Защищены ли наши персональные данные. И как социальные сети нарушают права пользователей

Задайте себе вопрос:

Все ли мои данные достаточно защищены?

И могу ли я на 100% быть уверенным в том или ином ресурсе, которому предоставляю персональные данные?

В свете недавних скандалов с Facebook и другими социальными платформами по поводу утечки данных из баз этих провайдеров онлайн-услуг, проблема защиты персональных данных в киберпространстве сегодня актуальна, как никогда. Очевидно, что такая ситуация рано или поздно должна была повлечь за собой принятие необходимых мер и установление строжайших требований государственными и межгосударственными органами для безопасности персональной информации пользователей во всем мире.

GDPR - РЕШЕНИЕ ПРОБЛЕМЫ? 

25 мая 2018 года закончился двухлетний переходный период для подготовки к применению Общего регламента о защите персональных данных (GDPR) - акта Европейского Союза (ЕС), с помощью которого усиливается и кодифицируется защита персональных данных всех лиц в ЕС. 

Не прошло и дня после принятия Регламента, как первые жалобы на несоблюдение уже "полетели" в компетентные органы. Первыми показали недовольство пользователи из Австрии, Франции, Бельгии и Германии, начав обжаловать действия Facebook, Instagram, WhatsApp и Google в первый же день завершения этого периода.

В принципе, поданные жалобы мало чем отличаются друг от друга, так как в них обжалываются, по сути, одни и те же нарушения. Причина массового недовольства пользователей заключается в том, что эти интернет-сервисы не соблюдают условия сбора, обработки и передачи персональных данных.

ЧТО ИНТЕРЕСНО

В данный момент, пользователей, подавших жалобы, представляет общественная организация "NOYB – European Center for Digital Rights", во главе со знаменитым австрийским юристом Максимилианом Шремсом.

НАРУШЕНИЯ, НАРУШЕНИЯ, НАРУШЕНИЯ...

Итак, в Бельгии и Австрии поданы жалобы в DPA (Data Protection Authority) на Facebook и Instagram.

После того, как Facebook обновил Политику конфиденциальности, пользователей поставили перед выбором - либо полностью согласиться с Политикой конфиденциальности и Условиями пользования, либо удалить учетную запись вообще. То есть, фактически у пользователей не было возможности не согласиться с диктуемыми Facebook требованиями.

Таким образом пользователей просто вынуждали соглашаться со всеми, без каких-либо исключений, положениями Политики конфиденциальности и Условий пользования Facebook. И конечно же, люди не выбирали на какие операции по обработке персональных данных давать согласие, а на какие нет, а также не могли пользоваться сервисом, не соглашаясь на те операции по обработке персональных данных, которые не нужны для нормального пользования (например обработка персональных данных в рекламных целях).

В текстах жалоб, в том числе, говорилось и о том, что Политика конфиденциальности не информировала о том, какие операции будут проводиться и на сколько они законны. Вывод: действия Facebook по обработке персональных данных не соответствуют требованиям GDPR.

И ОПЯТЬ ТО ЖЕ САМОЕ

В аналогичной ситуации оказался и WhatsApp. В Hamburg Commissioner for Data Protection and Freedom of Information в отношении этого провайдера тоже направлена жалоба пользователями из Германии, несогласными с Политикой конфиденциальности и Условиями пользования этого сервиса.

Со дня вступления в силу GDPR во Франции рассматривается жалоба, поданная в CNIL (Commission Nationale de l'Informatique et des Libertés), на Google. Ситуация с Google интересна тем, что в мобильных телефонах с операционной системой Android, пользователю приходиться соглашаться с Условиями пользования и Политикой конфиденциальности Google для того, чтобы элементарно пользоваться своим же телефоном. Такие действия Google также являются принуждением к согласию и поэтому не соответствуют положениям GDPR и не оставляют пользователям ни малейшего выбора.

Вслед за NOYB 28 мая 2018 года французская общественная организация "La Quadrature du Net" также обжаловала в CNIL несоблюдение условий GDPR. На Facebook, Google, Apple, Amazon и LinkedIn поданы даже коллективные жалобы, от имени примерно 10000 лиц каждая.

ВКОНТАКТЕ МОЖЕТ ПОЛУЧИТЬ МНОГОМИЛЛИОННЫЙ ШТРАФ

Социальная сеть VK тоже попала под раздачу. 20 августа белорусский активист, который проживает и учится в Польше - Кристиан Шинкевич подал жалобу на VK за несоблюдение положений GDPR. В своей жалобе Кристиан описал, что он 25 мая 2018 года запросил у службы поддержки VK его персональные данные, которые имеются у Mail.Ru Group. В конце месяца администрация VK выслала ему лишь часть тех персональных данных, которые находятся в их доступе, на что Кристиан ответил им с просьбой выслать остальные персональные данные. После чего, спустя пару недель, его данные для входа в учетную запись VK были удалены. Он не мог ни войти в свою учетную запись, ни восстановить пароль, соответственно и не имел возможности написать в службу поддержки. Поэтому, он написал им на электронную почту, но ответа так и не последовало.

Скриншот скопирован из аккаунта Кристиана в Twitter

Кристиан Шинкевич подал жалобу в польское Управление по охране персональных данных (Urząd Ochrony Danych Osobowych) и потребовал блокировки vk.com на территории Республики Польша. Данная жалоба, как и остальные вышеперечисленные, все еще находятся на стадии рассмотрения.

А ВОТ И САНКЦИИ

Признание вышеуказанными органами фактов нарушения Google, Facebook и WhatsApp каких-либо положений GDPR может повлечь за собой серьезные последствия для этих компаний, а именно наложение штрафа за каждое нарушение, вплоть до 4% от ежегодного оборота этих "гигантов". 

