Персональні дані – хто та як збирає цю інформацію. Способи захисту даних
Інформація по праву вважається найважливішим ресурсом постіндустріальної економіки, іноді її навіть називають «новою нафтою». А особливу цінність представляє особиста інформація реальних людей – так звані персональні дані (ПД).
Зміст:
1. Персональні дані та їх види
2. Хто збирає персональні дані та навіщо вони потрібні?
3. Регулювання збору, обробки та зберігання персональних даних у різних країнах
4. Підбиваючи підсумки
З кожним роком тема персональних даних стає дедалі активнішою та обговорюваною, разом з цим зростає ринок персональних даних, а держави та міждержавні структури намагаються все жорсткіше їх регулювати.
У нашій черговій статті ми розповімо про те, що є персональними даними і якими вони бувають, у чому полягає їх цінність, хто і як збирає та обробляє цю інформацію. Також ви дізнаєтеся про те, як ця сфера регулюється законодавством України та ЄС, які права мають користувачі на захист персональних даних та яким чином компанії мають зберігати та обробляти відомості про своїх клієнтів.
Персональні дані та їх види
Персональні дані – це будь-яка інформація про реально існуючу ідентифіковану фізичну особу. До них належать як загальні дані (наприклад, ПІБ, серія та номер паспорта, місце народження, зареєстроване місце проживання тощо), так і спеціальні відомості аж до даних про релігійні чи політичні переконання. Також до них належать відомості про расу і національність, стан здоров'я, сексуальну орієнтацію, наявність або відсутність судимостей тощо.
На відміну від загальнодоступних, спеціальні персональні дані повинні знаходитись у закритому доступі. Отримати їх легально можна тільки в самої людини (так званого суб'єкта персональних даних), або на офіційний запит до правоохоронних, медичних чи інших установ. При цьому слід пам'ятати, що ніхто не зобов'язаний передавати свої ПД третім особам.
Ще однією категорією є біометричні дані, що використовуються для ідентифікації особи. До них належать відбитки пальців, фотографії, знімки сітківки ока, генетичні відомості, зразки голосу, групу крові тощо. Важливо, що біометричними вони вважаються у разі, якщо служать встановленню особи. У інших випадках цю інформацію відносять до загальної чи спеціальної.
Нарешті, четверта група ПД – це інші дані, які не можна включити до решти категорій. Це можуть бути відомості з місця роботи (посада, стаж, зарплата тощо) з будь-якої компанії або організації, які відвідує ця людина (спортивний клуб, програма лояльності супермаркету тощо). Також до неї відноситься інформація про належність до будь-якої спільноти чи соціальної групи.
Хто збирає персональні дані та навіщо вони потрібні?
Збір та обробку персональних даних ведуть різні компанії, організації та особи, включаючи:
- Інтернет-корпорації (Google, Microsoft, Apple, Amazon тощо);
- Соціальні мережі (Facebook, Instagram, Twitter, LinkedIn тощо);
- Оператори мобільного зв'язку, інтернет-провайдери, інші телекомунікаційні компанії;
- Компанії-виробники смартфонів та інших гаджетів, IoT-платформи (інтернет речей), у тому числі системи «розумний дім», фітнес-браслети тощо;
- Розробники мобільних додатків, власники сайтів та веб-сервісів;
- Банківські організації;
- Страхові компанії;
- Медичні заклади;
- Торгові мережі та ін.
Як правило, користувачі дають згоду на обробку персональних даних під час реєстрації в сервісі або додатку, підписання договору про користування послугами компанії/організації або навіть при першому відвідуванні будь-якого сайту (так звана угода про використання файлів cookie). Ви ділитеся своїми персональними даними і в тому разі, коли встановлюєте будь-яку програму на свій смартфон і даєте їй доступ до геолокації, списку телефонних контактів або інших функцій пристрою.
Ринок персональних даних стає все більшою та дорогою індустрією через бурхливий розвиток технологій big data. Потужні та ефективні інструменти аналізу великих даних допомагають швидко збирати та обробляти колосальні масиви інформації, а потім використовувати її з метою реклами та маркетингу. Аналітика ПД дає змогу бізнесу точніше визначати цільову аудиторію - в результаті, отримуючи більше доходу від продажу своїх товарів та послуг.
Водночас у світі дедалі більше цінується конфіденційність, що змушує великі корпорації йти назустріч користувачам, обмежуючи збір та обробку їх персональних даних третіми особами. Наприклад, компанія Apple внесла важливі зміни до правил конфіденційності для пристроїв iPhone та iPad навесні 2021 року в оновленні iOS 14.5.
З тих пір всі сторонні програми повинні надсилати власникам гаджетів запит на відстеження їхніх дій, якщо це робиться з рекламною метою. Нові правила конфіденційності Apple помітно «вдарили» за доходами від реклами багатьох популярних соцмереж, включаючи Facebook, YouTube, Twitter та Snapchat. Експерти вважають, що разом ці майданчики недоотримали майже $10 мільярдів рекламних доходів за поточний рік.
