З розвитком новітніх технологій і різноманітних застосунків, соцмереж і публічних каналів у месенджерах головним болем їхніх власників став захист персональних даних користувачів. Час від часу інформаційний простір збурюють повідомлення щодо чергового витоку. Тільки наприкінці минулого року повідомлялося про ймовірний витік даних мільйона користувачів Facebook. До того ж компанії Meta – власниці цієї соцмережі – неодноразово діставалося на горіхи саме через витік даних. Як же у Євросоюзі розв'язують цю проблему та чому саме в ЄС проводять відповідні розслідування цих інцидентів, розповіла Mind координаторка проєктів ГО «Інтерньюз-Україна» Софія Лавренюк.
Один із найбільших європейських офісів компанії Meta, Inc, яка управляє Facebook, розташований у Дубліні. У Європейському Союзі у Meta є багато роботи: американська компанія має відповідати стандартам законодавства ЄС у сфері захисту прав людини, оскільки управляє мільйонами облікових записів жителів ЄС – користувачів Facebook, Instagram і WhatsApp.
У Дубліні також є офіс відомого критика Meta – компанії Digital Rights Ireland. Вона захищає цифрові права користувачів соцмереж, зокрема Facebook.
У лютому 2023 року в Digital Rights Ireland (DRI) заявили, що планують подати позов про відшкодування збитків Facebook-користувачам у країнах ЄС, чиї дані скомпрометували й опублікували в інтернеті.
Заява DRI прозвучала після завершення судової справи, яку розглядала ірландська Комісія із захисту даних (DPC). За твердженням DRI, суд завершився перемогою Facebook-користувачів, чиї дані були оприлюднені.
Ще раніше – у листопаді 2022-го – ірландський регулятор оштрафував компанію Meta, Inc як власника Facebook на 265 млн євро.
За висновками розслідування дані 533 млн облікових записів Facebook стали доступними в інтернеті без відома власників цих облікових даних. Тоді постраждало близько 100 млн Facebook-користувачів із країн – членів ЄС. Переважна більшість оприлюднених записів містила номери телефонів, імена, стать та ідентифікатори Facebook.
Відповідь очевидна – у ЄС створено багато запобіжників щодо порушень цифрових прав людини, зокрема у сфері захисту персональних даних.
Цю сферу в ЄС регламентує низка документів, які окреслюють права й обов'язки власників вебресурсів та їхніх користувачів.
У 1995 році Рада ЄС ухвалила Директиву 95/46/ЄС, яка визначає правила зберігання, обробки та використання особистих даних європейських інтернет-користувачів. Пізніше, у 2008-му, Рада доповнила документ Рамковим рішенням № 2008/977/JHA про захист персональних даних, що обробляються в межах поліційного та судового співробітництва в кримінальних справах.
Одна з головних вимог Директиви 95/46/ЄС полягала в тому, що будь-яка організація, яка збирає персональні дані, мала отримати дозвіл від людини, що надає ці дані. Крім того, організації мали гарантувати, щоб персональні дані їхніх користувачів були оброблені та збережені в безпечному місці.
Персональні дані можна було обробити тільки в окремих випадках, а власники онлайн-ресурсів мали добре убезпечити ці дані від несанкціонованого доступу.
Читайте також: Персональні дані по-європейськи: чим ризикує український бізнес при переїзді за кордон
Зі швидким розвитком інтернету, ускладненням його архітектури, зростанням впливу та збільшенням кількості зловживань із боку недобросовісних користувачів у ЄС постало питання ґрунтовного перегляду регуляторних норм. У 2018-му інституції ЄС ухвалили Загальний регламент про захист персональних даних (GDPR), який замінив Директиву 95/46/ЄС. На відміну від директиви, яку країни ЄС мали інтегрувати у своє законодавство, GDPR є актом прямої дії – державам-членам не треба було додатково його імплементувати.
Основною метою GDPR є захист персональних даних громадян Європейського Союзу, які компанії збирають, обробляють і зберігають. GDPR встановлює чіткі правила збору й обробки даних, зокрема правила щодо отримання згоди на збір та обробку даних, інформування про використання даних, а також правила щодо прав осіб на доступ до своїх персональних даних та їх виправлення.
Читайте також: Закрити витік: чому про захист інформації варто подумати заздалегідь
GDPR базується на семи принципах, що лягають в основу всього законодавства:
Законність – у компанії має бути вагома причина, щоб обробляти персональні дані. Справедливість – компанія не може навмисно приховувати мотиви збору даних. А користувачі не мають заскочити компанію на неправомірному використанні їхні дані. Прозорість – чіткість, відкритість і чесність щодо того, як і чому компанія обробляє персональні дані.
Цей принцип GDPR означає, що дані «збираються лише з визначеною, явною і законною метою».
Компанії повинні збирати тільки ті дані, які їм потрібні для досягнення своєї мети. Наприклад, якщо компанія хоче зібрати підписників для своєї електронної розсилки, вона має запитати тільки інформацію, необхідну для розсилки своїх матеріалів.
Компанія повинна забезпечувати точність даних, які збирає і зберігає. Вона має вживати заходів, аби виправляти, оновлювати чи видаляти неправильні чи неповні дані.
Відповідно до GDPR компанія повинна обґрунтувати тривалість зберігання даних. Йдеться про крайні терміни зберігання даних, щоб відповідати політиці обмеження зберігання.
GDPR вимагає підтримувати цілісність і конфіденційність даних, захищаючи їх від внутрішніх і зовнішніх загроз. Необхідний захист даних від несанкціонованої або незаконної обробки та випадкової втрати, знищення або пошкодження.
Відповідно до принципу підзвітності компанії повинні мати відповідну документацію, що буде доказом дотримання принципів обробки даних. Регулятор може вимагати ознайомлення із цією документацією.
Читайте також: Війна за дані: турбуємося про безпеку
Штрафи за недотримання GDPR можуть становити до 4% річного обороту компанії або до 20 млн євро – залежно від того, яке значення є більшим. Ці санкції рідко втілюють, і, як показує практика, штрафи насправді набагато менші. Але регулятор може застосовувати й жорсткіші санкції. Яскравим прикладом цього є значні штрафи для техгігантів, як-то Meta, Inc.
Матеріал підготовлено в межах проєкту «Актуалізація конфіденційності в цифровій сфері в Україні» (Індекс захисту персональних даних 2022), що реалізується ГО «Інтерньюз-Україна», за підтримки ABA ROLI Ukraine / Rule of Law Initiative.