Для Google максимальный размер штрафа может составить 3,79 миллиарда евро, а для Facebook и WhatsApp - 1,3 миллиарда евро за каждое нарушение, в отношении которых поданы жалобы. Социальная сеть ВКонтакте за свои нарушения может быть оштрафована на 20 млн. евро или на 4% от ежегодного оборота компании.

Помимо требований о выплате компенсации, пользователи в жалобах также настаивают на проведении вышеупомянутыми органами расследования на предмет того, куда собранные персональные данные направляются и какие именно данные собираются компаниями. Более того, в своих жалобах люди также просят о запрете обработки тех персональных данных, на которую они уже вынуждены были дать согласие.

И ПОД КОНЕЦ

Как видите, сразу же после вступления GDPR в силу, выяснилось, что множество людей недовольны тем, как обрабатываются их персональные данные и именно поэтому решили воспользоваться правами, гарантированными Регламентом.

Несмотря на то, что компании, на которые подали жалобы, пытались соответствовать GDPR, этого оказалось недостаточно. Возможно, это связано с тем, что мало просто обновить Политику конфиденциальности и заявить, что компания соблюдает Регламент. От этого нет никакого толку, если обработка персональных данных происходит так, как и раньше - в целях увеличения прибыли компании, а не в интересах пользователей. Не нужно декларировать соответствие положениям GDPR, необходимо соответствовать. А для этого нужно принять ряд мер юридического, организационного и технического характера. Это может быть затратно, но однозначно выгоднее, чем оплачивать штрафы за нарушение норм GDPR, уже не говоря о потере хорошей репутации.

Анализируя эти факты, можно смело сказать, что жалобы и недовольства были высказаны не то что незамедлительно, а даже в день принятия Регламента. Это говорит о том, что существует серьезный пробел в сфере защиты персональных данных, который должен быть заполнен как можно быстрее. Ведь никто не хочет, чтобы его данные, без разрешения, "гуляли" по сети.

ПАРУ СЛОВ О TELEGRAM, ПРИВАТНОСТИ И GDPR

В ходе сбора информации для написания этой статьи юристы LAWBOOTвыявили интересную особенность Telegram Messenger:

Представьте, что у вас есть телефон с Telegram, но вы купили новый и хотите авторизироваться в Telegram с этого устройства. Для этого вы скачиваете на новый телефон приложение Telegram, открываете его, вводите номер телефона и Telegram отправляет код активации на уже существующий аккаунт (старый телефон) для того, чтобы вы ввели этот код на новом телефоне. И тут магия - если до того, как ввести код на новый телефон, отправить его кому-то личным сообщением в Telegram, а потом попробовать ввести код на новом телефоне - то код не сработает. Это свидетельствует о том, что Telegram проанализировал текст сообщения и выявил, что в нем содержится код для входа на другом устройстве и этот код был деактивирован.

Вывод: у Telegram есть функционал, который позволяет анализировать личные сообщения

Кстати, если использовать для отправки кода секретный чат, или голосовое сообщение - код остается активным.

Telegram утверждает, что не имеет доступа к секретным чатам - и это похоже на правду.

Анализ личных сообщений на наличие кода активации на наш взгляд не является нарушением GDPR. Прежде всего из-за того, что такой код не является персональными данными, то есть такими данными, благодаря которым можно как-то идентифицировать личность.

Если продолжать тему GDPR, мы заметили, что Telegram не соответствует пункту 1 статьи 13 этого Регламента: "Where personal data relating to a data subject are collected from the data subject, the controller shall, at the time when personal data are obtained, provide the data subject with all of the following information:(a) the identity and the contact details of the controller and, where applicable, of the controller’s representative". То есть, Telegram должен предоставить субъекту персональных данных информацию о лице, которое является контроллером (Data Controller) и его контактные данные (а также его представителя), но при этом мессенджер не размещает в своей публичной документации эти данные.

Также, для соответствия GDPR в Telegram был создан @GDPRbot, с помощью которого можно запросить копию всех ваших данных, которые хранит Telegram и связаться с контроллером по поводу конфиденциальности персональных данных. Сейчас, при запросе копии всех хранимых данных о себе, сначала бот выдал сообщение о том, что пока идет работа над инструментом для выгрузки данных, а потом, спустя 11 дней он уведомил, что теперь можно выгрузить данные с помощью функции в настройках конфиденциальности в версии для настольных ПК.

После такого эксперимента наши юристы пришли к выводу, что @GDPRbot добавил такую функцию только 25 августа, и соответственно уведомил пользователей о возможности экспортировать свои данные. Но не поздно ли предпринимать такие действия спустя 3 месяца после вступления в силу Регламента? Ведь такой функционал должен был существовать еще до начала действия GDPR.

Теперь наша команда собирается протестировать Telegram на возможность удаления всех персональных данных по запросу. Ведь такое положение предусмотрено Регламентом и должно быть исполнено по требованию пользователя. Пока в данном боте этой возможности нет. Также, при активации функции обратной связи бот требует, чтобы обращение было подано исключительно на английском языке, и еще необходимо указать свое место пребывания и адрес электронной почты, что странно, так как пользователь имеет право обращаться к контроллеру своих персональных данных на родном языке, а электронная почта не нужна для того, чтобы была возможность ответить пользователю этого мессенджера.

Открытым остался один важный вопрос:

"Анализирует ли Telegram контент личных сообщений на наличие других данных?".

 Через пару недель мы подготовим статью, в которой расскажем как общалась с поддержкой Telegram по этому поводу.

Также, если вы столкнулись с проблемой защиты ваших персональных данных - мы, команда LAWBOOT, сможем помочь и проконсультировать вас по этому или по любому другому вопросу.

Получить консультацию   Назад

Получить консультацию