Головна|Напрям "Верховенство права"|Вибори|Аналітика

Як персональні дані стали розмінною монетою політичних сил на виборах

7 червня 2021

Члени Робочої групи Верховної ради з реформування законодавства України щодо обробки захисту персональних даних (створена Комітетом ВРУ з питань цифрової трансформації та Комітетом ВРУ з питань прав людини, деокупації та реінтеграції тимчасово окупованих територій у Донецькій, Луганській областях та Автономної Республіки Крим, міста Севастополя, національних меншин і міжнаціональних відносин) продовжують роботу над розробкою проєкту нового Закону України "Про захист персональних даних".

Для чого Україні нове законодавство з захисту даних? Ця сфера часто залишається "в тіні" – хоча може вплинути навіть на результати майбутніх українських виборів. Тож зараз гостро стоїть питання щодо посилення законодавства та його відповідності сучасним викликам.

Центр демократії та верховенства права у новому спецпроєкті розповідає, що таке персональні дані, як їх використовують у виборчій сфері, про найгучніші скандали зі зливами даних виборців і до чого призводить нехтування правилами конфіденційності й неврегульованість обігу персональних даних. Проаналізуємо світову практику із захисту даних і як цей досвід можна застосувати в Україні.

В 21 столітті ми стикнулись з тотальною технологізацією усіх процесів, але досі не розуміємо, що таке надання та обробка персональних даних, на що це впливає і який кінцевий результат ми, як споживачі, отримуємо.

За отримання послуг ми передаємо велику кількість своїх даних: наприклад, заповнюючи анкети, реєструючись в лікарнях, магазинах, спортивних клубах, встановлюючи додатки тощо. Найбільше інформації про себе ми віддаємо соціальним мережам.

Персональні дані – нова "валюта", якою люди платять, щоб отримати доступ до інформації. Саме на них полюють політичні сили і використовують проти нас, щоб вплинути на волевиявлення на виборах. Знаючи про людей все, їх можна змусити проголосували так, як хочуть політики.

Ви повірите, якщо ми скажемо, що проти виборців використовуються технології, які руйнують демократію? А якщо ми наведемо приклади таких випадків та доведемо, що ваші персональні дані в небезпеці, ви пообіцяєте захищати їх краще?

У цьому матеріалі ви дізнаєтесь, що таке персональні дані, як їх використовують у виборчій сфері, про найгучніші скандали зі зливами даних виборців і до чого призводить нехтування правилами конфіденційності й неврегульованість обігу персональних даних. Проаналізуємо світову практику із захисту даних і як цей досвід можна застосувати в Україні.

Давайте з самого початку: що таке персональні дані?

Вашими персональними даними є будь-яка інформація, за якою вас можна легко виділити серед інших. Закон України "Про захист персональних даних", визначає, що персональними даними є відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована.

Персональні дані поділяють на загальні та чутливі.

В Україні до чутливих даних відносять:

расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, засудження до кримінального покарання, а також дані, що стосуються здоров'я, статевого життя, біометричних або генетичних даних.

Як показує історія, використання персональних даних (особливо чутливих) в рекламних та політичних цілях доходить до абсурду та порушень законів. А політичні уподобання виборців, які належать до чутливих даних – саме те, що потрібно політикам для впливу.

Політика все запозичила з реклами

Мережа американських магазинів роздрібної торгівлі Target (і не тільки) надає кожному своєму покупцю ID – унікальний код, за допомогою якого відслідковує все, що купують клієнти. До цього унікального коду прив'язують інформацію про товари, яким надає перевагу покупець, а також:

Усі дані агрегуються для профілювання клієнта, щоб зрозуміти його поведінку та звички, щоб пропонувати "правильну продукцію". Профілювання породило галузь – "управління взаємовідносинами з клієнтами".

Швидше за все, ви навіть не дізнаєтесь, що про вас збирається така інформація, бо вас про це не повідомляють (уважно читайте згоду на обробку персональних даних, щоб знати яка інформація, ким та для чого оброблятиметься, кому передається/продається).

Наприклад, з одного відвідування сайту збираються дані про активність людини на веб-сайті, стать, IP-адресу, файли cookie, з якого пристрою заходили, взаємодію з сайтом, з мобільними додатками, соціальними мережами, історію покупок, повторне придбання товару, уподобання щодо продукту, критерії відбору продукту.

На ринку продажу персональних даних компанії продають дані покупців третім особам і дані регулярно переходять з "рук в руки".

Отож, компанії можуть як самостійно збирати дані про покупців, використовуючи складне програмне забезпечення, так і купувати їх.

Занадто інтимно

Спеціаліст з аналітики Target Ендрю Пол створив модель прогнозування вагітності, який визначає, що жінка вагітна і надсилає їй таргетовану рекламу (ліжечка, іграшки, зображення немовлят тощо). Варто завантажити алгоритм в Національну базу покупців Target і вона видасть десятки тисяч жінок, що швидше за все вагітні.

Через цю модель Target зіткнувся з ситуацією, що набула масштабного розголосу. Батько дівчини, яка навчалась в старшій школі, випадково дізнався про її вагітність через купони (одяг для вагітних, дитячі меблів, фото малюків), які Target надіслав дівчині. Звісно ж, Target відхрестився від цього випадку, але потому відділ маркетингу компанії провів дослідження і встановив, що вагітним жінкам не подобається, коли відстежують їхні репродуктивні функції і надсилають незавуальовану рекламу. Тому їм почали надсилати змішану рекламу, серед якої дитячі товари виглядали випадковими (поруч з підгузками містилась реклама газонокосарок). Після такого маркетингового ходу продажі Target's Mom and Baby різко виросли.

Моделювання поведінки та звичок покупців, щоб вони купували більше і підвищували продажі – це ціла наука. На дослідження з психології поведінки витрачаються фінансові та розумові потужності, тож жодна дія не робиться навмання. Чим краще розроблений алгоритм – тим більше грошей на вас заробляють.

Недостатньо небезпечно?

Один з найбільших комерційних профайлерів Metromail використовував ув'язнених для введення особистої інформації про людей з опитувальників в комп'ютери для подальшого створення профайлів. Як результат – ув'язнений за згвалтування чоловік переслідував Беверлі Денніс, повний профайл якої отримав від Metromail (25 сторінок особистих даних). У листі до Беверлі ув'язнений погрожував їй.

Це призвело до судового розгляду Beverly Dennis v. Metromail. За результатами позову, Metromail було заборонено використовувати ув'язнених в обробці персональних даних. Ця історія відбулася ще до 2000-х. Звісно, в ті часи застаріле правове регулювання захисту персональних даних в США відставало від методів профілювання людей і не могло захищати дані належним чином. Натомість, судові провадження щодо захисту персональних даних датуються ще з 1985 року, що говорить про давність існування проблеми профілювання.

