Особа 5 задоволено потягнулась: її дані в безпеці. У реєстрі судових рішень вона всього лише Особа 5. Але це вона ще не знала, що післязавтра вправні маркетологи доберуться до іншого відкритого реєстру й завалять її поштову скриньку паперовим спамом. Ну бо це ж відкриті дані, а значить можна.
Чому це не так? Читайте CIPP/E, CIPM, партнерки Axon Partners, керівниці практики захисту персональних даних Оксани Задніпровської про відкриті дані й про те, як їх використати, не порушуючи приватності українців.
Відкриті дані — це про що
Давайте від зворотного. Задум відкритих даних не в тому, щоб щось десь опублікувати і воно стало навіки відкритим, аби будь-хто його використовував як заманеться. І це навіть не про публічні дописи у Facebook чи X.
Відкриті дані — це коли держава має купу публічних даних про свої процеси й проєкти і вирішує зробити їх доступними безкоштовно. Це про дані, які розкриваються громадянському суспільству, щоб сприяти інноваціям, антикорупції та залучати суспільство до управління й усвідомлення проблем, які існують у державі.
Є навіть Міжнародна хартія відкритих даних, необовʼязковий документ, до якого приєднуються держави, які готові розкривати дані певним чином і якісно підтримувати їх публічними. З 2015 року до Міжнародної хартії долучилися 96 урядів, й Україна серед них із 2016 року.
Що з цього розвинулося? Український портал відкритих даних. З купою відкритих реєстрів, на основі яких клепалися сотні журналістських розслідувань і десятки класних продуктів, як-от OpenDataBot чи Vkursi. Завдяки відкритим даним ми маємо нові адміністративні послуги, які можна отримувати онлайн, ми можемо захистити себе від шахрайства в бізнесі чи в разі покупки нерухомості. У відкритих реєстрах можна знайти дані про юросіб і ФОПів, про нотаріусів та адвокатів, про нерухомість та обʼєкти комунальної власності, транспортні засоби і їхніх власників, про загублені паспорти, про боржників. Дані подаються в такій формі, щоб їх можна було використовувати для бізнесу або для себе особисто, обробляти вручну чи автоматично. Уявіть, що, наприклад, зможе з відкритими даними зробити якісний продукт на основі штучного інтелекту!
Але з відкритості даних у реєстрах виросли ноги й у побічних ефектів, як-от несподівана брошура про лігалтек-продукт для адвокатів у моїй особистій поштовій скриньці. Відкриті дані зіткнулися з персональними, а бізнеси, які з ними працювали, цього не усвідомили.
Персональні дані — це про що
Є думка, що якщо дані персональні — то вони секретні. Але це логічна помилка.
Персональні дані — це дані про людину, яка ідентифікована або може бути конкретно ідентифікована. До того ж не важливо, чи це усна інформація, чи письмова (електронна), чи людина її тримає при собі, чи всім розповідає. Від цього інформація не перестає бути персональними даними.
Це інформація будь-якого характеру про людину: про її особисте життя, роботу, хобі, сімейний стан, стан здоровʼя, де вона живе, що полюбляє, з ким проводить час і коли, дані про її пристрій, коли ці дані можна повʼязати з конкретною особою. Це про фото, адресу електронної пошти, номер телефону. І цей перелік можна продовжувати. У ЄС, наприклад, уже прямо визнаються персональними даними ІР-адреса і cookie-ідентифікатори, які допомагають аналізувати поведінку конкретного користувача продукту (куди він клацнув, на чому довго сидів, якою мовою переглядає сторінки, звідки прийшов). Чим розвиненіші технології, тим легше повʼязати якусь, здавалося би, дрібничку з життя Оксани з конкретною людиною, Оксаною Задніпровською, партнеркою Аксон Партнерз.
Тож поміж відкритих даних може легко затесатися інформація про особу: її повне імʼя, номер телефону, адреса, посада, місто, у якому людина працює. Інколи цю інформацію підчищає розпорядник відкритих даних (той, хто завантажує і підтримує базу відкритих даних актуальними). Але в більшості ситуацій, якщо це інформація про підприємців чи людей з особливим статусом (держслужбовців, адвокатів, нотаріусів) — вона все одно потрапляє в реєстри.
