Однією з найбільш конвертованих валют у сучасному світі є персональні дані. Ми отримуємо велику кількість послуг не витрачаючи гроші, натомість розплачуємось за них інформацією про себе. Так, ми користуємось соціальними мережами та завантажуємо мобільні додатки, читаємо тексти, слухаємо музику та дивимось відео онлайн тощо. В обмін на все це постачальники цих послуг отримують певну кількість інформації про нас. Яка інформація збирається, як вона використовується, а також наскільки це відповідає вимогам законодавства спробуємо розібратись у цьому матеріалі.
Хто та яку інформацію збирає?
Будь-який суб’єкт, чиїми послугами ми користуємось в інтернеті, отримує певну кількість інформації про нас та від нас. До таких суб’єктів в першу чергу відносяться поштові сервіси, веб-сайти, соціальні мережі та мобільні додатки. Абсолютна більшість сайтів, які ми відвідуємо, використовує так звані cookies – файли, що зберігаються браузером користувача та відправляються на відвідувані сайти. З одного боку вони призначені для полегшення подальших відвідувань сайту, оскільки запам’ятовують налаштування попередніх сесій чи налаштування інтерфейсу. Разом з тим, завдяки cookies сайти можуть збирати інформацію, зокрема, про місцезнаходження користувача, про найбільш відвідувані ним сторінки, час перебування на сайті, залишені коментарі, мовні налаштування і навіть про ім’я та фото профілю, якщо така інформація збережена у браузері.
Під час реєстрації в соціальних мережах ми зазначаємо наші контактні дані, далі ми заповнюємо профіль (прізвище, ім’я, дата народження, місце проживання тощо), додаємо фото і вся ця інформація зберігається на серверах компанії, як правило в хмарних сховищах, а часто і в системах архівного зберігання, що дозволяє відновити інформацію. Так, наприклад сталося під час відомого збою пошти Gmail 2011 року – саме архівне сховище доволило відновити зміст поштових скриньок. Крім того, соціальні мережі збирають інформацію про нашу поведінку: який контент ми лайкаємо, якими публікаціями ділимось, за якими посиланнями переходимо тощо.
Мобільні додатки значно полегшують наше життя, спрощують здійснення покупок, виклик таксі тощо, і просто мають розважальний характер. Найчастіше вони збирають інформацію про дані профілю у соціальних мережах, геолокацію, отримують доступ до наших файлів (фото, відео), а також специфічну інформацію: наприклад Uber знає маршрути нашого пересування та дані кредитної карти, а деяким додаткам довіряють навіть інтимні подробиці.
Для чого збираються персональні дані?
Велика кількість персональних даних дозволяє створити портрет користувача так званий профайлінг. Завдяки цьому можна виділити із всієї кількості користувачів окремі групи (цільову аудиторію), яка може бути цікавою, наприклад, для рекламодавців. Така технологія називається таргетингом і дозволяє сконцентрувати зусилля в просування товарів та послуг для чітко визначеної аудиторії.
Найбільш розповсюдженою метою таргетингу, звичайно, є комерційна. На основі отриманої від користувача інформації можна запропонувати йому більш актуальні для нього товари, а отже – спонукати витратити більше грошей. Мабуть, кожен з нас помічав, що після зробленого запиту у пошукових системах контекстна реклама починає пропонувати аналогічні товари або онлайн магазини пропонують товари тієї ж марки/бренду. Мова також може йти і про більш складні процеси: коли завдяки отриманій інформації складається не лише портрет покупця, а й вивчаються його звички та вподобання і на основі цього робиться прогноз, що може його зацікавити. Так, аналітики однієї з торгівельних мереж у США розробили програму, яка на основі персональних даних покупців – жінок (зокрема, віку, та характеру покупок) могла з великою вірогідністю визначити, що та чи інша жінка є вагітною, ще до того, як вона почне купувати речі для вагітних та немовлят і, відповідно, обережно запропонувати необхідні товари. З цією програмою навіть стався курйоз, коли торгівельна мережа дізналась про вагітність школярки раніше за її батька.
Ще однією метою таргетингу є здійснення впливу на політичні вподобання та формування суспільної думки. Класичним прикладом такого є історія з компанією Cambridge Analytica, яка використовувала персональні дані користувачів для розміщення політичної реклами під час президентської кампанії в США, а також референдуму про вихід Британії з Євросоюзу у 2016 році. В Україні протягом останніх парламентських виборів, користувачі Facebook могли помітити, що політична реклама їм пропонувала кандидатів–мажоритарників з тієї території, звідки вони заходили у мережу.
Після низки звинувачень останніх років у непрозорому використанні персональних даних у фейсбуці поряд з рекламними постами з’явилась кнопка «чому я це бачу». Завдяки їй можна дізнатись, яка саме інформація про конкретну людину використовувалась рекламодавцем, щоб позначити її якцільову аудиторію. Найчастіше до такої інформації відноситься вік, місцезнаходження та стать. Сервіс Google, у свою чергу, взагалі дозволяє вимкнути персоналізацію реклами.