Насправді персоналізація і таргетинг – це не погано. Люди отримують інформацію про продукти та послуги відповідно до їхніх інтересів, що позбавляє необхідності шукати серед сотень тисяч нерелевантних товарів. Але споживач має право знати і розуміти яка інформація про нього збирається, як працюють алгоритми, хто купує його дані та як заборонити таку діяльність щодо себе.

До чого тут взагалі вибори?

Якщо ми говоримо про вибори та інформацію, яка розсилається виборцям – практика профілювання і таргетингу набуває негативного забарвлення, оскільки дискримінує аудиторію через вибіркове розкриття інформації.

Моделювання поведінки покупця непомітно перетекло в моделювання поведінки виборця. Якщо алгоритми залізли в репродуктивність, уявіть, що можуть робити з інформацією, яку ви добровільно розміщуєте в соціальних мережах, наприклад, з політичними поглядами? Технології пішли набагато далі і тепер вони не лише досліджують нас, а й впливають на наші глобальні рішення. Одна справа, коли це рішення купити каву іншої марки, а інша – за кого проголосувати на виборах.

(Не)добровільна інформаційна дієта: як виборців змушують голосувати за "кого потрібно"

Здається, всі чули про Cambrige Analytica і Facebook. Насправді історія набагато масштабніша і досі не завершилася

Розуміючи потенціал та ефективність персоналізації реклами, методи профілювання та прицільного таргетингу з середини 2000-х підхопили і політичні діячі. Завдяки успішності персоналізованої реклами було розроблено алгоритми зі ще точнішими прогнозами, спираючись на такі дані як екстраверсія/інтроверсія людини, її цінності, думки, відносини та інтереси. Це допомогло краще визначати індивідуальні характеристики людей, які безпрограшно вказують на їхні уподобання.

Щоб розуміти наскільки глибоко цифрові технології та поведінкове моделювання залізли в голови виборців, ми розповімо як їх приховано схиляли голосувати за потрібного кандидата та які методи при цьому використовувалися. Звісно, що без крадіжки персональних даних це навряд вдалося б. Що цікаво, не всі виборці стали об'єктом таких маніпуляцій. Тож як вони визначали "обраний"?

США, Cambridge Analytica та злив даних користувачів Facebook

Зробімо екскурс в історію заснування британської компанії Cambridge Analytica (далі – CA). CA була дочірньою компанією SCL Group/SCL Elections (далі – SCL). В 1990-х SCL Group працювала в сфері дослідження поведінки та стратегій комунікації на воєнній та політичній аренах: брала участь в розробках стратегій психологічних війн як підрядник для американських та британських військових під час операцій в Афганістані та Іраку, а також називала себе "глобальним агентством з управління виборами". Вивчаючи "аудиторію", SCL змінювала поведінку потенційних виборців, залежно від замовлення клієнта та вплинула на хід виборів в Італії, Латвії, Албанії, Румунії, Південній Африці, Індії, Індонезії, Філіппінах, Таїланді, Колумбії, в багатьох інших країнах... і в Україні.

Сама ж CA була створена для роботи з виборами у США. Компанія вийшла на ринок у 2012 році та працювала на 44 виборах до Конгресу США (зокрема і до Сенату), у 2014 році – на виборах на рівні штатів. Ну і без президентських не обійшлося. CA використовувала технології глибинного аналізу даних виборців, зокрема, даних з соціальних мереж, аби створити стратегічну комунікацію під час виборчих кампаній, а саме створювала психологічні портрети, за якими розробляли і надсилали виборцям персоналізовану агітаційну рекламу.

Діяльність SCL Group та CA йшла як по маслу до кінця президентських виборів США 2016 року.

Передумови

"Правила для них не мають значення.
Для них це війна і всі методи є справедливими"
– про керівників CA
Крістофер Уайлі – екс директор CA
з питань досліджень

У 2014 році республіканська партія замовила послуги CA. Отримавши 15 мільйонів доларів "винагороди", CA зіткнулася з проблемою: відсутність даних виборців, які б дозволили їх профілювати та впливати на їхню поведінку. Тож потрібно було виходити з ситуації.

Того ж року вчений-аналітик з аналізу даних Алекс Коган розробив додаток "This Is Your Digital Life" – тест з питаннями на кшталт "Я рідко почуваюся сумно" з варіантами відповідей, наприклад, "твердження невірне", "твердження вірне", "не знаю". В кінці тест видавав гумористичну відповідь про характер користувача.

Водночас, тест розроблений на основі серйозних психологічних досліджень, які дають змогу визначити характеристики людини, як відкритість до нового досвіду, екстраверсія, усвідомленість, доброзичливість та невротизм. За його проходження потрібно було надавали дозвіл на використання своїх даних (як зазначили в умовах користування – для академічних цілей). Додаток був впроваджений через платформу Facebook Open Graph (яка дозволяла зовнішнім розробникам додатків мати безпосередній доступ до користувачів Facebook). У 2015 році додатком скористалися 270 тис. користувачів.

На той час Facebook мав слабкі правила захисту даних та доступу до них – дозволяв збір даних для покращення взаємодії з користувачами, але забороняв їх продаж та використання в рекламі. Через те, що Facebook не забороняв збір даних, додаток мав доступ не лише до даних зареєстрованих в ньому користувачів, а й до їхніх друзів у Facebook, які цей додаток не встановлювали та не здогадувались, що він має доступ до їхніх даних. Розрахувавши максимальну кількість друзів, які були в користувачів додатку Когана, Марк Цукерберг (засновник Facebook) повідомив, що додаток зібрав дані як мінімум 87 мільйонів користувачів.

Чого користувачі цього додатку не знали – фірма Когана Global Science Research уклала угоду про співпрацю з CA, відповідно до якої CA мали бути передані (читай – продані) дані користувачів:

CA використала результати тесту Когана та усі отримані дані з Facebook, щоб розробити алгоритм, який аналізує виборців та виявляє їхні особистісні риси, пов'язані з поведінкою при голосуванні. Навіщо? Риси характеру впливають на політичні погляди. Маючи дані виборців, включно місце проживання, політичні уподобання, характер і повні психологічні профілі, алгоритм CA ефективно виявляв достатньо емоційних виборців, які ще вагалися з вибором свого кандидата.

Їм надсилали таргетовану рекламу з кандидатом, який замовляв послуги CA, використовуючи емоційні тригери для кожного окремого виборця. Ці методи лягли в основу роботи CA над президентською кампанією Теда Круза в 2015 році, а потім і Дональда Трампа у 2016 році.

"Без Фейсбуку ми б не перемогли"
– про перемогу Д. Трампа на виборах 2016 року
Тереза Хонг, директор кампанії Трампа 2016 року
з цифрового контенту

Facebook стверджує, що хоча збір даних не був заборонений, Коган порушив умови використання Facebook, передавши дані користувачів CA. Насправді для Facebook такий обмін даними є економічно вигідним.

