Дані користувачів

Ви повинні надати чіткі відомості про те, як обробляєте дані користувачів (наприклад, отримані від них або про них, включно з відомостями про їхні пристрої). Тобто ви повинні пояснити, як ваш додаток отримує, збирає, використовує й розкриває дані, а також обмежити їх використання вказаними в такому поясненні потребами. Зверніть увагу, що обробка персональних і чутливих даних користувачів також регулюється додатковими вимогами, наведеними нижче в розділі "Персональні й чутливі дані користувачів". Ці вимоги Google Play доповнюють усі інші чинні закони щодо захисту та конфіденційності даних.

Якщо у вашому додатку використовується сторонній код (наприклад, пакет SDK), переконайтеся, що цей код і дії третьої сторони стосовно даних користувачів, отриманих із вашого додатка, відповідають Правилам програми для розробників додатків у Google Play, включно з вимогами до використання й розголошення інформації. Наприклад, ви повинні переконатися, що постачальники SDK не продають персональні й чутливі дані, отримані з вашого додатка. Ця вимога застосовується незалежно від того, коли було передано дані користувачів: після надсилання на сервер чи внаслідок вставлення стороннього коду у ваш додаток.

ЗГОРНУТИ ВСЕ РОЗГОРНУТИ ВСЕ

Персональні й чутливі дані користувачів

До персональних і чутливих даних користувачів належать, зокрема, ідентифікаційна, фінансова й платіжна інформація, дані для автентифікації, телефонна книга, контакти, геодані пристрою, дані про SMS і виклики, дані про здоров’я, дані Health Connect, список інших додатків на пристрої, дані з мікрофона й камери, а також інші чутливі дані та відомості про використання пристрою. Якщо ваш додаток обробляє персональні й чутливі дані користувачів, ви зобов’язані дотримуватися наведених нижче вимог.

Отримуйте, збирайте, використовуйте та розкривайте персональні й чутливі дані користувачів, які вони надають через додаток, щоб забезпечувати функції додатка та сервісу, а також відповідати правилам і обґрунтованим очікуванням користувача.
- Додатки, які використовують персональні й чутливі дані користувачів також для показу реклами, мають відповідати правилам розміщення реклами в Google Play.
- За потреби ви можете передавати дані постачальникам послуг чи державним органам за їх запитом, якщо це потрібно для виконання вимог законодавства або в рамках процедури злиття чи поглинання, надіславши користувачам офіційне сповіщення.
Безпечно обробляйте всі персональні й чутливі дані користувачів, зокрема передавайте їх, використовуючи сучасні способи шифрування (наприклад, HTTPS).
Якщо це можливо, запитуйте динамічні дозволи, перш ніж отримувати доступ до даних, захищених дозволами Android.
Не продавайте персональні й чутливі дані користувачів.
- "Продаж" означає обмін або передавання персональних і чутливих даних користувачів третій особі за грошову винагороду.
  - Ініційоване користувачем передавання персональних і чутливих даних (наприклад, під час використання в додатку функції надсилання файлу третій особі або використання додатка, основною функцією якого є проведення наукових досліджень) не вважається продажем.

Вимоги до повідомлення про використання особистих даних і отримання згоди

У випадках, коли отримання, збирання, використання та розкриття персональних і чутливих даних користувачів вашим додатком не відповідає обґрунтованим очікуванням користувача від продукту або функції (наприклад, якщо дані збираються у фоновому режимі, коли користувач не взаємодіє з додатком), ви повинні дотримуватися наведених нижче вимог.

Повідомлення про використання особистих даних: у додатку має відображатися повідомлення про отримання, збирання, використання й розкриття даних. Це повідомлення:

має міститися не лише в описі додатка чи на веб-сайті, але й у самому додатку;
має відображатися під час звичайного використання додатка без потреби переходити в меню чи налаштування;
має описувати дані, які використовуються чи збираються;
має описувати, як зібрані дані використовуються та/або передаються;
не може міститися лише в політиці конфіденційності або умовах використання;
не може бути об’єднане з іншими повідомленнями, які не стосуються збирання персональних і чутливих даних користувачів.

