ІТ право: проблеми і перспективи розвитку в Україні (четверта міжнародна щорічна конференція)

Бордюг Т. О.,

аспірантка Київського університету права 

Національної академії наук України

ORCID: 0000-0002-3300-8653

Актуальність теми зумовлена тим, що стрімкий розвиток технологій за останні десятиліття дав змогу збирати та опрацьовувати великий масив даних, що є безпрецедентним у всій історії людства. І хоча такий збір і опрацювання персональних даних може нести у собі і користь для користувача, все ж таки ці процеси відкрили для приватного життя особи і нові загрози.

Тому метою даного дослідження є здійснення аналізу основних нововведень GDPR, якими вдалося подолати найбільші загрози для персональних даних користувачів мережі Інтернет у ЄС.

Виклад основного матеріалу. Відомо, що право на недоторканість приватного життя тісно пов’язане із правом на захист персональних даних, які завдяки мережі Інтернет можна отримати про користувача безліч. Завдяки росту популярності соціальних мереж люди почали добровільно ділитися своїми персональними даними, не завжди розуміючи, які ризики це їм несе.

Проф. Дж. Голбек у своїй доповіді на TEDxMidAtlantic 2013 розповіла про те, що прості лайки у соцмережі можуть розказати про людину більше, аніж вона думає. Так, відслідковуючи і аналізуючи лайки в мережі можна дізнатися про психологічні особливості людини, її інтереси, схильності, шкідливі звички, спрогнозувати поведінку на роботі чи в окремих ситуаціях. А маючи таку персональну інформацію, як наприклад, про особливості характеру та/чи шкідливі звички людини, роботодавець може не прийняти особу на роботу [1]. 

Відслідковування того, як людина розпоряджається своїми коштами може дати можливість банку спрогнозувати і визначити платіжну спроможність особи і відмовити їй у наданні кредиту. Використання інформації про інтереси і особисті проблеми людини дає можливість маркетологам маніпулювати свідомістю для того, щоб змусити людину придбати той чи інший продукт, а інформація про освіту людини, її світогляд та психологічні особливості дає змогу маніпулювати свідомістю людей у політичних цілях для того, щоб вплинути на результати виборів тощо. А це вже ставить під загрозу не лише свободу особистості, а й існування демократії як такої.

Виходячи з цього, абсолютно логічними і справедливими здаються слова колишнього генерального секретаря ООН та лауреата Нобелівської премії миру, Кофі Аннана, який зазначав: «Технології не стоять на місці, не повинна стояти і демократія. Ми повинні діяти швидко, тому що нинішній цифровий прогрес може виявитися лише початком небезпечного шляху, що веде в оруелівський світ під контролем «Великого брата», в якому мільйони сенсорів наших смартфонів і інших пристроїв збирають дані, роблячи нас уразливими для маніпуляцій. Хто повинен володіти всіма даними, які збирають наші телефони і розумні годинник? Як повинні використовуватися ці дані? Чи повинно використання цих даних іншими особами здійснюватися з нашої згоди? Перед ким несуть відповідальність ті, хто використовує наші дані? Все це великі питання, відповіді на які визначать майбутнє самої свободи» [2].

І хоча до прийняття GDPR існувати нормативно-правові акти, які намагалися якось регулювати питання захисту персональних даних, використання новітніх інформаційних технологій із їх перевагами та загрозами далеко вийшло за межі існуючи тоді законів. Тому у відповідь на загрози, перед якими постало людство у сфері збирання та використання персональних даних, було прийнято Загальний регламент захисту даних 2016/679 від 27 квітня 2016 року (Regulation of the European Parliament and of the Council of the European Union on the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC – General Data Protection Regulation, or GDPR). Документ викликав багато дискусій і став причиною величезних штрафів для багатьох транснаціональних компаній, таких як Google та Facebook, а також і для інших значно менших підприємств.

Які ж відповіді на загрози для персональних даних дає GDPR? Перш за все, варто звернути увагу на визначення, які закріпив це документ. Так, у ньому запропоновано зовсім інший підхід до розуміння персональних даних, до яких відноситься не лише інформація, яка прямо й безпосередньо встановлює особу, а й та опосередкована інформація, за якою конкретну особу можна ідентифікувати. Цим визначенням також було розширено розуміння персональних даних, до яких тепер включили і біометричні дані, інформацію про стан здоров’я, генетичні дані, дані про геолокацію, IP-адресу тощо. 

Так, відповідно до статті 4 GDPR, «персональні дані» означає будь-яку інформацію, що стосується фізичної особи, яку ідентифіковано чи можна ідентифікувати («суб’єкт даних»); фізична особа, яку можна ідентифікувати, є такою особою, яку можна ідентифікувати, прямо чи опосередковано, зокрема, за такими ідентифікаторами як ім’я, ідентифікаційний номер, дані про місцеперебування, онлайн-ідентифікатор або за одним чи декількома факторами, що є визначальними для фізичної, фізіологічної, генетичної, розумової, економічної, культурної чи соціальної сутності такої фізичної особи [3].

Процес обробки персональних даних також отримав своє нове визначення, а також введено нове поняття profiling. Так, відповідно до статті 4 GDPR, «опрацювання» означає будь-яку операцію або низку операцій з персональними даними або наборами персональних даних з використанням автоматизованих засобів або без них, такі як збирання, реєстрація, організація, структурування, зберігання, адаптація чи зміна, пошук, ознайомлення, використання, розкриття через передавання, розповсюдження чи надання іншим чином, упорядкування чи комбінування, обмеження, стирання чи знищення [3]. 