У ситуації зі зливом виграють і політики, і Facebook, але аж ніяк не виборці. Отримавши дані користувачів, політики мають розуміння "хто їхній виборець". Чим більше таких виборців – тим більше реклами їм потрібно надіслати. За розміщення реклами на Facebook потрібно платити. Для прикладу, на президентських виборах США 2020 року Д. Трамп витратив $20 млн за 218 тис. рекламних постів в Facebook, на другому місці Т. Стеєр – $16,8 млн за майже 13 тис. постів.

Інфографіка The Guardian

До кінця 2020 року Facebook налічував 2.8 млрд користувачів, станом на січень 2021 року 97% користувачів – це повнолітні люди, тобто потенційні виборці.

Методи передвиборної агітації, засновані на даних про виборця, стали "витонченішими". Однією з форм агітації, яку надсилали виборцям, що вагалися з вибором кандидата, є цифровий морфінг.

Морфінг – технологія, яка дозволяє споглядати, як одне зображення змінюється на інше при його розгляді під певним кутом.

Автор світлини невідомий. Джерело світлини за посиланням

На початку 1990-х технологію оцифрували для створення її більшої реалістичності. В агітації використовують цифровий морфінг зображень. Наприклад, маємо 2 зображення облич різних людей і хочемо, щоб певні риси людини з першого зображення наклалися на риси другої людини.

На першому зображенні позначимо зони носу, очей та форми голови, а на другому – ті ж точки. Надалі у спеціальній програмі зіставимо ці два зображення, і відмічені точки з першого накладаються та видозмінюють ті ж точки на другому.

Посередині обличчя, що піддавалося цифровому морфінгу. Gsl rfhnbyre
Світлина Fraunhofer Institute for Telecommunications.

Результат – ледь помітні зміни обличчя. У 21 столітті серед політиків цифровий морфінг є популярною технологією. Експеримент, який провели професори Д. Бейленсон, Ш. Айенгар, Н. Йі та Н. Коллінз довів, що схожість облич кандидатів та виборців може вплинути на результати голосування: виборець схильний обирати кандидата, схожого на нього.

Враховуючи революцію в інформаційних технологіях, політичні стратегії все частіше будуть вдаватися до трансформації облич як однієї з форм агітації. На президентських виборах США 2016 року CA використовувала таку технологію для надсилання "адаптованої" реклами "вразливим виборцям".

Подібні "приховані" методики потребують жорсткого законодавчого регулювання, оскільки цифровий морфінг як форма агітації – свідома маніпуляція волевиявленням виборців.

Партії та кандидати зацікавлені в тому, щоб потенційний виборець приєднався та сповідував їхні "партійні погляди". Але не всі серед них зацікавлені в об'єктивності інформації, яку надсилають своєму виборцю та в "самостійності" його вибору. Тут їм допомагають соціальні мережі. На підставі уподобань користувачів соціальних мереж алгоритми створюють інформаційні вакууми.

Помічали, що в соціальній мережі вас оточує одноманітна інформація, підібрана під ваші інтереси? Наприклад, ви любите шопінг і в пошукових системах шукаєте відповідну інформацію. Алгоритми соцмереж будуть насичувати вашу стрічку улюбленими товарами. Те саме і з політичними уподобаннями. Чим більше ви надаєте перевагу пошуку та вивченню однієї політичної сили та одним політичним поглядам, тим менше в вашу стрічку потрапляє інша інформація. Чим більше реклами соцмережа зможе відобразити в вашій стрічці – тим більше грошей вона за це отримає.

Завдяки таргетованій рекламі

Політики

отримують прихильного до них виборця

Соцмережа

отримує гроші за рекламу

Виборець

не отримує нічого, оскільки на його вибір вплинули, застосувавши "брудні" політичні технології

Наслідки для Facebook, Cambrige Analytica

Незаконна діяльність CA була викрита у березні 2018 року завдяки журналістським розслідуванням The Guardian і The New York Times, які отримали інформацію від колишніх працівників CA. Це потягнуло за собою ланцюг розслідувань. Офіс інформаційного комісара в Великобританії звернувся по ордер на обшук серверів CA, який отримав 23 березня 2018 року, а вже 1 травня CA та SCL подали заяви про банкрутство, що власне унеможливило проведення повноцінних розслідувань – активи CA були ліквідовані до його проведення. CA ще до "розбору польотів" зізнавалася, що зібрала по 5 тис. одиниць інформації на кожного американського виборця, чиї персональні дані отримала. І хоча було заявлено, що всі дані знищено і їх більше не існує… маємо в цьому обгрунтовані сумніви.

Екскерівники та працівники CA заснували ряд компаній, аналогічних CA та перейшли у "фірми-спадкоємці". В червні 2018 була заснована компанія Auspex International для впливу на політику та суспільство Африки та Близького Заходу. Також була заснована компанія Emerdata Limited, в яку перейшли експрацівники CA та яка має дочірні компанії – SCL Group Ltd and SCL Analytics Ltd.

У травні 2018 з'явилася компанія з аналізу даних – Data Propria, якою керують колишні посадові особи CA та яка керувала кампанією Губернатора Штату Іллінойс Броса Раунера та кампанією Дональда Трампа на президентських виборах 2020 року, використовуючи все ті ж дані користувачів Facebook.

Що стосується Facebook, у липні 2018 Офіс інформаційного комісара Великобританії висловив намір оштрафувати соцмережу на $663 тис (максимальний штраф на той час) за порушення вимог захисту персональних даних. У липні 2019 року Федеральна торгова комісія США проголосувала за накладення на Facebook штрафу в $5 млрд (найбільший штраф за історію США) оскільки соціальна мережа, попри знання про витік інформації, протягом двох років не виправляла ситуацію. Для врегулювання спору з Комісією з цінних паперів та бірж в США за "введення в оману інвесторів щодо ризиків, з якими вони стикаються в результаті неправомірного використання даних користувачів" Facebook виплатив $100 млн.

За наслідками скандалу Facebook впровадив два механізми прозорості реклами – кнопки "Чому я це бачу" (пояснює, чому користувач бачить певну рекламу) і "Налаштування реклами" (показує список інформації, яку Facebook зібрав про користувача та джерела цієї інформації). Наразі неможливо стверджувати, що соцмережа краще захищає дані, хоча б з огляду на витік інформації 530 млн користувачів в 2019 році.

Про завершення історії SCL та CA годі й казати, так само як і про забезпечення соціальними мережами захисту даних їхніх користувачів. Втім, з цієї безпрецедентної наруги над конфіденційною інформацією держави винесли болючий, але необхідний урок.

