6 із 10 американців впевнені, що у повсякденному житті неможливо уникнути збору даних про них компаніями чи урядом. І вони мають рацію. Дослідження, проведене WhoTracks.Me, показало, що 82% веб-трафіку містять сторонні скрипти Google і підтвердило, що половина з них збирають персональні дані користувачів. Google відстежує 40% веб-трафіку, Facebook - 15%, Twitter і Microsoft - 4%.
Дедалі більше користувачів турбуються про те, як компанії використовують їх дані. Наприклад, остання версія Apple iOS включає нову функцію конфіденційності, яка означає, що мобільні додатки змушені вимагати у користувачів дозволу на збір даних. На квітень 2022 року серед тих, хто вже встановив оновлення iOS 14.5, лише 25% дозволили відстеження.
Щоб мати можливість використовувати інструменти інтернет-маркетингу, монетизувати IT-продукти, бізнес має бути прозорим та відкрито розповідати про те, яку особисту інформацію клієнтів збирає та як її використовує. Тому, давайте з'ясуємо, що вважається персональними даними, як компанії можуть підвищити рівень довіри клієнтів та гарантувати безпеку їхніх даних.
Які дані вважаються персональними?
Персональні дані – це будь-яка інформація, завдяки якій можна ідентифікувати людину. Правила GDPR не поширюються на особисті дані юридичної особи.
Чим більше даних про людину комбінується, тим складніше їх знеособити, і тим вищі ризики та відповідальність. У GDPR ви не знайдете конкретний список даних, які будуть вважатися персональними. Регламент включає лише поняття та загальні принципи для класифікації. Тому давайте розбиратись на прикладах.
Коли користувач оформлює замовлення на ноутбук в інтернет-магазині, він заповнює форму, де запитують дані про ім'я, прізвище, номер телефону та електронну пошту. Крім цього, інтернет магазин отримує дані про замовлення: модель та колір ноутбука. У такому разі ім'я, прізвище, номер телефону та електронна пошта будуть вважатися персональними даними. А ось модель і колір девайсу ні, тому що за допомогою цієї інформації неможливо ідентифікувати людину.
Коли юристи визначають перелік персональних даних у документах, вони вивчають контекст. Інтернет-магазин може проводити розсилку за номером телефону з рекламою аксесуарів для конкретної моделі ноутбука. Тоді модель стає критеріями для профілювання, і набуває статусу персональної інформації. У покупця потрібно отримати згоду на автоматизовану обробку таких даних у маркетингових цілях. Така вимога встановлена статтею 22 GDPR.
Наведемо ще один приклад. IT-юристи Stalirov&Co писали Політику конфіденційності для Insurance Hunter — платного генератора потенційних клієнтів для страхових компаній. Користувачі із США та ЄС заповнюють опитувальник, а алгоритми програмного забезпечення підбирають оптимальне фінансове рішення на основі персональних переваг. Щоб реалізувати свої завдання, Insurance Hunter збирає:
- Ідентифікаційні дані: ім'я, дата народження, вік.
- Біографічні дані: сімейний стан, стать та статус зайнятості.
- Контактні дані: домашня або інша фізична адреса, адреса електронної пошти та номер телефону.
- Відомості про водія: інформація про страхові поліси, відомості про автомобільні аварії та інформацію про авто.
- Фінансові дані: кредитна інформація та річний дохід.
- Дані про стан здоров'я: біометричні параметри (зростання, вага) та відомості про стан здоров'я.
Технічні дані IT-продукт отримує автоматично, коли користувач відвідує веб-сайт:
- IP-адресу, іншу адресу пристрою або ідентифікатор.
- Веб-браузер та тип пристрою.
- Дані про геолокацію.
- Апаратні та програмні налаштування та конфігурації.
- Сторінки, які переглядає користувач.
- Події на сайті.
Серед особистої інформації, яку збирає, обробляє та зберігає Insurance Hunter є “чутливі дані”, для яких GDPR встановив особливий режим. До них відносяться дані про:
- расове чи етнічне походження,
- політичні погляди,
- релігійні чи філософські переконання,
- членство у професійному союзі,
- генетичні та біометричні дані,
- дані про здоров'я, статеве життя або сексуальну орієнтацію.
Обробку таких відомостей дозволено лише після чіткої згоди суб'єкта даних для конкретних цілей.
Чи є ip адреса персональними даними?
Фізичним особам можуть надаватися інтернет-ідентифікатори, наприклад, IP-адреси або ідентифікатори cookie. У поєднанні з іншими особистими даними, вони можуть використовуватися для створення профілів або ідентифікації. Тому, відповідно до Преамбули 30 GDPR до персональних даних відноситься і IP-адреса.