Згода користувача та динамічні дозволи: запити на згоду користувача й динамічні дозволи в додатку мають з’являтись одразу після повідомлення про використання особистих даних, яке відповідає наведеним вище вимогам. Запит додатка на згоду користувача:

має відображатися в діалоговому вікні й бути чітким і недвозначним;
має пропонувати конкретну дію, що підтверджує згоду (наприклад, натиснути кнопку "Прийняти", поставити прапорець тощо);
не може вважати згодою закриття діалогового вікна повідомлення (наприклад, натискання за межами вікна чи кнопки "Назад" або "Головний екран");
не може використовувати для отримання згоди повідомлення, що автоматично закриваються або зникають через деякий час;
має бути схвалений користувачем, перш ніж додаток зможе отримувати та збирати персональні й чутливі дані користувачів.

Додатки, у яких обробка персональних і чутливих даних без згоди користувача відбувається на інших юридичних підставах, наприклад відповідно до Загального регламенту захисту даних ЄС (GDPR), повинні відповідати всім чинним юридичним вимогам і надавати відповідні повідомлення про використання персональних даних, зокрема повідомлення в додатку, вимоги до яких наведено в цих правилах.

Щоб відповідати вимогам правил, радимо дотримуватися наведеного нижче формату повідомлення про використання особистих даних (якщо воно вимагається).

"[Цей додаток] збирає/передає/синхронізує/зберігає [тип даних] для ["назва функції"], [у якому сценарії]".
Приклад: "Fitness Funds збирає геодані для відстеження фізичної активності, навіть якщо додаток закритий або не використовується, а також для персоналізації реклами".
Приклад: "Call buddy збирає та записує дані журналу викликів для впорядкування контактів, навіть коли додаток не використовується".

Якщо у вашому додатку використовується сторонній код (наприклад, пакет SDK) для збирання персональних і чутливих даних користувачів, протягом 2 тижнів (або довшого терміну, якщо його зазначено) після отримання запиту від Google Play ви повинні надати достатні докази того, що ваш додаток відповідає вимогам до повідомлення про використання особистих даних і отримання згоди, які описано в цих правилах, зокрема вимогам до отримання, збирання, використання й розкриття даних за допомогою стороннього коду.

Приклади поширених порушень

Додаток збирає дані про місцезнаходження пристрою, однак не показує повідомлення про використання особистих даних, яке б пояснювало, якій функції потрібні ці дані, і/або вказувало б на роботу додатка у фоновому режимі.
Перш ніж показати повідомлення про використання особистих даних, додаток запитує динамічний дозвіл на доступ до них.
Додаток має доступ до інформації про встановлені на пристрої користувача додатки, однак не обробляє цю інформацію як персональну чи чутливу відповідно до згаданої вище політики конфіденційності й вимог до обробки даних та повідомлення про використання особистих даних і отримання згоди.
Додаток має доступ до телефонної книги або даних контактів користувача, однак не обробляє цю інформацію як персональну чи чутливу відповідно до згаданої вище політики конфіденційності й вимог до обробки даних та повідомлення про використання особистих даних і отримання згоди.
Додаток записує екран користувача, однак не обробляє цю інформацію як персональну чи чутливу відповідно до правил.
Додаток збирає геодані пристрою, однак вичерпно не пояснює використання таких даних відповідно до викладених вище вимог.
Додаток використовує обмежені дозволи у фоновому режимі, зокрема з метою відстеження, проведення досліджень і реклами, не пояснюючи, для чого вони використовуватимуться, та не отримуючи дозволу користувача відповідно до викладених вище вимог.
Додаток використовує пакет SDK, який збирає персональні й чутливі дані та не обробляє ці дані відповідно до правил щодо даних користувачів, а також вимог до повідомлення про використання особистих даних і отримання згоди та вимог щодо отримання доступу до даних і їх обробки (зокрема, про неможливість продажу).

