Продукты и сервисы Apple по умолчанию разрабатываются в соответствии с принципом обеспечения конфиденциальности: мы собираем данные только в том минимальном объёме, который необходим для предоставления продуктов и услуг пользователям. Мы предоставляем одну и ту же версию программного обеспечения всем своим пользователям. Собранные данные хранятся только в течение времени, необходимого для реализации целей их сбора, в соответствии с нашей Политикой конфиденциальности, уведомлениями о конфиденциальности для конкретных сервисов, а также применимым законодательством.

Мы также используем ведущие в отрасли механизмы получения согласия, благодаря которым пользователи могут выбирать, предоставлять ли приложениям права доступа к таким данным и функциям, как геопозиция, контакты, напоминания, фотографии, сведения о здоровье, движении и занятиях фитнесом, микрофон, функция распознавания речи, камера, HomeKit, мультимедиа, Apple Music и общий доступ через Bluetooth.

При управлении конфиденциальностью Apple использует кроссфункциональный подход. Он охватывает все сферы деятельности компании и включает данные как о пользователях, так и о сотрудниках. В отделе Legal есть руководитель подразделения Privacy and Law Enforcement Compliance, который подчиняется непосредственно General Counsel Apple. Кроме того, в Apple есть отдел Privacy Engineering, который совместно с отделом Privacy Legal и Product Counsel, должны гарантировать, что продукты Apple изначально разрабатываются с учётом обеспечения конфиденциальности и что данные пользователей остаются под защитой всё то время, пока эти данные находятся под контролем Apple. Такой подход подразумевает применение строгих процессов, обеспечивающих использование собираемых данных исключительно в предусмотренных законом целях.

В Apple также есть комитет Privacy Steering Committee во главе с General Counsel Apple. В состав комитета входят старший вице-президент Apple в области Machine Learning and AI Strategy, старший вице-президент по вопросам Software Engineering,а также группа старших представителей отделов Internet Software and Services, Software Engineering, Product Marketing, Corporate Communications, Information Services & Technology, Information Security и Privacy Legal. Privacy Steering Committee устанавливает стандарты конфиденциальности для различных рабочих групп Apple и выступает в качестве органа, принимающего решения по вопросам соблюдения конфиденциальности или передающего их на более высокий уровень.

Кроме того, Privacy Steering Committee осуществляет контроль в тех случаях, когда управление данными, за которые отвечает Apple, или их хранение выполняет от имени Apple третья сторона. Подобные третьи стороны проверяются как до начала сотрудничества, так и впоследствии — путём аудита и проверки документации. Это позволяет гарантировать, что они соблюдают те же стандарты безопасности, что и Apple.

Помимо этого, комитет Audit and Finance Committee помогает Board of Directors осуществлять контроль и мониторинг обеспечения конфиденциальности и безопасности данных.

Все сотрудники Apple обязаны ежегодно проходить тренинги по профессиональному поведению. Это отражает наше стремление уважать права человека и вести бизнес этично, честно, в соответствии с применимыми законами и нормативно-правовыми актами. Тренинги по конфиденциальности являются важной частью обучения профессиональному поведению. Apple требует от своих сотрудников, имеющих доступ к данным и личной информации пользователей, проходить дополнительные тренинги по обеспечению конфиденциальности и безопасности каждые два года либо по мере обновления законодательства, например Общего регламента ЕС по защите данных (GDPR) или закона штата Калифорния «О защите прав потребителей» (CCPA). Дополнительные специальные тренинги по обеспечению конфиденциальности и безопасности проводятся для сотрудников рабочих групп, которые работают с большими объёмами данных и конфиденциальными персональными данными или имеют доступ к ним, а также для других сотрудников в соответствии с требованиями местного законодательства. Соблюдение стандартов конфиденциальности и безопасности Apple, в том числе касающихся деидентификации персональных данных, проверяет команда Apple Privacy Audit & Compliance.