Як GDPR задає світу стандарти захисту даних

Аби уникнути повторних випадків зливу даних та їх неправомірного використання (як це зробила CA), надати людям можливість розуміти, що відбувається з їхніми даними та контролювати їх обробку, а головне – для більш жорсткого та прогресивного законодавства в сфері персональних даних, в 2016 році Європарламент ухвалив Загальний регламент про захист даних/General Data Protection Regulation (далі – GDPR) на заміну Директиви про захист персональних даних 1995 року, який набув чинності 25.05.2018.

GDPR застосовується як в країнах ЄС, так і за його межами:

якщо компанії за межами Євросоюзу збирають дані про фізичних осіб, що перебувають в межах ЄС,
або ж компанії з ЄС збирають дані про осіб, які перебувають за межами Євросоюзу.

Документ у більшій мірі зберігає принципи Директиви, водночас вводить й нові, наприклад "право на забуття". GDPR має пряму юридичну силу на всій території ЄС, підлягає застосуванню всіма органами з захисту даних та судами.

GDPR, окрім іншого, конкретизував, що:

Інформація про те, як будуть збиратися та використовуватися дані, повинна надаватися в чітких прозорих формулюваннях;

Тягар доведення надання згоди на обробку даних лягає на контролера даних (організація, яка ініціює процес обробки персональних даних, відповідає за його належне виконання, забезпечує права суб'єктів і звітує перед наглядовим органом);

Особа повинна мати право в будь-який час відкликати свою згоду на обробку її даних;

Генетичні та біометричні дані є конфіденційною інформацією;

Особа (відповідно до визначених обставин) має право вимагати від контролера стерти її дані та прийняти розумні заходи для інформування третіх осіб про видалення даних;

Особа має право заперечувати проти опрацювання своїх даних для цілей прямого маркетингу, у тому числі й профайлінгу;

За порушення вимог GDPR передбачені штрафи (від 10-20 млн євро або у розмірі 2-4% від річного обороту компанії), а також можливість блокувати роботу веб-сайтів, засобів, що здійснюють обробку даних;

Мають бути створені незалежні регулятори, які відповідатимуть за дотримання вимог GDPR та будуть займатися лише питаннями персональних даних, матимуть слідчі повноваження та зможуть накладати санкції.

З моменту вступу GDPR в дію (2018-2021 рр) за порушення його вимог було накладено штрафи на суму $332,4 млн.

GDPR задав високі стандарти щодо захисту персональних даних. Та основний позитивний вплив документу – наслідування прикладу іншими державами. Після його прийняття країни почали вдосконалювати національне законодавство з захисту персональних даних та приводити його до стандартів GDPR.

Законодавство США після CA

В США немає єдиного законодавства, що регулює питання персональних даних. Існує ряд федеральних законів та законів на рівні штатів, які поділяються за сектором дії (фінансові сервіси, охорона здоров'я, телекомунікації, освіта) і специфікою даних. Наприклад, інформація про дітей захищена на федеральному рівні Законом про захист даних дітей в Інтернеті, який забороняє збирати онлайн будь-яку інформацію про дітей молодших за 13 років. Закон про захист конфіденційності відео захищає записи про оренду або продаж відеокасет чи аналогічних аудіовізуальних носіїв від неправомірного розкриття. Закон про захист конфіденційності водіїв регулює питання приватності та розкриття інформації, яку збирають Департаменти автомобільної промисловості штатів. Значна кількість законів, втім, не допомогла захистити приватність громадян у Facebook.

Наслідуючи приклад GDPR, штат Каліфорнія (місце розташування головного офісу Facebook) розробив та у 2018 році прийняв Закон про захист даних споживачів/California Consumer Privacy Act (далі – CCPA), що набув чинності у 2020 році. Закон регулює персональні дані, які використовуються в комерційних цілях, відповідає сучасним реаліям та захищає персональні дані від продажу.

У 2020 році прийнятий Закон Каліфорнії про права на недоторканність особистого життя/California Privacy Rights Act (далі – CPRA), який є додатком до CCPA та вводить в штаті Каліфорнія новий орган – Каліфорнійське агентство з захисту конфіденційності, щоб здійснювати нагляд за дотриманням обох законів.

CPRA вводить перелік конфіденційної особистої інформації, зобов'язує сайти надавати користувачам можливість заборонити продаж особистої інформації третім сторонам та ввести кнопку "Не продавати та не передавати мою особисту інформацію". Також CPRA передбачає обов'язок надавати користувачам посилання "Обмежити використання моєї конфіденційної інформації".
Громадяни матимуть право на виправлення неточної інформації, відмовитися від автоматичного прийняття рішень (заборонити використовувати дані в профілюванні для цільової реклами), знати про автоматизоване прийняття рішень (які технології використовуються при обробці і які їхні результати), обмежувати використання особистої конфіденційної інформації.
Врегульовано питання таргетованої поведінкової реклами: її розділено на персоналізовану (можна відмовитися) та неперсоналізовану поведінкову рекламу (не можна відмовитися).

CPRA в певній мірі змінює суб'єкта, на якого розповсюджується його дія, а саме на компанії та організації:

валовий дохід яких перевищує $25 млн;
які обробляють персональні дані 100 тис. або більше споживачів чи домогосподарств в рік;
які отримують 50 чи більше відсотків річного доходу від продажу або обміну персональних даних жителів Каліфорнії.

Як маніпуляції з персональними даними стали зброєю політиків по всьому світу

Велика Британія, Канада, Кенія, Філіппіни... українцям теж слід хвилюватися за свої персональні дані. А розпочнемо ми зі впливу Cambridge Analytica і AggregateIQ на Brexit

Для проведення референдуму щодо членства Великобританії в ЄС (Brexit) Партія незалежності Сполученого Королівства та політична група Leave.eu, яка була створена для роботи з кампанією Brexit, найняли CA. За словами ексдиректорки відділу розвитку бізнесу CA Бріттані Кайзер, Leave.eu використовувала набори даних виборців СA, аби надсилати політичні повідомлення у соцмережах. Метою був вплив на суспільну думку для виходу Великої Британії з Європейського Союзу.

Окрім CA, над Brexit працювала також і канадська компанія з розробки цифрової реклами та програмного забезпечення AggregateIQ (далі – AIQ), яку незалежно одне від одного найняли прихильники Brexit – Vote Leave (витрати на AIQ – £2,9 млн), BeLeave (витрати на £AIQ – 625 тис), Ветерани за Британію (витрати на AIQ – £100 тис) та Демократична юніоністська партія Північної Ірландії (витрати на AIQ – £32 тис) для розробки програмного забезпечення з агрегування персональних даних та впливу на виборців через соціальні мережі.

Бізнес-концепція AIQ полягала в зборі та аналізі персональних даних людей щоб персоналізувати політичні лозунги та відправити їх виборцям у соціальні мережі, переконавши голосувати відповідно до побажань клієнтів (в даному випадку за вихід з ЄС).