Що каже українське законодавство?
Основним законом у цій сфері є Закон України «Про захист персональних даних», що діє з 2011 року і встановлює вичерпний перелік підстав обробки персональних даних (ст.11). Ключовою з таких підстав є згода суб’єкта персональних даних і, за виключенням окремих випадків, саме наявність згоди є обов’язковою умовою збору персональних даних в інтернеті. Згодою є добровільне волевиявлення фізичної особи (за умови її поінформованості) щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки, висловлене у письмовій формі або у формі, що дає змогу зробити висновок про надання згоди (ст.2).
В українських реаліях проблеми починаються вже із самого факту надання згоди.
Якщо говорити про веб-сайти, то, далеко не всі з них взагалі попереджають про збирання інформації, хоча насправді це роблять. Ви можете не отримати жодних сповіщень про використання cookies, а потім побачите це у налаштуваннях браузера. Також не всі враховують, що на сторінці сайту можуть бути представлені елементи інших сайтів (рекламних, соціальних мереж) і кожен з них також збирає cookies, про що користувачі не завжди знають. Так само мобільні додатки не завжди попереджають які дані вони збирають. Наприклад, для багатьох користувачів додатку Facebook стало новиною, що додаток збирав інформацію про їх дзвінки та смс повідомлення.
Окрім вимоги щодо попередження про збір даних , має дотримуватися вимога щодо згоди на збирання та використання персональних даних, що має надаватись саме тією особою, про яку збирається інформація. У той же час користувачі інтернету охоче діляться інформацією не лише про себе. Так, показовою є історія з додаткоми накшталт Getcontact, Truecaller та ін. які юзери почали масово використовувати, щоб дізнатись як і хто у кого записаний в контактах. В обмін на це додатку передавалась, зокрема, інформація з власної адресної книги. Тобто дані про номери телефонів та імена-прізвища абонентів розповсюджувались поза їх волею та без їхньої згоди. В окремих випадках це призводило навіть до розголошення медичної таємниці, коли лікарі записували поряд з іменем пацієнта його діагноз, а потім інформацію з цієї адресної книги міг побачити будь-який користувач додатку.
Окремо слід зазначити, що в багатьох випадках у користувачів взагалі не має вибору: особа змушена передати свої дані, бо в іншому разі вона взагалі не зможе користуватись тим чи іншим сервісом. Така згода є умовно-добровільною.
Наступною проблемою є форма надання згоди. Закон каже, що згода має бути висловлена у письмовій формі або у формі, що дає змогу зробити висновок про її надання. У сфері електронної комерції згода суб’єкта персональних даних може бути надана під час реєстрації в інформаційно-телекомунікаційній системі суб’єкта електронної комерції шляхом проставлення відмітки про надання дозволу на обробку своїх персональних даних відповідно до сформульованої мети їх обробки, за умови, що така система не створює можливостей для обробки персональних даних до моменту проставлення відмітки (ст.2 Закону “Про захист персональних даних”). Це означає, що згода має бути однозначною і дії користувача мають однозначно свідчити про те, що він дозволяє збирати та використовувати його персональні дані. Так, натискання кнопки «погоджуюсь», «дозволяю» або проставляння відповідних пташок в електронних формах зазвичай є цілком законною формою надання згоди. Разом із тим, багато ресурсів не вимагають активних дій користувача з надання згоди, а просто попереджають, що факт подальшого користування сервісом вони розцінюють як згоду. При цьому частина сайтів взагалі попереджає про збір персональної інформації в окремому розділі і не факт, що вона потрапить в очі користувачу. Так само і з мобільними додатками: перелік інформації, яку вони збирають, можна прочитати в описі додатку на Play Market чи App Store, проте під час встановлення та користування вони не завжди запитують окремий дозвіл користувача. В таких випадках наявність згоди не завжди буде очевидною, а отже – може йти мова про порушення законодавства.
Ще одним проблемним моментом є поінформованість користувачів. Закон вимагає, щоб надана користувачем згода була поінформованою, тобто особа має бути в курсі, яку саме інформацію про неї планують збирати та для чого її будуть використовувати. Разом із тим, дуже часто користувачі погоджуються на збір та використання персональних даних за відсутності повної інформації та неможливості її отримати. Так, наприклад, багато іноземних сайтів, які мають українську мовну версію, надають про збір персональних даних мінімум інформації, а посилання на докладну інформацію веде на англомовну сторінку. Враховуючи те, що є українські користувачі, що не володіють англійською мовою, в такому випадку цілком можна говорити про брак поінформованості. Крім того, майже неможливо отримати інформацію, кому зі сторонніх осіб будуть передаватись чи вже були надані персональні дані, незважаючи на те, що таке право передбачене у статті 8 вищезгаданого закону.
