6 из 10 американцев уверены, что в повседневной жизни невозможно избежать сбора данных о них компаниями или правительством. И они правы. Исследование, проведенное WhoTracks.Me, показало, что 82% веб-трафика содержат сторонние скрипты Google, и подтвердило, что половина из них собирают персональные данные пользователей. Google отслеживает 40% веб-трафика, Facebook — 15 %, а Twitter и Microsoft — 4 %.
Все больше пользователей беспокоятся о том, как компании используют их данные. Например, последняя версия Apple iOS включает новую функцию конфиденциальности, которая означает, что мобильные приложения вынуждены запрашивать у пользователей разрешение на сбор данных. На апрель 2022 года, среди тех, кто уже установил обновление iOS 14.5, только 25% разрешили отслеживание.
Чтобы иметь возможность использовать инструменты интернет-маркетинга, монетизировать IT-продукты, бизнес должен быть прозрачным и открыто рассказывать о том, какую личную информацию клиентов собирает и как ее использует. Поэтому, давайте выясним, что считается персональными данным, как компании могут повысить уровень доверия клиентов и гарантировать безопасность их данных.
Какие данные считаются персональными?
Персональные данные — это любая информация, благодаря которой можно идентифицировать человека. Правила GDPR не распространяются на персональные данные юридического лица.
Чем больше данных о человеке комбинируется, тем сложнее их обезличить, и тем выше риски и ответственность. В GDPR вы не найдете конкретный список данных которые будут считаться персональными. Регламент включает только понятие и общие принципы для классификации. Поэтому давайте разбираться на примерах.
Когда пользователь оформляет заказ на ноутбук в интернет-магазине, он заполняет форму с персональными данными, где запрашиваются данные об имени, фамилии, номере телефона и электронной почте. Кроме этого, интернет магазин получает данные о заказе: модель и цвет ноутбука. В таком случае, имя, фамилия, номер телефона и электронная почта будут считаться персональными данными. А вот модель и цвет девайса нет, так как с их помощью невозможно идентифицировать определенного человека.
Когда юристы определяют перечень персональных данных в документах, они изучают контекст. Интернет-магазин может проводить рассылку по номеру телефона с рекламой аксессуаров для конкретной модели ноутбука. Тогда модель становится критериями для профилирования, и получают статус персональной информации. У покупателя нужно получить согласие на автоматизированную обработку таких данных в маркетинговых целях. Такое требование установлено статьей 22 GDPR.
Приведем еще один пример. IT-юристы Stalirov&Co писали Политику конфиденциальности для Insurance Hunter — это платный генератор потенциальных клиентов для страховых компаний. Пользователи из США и ЕС заполняют опросник, а алгоритмы программного обеспечения подбирают оптимальное финансовое решение на основании персональных предпочтений. Чтобы реализовать свои задачи, Insurance Hunter собирает:
- Идентификационные данные: имя, дату рождения, возраст.
- Биографические данные: семейное положение, пол и статус занятости.
- Контактные данные: домашний или другой физический адрес, адрес электронной почты и номер телефона.
- Сведения о водителе: информация о страховых полисах, сведения об автомобильных авариях и информацию об авто.
- Финансовые данные: кредитную информацию и годовой доход.
- Данные о состоянии здоровья: биометрические параметры (рост, вес) и сведения о состоянии здоровья.
Технические данные IT-продукт получает автоматически, когда пользователь посещает веб-сайт:
- IP-адрес, другой адрес устройства или идентификатор.
- Веб-браузер и тип устройства.
- Данные о геолокации.
- Аппаратные и программные настройки и конфигурации.
- Страницы, которые просматривает пользователь.
- Действия на сайте.
Среди личной информации, которую собирает, обрабатывает и хранит Insurance Hunter есть “чувствительные данные”, для которых GDPR установил особый режим. К ним относятся данные о:
- расовом или этническом происхождении,
- политических взглядах,
- религиозных или философских убеждениях,
- членстве в профессиональном союзе,
- генетических и биометрических данных,
- данные о здоровье, половой жизни или сексуальной ориентации.
Обработка таких сведений разрешена только после отчетливого согласия субъекта данных для конкретных целей.
Является ли ip адрес персональными данными?
Физическим лицам могут присваиваться интернет-идентификаторы, например IP-адреса или идентификаторы cookie. В сочетании с другими личными данными они могут использоваться для создания профилей или идентификации. Поэтому, в соответствии с Преамбулой 30 GDPR к персональным данным относится и IP-адрес.