Також було введено поняття «профайлингу», під яким, згідно тієї ж статті 4 GDPR, розуміють будь-яку форму автоматизованого опрацювання персональних даних, що складається із використання персональних даних для оцінювання окремих персональних аспектів, що стосуються фізичної особи, зокрема, для аналізу або прогнозування аспектів, що стосуються продуктивності суб’єкта даних на роботі, економічної ситуації, здоров’я, особистих переваг, інтересів, надійності, поведінки, місцезнаходження або пересування [3].

Таке опрацювання персональних даних, у тому числі тих, які дають змогу спрогнозувати поведінку особи, тепер можливе лише за наявності чіткої правової підстави. Відповідно до статті 6 GDPR, опрацювання є законним, лише якщо виконано та мірою виконання принаймні однієї з наведених нижче умов:

1. суб’єкт даних надав згоду на опрацювання своїх персональних даних для однієї чи декількох спеціальних цілей;
2. опрацювання є необхідним для виконання контракту, стороною якого є суб’єкт даних, або для вжиття дій на запит суб’єкта даних до укладення договору;
3. опрацювання є необхідним для дотримання встановленого законом зобов’язання, яке поширюється на контролера;
4. опрацювання є необхідним для того, щоб захистити життєво важливі інтереси суб’єкта даних або іншої фізичної особи;
5. опрацювання є необхідним для виконання завдання в суспільних інтересах або здійснення офіційних повноважень, покладених на контролера;
6. опрацювання є необхідним для цілей законних інтересів контролера або третьої сторони, окрім випадків, коли над такими інтересами переважають інтереси фундаментальних прав і свобод суб’єкта даних, що вимагають охорони персональних даних, особливо, якщо суб’єктом даних є дитина [3].

Окрім цього, персональна інформація, яка може збирається контролером, повинна чітко відповідати меті діяльності компанії і не виходити за її межі. У самі ж бізнес-процеси захист персональних даних повинен бути закладений із самого початку, тому було введено поняття захисту даних за призначенням та за замовчуванням (and data protection by design and by default) (ст. 25 GDPR). 

Для максимального захисту осіб від несанкціонованого використання їх персональних даних GDPR встановив також такі важливі права: право доступу суб'єкта даних (включаючи доступ до такої інформації, як цілі обробки та категорії відповідних персональних даних, одержувачі або категорії одержувача, яким персональні дані були або будуть розкриті, та передбачений період, протягом якого персональні дані будуть зберігатися, або, якщо це неможливо, критерії, що використовуються для визначення цього періоду – ст. 15); право на виправлення (ст. 16); право на стирання («право бути забутим») (ст. 17 ); право на обмеження обробки (ст. 18).

Таким чином, збір, обробка та використання будь-яких персональних даних, у тому числі із сайтів соціальних мереж чи інших сайтів у мережі Інтернет без згоди особи або іншої правової підстави є неправомірним та карається великими штрафами, розміром до 10 000 000 євро або 2% річних від обороту компанії при незначних порушеннях та до 20 000 000 євро або 4% річних від обороту компанії при порушеннях, які несуть значні ризики для конфіденційності та безпеки персональних даних осіб. Це змусило багатьох компаній, особливо таких як Google, Apple, Facebook, переглянути та переосмислити свій підхід до збору та використання персональних даних, а також удосконалити взагалі весь механізм шифрування даних. На підставі цього, можна говорити про те, що GDPR повернув користувачам контроль над їхніми персональними даними.

При цьому хочеться також додати, що дія документу не розповсюджується на обробку персональних даних фізичною особою під час чисто особистої чи побутової діяльності і, отже, не у зв’язку з професійною чи комерційною діяльністю, а також на діяльність компетентних органів з метою запобігання, розслідування, виявлення або переслідування кримінальних правопорушень або виконання кримінальних покарань, включаючи захист та запобігання загрозам суспільній безпеці та вільному переміщенню таких даних [3].

Висновки. Отже, запроваджені GDPR правила регулювання захисту персональних даних у мережі Інтернет повернули користувачам контроль над використанням їх персональних даних, тому для захисту користувачів мережі Інтернет в Україні,  національне законодавство слід привести у відповідність із GDPR та запровадити аналогічні правила регулювання збирання, оброки та використання персональних даних українців, які наразі, у порівнянні із громадянами ЄС, є зовсім не захищеними у цій сфері.

І наостанок варто також зазначити, що GDPR є не суто юридичним документом, а й технічним, тому що регламентує не лише юридичні аспекти захисту персональних даних, а й встановлює вимоги для технічних рішень по зберіганню та обробці персональних даних. А тому він вимагає співпраці юристів та IT-спеціалістів для пошуку найкращих рішень щодо забезпечення захисту та конфіденційності персональних даних осіб.

Список використаних джерел:

1. Golbeck, J. Your Social Media Likes Expose More Than You Think / J. Golbeck [Електронний ресурс]. – Режим доступу: https://www.ted.com/talks/jennifer_golbeck_your_social_media_likes_expose_more_than_you_think (дата звернення 18.11.20). – Назва з титул.екрану.
2. Kofi, A. How IT Threatens Democracy / A. Kofi [Електронний ресурс]. – Режим доступу: https://www.project-syndicate.org/commentary/digital-threats-to-democracy-by-kofi-a-annan-2018-02 (дата звернення 18.11.20). – Назва з титул.екрану.
3. Загальний регламент захисту даних (GDPR) [Електронний ресурс]. – Режим доступу: https://www.kmu.gov.ua/storage/app/media/uploaded-files/es-2016679.pdf (дата звернення 18.11.20). – Назва з титул.екрану.