г. Киев, ул. Кудряшова 3
ПН-ПТ: 9:00-19:00 СБ: 10:00-17:00

Что такое персональные данные │ Права пользователей согласно GDPR

6 из 10 американцев уверены, что в повседневной жизни невозможно избежать сбора данных о них компаниями или правительством. И они правы. Исследование, проведенное WhoTracks.Me, показало, что 82% веб-трафика содержат сторонние скрипты Google, и подтвердило, что половина из них собирают персональные данные пользователей. Google отслеживает 40% веб-трафика, Facebook — 15 %, а Twitter и Microsoft — 4 %. 

 

Все больше пользователей беспокоятся о том, как компании используют их данные. Например, последняя версия Apple iOS включает новую функцию конфиденциальности, которая означает, что мобильные приложения вынуждены запрашивать у пользователей разрешение на сбор данных. На апрель 2022 года, среди тех, кто  уже установил обновление iOS 14.5, только 25% разрешили отслеживание. 

 

Чтобы иметь возможность использовать инструменты интернет-маркетинга, монетизировать IT-продукты, бизнес должен быть прозрачным и открыто рассказывать о том, какую личную информацию клиентов собирает и как ее использует. Поэтому, давайте выясним, что считается персональными данным, как компании могут повысить уровень доверия клиентов и гарантировать безопасность их данных.

 

Какие данные считаются персональными?

Персональные данные — это любая информация, благодаря которой можно идентифицировать человека. Правила GDPR не распространяются на персональные данные юридического лица. 

Что такое персональные данные?

Чем больше данных о человеке комбинируется, тем сложнее их обезличить, и тем выше риски и ответственность. В GDPR вы не найдете конкретный список данных которые будут считаться персональными. Регламент включает только понятие и общие принципы для классификации. Поэтому давайте разбираться на примерах.

Когда пользователь оформляет заказ на ноутбук в интернет-магазине, он заполняет форму с персональными данными, где запрашиваются данные об имени, фамилии, номере телефона и электронной почте. Кроме этого, интернет магазин получает данные о заказе: модель и цвет ноутбука. В таком случае, имя, фамилия, номер телефона и электронная почта будут считаться персональными данными. А вот модель и цвет девайса нет, так как с их помощью невозможно идентифицировать определенного человека. 

Когда юристы определяют перечень персональных данных в документах, они изучают контекст. Интернет-магазин может проводить рассылку по номеру телефона с рекламой аксессуаров для конкретной модели ноутбука. Тогда модель становится критериями для профилирования, и получают статус персональной информации. У покупателя нужно получить согласие на автоматизированную обработку таких данных в маркетинговых целях. Такое требование установлено статьей 22 GDPR.

 

Приведем еще один пример. IT-юристы Stalirov&Co писали Политику конфиденциальности для Insurance Hunter — это платный генератор потенциальных клиентов для страховых компаний. Пользователи из США и ЕС заполняют опросник, а алгоритмы программного обеспечения подбирают оптимальное финансовое решение на основании персональных предпочтений. Чтобы реализовать свои задачи, Insurance Hunter собирает:

  • Идентификационные данные: имя, дату рождения, возраст.
  • Биографические данные: семейное положение, пол и статус занятости.
  • Контактные данные: домашний или другой физический адрес, адрес электронной почты и номер телефона.
  • Сведения о водителе: информация о страховых полисах, сведения об автомобильных авариях и информацию об авто.
  • Финансовые данные: кредитную информацию и годовой доход.
  • Данные о состоянии здоровья: биометрические параметры (рост, вес) и сведения о состоянии здоровья.

 

Технические данные IT-продукт получает автоматически, когда пользователь посещает веб-сайт:

  • IP-адрес, другой адрес устройства или идентификатор.
  • Веб-браузер и тип устройства.
  • Данные о геолокации.
  • Аппаратные и программные настройки и конфигурации.
  • Страницы, которые просматривает пользователь.
  • Действия на сайте.

 

Среди личной информации, которую собирает, обрабатывает и хранит Insurance Hunter есть “чувствительные данные”, для которых GDPR установил особый режим. К ним относятся данные о:

  • расовом или этническом происхождении, 
  • политических взглядах, 
  • религиозных или философских убеждениях, 
  • членстве в профессиональном союзе,
  • генетических и биометрических данных,
  • данные о здоровье, половой жизни или сексуальной ориентации. 

Обработка таких сведений разрешена только после отчетливого согласия субъекта данных для конкретных целей.

 

Является ли ip адрес персональными данными?

Физическим лицам могут присваиваться интернет-идентификаторы, например IP-адреса или идентификаторы cookie. В сочетании с другими личными данными они могут использоваться для создания профилей или идентификации. Поэтому, в соответствии с Преамбулой 30 GDPR к персональным данным относится и IP-адрес.

 

Какие права владельцев персональных данных должна гарантировать компания?

GDPR установил 8 прав владельцев данных, нарушение которых приводит к штрафам. 

Права владельцев персональных данных

IT-юристы описали некоторые из них, и рассказали какие штрафы ждут компанию, если не обеспечить клиентам реализацию таких прав.

 

Право на получение информации

Каждый пользователь имеет право на исчерпывающую информацию про сбор, обработку и хранение его данных. Это значит, что бизнесу важно описывать все действия с данными в публичных документах. О том, как составить Политику конфиденциальности по требованиям GDPR читайте здесь

Отсутствие информации о процессе, который фактически происходит с данными, приводит к штрафам.

В октябре 2022 года 4 банка в Греции получили штрафы по 20 000 EUR за нарушение права на получение информации. Данные о последних 10 транзакциях сохранялись на чипе банковской карты без явного согласия клиентов. Греческий орган по защите данных установил, что банки не проинформировали об этом клиентов и, следовательно, нарушили ст. 13 Общего регламента по защите данных.

Информацию важно подать лаконично, понятно и простым языком. Размещайте Политики конфиденциальности в интуитивно доступных местах, чтобы пользователь всегда находился в одном или двух кликах от доступа к документу.

 

Право доступа

Пользователь может узнать какую информацию о нем хранит компания и как ее использует. Чтобы реализовать такое право, субъект данных обращается с запросом. Информация предоставляется без промедления и бесплатно. 

Deutsche Bank в Испании получил 20 000 EUR штрафа за то, что вовремя не ответил на запрос. Еще больший штраф в размере 830 000 EUR пришлось заплатить нидерландской финансовой компании за требование уплаты сбора, когда люди запрашивали доступ к своим личным данным. Бесплатный запрос был доступен только один раз в год по почте.

Алгоритм действий пользователя для получения доступа к данным должен быть максимально упрощенным. Технические трудности в работе службы поддержки не смогут стать аргументом для уменьшения штрафа.

Например, онлайн каталог журналов Otavamedia заплатил штраф в размере 85 000 EUR. Омбудсмен по защите данных Финляндии получил 11 жалоб на компанию, которые касались отсутствия ответа на запросы. Otavamedia объяснила, что запросы не были рассмотрены из-за технических проблем с управлением электронной почтой. Полученные сообщения не были перенаправлены в службу поддержки клиентов. Проблема была обнаружена только через семь месяцев. Но омбудсмен обратил внимание на то, что Otavamedia должна была протестировать новую систему электронной почты перед ее использованием, чтобы гарантировать ответ на запросы и соблюдение прав субъектов данных. 

 

Право на исправление

Каждый клиент может исправить свои неточные или неполные личные данные. В соответствии с GDPR любая неточная информация должна быть исправлена ​​без промедления. 

Клиент испанского банка CAIXABANK неоднократно и безуспешно запрашивал обновление своего адреса в базе банка. За это бизнесу пришлось заплатить 25 000 EUR штрафа.

 

Право на удаление и право на забвение

GDPR установило 6 условий, когда пользователь может запросить удаление данных:

  • Персональные данные больше не нужны для целей, для которой они были первоначально собраны.
  • Физическое лицо отзывает согласие на обработку его данных.
  • Физическое лицо возражает против обработки данных для конкретных целей, например, маркетинговых.
  • Персональные данные обрабатывались незаконно.
  • Персональные данные должны быть удалены в соответствии с локальными законами.
  • Персональные данные обрабатываются в связи с предоставлением онлайн-услуг ребенку.

 

Кроме удаления, субъект данных может запросить деиндексацию страниц Google, которые ссылаются на информацию о нем. Данные по-прежнему будут находится на исходных сайтах, но не будут отображаться в поисковой выдаче Google, поэтому вероятность того, что их увидят, меньше. 

С момента введения процедуры деиндексации Google получил 1 347 534 запроса. Но не все из них компании удалось успешно обработать. Поэтому в 2020 году Google получили 7 млн EUR штрафа от Управления по защите данных Швеции за удаление не всех запрашиваемых страниц. Кроме этого, Управление по защите данных потребовало прекратить информировать  собственников веб-сайтов, на которые направлена ​​ссылка из результатов поиска, о том, какая именно ссылка веб-страницы была удалена и кто обратился с запросом. Такое правило позволяет владельцу сайта повторно публиковать информацию на другом веб-адресе, который снова индексируется Google. Это делает право быть забытым невыполнимым.

 

Право на возражение

В любое время пользователь может возразить против обработки его данных в определенных целях. Например, обратится с запросом на прекращение прямого маркетинга. Такое право является абсолютным. Это значит, что компания не может отклонить возражение клиента и должна незамедлительно прекратить использование данных в целях прямого маркетинга.

За нарушение статьи 21 GDPR Vodafone в Испании пришлось заплатить 8 млн EUR. Клиенты компании жаловались на рекламные звонки, электронные и SMS сообщения, которые продолжались даже после того, как они воспользовались своим правом на возражение. Со многими пользователями услуг Vodafone связывались, даже несмотря на то, что их номера были в списке Робинсона — бесплатной службе исключения рекламы в Испании. Прежде чем сделать звонок или отправить рекламу, компания обязана ознакомиться с этим списком. Но даже наличие данных клиентом в этом списке не остановили Vodafone.

Компания может отказать клиенту в реализации права на возражение, если обработка необходима по закону. Например, в страховом секторе персональные данные нужны для защиты интересов компании в суде. 

 

Право на возражение против автоматизированной обработки данных

Пользователь может оспорить решение, принятое автоматически на основе обработки его данных.

Например, в 2014 году Amazon разработал инструмент с искусственным интеллектом для набора персонала. На основе персональных данных кандидатов искусственный интеллект присваивал им от одной до пяти звезд.  Но уже через год использования оказалось, что система  не может оценить кандидатов на позицию разработчиков программного обеспечения гендерно-нейтральным образом. Это связано с тем, что компьютерные модели Amazon были обучены проверять кандидатов на основе резюме, отправленных в компанию в течение последних 10 лет. Большинство из них поступило от мужчин, поэтому система Amazon решила, что кандидаты-мужчины предпочтительнее.

В таком случае права кандидатов можно защитить только единственным способом — внедрить процедуру возражения, как этого требует ст. 22 GDPR. У кандидата должно быть право оспорить результат и потребовать, чтобы решение, принятое с помощью алгоритма, было рассмотрено человеком.

 

Задача компании — рассказать клиентам о том, как они могут реализовать свои права и как связаться с компанией. Для этого публичные документы сайтов и приложений должны включать контакты сервиса поддержки. Запросы важно рассматривать оперативно и давать развернутые ответы в случае отказа. Коммуникацией с клиентами занимается Data protection officer. В новой статье IT-юристы рассказали о том, кому нужен DPO и какие функции выполняет специалист.

Меню статьи

Публикации в СМИ со схожей тематикой

31.08.2023
Почему прежде чем паблишить игру важно провести GDPR аудит?
IT-юристы рассказали как составить Политику конфиденциальности, чтобы избежать штрафов
Перейти к источнику
30.06.2023
Какой штраф придется заплатить за таргетированную рекламу, которая нарушает требования GDPR?
IT-юристы объяснили как избежать миллионных штрафов
Перейти к источнику
04.04.2023
Когда IT-компании нужен GDPR аудит?
IT-юристы объяснили в чем заключается GDPR аудит, когда он нужен и как провести GDPR анализ
Перейти к источнику
23.02.2023
Аудит GDPR для веб-сервисов: опыт GDPR адвоката
GDPR адвоката рассказал о пунктах, которые должны быть в Политике конфиденциальности веб-сервисов
Перейти к источнику
13.07.2022
Банк получил GDPR штраф за анализ эмоций клиента
Венгерское управление по защите данных оштрафовало Budapest Bank на 700 000 EUR. IT-юристы Stalirov&Co рассказали детали.
Перейти к источнику
22.06.2022
GDPR Compliance от Zoom: история факапов
С какими проблемами безопасности столкнулись Zoom, и как исправляли ошибки
Перейти к источнику

Последние статьи

Про контролируемые иностранные компании (КИК) для IT-бизнеса простыми словами
Про контролируемые иностранные компании (КИК) для IT-бизнеса простыми словами
18.09.23
Что такое КИК, какую отчетность нужно подавать и какие налоги платить - рассказываем в статье
Читать статью

Кейсы по теме статьи

Все кейсы
Для полноценной работы веб-сайта и улучшения предоставления услуг мы используем анонимные данные, предоставленные файлами Cookies!
ОК
Перезвоните мне IT-юрист свяжется с вами
для обсуждения деталей
Запрос на расчет услуги IT-юрист свяжется с вами
для обсуждения деталей
Благодарим за обращение!

IT-юрист свяжется с вами и расскажет о юридических решениях

OK
Благодарим за запрос!

IT-юрист перезвонит вам для обсуждения деталей

OK
Благодарим за отзыв!

Мы будем рады, если вы расскажете о нас друзьям и коллегам

OK
Благодарим за запрос!

Команда IT-юристов свяжется с вами и расскажет о вариантах решений

OK
Благодарим за запрос!

IT-юрист свяжется с вами и задаст несколько дополнительных вопросов

OK
Благодарим за интерес!

Ожидайте рекомендации IT-юристов

OK
Благодарим за запрос!

Команда IT-юристов подготовит решение для вас

OK
Благодарим за обращение!

IT-юрист разберет вашу ситуацию и предложит решение

OK