вы ориентируетесь на пользователей в США и ЕС, требования GDPR на принцип согласия должны быть вашей основой
• Согласие на использование файлов cookie требует предварительной блокировки— файлы cookie, на которые нет исключения, не могут работать до тех пор, пока пользователи не дадут активное согласие

Часто задаваемые вопросы

Почему выбрать Adalo вместо других решений для создания приложений?

Adalo — это конструктор приложений с поддержкой ИИ, который создает истинные нативные приложения для iOS и Android. В отличие от веб-оберток, он компилируется в нативный код и публикуется непосредственно в Apple App Store и Google Play Store из одной кодовой базы — самая сложная часть запуска приложения выполняется автоматически. Платные планы включают неограниченные записи в базе данных и отсутствие комиссий на основе использования.

Какой самый быстрый способ создать и опубликовать приложение в App Store?

Интерфейс перетаскивания Adalo и инструменты создания с поддержкой искусственного интеллекта позволяют вам перейти от идеи к опубликованному приложению за дни, а не месяцы. Magic Start создает полные основы приложений из описаний, и платформа обрабатывает сложный процесс отправки в App Store, чтобы вы могли сосредоточиться на функциях вместо сертификатов и профилей подготовки.

Могу ли я легко сделать мое приложение юридически соответствующим законам о конфиденциальности?

Да. Adalo интегрируется с такими решениями, как iubenda, чтобы помочь вам создать политику конфиденциальности и управлять согласием на использование файлов cookie, гарантируя, что ваше приложение соответствует требованиям GDPR, CCPA, CalOPPA и рекомендациям магазинов приложений без необходимости юридической экспертизы.

Нужна ли мне политика конфиденциальности для моего мобильного приложения?

Да, App Store компании Apple и Google Play требуют от приложений наличие действительной политики конфиденциальности. Помимо требований платформ, такие законы, как CalOPPA, CCPA и GDPR, юридически требуют политики конфиденциальности для приложений, собирающих личные данные. Без соответствующей политики конфиденциальности вы рискуете отклонением приложения в магазине, юридическими штрафами и повреждением репутации вашего приложения.

В чем разница между требованиями законов о конфиденциальности в США и ЕС?

Законы США, такие как CalOPPA и CCPA, обычно требуют механизмов согласия на отказ и специальные раскрытия о практике обработки данных. GDPR Европейского Союза более строг, требуя явного согласия на согласие через четкие утвердительные действия, такие как проверка флажков. Если ваше приложение ориентируется на пользователей в обоих регионах, следуйте более строгим требованиям GDPR, чтобы обеспечить соответствие везде.

Нужно ли мне управление согласием на использование файлов cookie для моего приложения?

Если ваше приложение использует файлы cookie, трекеры или подобные технологии и имеет пользователей на основе ЕС, вы должны соответствовать Директиве об электронной конфиденциальности (Закон о файлах cookie) и GDPR. Это означает отображение баннера о файлах cookie, получение информированного согласия перед установкой файлов cookie, на которые нет исключения, и предоставление подробной политики файлов cookie, объясняющей, какие данные вы собираете и почему.

Какие специальные требования применяются, если мое приложение используется детьми?

Если ваше приложение собирает данные детей младше 13 лет, вы должны соответствовать COPPA в США и положениям GDPR в ЕС. Оба требуют получения проверяемого согласия родителей перед сбором данных детей, используя методы, которые невозможно легко подделать ребенком. Вам также потребуется политика конфиденциальности, соответствующая COPPA, и уведомления о конфиденциальности, соответствующие возрасту.

Сколько времени требуется, чтобы сделать приложение соответствующим требованиям конфиденциальности?

Используя такие инструменты, как генератор политики конфиденциальности iubenda, вы можете создать соответствующую политику конфиденциальности за несколько минут. Внедрение управления согласием на использование файлов cookie занимает немного больше времени, но обычно может быть завершено за午afternoon. Ключ в том, чтобы начать рано — встроить соответствие требованиям в ваше приложение с самого начала проще, чем добавлять его позже.

Что происходит, если мое приложение не соответствует требованиям конфиденциальности?

Несоответствие может привести к отклонению приложения в магазине, что предотвратит доступ вашего приложения к пользователям вообще. Помимо этого, нарушения GDPR могут привести к штрафам до €20 миллионов или 4% от годового глобального оборота. Нарушения CCPA влекут штрафы в размере $2 500 за непреднамеренное нарушение и $7 500 за преднамеренное нарушение. Ущерб репутации от нарушения конфиденциальности может быть столь же дорогостоящим.

Отличаются ли требования конфиденциальности между веб-приложениями и встроенными мобильными приложениями?

Юридические требования по сути одинаковы — GDPR, CCPA и другие законы о конфиденциальности применяются независимо от платформы. Однако встроенные мобильные приложения, опубликованные в App Store и Google Play, сталкиваются с дополнительными требованиями, специфичными для платформ. Apple и Google оба требуют политики конфиденциальности и имеют свои собственные рекомендации по раскрытию информации о сборе данных, которые должны быть соблюдены для одобрения.