Автор: Наталья Котелева
С 25 мая компании, которые имеют подразделение или пользователей в Евросоюзе (ЕС), должны соблюдать закон о персональных данных General Data Protection Regulation GDPR. По требованию пользователей они обязаны сообщать, какую именно информацию собирают.
Какими правами в рамках GDPR могут пользоваться белорусы, рассказал эксперт проекта «Netka.by. Интернет-безопасность детей Беларуси», директор консалтинговой компании ООО «Дата Прайваси Офис», консультант и тренер в области защиты персональных данных, Certified Information Privacy Professional/Europe , член Международной ассоциации профессионалов в области приватности (IAPP), MBA, юрист Сергей Воронкевич:
— Закон защищает пользователей независимо от их гражданства. У белорусов в отношении обработки персональных данных есть такие же права, как и у жителей Евросоюза, если данная обработка подпадает под Регламент GDPR (например, в момент обработки вы находились на территории ЕС или, условно, покупаете в европейском интернет-магазине смартфон: компания собирает информацию о вас, поэтому обязана подчинятся GDPR).
Среди этих прав:
Также белорусам доступно право пожаловаться в надзорный орган по защите персональных данных по месту нахождения компании в Европейском союзе.
— С мая на многих сайтах пользователи видят всплывающее сообщение примерно такого содержания. Если не кликать на кнопку «Принять и закрыть», данные все равно будут собираться?
— Да, поскольку сайт не спрашивает у вас согласия на обработку, а уведомляет, что обработка будет происходить. Другой случай, когда вы оставляете данные, и под формой вам предлагается поставить галочку, что вы согласны получать рассылку или даете разрешение сделать что-то еще с вашими данными.
— Некоторые сайты просят покинуть страничку, если пользователь не согласен с тем, что его данные будут собираться. Эта просьба правомерна?
— Она может быть правомерна в некоторых странах, но только не в Европейском союзе и не на сайте европейской компании. Запрещается отказывать в сервисе из-за того, что пользователь отказывает в согласии на обработку данных, которые не являются необходимыми для предоставления сервиса.
К персональной относится такая информация, которая прямо или косвенно раскрывает личность человека: ФИО, номер телефона, электронная почта, данные банковских карт, сookie, IP-адрес, регистрационные анкеты в отелях, сервисах проката, приложениях для знакомств. И это далеко не исчерпывающий список.
Например, согласно правилам конфиденциальности «ВКонтакте», на пользователей из ЕС соцсеть собирает:
Но это не значит, что «ВКонтакте» знает о вас только информацию из приведенного перечня. К примеру, в июне 2018 года белорусский активист Кристиан Шинкевич в ответ на свой запрос к администрации «ВКонтакте» получил:
Кстати, недавно эта соцсеть разрешила пользователям скачивать и просматривать всю информацию, которую она собирает. Посмотреть данные о себе можете по ССЫЛКЕ.
Facebook тоже собирает много данных. Среди них:
В марте 2018 года новозеландец Дилан Маккей обнаружил детализацию своих звонков в скачанном архиве с данными, которые хранит на него соцсеть. То же произошло с журналистом издания ArsTechnica, а также несколькими его читателями. Тогда Facebook заявила, что собирала всю эту информацию с согласия пользователей.
Корпорация Google предлагает возможность скачать свой архив в Google Takeout. В нем будут ваши закладки, переписка и файлы на Google Drive, загруженные вами видео на YouTube, список компаний, у которых вы делали покупки, список звонков через Hangouts, сайты, которые вы создавали, модели телефонов, которыми пользовались и многие другие данные.
«ВКонтакте», Facebook и Twitter обосновывают сбор информации лаконично: данные пользователей нужны им для рекламы, оптимизации и рекомендаций.
Скачать информацию с Facebook можно в разделе настроек «Ваша информация». В Instagram и Telegram — в разделе настроек «Конфиденциальность и безопасность», в Twitter — в разделе «Контент».
Вы имеете право потребовать удалить свои данные и отозвать согласие на обработку информации. Но сначала нужно убедиться, что в момент сбора ваших данных подразделение компании, которое занималось этим, находилось на территории ЕС.
— Кроме того, не стоит забывать, что данные также могут обрабатывать на основания контракта, легитимного, публичного или жизненного интересов, или обрабатываются по требованию закона. В этом случае у вас нет права отзывать согласия (потому что у вас его не спрашивали), — уточняет Сергей Воронкевич.
Попросить удалить собранные данные вы можете, написав в техподдержку компании. У компаний нет никаких оснований отказывать вам, если вы отзываете свое согласие, но часть информации вы можете удались самостоятельно. Например, в разделе настроек конфиденциальности можно управлять информацией, которую Facebook использует для показа объявлений, удалить историю поиска, звонков и SMS, ограничить доступ к новым и старым публикациям, выключить систему распознавания лиц, которая анализирует фото и видео профиля, проверить, сколько приложений имеют доступ к аккаунту.
В случае с Google очистите все данные с запретите их сбор на страницах «Мои действия», «Настройка рекламы», «История местоположений». Если вы не используете Google Pay для бесконтактной оплаты покупок и не совершаете платежи в Google Play, проверьте, не хранит ли корпорация ваши банковские данные.
— А с другой стороны, что опасного может быть в сборе информации обо мне? Если реклама все равно нас окружает, то лучше уж смотреть подобранную с учетом моих интересов, чем всю подряд. Разве нет?
— Собирайся она изолированно, и только для заявленных целей – это было бы еще полбеды, однако сегодня многие сервисы, приложения и компании не ограничиваются заявленной целью, не утилизируют давно использованные данные, не защищают их от утечек, агрегируют в многомиллионные базы, — отвечает эксперт. — Часто они продают ваши данные кому-то еще, например, брокерам данных. Те объединяют данные о вас из разных источников и продают их далее. Среди покупателей — крупные корпорации и мелкие фирмы, религиозные объединения и правительства.
В итоге вы теряете над собственными данными контроль, поскольку даже не представляете, что одновременно у десятков неизвестных вам компаний, правительств или людей есть на вас полное досье, психологический портрет.
— Эту информацию они могут использовать вам во вред, например, на базе определенного алгоритма решить, что у вас высокие шансы заболеть каким-либо заболеванием и поэтому вам лучше не давать кредит на квартиру или медицинскую страховку, или решат, что вы склонны критиковать свое начальство, и поэтому продадут тысячам компаний вашу фамилию в составе «черного списка» людей, которых не следует принимать на работу, — продолжает Сергей Воронкевич. — В руках правительств эти данные могут быть использованы, чтобы вычислить инакомыслящих и ограничить их в доступе к работе, государственной службе или социальному обеспечению, отправить в трудовой лагерь на «перевоспитание», или, например, чтобы отказать вам в визе или во въезде в страну и т.д. До появления компьютеров и интернета такой опасности не существовало, но теперь, осознавая, что эти технологии могут быть использованы против людей, европейские избиратели требуют от своих депутатов действенных механизмов защиты. Новый европейский Регламент GDPR как раз поэтому и принят, хотя полностью эту проблему все же решить не в состоянии. Многое зависит от осознанности и активности самих граждан.