AIQ співпрацювали з SCL Elections під час кампанії Brexit: AIQ була IT-підрядником SCL, зокрема розробила програмне забезпечення "Project Ripon" та надавала консультативну допомогу щодо його використання. Використовуючи алгоритми з даними з Facebook, Project Ripon дозволяв робити таргетовану розсилку реклами виборцям. За повідомленням Facebook, компанія AIQ розмістила 1390 оголошень від імені сторінок, пов'язаних з кампанією референдуму Brexit. Колишні працівники CA стверджують, що AIQ була бек-офісом SCL, а також тримала базу даних SCL.

Є різні оригінальні способи отримання персональних даних виборців. Vote Leave запропонувала футбольним фанатам взяти участь у вікторині: хто вірно передбачить результат кожного матчу, зіграного на чемпіонаті Європи-2016, виграє £50 млн. Мета вікторини – звернути увагу скільки Великобританії коштує перебування в ЄС – нібито £350 млн в тиждень (акцентувалось як негатив). Статистичне управління Великобританії назвало цифру маніпулятивною і такою, що не відповідає дійсності.

Щоб взяти участь у вікторині, потрібно було пройти опитування і надати: ім'я, адресу проживання, номер телефону, інформацію про те, як людина голосуватиме на референдумі. Саме збір даних був основною метою проведення вікторини, шанси виграшу у якій становили 2 250 000 000 000 000 до 1.

Зібрана інформація була передана AIQ, яка їх обробила та ідентифікувала дані опитаних з їхніми профілями в Facebook.

Тож будьте обережними, коли заповнюєте опитувальники та зважайте на питання, які вам ставлять. Можливо, вони переслідують не ту мету, яку повідомили вам.

Чи були наслідки для CA та AIQ?

Розуміючи зв'язок між CA, AIQ та SCL варто додати, що SCL – це не про випадковий стартап. Так, колишній заступник державного секретаря парламенту Великобританії по оборонним закупівлям Д. Патті входив в раду директорів SCL, лорд Марланд, колишній торговий представник прем'єр міністра Великобританії, був акціонером SCL та CA. Тож, хоча під час розслідування аналітики персональних даних під час політичних кампаній Офіс інформаційного комісара виявив зв'язок між SCL, CA та AIQ та порушення в їхніх діях, до відповідальності нікого не притягнули.

Регулювання

Історія законодавства захисту персональних даних Великобританії давня: у 1984 році був прийнятий Закон про захист даних, у 1987 – Закон про доступ до особистих даних. Надалі ці закони замінив Закон про захист даних 1998 року, якій імплементував Директиву "Про захист фізичних осіб при обробці персональних даних і про вільне переміщення таких даних".

Ані вказане, ані виборче законодавство не захистили британських виборців від зловживання їхніми персональними даними.

Після прийняття GDPR Великобританія переглянула свою політику захисту даних та у 2018 році прийняла оновлений закон про захист персональних даних, що імплементував стандарти GDPR. Закон 1998 року був застарілим та не забезпечував достатньою мірою захист даних у цифрову епоху (зокрема, не роз'яснював обробку файлів cookie та аналогічних технологій), тоді як Закон 2018 року гарантує захист цифрового сліду користувачів та убезпечує від продажу даних третім особам без згоди людини, передбачає право на забуття; чітке тлумачення виключень з закону, реалізацію норм GDPR в Великобританії.

Однак географія дій Cambridge Analytica виявилася значно ширшою. Відомо про ще низку країн світу, де ця компанія впливала на вибори.

Персональні дані більше 620 тис. канадських користувачів Facebook були передані та оброблені CA, що підірвало довіру виборців до політичних кампаній. Після розголосу витоку даних користувачів Facebook та їх використання CA на виборах в США, Канада дослідила ландшафт проблеми, щоб захистити конфіденційність своїх громадян та привести законодавство відповідно до стандартів GDPR.

До розробки GDPR, в Канаді були проблеми захисту персональних даних через вузькість повноважень регуляторів. Нагляд за дотриманням законодавства про персональні дані в Канаді поділяється між федеральним урядом та провінціями. Зокрема, федеральний регуляторний орган – Уповноважений з питань конфіденційності Канади не мав права притягувати до відповідальності політичні партії за порушення законодавства про персональні дані та застосовувати адміністративні стягнення. Лише одна провінція, Британська Колумбія, наділена такими повноваження.

Партії теж збирають дані про виборців: приклад Британської колумбії

Законодавство Британської Колумбії дозволяє партіям отримувати від Головного адміністратора виборів Британської Колумбії списки з виборцями (включають імена та адреси). Для партій це основна інформація, яка використовується в профілюванні своїх виборців. Також особиста інформація отримується за рахунок агітації "від дверей до дверей" (один з найдавніших методів). До виборця додому приходять агітатори або ж кандидат, які створюють позитивне враження про партію/кандидата і переконують голосувати. Відчиняючи агітатору двері, виборець може погодитися надати контактну інформацію і такий збір інформації буде законним. Чого виборець не знатиме і згоду про що в нього не запитають – це збір інформації про етнічну приналежність (пам'ятаємо, що в Україні це чутлива інформація, збір якої заборонено), про інвалідність тощо.

Регулювання

Після дослідження "сірих зон" канадського законодавства Комітет Палати громад з доступу до інформації, конфіденційності та етиці рекомендував уряду Канади:

застосувати законодавство про конфіденційність до політичних партій;
ввести вимоги організаціям та політичним партіям, які використовують дані в таргетованій політичній рекламі та психологічному профілюванні, щодо прозорості збору персональних даних через соціальні мережі та інші онлайн-платформи.

Постало питання щодо перегляду законодавства, зокрема посилення захисту персональних даних громадян і наділення Уповноваженого з питань конфіденційності ширшими повноваженнями в Законі про захист персональних даних та електронних документів, зокрема:

накладати штрафи на усіх суб'єктів порушення відповідного законодавства;
накладати арешт на документи протягом розслідування;
надавати Бюро з конкуренції, іншим канадським та міжнародним регуляторним органам інформацію про розслідування.

Відповідно до оновленої Стратегії кібербезпеки у 2018 створено державний орган з безпеки – Канадський Центр з кібербезпеки. У 2019 році Канада представила Цифрову Хартію (План від канадців для канадців), яка деталізувала план досягення цілей з захисту конфіденційної інформації. До її написання долучили усіх охочих громадян.

Законопроєктом про модернізацію виборів запропоновано внести в Закон про вибори в Канаді положення, яке б вимагало від політичних партій прийняти та дотримуватися політики конфіденційності, а також публікувати їх онлайн.

