Как it юристы помогают программным продуктам в сфере диджитал-маркетинга выполнять требования законов о защите персональных данных?

Программные продукты, которые помогают оптимизировать рекламные кампании и проводить аналитику, функционируют благодаря систематической обработке большого объема персональные данные людей по всему миру. Это значит, что компании, собственники такого ПО, несут ответственность за соблюдение законов о защите персональных данных, таких как GDPR в ЕС, и CCPA в Калифорнии. Айти юристы  Stalirov&Co рассказали редакции как их команда помогала клиентам из сферы диджитал-маркетинга выполнить требования законов, и какие могут быть последствия нарушения правил.

Что нужно программным продуктам, чтобы соответствовать GDPR и CCPA?

В первую очередь каждый продукт должен опубликовать Политику конфиденциальности. Это документ с помощью которого компания сообщает пользователям о сборе и обработке данные, получает их согласие на такие действия.

Например, айти юристы  Stalirov&Co разработали политику конфиденциальности для Hypelitix. Это веб-сервис для аналитики метаданных постов, IGTV и историй из профилей инфлюенсеров в Instagram. С помощью продукта можно отследить выполнил ли инфлюенсер оговоренную работу. В политике конфиденциальности для такого сервиса важно обозначить какие данные собирает программный продукт и с какой целью. Кроме этого, документ должен детально описать права инфлюенсеров на доступ к персональных данным, их исправление и удаление. 

В отдельном пункте политики юристы определили внешние интеграции веб-сервиса. Hypelitix использует Google Cloud Vision API platform для распознания текста на фото и видео. Такой сторонний сервис обрабатывает данные по запросу Hypelitix, о чем важно предупредить инфлюенсеров. Еще одна особенность Hypelitix в том, что сервис не может запросить разрешение на обработку данных у каждого инфлюенсера. Поэтому политика конфиденциальности веб-сервиса включает дисклеймер, где сказано, что Hypelitix получает персональные данные не от субъектов данных, а из социальной сети Instagram, и не может информировать каждого субъекта данных о сборе их личной информации, кроме как через политику конфиденциальности.

Чтобы политика конфиденциальности защищала от штрафов, положения документа должны учитывать специфику продукта и описывать актуальные процессы обработки, как это сделал Hypelitix.

Последствия нарушения GDPR/CCPA

Невыполнение правил по обработке данных приводит к штрафам. В июне 2023 международная платформа для оптимизации рекламных кампаний Criteo получила штраф в 40 млн EUR. Надзорный орган Франции обнаружил, что программный продукт обрабатывал данные пользователей без их согласия. Также, политика конфиденциальности компании поверхностно описывала цели обработки, и текст документа было сложно понять. Еще одним нарушением стало то, что пользователи не могли добиться удаления их данных.

Перед запуском продукта, или новых направлений в работе, юристы советуют разработать четкие инструкции и детально описать процессы сбора, обработки и хранения данных. Для этого компании нанимают офицера информационной безопасности. Это специалист, который сопровождает и консультирует IT-бизнес по требованиям законов, следит за нововведениями и проверяет документы компаний. Если происходят нарушения, офицер информационной безопасности оперативно их устраняет.

Программным продуктам в сфере диджитал-маркетинга критически важно выполнять требования законов, чтобы не терять доверие рекламодателей и пользователей. Без доступа к массиву данных такие продукты невозможно монетизировать, а значит защита данных должна стать для них приоритетной задачей. 

Автор статьи: Валерий Сталиров, CEO компании IT-юристов Stalirov&Co