Кроме того, сотрудники могут получить ответ на любые имеющиеся у них вопросы о конфиденциальности, отправив соответствующий запрос по адресу dpo@apple.com. Отдельная команда следит за тем, чтобы на все вопросы были даны ответы.

В рамках обеспечения соответствия регламенту GDPR и работы по защите прав человека мы проводим оценку своих основных продуктов и сервисов с точки зрения их влияния на конфиденциальность (Privacy Impact Assessments, PIA), а затем учитываем полученные результаты при разработке новых продуктов и сервисов. В частности, оценивается наличие алгоритмических систем принятия решений и то, какое влияние подобное принятие решений оказывает на пользователей и их права. Всем видам использования данных присваиваются уровни риска, которые переоцениваются с периодичностью от одного года до двух лет в зависимости от выявленного риска. Если персональные данные используются для разработки алгоритмических систем, то, в соответствии с ведущей в отрасли системой пользовательского контроля Apple, пользователям предоставляются средства, позволяющие дать согласие на подобное использование, а затем контролировать его. Кроме того, в рамках процесса PIA полностью оценивается политика конфиденциальности всех приобретаемых нами компаний. Оценки PIA учитывают влияние действующего законодательства на конфиденциальность, а также любые сопутствующие риски для конфиденциальности в юрисдикциях, в которых мы осуществляем деятельность. Специалистов, выполняющих PIA, также обучают выявлять и отмечать возможное влияние на свободу выражения мнения. Кроме того, Apple регулярно взаимодействует со многими представителями гражданского сообщества по всему миру с целью обсуждения различных вопросов, связанных с конфиденциальностью и свободой выражения мнения, например встроенных механизмов обеспечения конфиденциальности и способов шифрования.

В настоящее время Apple имеет сертификаты ISO 27001 и 27018 и ежегодно проходит аудит для их повторного получения.

Безопасность данных и реагирование на инциденты

Чтобы защитить ваши персональные данные, мы принимаем строгие меры по обеспечению конфиденциальности внутри компании. Это означает, что мы используем средства управления доступом и контроля доступа, соответствующие риску для данных, чтобы доступ к данным предоставлялся только при наличии бизнес-необходимости, например для оказания поддержки пользователям. В руководстве Безопасность платформы Apple представлены подробные технические сведения о том, как наши операционные системы, включая iOS, iPadOS, macOS, watchOS, tvOS и visionOS, а также наши продукты и сервисы, такие как iMessage, FaceTime, Apple Pay и iCloud, разрабатывались с расчётом на защиту пользователей и их данных. Apple также предоставляет свободный доступ к информации о программе Apple Security Bounty.

Когда компании Apple становится известно о возможном инциденте, связанном с безопасностью данных, который может повлиять на персональные данные пользователей, специальные группы расследуют и изучают произошедшее, а также определяют, какие ответные меры следует принять. Если влияние на данные обнаруживается, немедленно принимаются меры по его прекращению и определяются меры по исправлению ситуации, в том числе путём выпуска программных обновлений, если это применимо.

Полученные факты анализируются в контексте применимых законов, правил, отраслевых норм и, прежде всего, установленных обязательств Apple по обеспечению конфиденциальности, чтобы определить, следует ли уведомлять пользователей, которых затронул инцидент, и другие стороны, например регулирующие органы. Apple гарантирует соблюдение всех применимых законов, которые требуют безотлагательно уведомлять об инцидентах, связанных с безопасностью данных. Пользователи могут получать такие уведомления по телефону или по электронной почте.

Мы оперативно проводим расследования и анализ, чтобы своевременно уведомлять пользователей об инцидентах, когда это необходимо. Кроме того, мы стараемся предоставить пользователям, которых затронул инцидент, соответствующую помощь, например информацию о действиях, которые можно предпринять для снижения риска ущерба, или поддержку от специалистов AppleCare.