Дізнатися більше про вимоги до повідомлення про використання особистих даних і отримання згоди можна в цій статті.

Обмеження щодо доступу до персональних і чутливих даних

Крім перелічених вище вимог, у таблиці нижче наведено вимоги до певних дій.

Дії	Вимоги
Додаток обробляє фінансову або платіжну інформацію чи державні ідентифікаційні номери	Додаток не може розголошувати державні ідентифікаційні номери, а також персональні й чутливі дані користувачів, пов’язані з фінансовими або платіжними операціями.
Додаток обробляє приватну інформацію з телефонної книги або контактні дані	Забороняється без дозволу публікувати або розголошувати приватні контактні дані користувачів.
Додаток має антивірусні або захисні функції, пов’язані з безпекою, захистом від вірусів або зловмисного програмного забезпечення	Потрібно опублікувати політику конфіденційності, яка разом із повідомленнями в додатку описує, які дані користувачів додаток збирає та передає, як ці дані обробляються й кому розкриваються.
Додаток націлюється на дітей	Ваш додаток не може містити пакет SDK, який не схвалено для використання в призначених для дітей сервісах. Щоб дізнатися про всі формулювання та вимоги правил, прочитайте статтю Розробка додатків для всієї сім’ї.
Додаток збирає дані про постійні ідентифікатори пристрою (наприклад, IMEI, IMSI, серійний номер SIM-карти тощо) або зв’язує їх з іншими даними.	Постійні ідентифікатори пристрою можна зв’язувати з іншими персональними й чутливими даними користувачів або ідентифікаторами пристрою, які можна скидати, лише для таких потреб: телефонний зв’язок на основі ідентифікації SIM-карти (наприклад, виклики через Wi-Fi, пов’язані з рахунком оператора); використання додатків для керування пристроями на рівні підприємства в режимі власника пристрою. Інформація про ці випадки має бути чітко зазначена в правилах щодо даних користувачів. Щоб дізнатися про альтернативні унікальні ідентифікатори, ознайомтеся з цим ресурсом. Додаткові рекомендації щодо рекламного ідентифікатора Android доступні в правилах розміщення реклами.

Розділ "Безпека даних"

Усі розробники мають чітко та вичерпно описати порядок збирання, використання й розкриття даних користувачів для кожного додатка в розділі "Безпека даних". Розробник несе відповідальність за точність сповіщення й актуальність доступної інформації. За потреби вміст розділу "Безпека даних" має узгоджуватися з політикою конфіденційності додатка.

У цій статті ви отримаєте додаткову інформацію про заповнення розділу "Безпека даних".

Політика конфіденційності

Політика конфіденційності має бути доступна за посиланням у відповідному полі в Play Console і в самому додатку (за посиланням або в текстовому форматі). У політиці конфіденційності й в повідомленнях у додатку має бути докладно описано, як додаток отримує доступ до даних користувачів, збирає, використовує і розкриває їх (не обмежуючись інформацією, наведеною в розділі "Безпека даних"). Політика конфіденційності має містити:

інформацію про розробника та контактну особу, відповідальну за конфіденційність, чи механізм зв’язку для подання запитів;
інформацію про типи персональних і чутливих даних користувачів, які ваш додаток отримує, збирає, використовує та розкриває, а також про осіб, які отримують ці персональні й чутливі дані;
інформацію про безпечні процедури обробки персональних і чутливих даних користувачів;
інформацію про політику розробника щодо збереження та видалення даних;
явні ознаки того, що подана інформація є політикою конфіденційності (наприклад, словосполучення "Політика конфіденційності" в назві).

Організація (як-от розробник, компанія), указана на сторінці додатка в Google Play, або назва самого додатка мають згадуватися в політиці конфіденційності. Додатки, які не отримують доступу до персональних і чутливих даних користувачів, усе одно повинні мати політику конфіденційності.

Переконайтеся, що ваша політика конфіденційності розміщена за дійсною та загальнодоступною в усіх геозонах URL-адресою (не у форматі PDF) і що її не можна редагувати.