З цього випливає ще одна проблема а саме – втрата контролю над власними персональними даними. У суб’єкта персональних даних, тобто будь-якого користувача онлайн-сервісів, є право відкликати згоду на обробку персональних даних (ст. 8 Закону «Про захист персональних даних»). Звичайно, в будь-який момент можна видалити профіль в соціальній мережі, видалити додаток з телефону, видалити файли cookies з браузера, проте це не означає, що вони безслідно зникають з серверів компаній. Крім того, вкрай важко забрати свої персональні дані у третіх осіб, яким вони були передані.
Що з контролем та регулюванням?
Як ми бачимо, стрімкий розвиток і взаємопроникнення онлайн-сервісів створює масу викликів, що потребують належного реагування. В таких ситуаціях велику роль має відігравати регулятор, тобто орган, до повноважень якого відноситься захист персональних даних. В Україні функцію зі захисту персональних даних покладено на Уповноваженого Верховної Ради України з прав людини або просто – Омбудсмена. У структурі Секретаріату Уповноваженого Верховної Ради України з прав людини було створено окремий Департамент у сфері захисту персональних даних.
До повноважень Уповноваженого, зокрема, відноситься, проведення перевірок, видання приписів про запобігання або усунення порушень законодавства про захист персональних даних, надання рекомендацій щодо практичного застосування законодавства про захист персональних даних, складання протоколів про притягнення до адміністративної відповідальності та направлення їх до суду (ст. 23 Закону «Про захист персональних даних»). Разом із тим, за своєю природою Уповноважений є медіатором, а не каральним органом і не може безпосередньо накладати санкції. На підставі проведених перевірок рішення про накладання санкцій ухвалюють суди, що значно уповільнює процес. У той же час швидкість розповсюдження інформації, зокрема і персональної, в інтернеті є такою, що для захисту порушених прав вкрай необхідним є оперативне реагування. Іноді Офіс Уповноваженого дійсно реагує на порушення досить швидко, проте охопити увагою всі кричущі порушення, на жаль, він не в змозі.
Крім того, за порушення законодавства у сфері захисту персональних даних українське законодавство передбачає штрафи, які цілком можна назвати символічними – до двох тисяч неоподатковуваних мінімумів доходів громадян, тобто 34 тисяч гривень (ст.188-39 Кодексу про адміністративні правопорушення). Такі суми є зовсім незначними для великих компаній, а отже – навряд чи можуть бути стримуючим від порушення фактором.
Це страшне слово GDPR
У 2016 у країнах ЄС набув чинності Загальний регламент захисту даних, General Data Protection Regulation (Регламент), яким було запроваджено нові принципи обробки персональних даних та встановлено нові гарантії їх захисту. Відповідно до Угоди про асоціацію з ЄС Україна взяла на себе зобов’язання привести своє національне законодавство у відповідність до вимог GDPR. Частина вимог GDPR в тій чи іншій мірі вже фігурує в українських законах, проте вони є не чітко визначеними та потребують уточнень. У той же час, окремі положення GDPR є докорінно новими та лише мають знайти відображення у вітчизняному законодавстві.
Так, GDPR встановлює більш суворі правила до згоди на опрацювання персональних даних: обов’язок довести її наявність прямо покладається на того, хто їх збирає. Також посилено критерії до поінформованості суб’єктів персональних даних, встановлено, що інформація про те, як дані збираються та використовуються, має надаватись у стислій, прозорій, доступній для розуміння та легко доступній формі, з використанням чітких і простих формулювань. Обов’язок доводити факт дотримання ключових вимог щодо опрацювання персональних даних покладається на суб’єкта, який їх збирає (тобто можна сказати, що діє презумпція вини порушника). У свою чергу максимальний розмір санкцій, передбачений Регламентом за порушення, є вкрай відчутним для будь-яких великих компаній – 20 000 000 € або, у випадку підприємства, до 4% від загального глобального річного обігу за попередній фінансовий рік, залежно від того, яка сума є вищою.
Крім того, GDPR передбачає створення незалежних публічних органів, відповідальних за моніторинг застосування Регламенту. Такі органи повинні мати слідчі повноваження, а також право накладати санкції. У більшості країн Європейського Союзу такі органи вже створені, при цьому вони є вузькоспеціалізованими (тобто займаються виключно питаннями інформації та персональних даних).
Насамкінець
Україна знаходиться на довгому шляху створення системи захисту персональних даних в інтернеті. Вже сьогодні існує потреба в уточненні положень законодавства щодо надання згоди на обробку даних та у посиленні відповідальності онлайн ресурсів за порушення. Восени 2018 року Офісом Уповноваженого вже було анонсовано проект нової редакції закону “Про захист персональних даних”. Разом із тим, широкого обговорення цього проекту не відбулось, і перспективи ухвалення змін до законодавства у найближчому майбутньому вбачаються вкрай примарними. Першими кроками у цьому напрямку мають стати створення незалежного регуляторного органу та впровадження стандартів, встановлених у Загальному регламенті захисту даних, у національне законодавство.