У матеріалі "Великі дані та демократія: погляд регулятора" Уповноважений з питань інформації та конфіденційності Британської Колумбії Майкл Макевой зазначає, що деякі політичні партії Британської Колумбії вже після скандалу CA та Facebook висловили занепокоєння щодо того, як законодавство впливає на їхню можливість зв'язуватися та "спілкуватися" з виборцями, оскільки посилення регулювання персональних даних лише погіршуватиме ситуацію. І тут неможливо не погодитися з позицією Макевоя, що після "зливу даних" збільшилась кількість громадян, які взагалі не голосуватимуть через недовіру. Лише у разі, якщо політичні партії забезпечать конфіденційність, захист персональних даних і добросовісне їх використання, виборці будуть активно брати участь в політичних кампаніях.

Офіс "SCL India", розташований в Індії, пропонував послуги з управління політичними кампаніями включно з розробкою стратегій в соціальних мережах, виборчими кампаніями, управління репутацією в Інтернеті та щоденним управлінням обліковими записами в соціальних мережах. Індійський національний конгрес замовляв послуги CA для проведення поглибленого аналізу електорату та впливу на виборців, в тому числі на виборах в Законодавчу асамблею Біхару. Дані про електорат використали все з того ж додатку "This Is Your Digital Life". Його встановили 335 людей в Індії, що дало доступ до даних більш ніж півмільйона індійських виборців. Відомо, що SCL India проводила в Індії кампанію, аналогічну тій, що проводилась в США.

Регулювання

Станом на 2018 рік в Індії не було спеціального законодавства, яке регулювало захист персональних даних або ж конфіденційність інформації. Єдині закони, що згадували персональні дані – Закон про інформаційні технології та Закон про контракти.

В 2011 році були прийняті Правила розумних практик та процедур щодо чутливих персональних даних чи інформації, що дали визначення персональним та чутливим даним (паролі, фінансова інформація, стан здоров'я, сексуальна орієнтація та біометрична інформація людини). Водночас, під захист не підпадала інформація, що перебувала у вільному доступі, оскільки не вважалась конфіденційною. Ім'я людини, її місцезнаходження, уподобання, доступ до списку друзів в соціальних мережах не були захищені. Правила не розповсюджувались на дані, що містились не на електронних носіях.

В 2019 році було внесено законопроєкт про захист персональних даних (Personal Data Protection Bill, 2019), який створювали на основі GDPR. Законопроєкт передбачає створення центрального регуляторного органу, регулювання персональних даних фізичних осіб, їх обробку, зберігання як державою, так і компаніями, що зареєстровані в Індії. Водночас, його піддали критиці, тож робота над законодавством про захист персональних даних триває.

Не обійшлося без CA і в Кенії під час президентських виборів 2013 та 2017 року. CA найняла компанія 360 Degrees Media Consulting (консультаційна компанія в сфері ЗМІ та освіти). Провівши опитування 47 тисяч кенійців під час виборів 2013 року, CA вивчила ключові національні та місцеві політичні проблеми, рівень довіри до ключових політиків, поведінку та наміри при голосуванні, джерела інформації, якими користувалися опитані. На базі цих даних в 2017 році були розроблені інформаційні кампанії в ЗМІ, в яких кандидата в президенти Раїла Одінга зображали як кровожерливого політика, що симпатизує терористичному угрупуванню "Аль-Шабааб" та не має жодного плану розвитку держави, тоді як іншого кандидата – Ухуру Кеніятта – зображали противником тероризму та добросовісною людиною, що гарно розуміється в питаннях економіки. Виборці, звісно ж, віддали перевагу другому кандидату.

Регулювання

Національне законодавство не передбачало серйозного захисту персональних даних своїх громадян. Хоча Конституція Кенії визнає право людини на конфіденційність, лише у 2019 році Кенія прийняла Закон про захист персональних даних, що визначив, яка інформація є конфіденційною, передбачив регулювання питань обробки даних, визначив права суб'єктів персональних даних, наприклад знати ціль використання даних, забороняти обробку своїх даних тощо. Визначені і обов'язки тих, хто дані обробляє, наприклад перед початком збору даних – повідомляти людині її права, про збір її даних, ціль збору даних, третіх сторін, яким передаватимуться дані тощо.

У 2016 році кандидат Родріго Дутерте скористався послугами CA для допомоги у президентській гонці і переміг.

CА працювала над загальнонаціональними філіппінськими виборами 2013 року у Сенат та Конгрес. В архівній версії сайту SCL-group йдеться про те, що компанія може похвалитися своєю роллю у ребрендингу клієнта (якого саме – невідомо). Вже видалений на сайті SCL розділ про участь у Філіппінських виборах містив таку інформацію: "Напередодні виборів нашого клієнта широко сприймали як добру й порядну людину. Зокрема, його команда вважала, що ці якості є потенційно виграшними. Однак, як показало дослідження, виборці надають перевагу твердості характеру та рішучості. У цьому зв'язку SCL використав проблеми країни зі злочинністю для ребрендингу клієнта як сильного та серйозного діяча, який би апелював до справжніх цінностей виборців".

Головний фахівець Facebook з питань технологій Майк Шрепфер зазначив, що персональні дані 1,2 мільйона філіппінських користувачів були передані CA. Цікаво те, що філіппінці, станом на 2019 рік, четвертий раз підряд займали лідируючі позиції за використанням соціальних мереж. З населення майже в 107 млн людей, Facebook користуються 75 млн. Отже, для цієї держави питання захисту персональних даних своїх громадян стоїть вкрай гостро.

На Філіппінах Закон про персональні дані був прийнятий у 2012 році, але орган-регулятор створений лише у 2016 році. Одразу після створення він почав зміцнювати захист персональних даних філіппінців і видав Акт про застосування республіканського закону про персональні дані, який детально описує вимоги щодо обробки персональних даних, а також санкції за порушення законодавства. Протягом 2016-2020 років Філіппіни прийняли ряд рекомендацій (наприклад щодо вимог до звітності про випадки витоку персональних даних), циркулярів (наприклад щодо управління витоками персональних даних), щоб максимально захистити персональні дані своїх громадян.

Україна

Не варто сумніватися в тому, що і в Україні політики ладні використовувати агресивні форми політтехнологій, зокрема, звертаючись до послуг SCL.

Знизу зображено повідомлення з архіву сайту SCL Elections, яке демонструє ймовірну участь останньої в "Помаранчевій революції" 2004 року.

Також є дані про те, що одна з українських політичних партій наймала СA в 2017 році (коли компанія вже перебувала під слідством). Яка саме – невідомо. То ж нам теж варто боятися "новітніх методик" втручання в волевиявлення українських виборців та продумувати шляхи для їхнього захисту.

