GDPR: як Європа готується захищати персональні дані своїх громадян

Журналіст The New York Times Браян Чен (Brian X. Chen) у квітні цього року завантажив інформацію, яку соцмережа Facebook зберігає про нього. Соцмережа ніколи не приховувала існування такого архіву та можливості його передивитись. Проте особливий інтерес до такого архіву користувачі стали проявляти після скандалу з витоком даних, пов’язаним з компанією Cambridge Analytica.

Браян Чен не був дуже активним користувачем Facebook, він не переходив по рекламним посиланням і не розміщував багато власного контенту. Проте вміст завантаженого архіву його вразив: більше 500 рекламодавців відстежували його профайл, декілька додатків мали доступ до його списку контактів, а декількох людей з цього списку контактів сам журналіст уже не пам’ятав. Його архів став більш ніж наглядною демонстрацією того, які величезні масиви даних про нас зберігаються онлайн, а ще того, що ми практично не контролюємо поширення цих даних.

Прямим наслідком скандалу з Cambridge Analytica стали слухання з цієї проблеми у Конгресі. А сама історія стала відома за декілька місяців до величезних змін у процесі обробки персональних даних онлайн-компаніями. Наразі ці зміни стосуються лише країн Євросоюзу. Мова йде про General Data Protection Regulation (GDPR) – правила, які вступають в силу 25 травня 2018 року.

Читайте також: Звинувачується Facebook. Як Марк Цукерберг звітував Конгресу про алгоритми соцмережі

В першу чергу, ці правила стосуються компаній, які працюють з даними жителів ЄС. Але вони зачіпають і звичайних українців, які користуються європейськими онлайн-сервісами чи відвідують сайти, опинившись у одній з країн ЄС.

Наразі українські онлайн-компанії (наприклад, онлайн-медіа чи такі сервіси як електронна пошта на порталі ukr.net) не повинні дотримуватися вимог нових правил роботи з персональними даними, проте якщо Україна планує вступити до ЄС, законодавство нашої держави повинно бути приведене у відповідність до GDPR.

Основні положення GDPR: для кого, якими словами, інформування та заборона

GDPR – це новий регламент роботи з персональними даними громадян Євросоюзу. Він містить вимоги до тих, хто збирає, використовує та обробляє ці дані у своїй роботі. Це означає, що, в першу чергу, GDPR стосується онлайн-компаній, які працюють з даними європейців – незалежно від їх місця розташування. Наприклад, якщо український інтернет-магазин продав товар жителю Польщі чи Німеччини, цей інтернет-магазин повинен дотримуватися правил GDPR. Окрім того, цих правил повинні дотримуватися всі європейські онлайн-сервіси для всіх своїх користувачів, не лише громадян ЄС. Тому якщо ви робите замовлення в інтернет-магазині Marks & Spencer чи IKEA, ваші дані будуть оброблятися у відповідності з правилами GDPR.

Нові правила поширюються також на користувачів, які на момент обробки їх даних опинились у Європі. Але якщо і користувач, і компанія знаходяться за межами ЄС, правила на них не розповсюджуються.

Одна з вимог GDPR – зрозуміле й чітке пояснення того, які дані зберігаються і що з ними відбувається, і, що не менш важливо, які права є у людини, яка надає свої дані сервісу. Вочевидь ця вимога стала відповіддю на довгі незрозумілі ліцензійні угоди з користувачами, які ніхто не читав, а більшість намагалась відразу погодитись з усіма пунктами і якомога швидше закрити той страшний документ. Згода на обробку персональних даних тепер повинна бути чіткою, однозначною і усвідомленою.

Тепер не буде ніяких увімкнених по замовчуванню пунктів "Я погоджуюсь з умовами ліцензійної угоди".

Більше того – користувач сервісу може сам поцікавитися інформацією про те, які дані зберігає сервіс, що з тими даними відбувається, навіщо компанія їх обробляє і кому вона їх передає, скільки часу ці дані зберігаються і що з ними буде далі. Компанія повинна протягом місяця (або трьох  - в окремих випадках) надати всі ці відомості у відповідь на запит. Користувач може поцікавитись, чи використовуються його дані з маркетинговою метою – для створення його профайлу, необхідного для демонстрації йому реклами. Користувачі також отримали право вимагати виправлення даних.

Одним з найбільш вражаючих положень GDPR є право користувача в будь-який момент відкликати свою згоду на обробку даних. Правила вимагають, що зробити це повинно бути так само просто, як й дати цю згоду на обробку інформації.

Це право отримало назву право на забуття (right to erasure, right to be forgotten). Це правило діяло й раніше, але стосувалось лише пошукових систем, звідки жителі ЄС могли вимагати видалення окремих пунктів пошукової видачі. Скоро вимагати видалення своєї інформації можна з будь-якого сайту.

Ще одне цікаве положення GDPR – користувачі отримали право на перенесення даних (right to data portability).

Це означає, що компанії зобов’язані безкоштовно надати електронну копію даних іншій компанії за вимогами користувача. Наприклад, якщо ви використовували один музичний сервіс, він збирав ваші дані, набрид вам і ви хочете перейти до іншого, перший зобов’язаний передати йому ваші дані.

Окремі положення у GDPR стосуються дітей та їх використання онлайн-сервісів. Згоду на обробку їх персональних даних дають батьки (у віці від 13 до 16 років), а самостійно діти можуть реєструватись на сайтах з 16 років. Наприклад, популярний месенджер WhatsApp через це запровадив нові правила щодо мінімального віку користувачів з Європи.