Компании Apple не известно ни о каких случаях, когда данные пользователя iCloud были украдены или просочились в результате взлома серверов iCloud. Если у вас есть вопросы об инцидентах, свяжитесь с нами. Информацию о том, как Apple обрабатывает правительственные запросы на предоставление данных о пользователях, см. в Отчёте о прозрачности.

Жалобы, связанные с конфиденциальностью

Если пользователь подаст жалобу с указанием на существенное нарушение конфиденциальности, мы примем меры по устранению проблемы при следующей приемлемой возможности. Если проблема, связанная с конфиденциальностью, имела существенные отрицательные последствия для пользователя или соответствующей третьей стороны, мы свяжемся с пострадавшими для решения этого вопроса.

Обновления Политики конфиденциальности

В случае существенных изменений в нашей Политике конфиденциальности мы разместим соответствующее уведомление на веб‑странице, где она опубликована, как минимум за одну неделю до вступления изменений в силу. Кроме того, пользователи, предоставившие свои контактные данные, получат уведомление об изменениях.

Частные запросы на получение информации о пользователях

Apple не предоставляет информацию о пользователях третьим лицам, если она запрашивается без чёткого юридического обоснования, по которому Apple может её предоставить. Даже в подобных случаях Apple проводит тщательную проверку указанного юридического обоснования, а при его отсутствии даёт ответ только в том случае, если этого требует постановление суда или другой аналогичный процесс. Apple стремится обеспечить прозрачность подобных запросов и публикует периодически обновляемый подробный отчёт о них.

Деидентификация персональных данных

Деидентификация — это процесс удаления связи между набором идентифицирующих персональных данных и пользователем, чтобы по этим данным больше нельзя было установить личность этого человека. В Apple считается, что для деидентификации данных необходимо удалить все элементы персональных данных, включая полный IP‑адрес и любые идентификаторы, связанные с персональными данными.

Ответственная передача данных

Для выполнения действий по обработке данных, в том числе действий, описанных в этой Политике конфиденциальности, в связи с использованием вами наших продуктов и сервисов ваши персональные данные могут передаваться компаниям по всему миру или использоваться этими компаниями, включая аффилированные компании Apple, поставщиков услуг Apple или партнёров. Поставщики услуг и партнёры, к которым мы обращаемся, определяются в зависимости от вашего региона проживания. Например, в некоторых странах Азии вызовы или текстовые сообщения, отправленные с помощью функции «Экстренный вызов — SOS по спутниковой связи», перенаправляются в центр ретрансляции нашего поставщика услуг в Малайзии, чтобы обеспечить эффективную и стабильную связь с соответствующими экстренными службами. Независимо от того, где хранятся ваши персональные данные, компания Apple сохраняет такой же высокий уровень защиты. Для пользователей в Японии информацию о том, где системы гражданского права некоторых стран могут повлиять на надлежащее обращение с конкретной информацией о пользователе, можно найти на веб-сайте PPC.

Ответственность подразумевает, что организации отвечают за обработку данных и должны демонстрировать, что их методы, системы, политики и обучение отвечают целям Apple по обеспечению соответствия нормативным требованиям. Благодаря постоянному контролю и проверкам международная программа обеспечения конфиденциальности Apple с 2014 года имеет необходимые сертификаты об ответственности, которые соответствуют стандартам Global CBPR Forum. Чтобы просмотреть наши сертификаты, посетите Global CBPR System Directory. В странах, где работает Apple, международная передача собранных персональных данных регулируется правилами Global Cross-Border Privacy Rules (CBPR) System и системой Global Privacy Recognition for Processors (PRP) System. Международная политика конфиденциальности Apple и применяемые компанией методы её реализации проверяются утверждённым независимым сторонним Accountability Agent, который контролирует и обеспечивает соблюдение требований программ Global CBPR и PRP. По вопросам устранения последствий инцидентов и необходимости внешнего вмешательства пользователи могут обращаться в нашу стороннюю службу по разрешению споров.