Так, мы пользуемся социальными сетями и загружаем мобильные приложения, читаем тексты, слушаем музыку и смотрим видео онлайн и тому подобное. В обмен на все это поставщики этих услуг получают определенное количество информации о нас. Какая информация собирается, как она используется, а также насколько это соответствует требованиям законодательства попытаемся разобраться в этом материале.
Кто и какую информацию собирает?
Любой субъект, чьими услугами мы пользуемся в интернете, получает определенное количество информации о нас и от нас. К таким субъектам в первую очередь относятся почтовые сервисы, веб-сайты, социальные сети и мобильные приложения. Абсолютное большинство сайтов, посещаемых нами, используют так называемые cookies – файлы, которые сохраняются браузером пользователя и отправляются на посещаемые сайты. С одной стороны они предназначены для облегчения дальнейших посещений сайта, поскольку запоминают настройки предыдущих сессий или настройки интерфейса. Вместе с тем, благодаря cookies сайты могут собирать информацию, в частности, о местонахождении пользователя, о наиболее посещаемых им страницах, времени пребывания на сайте, оставленных комментариях, языковых настройках и даже об имени и фото профиля, если такая информация сохранена в браузере.
При регистрации в социальных сетях мы отмечаем наши контактные данные, далее мы заполняем профиль (фамилия, имя, дата рождения, место жительства и т. д.), добавляем фото и вся эта информация хранится на серверах компании, как правило, в облачных хранилищах, а часто и в системах архивного хранения, что позволяет восстановить информацию. Так, например произошло во время известного сбоя почты Gmail 2011 года — именно архивное хранилище позволило восстановить содержание почтовых ящиков. Кроме того, социальные сети собирают информацию о нашем поведении: какой контент мы лайкаем, какими публикациями делимся, по каким ссылкам переходим и тому подобное.
Мобильные приложения значительно облегчают нашу жизнь, упрощают осуществление покупок, вызов такси и т. д., и просто носят развлекательный характер. Чаще всего они собирают информацию о данных профиля в социальных сетях, геолокацию, получают доступ к нашим файлов (фото, видео), а также специфическую информацию: например, Uber знает маршруты нашего передвижения и данные кредитной карты, а некоторым приложениям доверяют даже интимные подробности.
Для чего собираются персональные данные?
Большое количество персональных данных позволяет создать портрет пользователя так называемый профайлинг. Благодаря этому можно выделить из всего количества пользователей отдельные группы (целевую аудиторию), которая может быть интересной, например, для рекламодателей. Такая технология называется таргетингом и позволяет сконцентрировать усилия в продвижении товаров и услуг для четко определенной аудитории.
Наиболее распространенной целью таргетинга, конечно, является коммерческая. На основании полученной от пользователя информации можно предложить ему более актуальные для него товары, а значит — побудить потратить больше денег. Наверное, каждый из нас замечал, что после сделанного запроса в поисковых системах контекстная реклама начинает предлагать аналогичные товары или онлайн магазины предлагают товары той же марки/бренда. Речь также может идти и о более сложных процессах: когда благодаря полученной информации составляется не только портрет покупателя, но и изучаются его привычки и предпочтения и на основании этого делается прогноз, что может его заинтересовать. Так, аналитики одной из торговых сетей в США разработали программу, которая на основании персональных данных покупателей – женщин (в частности, возраста, характера покупок) могла с большой вероятностью определить, что та или иная женщина является беременной, еще до того, как она начнет покупать вещи для беременных и младенцев и, соответственно, осторожно предложить необходимые товары. С этой программой даже произошел курьез, когда торговая сеть узнала о беременности школьницы раньше ее отца.
Еще одной целью таргетинга является осуществление влияния на политические предпочтения и формирование общественного мнения. Классический пример такого – история с компанией Cambridge Analytica, использовавшей персональные данные пользователей для размещения политической рекламы во время президентской кампании в США, а также референдума о выходе Британии из Евросоюза в 2016 году. В Украине в течение последних парламентских выборов, пользователи Facebook могли заметить, что политическая реклама им предлагала кандидатов-мажоритарщиков с той территории, откуда они заходили в сеть.
После ряда обвинений последних лет в непрозрачном использовании персональных данных в фейсбуке рядом с рекламными постами появилась кнопка «почему я это вижу». Благодаря ей можно узнать, какая именно информация о конкретном человеке использовалась рекламодателем, чтобы обозначить ее как целевую аудиторию. Чаще всего к такой информации относится возраст, местонахождение и пол. Сервис Google, в свою очередь, вообще позволяет отключить персонализацию рекламы.
Что говорит украинское законодательство?