У документі є ще багато інших цікавих положень. Наприклад, не можна збирати більше даних, аніж це потрібно для заявленої мети, дані повинні зберігатися лише визначений термін, компанії повинні забезпечити надійність їх збереження та вчасно повідомляти у випадку витоку. Не  можна збирати інформацію про стан здоров’я, сексуальну орієнтацію, політичні погляди, релігійні вірування. Заборонено збирати біометричні дані, які можуть ідентифікувати людину.

А якщо компанія порушить GDPR, то вона наражається на доволі великий штраф у 2%-4% від її річного обороту.

Квітневий «спам»: сповіщення про нові Privacy Policy

У квітні та травні у електронних скриньках користувачів з різних країн світу чи не щотижня з’являлися листи із сповіщеннями про нові політики приватності та оновлені угоди з користувачем, змінені у відповідності до GDPR.

По великому рахунку, великі компанії й так давали можливість переглянути дані, які вони зберігають про нас з вами, просто зараз ця інформація повинна стати більш структурованою, наглядною і зрозумілою.

Наприклад, подивитися політику конфіденційності Google можна за цим посиланням, а про зміни у ній я особисто отримала електронного листа в середині квітня. Google підкреслює, що нова політика вступить в силу з 25 травня цього року, переглянути її можна тут.

Актуальний документ містить 17 розділів, новий – "лише" 14. Наразі те, що бачать українські користувачі, є таким самим довгим документом, правда, доволі детальним.

Facebook: недо-GDPR

Соцмережа Facebook підготувала детальний документ про те, як вона готується впровадити принципи GDPR. А документ про політику використання даних користувачів такий самий великий і складний.

Водночас у квітні цього року стало відомо, що соцмережа вчинила певні дії, аби уникнути прямого виконання вимог GDPR, а саме - Facebook перенесла дані всіх 1,5 млрд європейських користувачів зі своєї штаб-квартири в Ірландії у свої офіси у Каліфорнії. Ця спроба уникнути вимог нового регламенту роботи з персональними даними і ніби-то перенести їх під юрисдикцію США, насправді є дивною, адже в GDPR чітко вказано, що навіть фізичне розміщення даних поза територією Євросоюзу не звільняє Facebook від необхідності слідувати вимогам GDPR.

Пояснюючи свої дії, у Facebook прокоментували, що компанія використовує однакові принципи захисту конфіденційності, незалежно від розташування її серверів та офісу. А перенесення даних було здійснено через те, що "законодавство ЄС вимагає певної мови" у сповіщеннях про конфіденційність.

Тим не менш, дії компанії наразі не зовсім зрозумілі. Можна припустити, що юристи Facebook знайшли лазівку у GDPR і мають аргументи щодо свого рішення.

My Data Request: як завантажити власні дані

Напередодні впровадження GDPR стали з’являтися сервіси, які допомагають користувачам розібратися в тому, що таке – цей новий регламент роботи з персональними даними, а також в тому, які дані про них збирають різні сайти.

Одним з таких сервісів є My Data Request. Тут на одній сторінці зібрана можливість зрозуміти, що відбувається з вашими даними, де вони зберігаються та в якому об’ємі. За допомогою цього сайту можна перейти на сторінку одного з популярних онлайн-сервісів – сервіс працює з приблизно 100 сервісами, від Facebook та Google до Starbucks, Uber, Paypal. Booking.

Досить клацнути по посиланню на відповідну кнопку і в результаті ви будете або перенаправлені на сторінку сайту, звідки зможете завантажити свій архів, або побачите електронну адресу чи форму з поясненням про те, як отримати цю інформацію. Цікавий факт – деякі компанії уже розділяють збереження даних для користувачів з ЄС та з інших країн, готуючись до впровадження правил GDPR.

На захист звичайного користувача

Традиційно повага до особистого життя у "старій Європі" є більш серйозною, аніж в інших країнах світу. Через це американські онлайн-сервіси, почавши працювати у країнах ЄС, часто зустрічалися з проблемами.

До прикладу, поява сервісу перегляду вулиць Google Street View у Європі викликала скандал та заборону в багатьох країнах саме через порушення права на приватне життя пересічних громадян. Через це повноцінний запуск  Google Street View, наприклад, у Німеччині було відкладено, а згодом він отримав нові правила – власники будинків та жителі цілих вулиць отримали право забороняти публікацію своїх домівок. Зараз сервіс Google Street View у Німеччині працює, проте на цій карті є багато "білих плям".

Країни Європи у судовому порядку добилися від компанії Google права на забуття – права вимагати видалення інформації про себе з видачі пошукової системи. Ця норма так і не поширилась на цілий світ.

Тому поява норм, які б захищали персональні дані європейців, була лише питанням часу.

Проте наразі очевидно, що GDPR у існуючій редакції – це лише перші спроби хоч якось управляти величезними масивами даних, які циркулють в інтернеті, часто є об’єктом торгівлі, шантажу та використовуються проти особи. Спроби, які стали нічним жахом для власників ІТ-компаній у їх намаганнях зрозуміти, як використовувати старі перевірені методи заробітку (які багато в чому будувалися саме на продажі персональних даних) та не втрапити у штраф.

Багато спекуляцій та неочевидних моментів навколо GDPR породили багато жартів навколо GDPR.

Ось один з них:

• Ви знаєте гарного GDPR-конультанта?
• Так
• Можете дати мені його емейл?
• Ні (бо він мені не дав усвідомлений і чіткий дозвіл на поширення його інформації).