Какие права владельцев персональных данных должна гарантировать компания?
GDPR установил 8 прав владельцев данных, нарушение которых приводит к штрафам.
- Право на получение информации
- Право доступа
- Право на исправление и уточнение
- Право на удаление и забвение
- Право на экспорт данных
- Право на ограничение обработки
- Право на возражение
- Право не подвергаться автоматизированному принятию решений в индивидуальных случаях, в том числе профилирование
IT-юристы описали некоторые из них, и рассказали какие штрафы ждут компанию, если не обеспечить клиентам реализацию таких прав.
Право на получение информации
Каждый пользователь имеет право на исчерпывающую информацию про сбор, обработку и хранение его данных. Это значит, что бизнесу важно описывать все действия с данными в публичных документах. О том, как составить Политику конфиденциальности по требованиям GDPR читайте здесь.
Отсутствие информации о процессе, который фактически происходит с данными, приводит к штрафам.
Информацию важно подать лаконично, понятно и простым языком. Размещайте Политики конфиденциальности в интуитивно доступных местах, чтобы пользователь всегда находился в одном или двух кликах от доступа к документу.
Право доступа
Пользователь может узнать какую информацию о нем хранит компания и как ее использует. Чтобы реализовать такое право, субъект данных обращается с запросом. Информация предоставляется без промедления и бесплатно.
Алгоритм действий пользователя для получения доступа к данным должен быть максимально упрощенным. Технические трудности в работе службы поддержки не смогут стать аргументом для уменьшения штрафа.
Право на исправление
Каждый клиент может исправить свои неточные или неполные личные данные. В соответствии с GDPR любая неточная информация должна быть исправлена без промедления.
Право на удаление и право на забвение
GDPR установило 6 условий, когда пользователь может запросить удаление данных:
- Персональные данные больше не нужны для целей, для которой они были первоначально собраны.
- Физическое лицо отзывает согласие на обработку его данных.
- Физическое лицо возражает против обработки данных для конкретных целей, например, маркетинговых.
- Персональные данные обрабатывались незаконно.
- Персональные данные должны быть удалены в соответствии с локальными законами.
- Персональные данные обрабатываются в связи с предоставлением онлайн-услуг ребенку.
Кроме удаления, субъект данных может запросить деиндексацию страниц Google, которые ссылаются на информацию о нем. Данные по-прежнему будут находится на исходных сайтах, но не будут отображаться в поисковой выдаче Google, поэтому вероятность того, что их увидят, меньше.
С момента введения процедуры деиндексации Google получил 1 347 534 запроса. Но не все из них компании удалось успешно обработать. Поэтому в 2020 году Google получили 7 млн EUR штрафа от Управления по защите данных Швеции за удаление не всех запрашиваемых страниц. Кроме этого, Управление по защите данных потребовало прекратить информировать собственников веб-сайтов, на которые направлена ссылка из результатов поиска, о том, какая именно ссылка веб-страницы была удалена и кто обратился с запросом. Такое правило позволяет владельцу сайта повторно публиковать информацию на другом веб-адресе, который снова индексируется Google. Это делает право быть забытым невыполнимым.
Право на возражение
В любое время пользователь может возразить против обработки его данных в определенных целях. Например, обратится с запросом на прекращение прямого маркетинга. Такое право является абсолютным. Это значит, что компания не может отклонить возражение клиента и должна незамедлительно прекратить использование данных в целях прямого маркетинга.
Компания может отказать клиенту в реализации права на возражение, если обработка необходима по закону. Например, в страховом секторе персональные данные нужны для защиты интересов компании в суде.
Право на возражение против автоматизированной обработки данных
Пользователь может оспорить решение, принятое автоматически на основе обработки его данных.
В таком случае права кандидатов можно защитить только единственным способом — внедрить процедуру возражения, как этого требует ст. 22 GDPR. У кандидата должно быть право оспорить результат и потребовать, чтобы решение, принятое с помощью алгоритма, было рассмотрено человеком.
Задача компании — рассказать клиентам о том, как они могут реализовать свои права и как связаться с компанией. Для этого публичные документы сайтов и приложений должны включать контакты сервиса поддержки. Запросы важно рассматривать оперативно и давать развернутые ответы в случае отказа. Коммуникацией с клиентами занимается Data protection officer. В новой статье IT-юристы рассказали о том, кому нужен DPO и какие функции выполняет специалист.