Основным законом в этой сфере является Закон Украины «О защите персональных данных», действующий с 2011 года и устанавливающий исчерпывающий перечень оснований обработки персональных данных (ст.11). Ключевым из таких оснований является согласие субъекта персональных данных и, за исключением отдельных случаев, именно наличие согласия является обязательным условием сбора персональных данных в интернете. Согласием является добровольное волеизъявление физического лица (при условии его проинформированности) относительно предоставления разрешения на обработку его персональных данных соответственно с сформулированной целью их обработки, высказанное в письменной форме или в форме, которая позволяет сделать вывод о предоставлении согласия (ст.2).
В украинских реалиях проблемы начинаются уже с самого факта предоставления согласия.
Если говорить о веб-сайтах, то, далеко не все из них вообще предупреждают о сборе информации, хотя на самом деле это делают. Вы можете не получить никаких уведомлений об использовании cookies, а затем увидите это в настройках браузера. Также не все учитывают, что на странице сайта могут быть представлены элементы других сайтов (рекламных, социальных сетей) и каждый из них также собирает cookies, о чем пользователи не всегда знают. Также мобильные приложения не всегда предупреждают о том, какие данные они собирают. Например, для многих пользователей приложения Facebook стало новостью, что приложение собирало информацию об их звонках и смс сообщениях.
Кроме требования по предупреждению о сборе данных, должно соблюдаться требование о согласии на сбор и использование персональных данных, которое должно предоставляться именно тем лицом, о котором собирается информация. В то же время пользователи интернета охотно делятся информацией не только о себе. Так, показательна история с приложениями типа Getcontact, Truecaller и другими, которые пользователи начали массово использовать, чтобы узнать как и кто у кого записан в контактах. В обмен на это приложению передавалась, в частности, информация из личной адресной книги. То есть данные о номерах телефонов и имена-фамилии абонентов распространялись помимо их воли и без их согласия. В отдельных случаях это приводило даже к разглашению медицинской тайны, когда врачи записывали наряду с именем пациента его диагноз, а потом информацию из этой адресной книги мог увидеть любой пользователь приложения.
Отдельно следует отметить, что во многих случаях у пользователей вообще нет выбора: человек вынужден передать свои данные, ибо в противном случае вообще не сможет пользоваться тем или иным сервисом. Такое согласие является условно—добровольным.
Следующей проблемой является форма предоставления согласия. Закон гласит, что согласие должно быть выказано в письменной форме или в форме, которая позволяет сделать вывод о его предоставлении. В сфере электронной коммерции согласие субъекта персональных данных может быть предоставлено при регистрации в информационно—телекоммуникационной системе субъекта электронной коммерции путем проставления отметки о предоставлении разрешения на обработку своих персональных данных в соответствии с сформулированной целью их обработки, при условии, что такая система не создает возможностей для обработки персональных данных до момента проставления отметки (ст. 2 Закона “О защите персональных данных”). Это означает, что согласие должно быть однозначным и действия пользователя должны однозначно свидетельствовать о том, что он позволяет собирать и использовать его персональные данные. Так, нажатие кнопки «согласен», «разрешаю» или проставление соответствующих птиц в электронных формах обычно являются вполне законной формой предоставления согласия. Вместе с тем, многие ресурсы не требуют активных действий пользователя по предоставлению согласия, а просто предупреждают, что факт дальнейшего пользования сервисом они расценивают как согласие. При этом часть сайтов вообще предупреждает о сборе персональной информации в отдельном разделе и не факт, что пользователь ее заметит. Также и с мобильными приложениями: перечень информации, которую они собирают, можно прочитать в описании приложения на Play Market или App Store, однако во время установки и использования они не всегда спрашивают отдельное разрешение пользователя. В таких случаях наличие согласия не всегда будет очевидным, а значит — может идти речь о нарушении законодательства.
Еще одним проблемным моментом является проинформированность пользователей. Закон требует, чтобы предоставленное пользователем согласие было информированным, то есть лицо должно быть в курсе, какую информацию о нем планируют собирать и для чего ее будут использовать. Вместе с тем, очень часто пользователи соглашаются на сбор и использование персональных данных при отсутствии полной информации и невозможности ее получить. Так, например, многие иностранные сайты, которые имеют украинскую языковую версию, предоставляют о сборе персональных данных минимум информации, а ссылки на подробную информацию ведут на англоязычную страницу. Учитывая то, что есть украинские пользователи, не владеющие английским языком, в таком случае вполне можно говорить о нехватке осведомленности. Кроме того, почти невозможно получить информацию, кому из посторонних лиц буду передаваться или уже были предоставлены персональные данные, несмотря на то, что такое право предусмотрено в статье 8 вышеуказанного закона.
Из этого проистекает еще одна проблема а именно – потеря контроля над собственными персональными данными. У субъекта персональних данных, то есть любого пользователя онлайн-сервисов, есть право отозвать согласие на обработку персональных данных (ст. 8 Закона «О защите персональных данных»). Конечно, в любой момент можно удалить профиль в социальной сети, удалить приложение с телефона, удалить файлы cookies из браузера, однако это не означает, что они бесследно исчезают с серверов компаний. Кроме того, крайне трудно забрать свои персональные данные у третьих лиц, которым они были переданы.