Регулювання збору, обробки та зберігання персональних даних у різних країнах
Враховуючи зростаючу поширеність, затребуваність та цінність персональних даних, багато країн регламентували їх обробку, зберігання та розповсюдження у своєму законодавстві. Наприклад, в Україні цю галузь регулює відповідний закон «Про захист персональних даних». Він вимагає запитувати у користувачів згоду на збирання та обробку ПД при реєстрації в інтернет-магазинах, сервісах, на сайтах або в інших інформаційно-телекомунікаційних системах.
Відповідно до цього закону, користувачі мають право:
- Знати місцезнаходження своїх ПД, канали їх збору та цілі обробки, мати можливість зв'язатися з власником чи розпорядником цієї інформації.
- Отримувати повідомлення про факти передачі даних третім особам.
- Отримувати необмежений доступ до своїх персональних даних не пізніше ніж через 30 днів після надсилання відповідного запиту.
- Не надавати згоду на обробку своїх персональних даних, у такому разі їх ПД не можуть бути зібрані та оброблені (крім встановлених законом винятків).
- Вимагати від власника/розпорядника зміни чи видалення своїх даних у тому випадку, якщо вони є недостовірними або були зібрані/оброблені незаконно. Якщо мета обробки ПД змінилася, то власник чи розпорядник повинні наново запросити згоду в їх суб'єктів.
- На захист персональних даних від випадкової втрати, пошкодження чи знищення, а також їх незаконної обробки.
- Знати механізми та методи автоматизованої обробки персональних даних.
- Надавати згоду на обробку персональних даних з обмеженнями, відкликати згоду на обробку ПД.
- Застосовувати засоби правового та інформаційного захисту персональних даних у разі порушення законодавства у цій сфері.
У країнах Євросоюзу персональні дані фізичних осіб контролюються регламентом GDPR (General Data Protection Regulation), який набув чинності у 2018 році. Відповідно до нього, користувачі сервісів/сайтів/додатків, клієнти компаній та інші особи-суб'єкти ПД отримали такі засоби захисту персональних даних:
- Право на доступ. Дозволяє суб'єктам ПД ознайомитися зі збереженими у третіх осіб персональними даними та дізнатися, для яких цілей вони використовуються, з яких джерел отримані, на які автоматичні рішення впливають, як довго зберігаються, кому і куди передаються (у тому числі, як усередині країни, так і за кордон).
- Право на уточнення. Дає можливість вимагати внесення змін до некоректної чи неактуальної інформації – наприклад, при зміні імені чи прізвища, паспортних даних, місця проживання тощо.
- Право на видалення. Завдяки GDPR, користувачі можуть вимагати видалити будь-які персональні дані, які зберігаються у третіх осіб. Наприклад, якщо початкова мета їх збору втратила актуальність, суб'єкт скасував свою згоду на їх обробку або якщо вони збиралися і оброблялися незаконно.
- Право на обмеження обробки. Регламент дозволяє суб'єктам вимагати призупинити використання їх ПД у разі їх неточності чи недостовірності, незаконності обробки, а також у тому випадку, якщо контролер їх більше не потребує.
- Право на перенеення даних. Персональні дані можуть бути перенесені з однієї бази до іншої лише за згодою їх суб'єктів і лише за допомогою автоматизованої обробки.
- Право на заперечення. Користувачі мають право висловити свою незгоду з опрацюванням їх персональних даних за наявності певних причин у сфері публічності чи легітимності.
- Право не бути об'єктом автоматичних рішень. GDPR дозволяє користувачам не погоджуватися з тим, щоб будь-які рішення щодо них приймали автоматизовані засоби без участі людини. Це право не діє у тому випадку, якщо таке рішення є обов'язковим для укладання або виконання контракту.
- Право на скаргу. Суб'єкт ПД може поскаржитися на будь-яке порушення, пов'язане з його персональними даними, до наглядового органу за місцем скоєного порушення або за місцем його проживання/роботи.
- Право на компенсацію. У разі порушення вимог GDPR контролер даних зобов'язаний виплатити штраф державі та компенсацію суб'єкту ПД за будь-яку шкоду, яку було завдано йому під час їх збору та обробки.
Підбиваючи підсумки
Персональні дані – це різні відомості про фізичних осіб, які збираються та обробляються бізнесом та іншими структурами в онлайні та офлайні. Вони включають кілька категорій інформації, зокрема загальнодоступні, спеціальні, біометричні та інші. Персональні дані є корисним джерелом інформації для аналізу за допомогою технологій big data, а потім використання цих відомостей у рекламі та маркетингу.
Збір та обробка персональних даних регламентуються законодавством багатьох країн – наприклад, законом України «Про захист персональних даних» та регламентом GDPR у країнах Євросоюзу. Також деякі компанії самі захищають персональні дані своїх користувачів від доступу третіх осіб – наприклад, корпорація Apple, яка оновила правила конфіденційності навесні 2021 року.
Apix-Drive – простий та ефективний конектор систем, який допоможе вам автоматизувати рутинні завдання та оптимізувати бізнес-процеси. Ви зможете заощаджувати час та кошти, спрямувати ці ресурси на найважливіші цілі. Протестуйте ApiX-Drive і переконайтеся, що цей інструмент розвантажить ваших співробітників і вже після 5 хвилин налаштувань ваш бізнес почне працювати швидше.