Вимога щодо можливості видалення облікових записів

Якщо користувачі можуть створити обліковий запис у вашому додатку, ви також повинні надати їм можливість видалити його. У користувачів має бути простий спосіб ініціювати видалення облікового запису як у вашому додатку, так і за його межами (наприклад, на вашому веб-сайті). Посилання на цей ресурс потрібно вказати у відповідному полі для URL-адреси у формі в Play Console.

Видаляючи обліковий запис у додатку за запитом користувача, ви також повинні видалити всі його дані, пов’язані з цим обліковим записом. Тимчасова деактивація, вимкнення або припинення дії не вважається видаленням облікового запису. Якщо вам потрібно зберігати певні дані для законних цілей, зокрема з міркувань безпеки, для запобігання шахрайству або відповідно до нормативних вимог, ви повинні чітко повідомити користувачів про ваші методи збереження даних (наприклад, у політиці конфіденційності).

Щоб дізнатися більше про вимоги правил щодо видалення облікових записів, прочитайте цю статтю в Довідковому центрі. Додаткову інформацію щодо оновлення форми "Безпека даних" наведено в цій статті.

Використання постійного ідентифікатора додатка

Android представить новий ідентифікатор для підтримки критично важливих прикладів використання, таких як отримання статистики й захист від шахрайства. Нижче наведено умови використання цього ідентифікатора.

Використання. Ідентифікатор набору додатків не можна використовувати для персоналізації та вимірювання ефективності реклами.
Зв’язування з ідентифікаційною інформацією або іншими ідентифікаторами. Ідентифікатор набору додатків не можна зв’язувати з іншими ідентифікаторами Android (наприклад, AAID) або будь-якими персональними чи чутливими даними для рекламних потреб.
Прозорість і згода. Потрібно повідомити користувачів про отримання й обробку ідентифікатора набору додатків і виконання цих умов у належній примітці про конфіденційність, зокрема у вашій політиці конфіденційності. Якщо цього вимагає закон, ви повинні отримати згоду користувачів, яка має юридичну силу. Щоб дізнатися більше про стандарти конфіденційності, прочитайте наші правила щодо даних користувачів.

Рамкова угода щодо захисту конфіденційності (Privacy Shield) між ЄС і Швейцарією та США

Якщо ви переглядаєте, використовуєте чи обробляєте особисту інформацію, надану Google, яка прямо чи опосередковано ідентифікує особу та походить із ЄС або Швейцарії ("Особиста інформація з ЄС"), ви повинні:

дотримуватися всіх відповідних законів, директив, норм і правил щодо конфіденційності, безпеки та захисту даних;
переглядати, використовувати або обробляти особисту інформацію користувачів із ЄС лише з метою, на яку дала згоду пов’язана особа;
вживати належних організаційних і технічних заходів, щоб захищати Особисту інформацію користувачів із ЄС від втрати, недопустимого використання, неавторизованого або незаконного доступу, розголошення, змінення й знищення; .
забезпечувати той рівень захисту, який передбачено в принципах Privacy Shield (рамкової угоди щодо захисту конфіденційності).

Ви повинні регулярно стежити за дотриманням цих умов. Якщо в будь-який момент ви не можете забезпечити дотримання цих умов (або якщо існує значний ризик, що це може трапитися), обов'язково повідомте нас про це, надіславши електронний лист на адресу data-protection-office@google.com. Одразу припиніть обробляти Особисту інформацію користувачів із ЄС або вживіть належних заходів, щоб відновити необхідний рівень захисту.

З 16 липня 2020 р. Google більше не дотримується EU-U.S. Privacy Shield (рамкової угоди щодо захисту конфіденційності між ЄС і США), передаючи дані з Європейської економічної зони або Великої Британії в США. (Докладніше.)Докладнішу інформацію ви знайдете в Розділі 9 Договору розробника про розповсюдження.

Чи корисна ця інформація?

Як можна її покращити?