Які права власників персональних даних має гарантувати компанія?
GDPR встановив 8 прав власників даних, порушення яких спричиняє штрафи.
- Право на отримання інформації
- Право доступу
- Право на виправлення та уточнення
- Право на видалення та забуття
- Право на експорт даних
- Право на обмеження обробки
- Право на заперечення
- Право не піддаватися автоматизованому прийняттю рішень у індивідуальних випадках, зокрема профилирование
IT-юристи описали деякі з них, і розповіли які штрафи чекають на компанію, якщо не забезпечити клієнтам реалізацію таких прав.
Право на отримання інформації
Кожен користувач має право на вичерпну інформацію про збирання, обробку та зберігання його даних. Це означає, що бізнесу важливо описувати всі дії з даними у публічних документах. Про те, як скласти Політику конфіденційності за вимогами GDPR, читайте тут.
Відсутність інформації про процес, який фактично відбувається з даними, призводить до штрафів.
Інформацію важливо подати лаконічно, зрозуміло та простою мовою. Розміщуйте Політики конфіденційності в інтуїтивно доступних місцях, щоб користувач завжди знаходився в одному або двох кліках від доступу до документа.
Право доступу
Користувач може дізнатися, яку інформацію про нього зберігає компанія і як її використовує. Щоб реалізувати таке право, суб'єкт даних звертається із запитом. Інформація надається без зволікання та безкоштовно.
Алгоритм дій користувача для отримання доступу до даних має бути максимально спрощеним. Технічні труднощі у роботі служби підтримки не можуть стати аргументом зменшення штрафу.
Право на виправлення
Кожен клієнт може виправити свої неточні чи неповні особисті дані. Відповідно до GDPR будь-яка неточна інформація має бути виправлена без зволікання.
Право на видалення та право на забуття
GDPR встановив 6 умов, коли користувач може запросити видалення даних:
- Персональні дані більше не потрібні для цілей, для яких вони були зібрані.
- Фізична особа відкликає згоду на обробку його даних.
- Фізична особа заперечує проти обробки даних для конкретних цілей, наприклад, маркетингових.
- Персональні дані опрацьовувалися незаконно.
- Персональні дані мають бути видалені відповідно до локальних законів.
- Персональні дані обробляються у зв'язку з наданням онлайн послуг дитині.
Крім видалення, суб'єкт даних може запросити деіндексацію сторінок Google, які посилаються на інформацію про нього. Дані, як і раніше, будуть на вихідних сайтах, але не відображатимуться в пошуковій видачі Google, тому ймовірність того, що їх побачать, менша.
З моменту введення процедури деіндексації Google отримав 1347534 запити. Але не всі з них компанії вдалося успішно опрацювати. Тому в 2020 році Google отримали 7 млн EUR штрафу від Управління захисту даних Швеції за видалення не всіх сторінок, що запитувалися. Крім цього, Управління захисту даних вимагало припинити інформувати власників веб-сайтів, на які спрямоване посилання з результатів пошуку, про те, яке саме посилання веб-сторінки було видалено і хто звернувся із запитом. Таке правило дозволяє власнику сайту повторно публікувати інформацію на іншій веб-адресі, яка знову індексується Google. Це робить право бути забутим нездійсненним.
Право на заперечення
Будь-коли користувач може заперечити проти обробки його даних у певних цілях. Наприклад, звернутися із запитом на припинення прямого маркетингу. Таке право є абсолютним. Це означає, що компанія не може відхилити заперечення клієнта і має негайно припинити використання даних у цілях прямого маркетингу.
Проте, компанія може відмовити клієнту у реалізації права на заперечення, якщо обробка необхідна згідно із законом. Наприклад, у страховому секторі персональні дані необхідні для захисту інтересів компанії у суді.
Право на заперечення проти автоматизованої обробки даних
Користувач може оскаржити рішення, ухвалене автоматично на основі обробки його даних.
У такому разі права кандидатів можна захистити лише єдиним способом – запровадити процедуру заперечення, як цього вимагає ст. 22 GDPR. У кандидата має бути право оскаржити результат і вимагати, щоб рішення, ухвалене за допомогою алгоритму, було розглянуте людиною.
Завдання компанії – розповісти клієнтам про те, як вони можуть реалізувати свої права та як зв'язатися з компанією. Для цього публічні документи сайтів та програм повинні включати контакти сервісу підтримки. Запити важливо розглядати оперативно та давати розгорнуті відповіді у разі відмови. Комунікацією з клієнтами займається Data protection officer. У новій статті IT-юристи розповіли про те, кому потрібен DPO та які функції виконує спеціаліст.