Як збирають персональні дані українських виборців і що не так із законодавством

У дослідженні Тетяни Богданової, ГО Лабораторія цифрової безпеки та ОПОРА розкрите питання, як партії "Голос", "Європейська солідарність", "Слуга народу", "Батьківщина" та "Опозиційна платформа - За життя", отримували дані українців, зокрема й через веб-сайти. Виявлено, що чотири з п'яти партій використовували аналітичні сервіси з відстеження активності людини в мережі та надсилання даних третім особам. Сайти всіх зазначених партій використовували cookies і трекери, що передавались соцмережами в рекламних цілях (Facebook, Youtube).

Сookies – файли, що зберігають інформацію про дії на сайті, налаштування і допомагають сайту впорядкувати інформацію таким чином, щоб спростити перебування на ньому. Трекери збирають інформацію про те, які сайти людина відвідує, IP-адресу, гаджети, якими користується, історію браузера, дані про підключення до мережі і т.д. та передає ці дані своєму творцю. Окрім інформації про онлайновий трафік людини, трекери можуть збирати й інформацію про вік, місце проживання, уподобання (кнопка "Подобається" в Facebook є трекером). За допомогою трекерів створюють точний профіль користувача. Треті особи – володільці трекерів можуть обробляти інформацію та продавати її на чорному ринку.

Лише дві партії, що мали політики конфіденційності на сайтах, інформували відвідувачів про використання cookies, але вони не запитували згоди на використання cookies, не надавали альтернативний вибір та не попереджали, що користувачі надають свої персональні дані з моменту переходу на сайт.

У підсумку – жодна з партій не дотримувалась вимог Закону України "Про захист персональних даних", веб-сайти партій не забезпечували захисту зібраних даних. Окрім веб-сайтів, партії також збирали дані електорату з соціальних мереж та реєстраційних форм.

Тож, зібрати персональні дані українських виборців набагато легше, ніж можна уявити – як мінімум, виборці самі надають необхідну інформацію не розуміючи ризиків подальшого їхнього використання. Дані про виборців можна просто купити на чорному ринку, оскільки в Україні непоодинокі зливи даних. Наприклад, у 2020 році стався масштабний витік даних, які були запропоновані для продажу через Телеграм-бот. За результатами розслідування було вилучено 30 баз даних про 20 млн фізичних та юридичних осіб, в яких міститься інформація про громадян з державних реєстрів, банків, операторів поштового зв'язку, телекомунікаційних компаній та реєстру виборців. Повна база даних коштувала $10 тис.

Що не так з українським законодавством?

Закон "Про захист персональних даних" (далі – Закон), який набрав чинності ще у 2011 році є застарілим та не відповідає сьогоденню. Він не здатен повною мірою захистити від неправомірних дій щодо персональних даних, а також не здатен дієво їм запобігати. Чинне законодавство передбачає смішні штрафи за порушення законодавства про персональні дані (максимальний штраф ₴34 тис), які для великих компаній аж ніяк не є стримуючим фактором. Володільці, розпорядники та треті особи персональних даних у разі їх витоку не зобов'язані повідомляти про це регулятора, оскільки законодавство не регулює це питання, що є серйозною прогалиною. Відповідно, для отримання персональних даних виборців не потрібно придумувати велосипед.

Згода на обробку персональних даних

Закон вказує, що згодою на обробку персональних даних є добровільне надання особою дозволу на це за умови її поінформованості. У своєму рішенні №2-рп/2012 Конституційний суд України зазначає, що збирання, зберігання, використання та поширення конфіденційної інформації про особу без її згоди є втручанням в її особисте та сімейне життя.

У згоді ключовим елементом є добровільність, яка на практиці рідко має місце. Ви ж помічали, що реєструючись, наприклад, на сайтах, ви маєте надати дозвіл на обробку персональних даних? Водночас, ви не можете вносити зміни щодо того, які ваші дані оброблятимуться, не можете відмовитися від такої обробки, бо якщо ви не погодитесь – не отримаєте доступ до послуги. У Постанові Великої Палати Верховного Суду України №806/3265/17 вказується, що особи, які відмовляються від обробки своїх даних повинні мати альтернативний вибір, зокрема традиційні методи ідентифікації. Чинне законодавство не регулює питання наслідків відмови від обробки персональних даних, відповідно, відсутня альтернатива вибору, що свідчить про низьку якість Закону.

Коли збирають занадто багато даних.

Згідно Закону обробка даних повинна бути пропорційною меті. В українських реаліях, легше зібрати все про всіх і не надавати людині можливість відмовитися від обробки тих персональних даних, які явно не потрібні для заявленої мети. Справа L.H. v. Latvia є яскравим прикладом непропорційної обробки даних. Під час кесаревого розтину в 1997 році хірург зробив стерилізацію заявниці без її згоди. Розслідуючи справу, Інспекція з контролю якості медичного обслуговування та придатності до роботи зібрала інформацію про надання заявниці медичних послуг з 1996 по 2003 рік. Дослідивши обставини, Європейський суд з прав людини встановив, що для дослідження однієї хірургічної операції Інспекція зібрала непропорційно велику кількість медичної (чутливої) інформації про заявницю.

Що буде з моїми персональними даними?

Стаття 8 Закону визначає, що людина може запитувати, зокрема, й інформацію про умови надання доступу до даних третім особам. Ця норма має забезпечити доступ до інформації: хто оброблятиме персональні дані, окрім суб'єкта, якому була надана згода на обробку. Але якщо врахувати кількість наданих згод лише від однієї особи, насамперед, коли ми говоримо про послуги, якими користувалися одноразово, відслідкувати усіх третіх осіб, яким передаються дані стає важким тягарем для людини, особливо якщо її не повідомляють про надання даних третім особам. Відтак, неможливо ані відслідкувати, кому передаються її дані, ані відкликати свою згоду на їх надання. Особливо це стосується Інтернет-послуг, оскільки в цьому випадку людина має отримати чітку та зрозумілу інформацію: що буде відбуватися з її даними. Те, що ми маємо зараз – масштабні спам-розсилки, нерозуміння, в кого є наші персональні дані, що з ними роблять та кому продають.

Чи буде в Україні краще законодавство?

Україна йде у правильному напрямку забезпечення належного рівня захисту персональних даних. В рамках "Угоди про асоціацію між Україною, з однієї сторони, та Європейським Союзом, Європейським співтовариством з атомної енергії і їхніми державами-членами, з іншої сторони" розроблений план дій, в якому передбачено удосконалення законодавства про захист персональних даних та приведення його у відповідність до GDPR.

В Україні вкрай необхідний потужний регулятор в цій сфері.

На зараз, дотримання законодавства про захист персональних даних забезпечує Уповноважений ВРУ з прав людини. Водночас, завантаженість органу, недостатність ресурсу, законодавчі обмеження не дозволяють повною мірою здійснювати необхідний рівень контролю та захисту. Наприклад, в органу відсутня каральна функція, він не може накладати штрафи за вчинені правопорушення, а лише складати протоколи про адміністративні правопорушення та надсилати їх до суду, що уповільнює процес прийняття рішень по справах.