Что с контролем и регулированием?
Как мы видим, стремительное развитие и взаимопроникновение онлайн-сервисов создает массу вызовов, требующих надлежащего реагирования. В таких ситуациях существенную роль должен играть регулятор, то есть орган, к полномочиям которого относится защита персональных данных. В Украине функция по защите персональных данных возложена на Уполномоченного Верховной Рады Украины по правам человека или просто – Омбудсмена. В структуре Секретариата Уполномоченного Верховной Рады Украины по правам человека был создан отдельный Департамент в сфере защиты персональних данных.
К полномочиям Уполномоченного, в частности, относится, проведение проверок, издание предписаний о предотвращении или устранении нарушений законодательства о защите персональных данных, предоставление рекомендаций по практическому применению законодательства о защите персональных данных, составление протоколов о привлечении к административной ответственности и направление их в суд (ст. 23 Закона «О защите персональных данных»). Вместе с тем, по своей природе Уполномоченный является медиатором, а не карательным органом и не может непосредственно налагать санкции. На основании проведенных проверок решение о наложении санкций принимают суды, что значительно замедляет процесс. В то же время скорость распространения информации, в том числе персональной, в интернете такова, что для защиты нарушенных прав крайне необходимо оперативное реагирование. Иногда Офис Уполномоченного действительно реагирует на нарушения достаточно быстро, однако охватить вниманием все вопиющие нарушения, к сожалению, он не в состоянии.
Кроме того, за нарушения законодательства в сфере защиты персональных данных украинское законодательство предусматривает штрафы, которые вполне можно назвать символическими – от двух тысяч необлагаемых минимумов доходов граждан, то есть 34 тысячи гривен (ст. 188-39 Кодекса об административных правонарушениях). Такие суммы являются совсем незначительными для крупных компаний, а значит – вряд ли могут быть сдерживающим от нарушения фактором.
Это страшное слово GDPR
В 2016 году в странах ЕС вступил в действие Общий регламент защиты данных, General Data Protection Regulation (Регламент), которым были введены новые принципы обработки персональных данных и установлены новые гарантии их защиты. В соответствии с Соглашением об ассоциации с ЕС Украина взяла на себя обязательства привести свое национальное законодательство в соответствие с требованиями GDPR. Часть требований GDPR в той или иной степени уже фигурирует в украинских законах, однако они не являются четко определенными и требуют уточнений. В то же время, отдельные положения GDPR является коренным образом новыми и еще должны получить отображение в отечественном законодательстве.
Так, GDPR устанавливает более строгие правила к согласию на обработку персональных данных: обязанность доказать ее наличие прямо возлагается на того, кто их собирает. Также усилены критерии к проинформированности субъектов персональных данных, установлено, что информация о том, как данные собираются и используются, должна предоставляться в сжатой, прозрачной, доступной для понимания и легко доступной форме, с использованием четких и простых формулировок. Обязанность доказывать факт соблюдения ключевых требований по обработке персональных данных возлагается на субъекта, который их собирает (то есть можно сказать, что действует презумпция вины нарушителя). В свою очередь максимальный размер санкций, предусмотренный Регламентом за нарушения, крайне ощутим для любой крупной компании — 20 000 000 € или, в случае предприятия, до 4% от общего глобального годового оборота за предыдущий финансовый год, в зависимости от того, какая сумма выше.
Кроме того, GDPR предусматривает создание независимых публичных органов, ответственных за мониторинг применения Регламента. Такие органы должны иметь следственные полномочия, а также право налагать санкции. В большинстве стран Европейского Союза такие органы уже созданы, при этом они являются узкоспециализированными (то есть занимаются исключительно вопросами информации и персональных данных).
Наконец
Украина находится на длинном пути создания системы защиты персональных данных в интернете. Уже сегодня существует потребность в уточнении положений законодательства о предоставлении согласия на обработку данных и в усилении ответственности онлайн ресурсов за нарушение. Осенью 2018 года Офисом Уполномоченного уже был анонсирован проект новой редакции закона “О защите персональных данных”. Вместе с тем, широкого обсуждения этого проекта не произошло, и перспективы принятия изменений в законодательство в ближайшем будущем видятся крайне призрачными. Первыми шагами в этом направлении должны стать создание независимого регуляторного органа и внедрение стандартов, установленных в Общем регламенте защиты данных, в национальное законодательство.
Автор: Алина ПРАВДИЧЕНКО, ЦЕДЕМ
Перевод ОРИГИНАЛЬНОЙ ПУБЛИКАЦИИ с украинского языка — SECURITY.org.ua HUB