В целях повышения прозрачности деятельности компаний и укрепления высоких стандартов соблюдения цифровых прав пользователей, эксперты DRCQ, основываясь на полученных данных и результатах анализа, разработали ряд универсальных рекомендаций для компаний и сервисов ведущих работу в секторе цифровой экономики. Рекомендации позволят цифровым платформам провести самостоятельную оценку соответствия предложенным стандартам и определить области, требующие улучшения.

СВОБОДА САМОВЫРАЖЕНИЯ И ИНФОРМАЦИИ

1. Четко и в понятной форме прописать в своих публичных политиках обязательства компании по уважению прав человека и защите прав пользователей на свободу самовыражения и доступ к информации. Рекомендуем обратить внимание на международные стандарты и руководствоваться в этом вопросе следующими международными документами: Всеобщая декларация прав человека; Международный пакт о гражданских и политических правах; Руководящие принципы предпринимательской деятельности в сфере прав человека ООН.
2. Компании должны открыто информировать пользователей о случаях, когда они получают запросы от государственных органов на удаление контента, аккаунта пользователя или ограничение доступа к информации. Важно разъяснять, как такие запросы оцениваются компаниями (в т.ч. высшим руководством) на предмет их законности, соразмерности и обоснованности, а также какова политика компании в отношении исполнения таких требований.
3. Следует четко прописать правила подачи жалоб от клиентов и внедрить механизмы, позволяющие пользователям подавать жалобы и оспаривать решения, касающиеся ограничения контента или блокировки аккаунтов. Эти механизмы должны быть понятными, доступными и ориентированными на обеспечение справедливого и своевременного рассмотрения возникающих вопросов.
4. Проводить регулярные оценки рисков с привлечением независимых аудиторов на предмет соблюдения цифровых и потребительских прав человека.

КОРПОРАТИВНОЕ УПРАВЛЕНИЕ

1. Внедрить механизмы, позволяющие отслеживать соответствие своей деятельности международным стандартам в области прав человека. Например, проводить регулярные аудиты, вести отчетность и обязательно вовлекать в этот процесс высшее руководство компании.
2. Компаниям следует организовывать регулярное обучение для своих сотрудников, особенно для тех, кто работает напрямую с клиентами или с их персональными данными. Это поможет повысить осведомленность и укрепить внутренние процессы, направленные на соблюдение прав человека. Также сами работники компаний должны быть осведомлены о том, кому и по какой процедуре они могут подать жалобу если их права были ущемлены.

ПРИВАТНОСТЬ

1. Рекомендуется разрабатывать подробные политики конфиденциальности, которые конкретно объясняют, какие данные пользователей собираются, как они используются, где и сколько хранятся и передаются ли третьим сторонам. Политики должны быть написаны понятным языком. В отдельности рекомендуется раскрывать названия организаций третьих сторон, кому могут передаются персональные данные пользователей.
2. Обеспечить возможность пользователям контролировать использование их данных в таргетированной рекламе. Кроме того, пользователи должны иметь возможность легко отключать таргетированную рекламу или ограничивать сбор данных для этих целей. Рекомендуется обеспечить доступ к понятным настройкам конфиденциальности, где можно выбрать уровень персонализации рекламы, включая полный отказ от сбора данных для таких целей.
3. На регулярной основе публиковать на своих площадках Отчёт о прозрачности в отношении конфиденциальности данных (Transparency report). В этом документе компании рассказывают о том, как они взаимодействуют с запросами от государства, правоохранительных органов или других сторон

В этом отчете обычно показывают:

• Сколько раз государственные органы запрашивали данные пользователей.
• Какие данные запрашивались (например, контактная информация, сообщения, IP-адреса).
• Сколько запросов компания одобрила или отклонила и почему.
• Как часто компания удаляет контент или ограничивает доступ к нему, например, по требованию государственных органов.

4. Компаниям следует четко обозначать собирают ли они данные пользователей для машинного обучения и дальнейшего их использования в алгоритмических системах, включая ИИ-помощников, чат-ботов и т.д.
5. Раскрывать подробно порядок отзыва и уничтожения данных пользователей по их запросу или по достижению целей сбора этих данных.
6. Незамедлительно оповещать пользователей о факте утечки их данных, а также оперативно оповещать об этом уполномоченный государственный орган.
7. Публиковать практические материалы, обучающие пользователей тому, как защитить себя от рисков кибербезопасности, связанных с продуктами или услугами компании.
8. Следует минимизировать сбор данных пользователей, ограничиваясь только той информацией, которая необходима для предоставления услуг.