Атака ботов

Вы тоже получаете сообщения с рекламой службы такси, услугами которой никогда не пользовались, звонки с предложениями приобрести неизвестный Вам товар или воспользоваться какой то-услугой. Вы тоже каждый раз раздраженно спрашиваете себя, откуда они знают мой номер телефона?

Не так давно в Telegram появился бот, в базе которого содержится около 30 млн. номеров мобильных телефонов украинцев. Бот находит ФИО владельца по номеру его телефона и наоборот, номер телефона по ФИО или автомобильным номерам.

Бот предлагает сделать поиск по 3 номерам в день бесплатно, после чего предлагает либо приобрести VIP пакет, либо получить дополнительный лимит, добавив контакты со своей телефонной книги. 50 друзей = безлимит, и бот предлагает самой простой вариант – делать это через групповой чат.

Нереализуемые права о защите персональных данных

Персональные данные — это ведомости или совокупность ведомостей про физическое лицо, которое идентифицировано или может быть идентифицировано. Их сбор, обработку, охрану, передачу и защиту регулирует Закон Украины «О защите персональных данных» от 01.06.2010.

Таким образом, каждый из нас (физическое лицо) в понимании Закона является субъектом персональных данных. Среди наших прав (определенных ст. 8 Закона) есть право знать об источниках сбора, местонахождении своих данных, цель их обработки, местонахождение лица, осуществляющего обработку ПД.

Можем ли мы по факту реализовать все эти права в вышеуказанных случаях, при обработке ПД Telegram ботом или теми же службами такси, от которых мы так настойчиво получаем сообщения? Нет, ведь мы даже не знаем, каким образом были получены наши ПД, так как не давали согласие на их обработку.

Но даже предоставление письменного согласия на обработку ПД не гарантирует, что наши ПД обрабатывают согласно порядку, установленному законодательством.

Когда в следующий раз будете подписывать очередной договор, обратите внимание на пункт об обработке ПД (иногда это отдельное соглашение-согласие к договору). В большинстве случаев Вы увидите максимально общие формулировки, например: даю согласие на обработку своих ПД на неопределенный срок, с правом передачи таких прав третьим лицам. Со ст.8 ЗУ «О защите персональных данных» ознакомлен.

А вместе с тем, каждый субъект, прежде чем предоставить свое согласие на обработку ПД, должен иметь ответы на следующие вопросы:

- кто будет осуществлять обработку ПД (название владельца, адрес, контактные телефоны);

- цель обработки (сформулирована четко и понятно);

- какие ПД будут обрабатываться (конкретный исчерпывающий перечень ПД);

- какие именно действия с ПД предусматривает их обработка (сбор, сохранение, передача, обнародование);

- кому могут быть переданы ПД, с какой целью и на каких обоснованиях;

- сколько времени ПД будут храниться у владельца.

Бизнес преимущественно относится к обязательствам по защите персональных данных поверхностно и декларативно, так как законодательство не предусматривает практический механизм защиты ПД и устанавливает незначительные штрафы за нарушения (КУаАп ст. 188-39 ориентировочно 1700-17 000 грн.).

Где ПД в безопасности?

Относительно безопасно передавать ПД компаниям, подпадающим под действие GDPR. С 25 мая 2018 года вступил в силу регламент ЕС в области обработки персональных данных резидентов ЕС - General Data Protection Regulation (GDPR). GDPR на сегодня – один из самых прогрессивных регламентов в данной сфере.

Несмотря на то, что GDPR – это внутренний документ ЕС, его особенность в экстерриториальном принципе действия и распространяется на компанию, если:

- компания находится (зарегистрирована) на территории ЕС, независимо от того, где именно происходит обработка ПД (в рамках ЕС или нет);

- обработка ПД субъектов, которые находятся в ЕС, компанией, которая находится за границами Союза, если обработка связана с:

а) поставка товаров или услуг осуществляется таким субъектам данных в Союзе (оплатно или безоплатно) (что может, к примеру, указывать: наличие на сайте компании языка страны ЕС, принятия платежей в соответствующей валюте);

б) мониторинг поведение субъектов, если такое поведение имеет место в рамках Союза.

Кроме того, регламент закрепляет широкий перечень прав субъектов ПД, среди них, к примеру:

- право запросить свои данные. Telegram уже приводит свою деятельность под требования регламента: есть возможность запросить все свои персональные данные (по информации из интернета: видны все переписки, звонки, фотографии; не видны удаленные данные, переписки из секретных чатов);

- право потребовать удалить свои данные («right to be forgotten») – компания должна удалить все данные, копии, воспроизведения и т.д. Компания, соответственно, должна ввести все соответствующие технические и организационные меры для возможности реальной реализации прав субъектов и выполнения иных требований, установленных регламентом.

В то время, как для субъектов ПД защита GDPR – благо, для бизнеса, который попадает под действие регламента (Вы имеете зарегистрированную компанию на территории ЕС или же работаете с рынком ЕС (Ваши клиенты – резиденты ЕС)) – обязательство привести всю деятельность в соответствие с GDPR.

Регламент не декларативный документ, содержит реальный механизм защиты, а также предусматривает значительные штрафные санкции за нарушения (до 20 000 000 евро или до 4 процентов от общего глобального годового оборота за предыдущий фин. год).

Прецеденты привлечения бизнеса к ответственности за нарушение GDPR уже есть.