Через малі строки притягнення до відповідальності – 3 місяці з дня вчинення порушення, позитивний вирок суду отримує невелика кількість протоколів (з розрахунку на кількість отриманих скарг), оскільки багато справ надходять до Уповноваженого після пропущених строків.

Наразі, спільною робочою групою двох парламентських Комітетів та Офісу Уповноваженого Верховної Ради з прав людини розроблено новий законопроєкт щодо захисту персональних даних, яке має відповідати міжнародним стандартам та положенням GDPR.

Окремо розробляється законопроєкт щодо створення органу, який здійснюватиме регулювання в сфері захисту персональних даних та доступу до інформації. Він здійснюватиме як контрольну функцію, так і методичну, зокрема розроблятиме кодекси поведінки захисту персональних даних у відповідних сферах діяльності, навчатиме громадян та працівників органів влади.

Також будуть підвищені суми штрафів за порушення законодавства про персональні дані.

Тож, сподіваємось, що воно зможе захистити, зокрема й персональні дані виборців від незаконного використання їхніх персональних даних як у передвиборній агітації, так і в інших політичних кампаніях.

Висновки: як виборцям захистити персональні дані
та що може зробити держава

Інформаційна ізоляція виборця унеможливлює плюралізм інформації, що негативно відображається на демократичних процесах. Аби приймати виважені та обдумані рішення, необхідно володіти різною та повною інформацією, а не лише відфільтрованою. Тож такі маніпуляції загрожують демократії, оскільки підривають автономію виборців та позбавляють їх можливості самостійно формувати думку, яка б відображала їхні погляди, а не політичних сил – а отже, і впливає на самостійність вибору.

Таргетована реклама, розроблена на підставі персональних даних виборців є непрозовою та потужною технологією, яка повинна бути врегульованою на рівні національного законодавства. В свою чергу, національне законодавство повинно відповідати викликам сучасності, захищати персональні дані від незаконних операцій та бути настільки детально і якісно прописаним, щоб слугувати превентивним механізмом, а не лише використовуватись у разі порушень.

Для цього державі потрібно:

Детально пропрацювати законодавство в сфері захисту персональних даних та розробити якісні положення з урахуванням національних недоліків, а також міжнародного досвіду та привести у відповідність до GDPR.

Надати чітке визначення згоді на обробку персональних даних. Закріпити, що запит на надання згоди повинен бути в зрозумілій та доступній формі з використанням чітких і простих формулювань; до надання згоди необхідно інформувати особу про право на відкликання своєї згоди в будь-який момент.

Зобов'язати володільців даних повідомляти осіб які їхні дані будуть оброблятися, з якою метою, чи будуть передаватися/продаватися третім особам, період зберігання даних, критерії визначення такого періоду, право особи на виправлення, стирання, обмеження опрацювання та заперечення проти опрацювання даних, право подавати скаргу до наглядового органу, чи буде створюватися профайлінг особи.

Законодавчо закріпити заборону дискримінації осіб, які відмовляються від обробки свої даних.

Надавати особі альтернативний вибір у разі ненадання згоди на обробку; надавати особі можливість обирати, які її персональні дані можуть піддаватися обробці.

Зобов'язати володільців персональних даних повідомляти особу про зміну мети обробки її персональних даних.

Зобов'язати володільця даних негайно повідомити особу про отримання її персональних даних, якщо вони отримані не від неї, а також повідомляти регулятора про порушення захисту персональних даних, зокрема й про витік даних.

Створити незалежний орган – Уповноваженого в сфері персональних даних, надавши йому розширені повноваження для якісного та швидкого функціонування, зокрема, й наділити можливістю накладати штрафи за порушення законодавства у сфері персональних даних. Важливо забезпечити цей орган належним фінансуванням, яке серед іншого дозволить запроваджувати освітні курси для громадян, представників бізнесу, державних органів, органів місцевого самоврядування, що в результаті сприятиме суспільному запиту на якісний контроль цієї сфери.

Збільшити штрафи за порушення законодавства про захист персональних даних.

Врегулювати питання щодо передавання персональних даних громадян України третім країнам.

Дослідити проблеми надсилання виборцям таргетованої та персоналізованої передвиборної агітації, виявити, які форми політичного таргетингу та агітаційної реклами є найбільш небезпечними щодо впливу на волевиявлення виборців та заборонити такі форми на законодавчому рівні.

Перейняти досвід законодавства штату Каліфорнія щодо регулювання персоналізованої поведінкової реклами, зокрема і надати громадянам право отримувати інформацію про те, які технології використовуються при обробці їхніх даних та які результати отримують в ході такої обробки, а також забороняти використовувати їхні в профілюванні для надсилання цільової реклами.

Запровадити освіту щодо захисту персональних даних для громадян, зокрема й включити відповідні теми до шкільної програми.

В свою чергу виборцю варто:

Читати політики конфіденційності (та час від часу переглядати їх) всіх додатків, які встановлюються на гаджети, онлайн тестів/ігор, а також інформацію, яку збирають сайти під час перебування на них.

Якщо вам не повідомляють мету обробки даних та якщо не надають альтернативи користування послугами, у разі, коли ви не погодитеся на обробку даних – уникати таких додатків, сайтів тощо.

Не погоджуватись надавати додаткам дозволи, які жодним чином не впливають на їхню роботу, таким чином не даючи їм надмірного об'єму інформації про себе.

Не повідомляти свої персональні дані стороннім особам, оскільки вони можуть потрапити до рук шахраїв.

При припиненні відносин з володільцем персональних даних вимагати видалення ваших даних.

Цікавитись, як використовуються ваші персональні дані: до чиїх "рук" потраплять, для яких цілей збираються чи будуть продаватися тощо.

Не надавати перевагу однотипній політичній інформації в соціальних мережах, а повно досліджувати тему.

Переглядати налаштування облікових записів на телефоні та комп'ютері, щоб обирати які дані та який їхній обсяг ви дозволяєте збирати та обробляти.

Перед видаленням додатку видаляти свій обліковий запис в ньому, оскільки видалення додатку не свідчить про припинення обробки персональних даних.

Не проходити розважальні тести на кшталт "Яка я квіточка", якщо додаток запитує занадто велику кількість даних (н-д, доступ до мікрофону, повідомлень тощо) та не завантажувати такі додатки. Або принаймні читати, яку інформацію вони збирають та куди передають.

Не користуватися сайтами, які не дозволяють робити вибір щодо надання дозволу на використання персональних даних.

Надавати перевагу різноманітній інформації, а не лише тій, що потрапляє в вашу стрічку, оскільки лише завдяки повній поінформованості можна зробити усвідомлений вибір.

Проходити освітні курси з захисту персональних даних.

Аналітики за схожими темами ви можете прочитати за посиланнями нижче: