м. Київ, вул. Кудряшова 3
ПН-ПТ: 9:00-19:00 СБ: 10:00-17:00

Що таке персональні дані │ Права користувачів згідно GDPR

 

6 із 10 американців впевнені, що у повсякденному житті неможливо уникнути збору даних про них компаніями чи урядом. І вони мають рацію. Дослідження, проведене WhoTracks.Me, показало, що 82% веб-трафіку містять сторонні скрипти Google і підтвердило, що половина з них збирають персональні дані користувачів. Google відстежує 40% веб-трафіку, Facebook - 15%, Twitter і Microsoft - 4%.

 

Дедалі більше користувачів турбуються про те, як компанії використовують їх дані. Наприклад, остання версія Apple iOS включає нову функцію конфіденційності, яка означає, що мобільні додатки змушені вимагати у користувачів дозволу на збір даних. На квітень 2022 року серед тих, хто вже встановив оновлення iOS 14.5, лише 25% дозволили відстеження.

 

Щоб мати можливість використовувати інструменти інтернет-маркетингу, монетизувати IT-продукти, бізнес має бути прозорим та відкрито розповідати про те, яку особисту інформацію клієнтів збирає та як її використовує. Тому, давайте з'ясуємо, що вважається персональними даними, як компанії можуть підвищити рівень довіри клієнтів та гарантувати безпеку їхніх даних.

 

Які дані вважаються персональними?

Персональні дані – це будь-яка інформація, завдяки якій можна ідентифікувати людину. Правила GDPR не поширюються на особисті дані юридичної особи.

Чим більше даних про людину комбінується, тим складніше їх знеособити, і тим вищі ризики та відповідальність. У GDPR ви не знайдете конкретний список даних, які будуть вважатися персональними. Регламент включає лише поняття та загальні принципи для класифікації. Тому давайте розбиратись на прикладах.

Коли користувач оформлює замовлення на ноутбук в інтернет-магазині, він заповнює форму, де запитують дані про ім'я, прізвище, номер телефону та електронну пошту. Крім цього, інтернет магазин отримує дані про замовлення: модель та колір ноутбука. У такому разі ім'я, прізвище, номер телефону та електронна пошта будуть вважатися персональними даними. А ось модель і колір девайсу ні, тому що за допомогою цієї інформації неможливо ідентифікувати людину.

Коли юристи визначають перелік персональних даних у документах, вони вивчають контекст. Інтернет-магазин може проводити розсилку за номером телефону з рекламою аксесуарів для конкретної моделі ноутбука. Тоді модель стає критеріями для профілювання, і набуває статусу персональної інформації. У покупця потрібно отримати згоду на автоматизовану обробку таких даних у маркетингових цілях. Така вимога встановлена ​​статтею 22 GDPR.

 

Наведемо ще один приклад. IT-юристи Stalirov&Co писали Політику конфіденційності для Insurance Hunter — платного генератора потенційних клієнтів для страхових компаній. Користувачі із США та ЄС заповнюють опитувальник, а алгоритми програмного забезпечення підбирають оптимальне фінансове рішення на основі персональних переваг. Щоб реалізувати свої завдання, Insurance Hunter збирає:

  • Ідентифікаційні дані: ім'я, дата народження, вік.
  • Біографічні дані: сімейний стан, стать та статус зайнятості.
  • Контактні дані: домашня або інша фізична адреса, адреса електронної пошти та номер телефону.
  • Відомості про водія: інформація про страхові поліси, відомості про автомобільні аварії та інформацію про авто.
  • Фінансові дані: кредитна інформація та річний дохід.
  • Дані про стан здоров'я: біометричні параметри (зростання, вага) та відомості про стан здоров'я.

 

Технічні дані IT-продукт отримує автоматично, коли користувач відвідує веб-сайт:

  • IP-адресу, іншу адресу пристрою або ідентифікатор.
  • Веб-браузер та тип пристрою.
  • Дані про геолокацію.
  • Апаратні та програмні налаштування та конфігурації.
  • Сторінки, які переглядає користувач.
  • Події на сайті.

 

Серед особистої інформації, яку збирає, обробляє та зберігає Insurance Hunter є “чутливі дані”, для яких GDPR встановив особливий режим. До них відносяться дані про:

  • расове чи етнічне походження,
  • політичні погляди,
  • релігійні чи філософські переконання,
  • членство у професійному союзі,
  • генетичні та біометричні дані,
  • дані про здоров'я, статеве життя або сексуальну орієнтацію.

Обробку таких відомостей дозволено лише після чіткої згоди суб'єкта даних для конкретних цілей.

 

Чи є ip адреса персональними даними?

Фізичним особам можуть надаватися інтернет-ідентифікатори, наприклад, IP-адреси або ідентифікатори cookie. У поєднанні з іншими особистими даними, вони можуть використовуватися для створення профілів або ідентифікації. Тому, відповідно до Преамбули 30 GDPR до персональних даних відноситься і IP-адреса.

 

Які права власників персональних даних має гарантувати компанія?

GDPR встановив 8 прав власників даних, порушення яких спричиняє штрафи.

  • Право на отримання інформації
  • Право доступу
  • Право на виправлення та уточнення
  • Право на видалення та забуття
  • Право на експорт даних
  • Право на обмеження обробки
  • Право на заперечення
  • Право не піддаватися автоматизованому прийняттю рішень у індивідуальних випадках, зокрема профилирование

IT-юристи описали деякі з них, і розповіли які штрафи чекають на компанію, якщо не забезпечити клієнтам реалізацію таких прав.

 

Право на отримання інформації

Кожен користувач має право на вичерпну інформацію про збирання, обробку та зберігання його даних. Це означає, що бізнесу важливо описувати всі дії з даними у публічних документах. Про те, як скласти Політику конфіденційності за вимогами GDPR, читайте тут.

Відсутність інформації про процес, який фактично відбувається з даними, призводить до штрафів.

У жовтні 2022 року 4 банки в Греції отримали штрафи по 20 000 EUR за порушення права на отримання інформації. Дані про останні 10 транзакцій зберігалися на чіпі банківської картки без явної згоди клієнтів. Грецький орган захисту даних встановив, що банки не поінформували про це клієнтів, отже, порушили ст. 13 Загального регламенту захисту даних.

Інформацію важливо подати лаконічно, зрозуміло та простою мовою. Розміщуйте Політики конфіденційності в інтуїтивно доступних місцях, щоб користувач завжди знаходився в одному або двох кліках від доступу до документа.

 

Право доступу

Користувач може дізнатися, яку інформацію про нього зберігає компанія і як її використовує. Щоб реалізувати таке право, суб'єкт даних звертається із запитом. Інформація надається без зволікання та безкоштовно.

Deutsche Bank в Іспанії отримав 20 000 EUR штрафу за те, що вчасно не відповів на запит. Ще більший штраф у розмірі 830 000 EUR довелося сплатити нідерландській фінансовій компанії за вимогу сплати збору, коли люди вимагали доступу до своїх особистих даних. Безкоштовний запит був доступний лише один раз на рік.

Алгоритм дій користувача для отримання доступу до даних має бути максимально спрощеним. Технічні труднощі у роботі служби підтримки не можуть стати аргументом зменшення штрафу.

Наприклад, онлайн каталог журналів Otavamedia сплатив штраф у розмірі 85 000 EUR. Омбудсмен із захисту даних Фінляндії отримав 11 скарг на компанію, які стосувалися відсутності відповіді на запити. Otavamedia пояснила, що запити не були розглянуті через технічні проблеми з керуванням електронною поштою. Отримані повідомлення не були перенаправлені до служби підтримки клієнтів. Проблема була виявлена ​​лише через сім місяців. Але омбудсмен звернув увагу на те, що Otavamedia мала протестувати нову систему електронної пошти перед її використанням, щоб гарантувати відповідь на запити та дотримання прав суб'єктів даних.

 

Право на виправлення

Кожен клієнт може виправити свої неточні чи неповні особисті дані. Відповідно до GDPR будь-яка неточна інформація має бути виправлена ​​без зволікання.

Клієнт іспанського банку CAIXABANK неодноразово та безуспішно запитував оновлення своєї адреси у базі банку. За цей бізнесу довелося заплатити 25 000 EUR штрафу.

 

Право на видалення та право на забуття

GDPR встановив 6 умов, коли користувач може запросити видалення даних:

  • Персональні дані більше не потрібні для цілей, для яких вони були зібрані.
  • Фізична особа відкликає згоду на обробку його даних.
  • Фізична особа заперечує проти обробки даних для конкретних цілей, наприклад, маркетингових.
  • Персональні дані опрацьовувалися незаконно.
  • Персональні дані мають бути видалені відповідно до локальних законів.
  • Персональні дані обробляються у зв'язку з наданням онлайн послуг дитині.

 

Крім видалення, суб'єкт даних може запросити деіндексацію сторінок Google, які посилаються на інформацію про нього. Дані, як і раніше, будуть на вихідних сайтах, але не відображатимуться в пошуковій видачі Google, тому ймовірність того, що їх побачать, менша.

З моменту введення процедури деіндексації Google отримав 1347534 запити. Але не всі з них компанії вдалося успішно опрацювати. Тому в 2020 році Google отримали 7 млн ​​EUR штрафу від Управління захисту даних Швеції за видалення не всіх сторінок, що запитувалися. Крім цього, Управління захисту даних вимагало припинити інформувати власників веб-сайтів, на які спрямоване посилання з результатів пошуку, про те, яке саме посилання веб-сторінки було видалено і хто звернувся із запитом. Таке правило дозволяє власнику сайту повторно публікувати інформацію на іншій веб-адресі, яка знову індексується Google. Це робить право бути забутим нездійсненним.

 

Право на заперечення

Будь-коли користувач може заперечити проти обробки його даних у певних цілях. Наприклад, звернутися із запитом на припинення прямого маркетингу. Таке право є абсолютним. Це означає, що компанія не може відхилити заперечення клієнта і має негайно припинити використання даних у цілях прямого маркетингу.

За порушення статті 21 GDPR Vodafone в Іспанії довелося заплатити 8 млн EUR. Клієнти компанії скаржилися на рекламні дзвінки, електронні та SMS-повідомлення, які тривали навіть після того, як вони скористалися своїм правом на заперечення. З багатьма користувачами послуг Vodafone зв'язувалися, навіть незважаючи на те, що їхні номери були в списку Робінсона - безкоштовної служби виключення реклами в Іспанії. Перш ніж зробити дзвінок чи надіслати рекламу, компанія зобов'язана ознайомитися з цим списком. Але навіть наявність даних клієнта у цьому списку не зупинили Vodafone.

Проте, компанія може відмовити клієнту у реалізації права на заперечення, якщо обробка необхідна згідно із законом. Наприклад, у страховому секторі персональні дані необхідні для захисту інтересів компанії у суді.

 

Право на заперечення проти автоматизованої обробки даних

Користувач може оскаржити рішення, ухвалене автоматично на основі обробки його даних.

Наприклад, у 2014 році Amazon розробив інструмент зі штучним інтелектом для набору персоналу. На основі персональних даних кандидатів штучний інтелект присвоював їм від однієї до п'яти зірок. Але вже через рік використання виявилося, що система не може оцінити кандидатів на позицію розробників програмного забезпечення ґендерно-нейтральним чином. Це пов'язано з тим, що комп'ютерні моделі Amazon були навчені перевіряти кандидатів на основі резюме, відправлених до компанії протягом останніх 10 років. Більшість із них надійшла від чоловіків, тому система Amazon вирішила, що кандидати-чоловіки кращі.

У такому разі права кандидатів можна захистити лише єдиним способом – запровадити процедуру заперечення, як цього вимагає ст. 22 GDPR. У кандидата має бути право оскаржити результат і вимагати, щоб рішення, ухвалене за допомогою алгоритму, було розглянуте людиною.

 

Завдання компанії – розповісти клієнтам про те, як вони можуть реалізувати свої права та як зв'язатися з компанією. Для цього публічні документи сайтів та програм повинні включати контакти сервісу підтримки. Запити важливо розглядати оперативно та давати розгорнуті відповіді у разі відмови. Комунікацією з клієнтами займається Data protection officer. У новій статті IT-юристи розповіли про те, кому потрібен DPO та які функції виконує спеціаліст.

Меню статті
Слідкуйте за останніми новинами
Cтатті зі схожою тематикою

Публікації в ЗМІ зі схожою тематикою

02.11.2022
Як заощадити сотні тисяч євро під час призначення офіцера інформаційної безпеки?
IT-юристи Stalirov&Co розповіли про 3 кейси, коли компаніям довелося заплатити штрафи за порушення конфлікту інтересів.
Перейти до джерела
13.07.2022
Банк отримав GDPR штраф за аналіз емоцій клаєнта
Угорське управління із захисту даних оштрафувало Budapest Bank на 700 000 EUR. IT-юристи Stalirov&Co розповіли деталі.
Перейти до джерела
22.06.2022
GDPR Compliance від Zoom: історія факапів
З якими проблемами безпеки мали справу Zoom, та як виправляли помилки
Перейти до джерела
24.12.2021
Коли діє GDPR в Україні?
Дія правил регламенту із захисту персональних даних поширюється на українські компанії у 3-х випадках. Про них розповідаємо у статті.
Перейти до джерела

Останні статті

Що таке персональні дані │ Права користувачів згідно GDPR
Що таке персональні дані │ Права користувачів згідно GDPR
30.12.22
GDPR для IT-компаній
Читати статтю
Gdpr compliance: що це та кому потрібно виконати умови регламенту про захист персональних даних?
Gdpr compliance: що це та кому потрібно виконати умови регламенту про захист персональних даних?
12.10.22
Що таке GDPR, кому доведеться впровадити, і в чому суть GDPR – розповідаємо у статті.
Читати статтю
Як забезпечити безпеку даних за допомогою DPA?
Як забезпечити безпеку даних за допомогою DPA?
27.07.22
Що таке Data protection agreement, кому потрібно підписувати DPA та що написати в DPA
Читати статтю
Data protection officer - кому потрібен і які функції у фахівця
Data protection officer - кому потрібен і які функції у фахівця
08.07.22
Каким компаниям нужны Data protection officers и какие задачи выполняет сотрудник.
Читати статтю
Як організувати релокейт у Польщу: гайд з реєстрації IT-компанії та оформлення команди
Як організувати релокейт у Польщу: гайд з реєстрації IT-компанії та оформлення команди
16.06.22
Якщо ви збираєтеся організувати релокейт в Польщу, стаття для вас. IT-юристи розповідають як вийти на європейський ринок, зареєструвати компанію, перекласти та оформити команду.
Читати статтю

Кейси на тему статті

Всі кейси
Для повноцінної роботи вебсайту та покращення надання послуг ми використовуємо анонімні дані, надані файлами Cookies!
ОК
Передзвоніть мені IT-юрист зв'яжеться з вами
для обговорення деталей
Запит на розрахунок послуги IT-юрист зв'яжеться з вами
для обговорення деталей
Дякуємо за звернення!

IT-юрист зв'яжеться з вами та розкаже про юридичні рішення

OK
Дякуємо за запит!

IT-юрист зателефонує вам для з'ясування деталей

OK
Дякуємо за відгук!

Ми будемо раді, якщо ви розкажете про нас друзям і колегам

OK
Дякуємо за запит!

Команда IT-юристів зв'яжеться з вами та розкаже про варіанти рішень

OK
Дякуємо за запит!

IT-юрист зв'яжеться з вами та поставить декілька додаткових питань

OK
Дякуємо за інтерес!

Очікуйте рекомендації IT-юристів

OK
Дякуємо за запит!

Команда IT-юристів підготує рішення для вас

OK
Дякуємо за звернення!

IT-юрист розбере вашу ситуацію та запропонує рішення

OK