Отже, відкриті дані можуть бути персональними даними або ні. Що робити, якщо вони персональні?
Закон України «Про доступ до публічної інформації» визначає правила роботи з персональними даними для розпорядників. Є правило, що персональні дані треба:
- або зачищати з відкритих даних,
- або отримувати згоду від людей на публікацію, або ж можуть бути винятки, коли згоди не треба, бо
- публікація передбачена законом
- або закон прямо забороняє приховувати дані.
Закон про публічну інформацію не визначає, як поводитися з відкритими персональними даними організаціям, які вирішують скористатися публічними даними. Щоб це зрозуміти — нам у Закон України «Про захист персональних даних». Далі — про основні вимоги й поняття на прикладах.
Володілець даних. Якщо організація вирішує використовувати дані з відкритих реєстрів, і там є персональні дані, то ця організація стає «володільцем» — особою, яка визначає цілі й засоби обробки персональних даних. А значить на організацію покладаються обовʼязки захищати ці дані.
Скажімо, держава як володілець даних опублікувала адреси реєстрації ФОПів. Далі приходить ТОВ «Мандаринка» і вирішує зібрати собі з імен, видів діяльності та адрес цих ФОПів статистичну картину, скільки ФОПів будуть зацікавлені в дистрибуції мандаринів у місті Київ. Оскільки ФОП — це людина, дані про імʼя та адресу ФОПа є персональними даними. А значить ТОВ «Мандаринка» стає володільцем даних про ФОПів.
Обробка даних. Але ви скажете, що ТОВ «Мандаринка» бере дані про людину як підприємця, а не людину в її особистому чи сімейному житті. Ще й не зберігає собі бази даних, а аналізує їх за допомогою штучного інтелекту і, отримавши статистику (кількість ФОПів у різних районах міста Київ), одразу видаляє зайві дані. То може, вона їх не обробляє зовсім?
Будь-який аналіз даних є їх використанням, тому це вже «обробка» за нашим законодавством. Отже, якщо хочете щось зробити з відкритими персональними даними, найімовірніше, ви їх «оброблятимете». І тут вас наздоганяють обовʼязки володільця, наприклад:
- Дані мають оброблятися законно. Володілець має використовувати принаймні 1 із 6 підстав для обробки, які встановлені законом. Улюблена підстава всіх українських організацій — згода. Але не треба нею обмежуватися, бо вона дуже складна. Згода має бути добровільна, поінформована, людина повинна мати змогу її легко відкликати й не погодитися без негативних для себе наслідків. Крім згоди, є ще така підстава як законний (легітимний) інтерес — це інтерес бізнесу, який має зважуватися з рівнем втручання в приватність людини.
Наприклад, ТОВ «Мандаринка» має прикинути, чи очікують ФОПи, що їх дані з реєстру підуть на статистику якійсь компанії, чи мають ФОПи досить інформації про обробку даних ТОВ «Мандаринка», чи можуть захистити свої права і відмовитися від обробки. Якщо відповідь на все буде «так», то, найімовірніше, можна використовувати легітимний інтерес.
- Мета обробки обмежена згодою. Тут юрист ТОВ «Мандаринка» спитає: «Так а нащо нам згода чи легітимний інтерес, якщо людина при публікації даних у реєстри погодилася, що її дані будуть у реєстрі? Вона ж розуміє, що це відкриті дані!»
Усе так, але ж погоджувалася людина не на те, що:
- дані буде обробляти ТОВ «Мандаринка»,
- цілі будуть виходити за межі цілей держави (підтримувати публічність даних у межах законодавства про відкриті дані).
У нашому законодавстві є правило про обмеження мети обробки. Якщо дані збиралися для однієї цілі, їх можна обробляти лише з такою ціллю, про яку повідомили особу чи на яку вона погодилася. Для інших цілей треба мати іншу підставу (згоду на кожну ціль окремо, згоду на передачу даних третім особам).
- Дані мають оброблятися прозоро. Коли ТОВ «Мандаринка» отримала дані про ФОПів не напряму від цих ФОПів, то вона має повідомити людей про свої наміри: хто буде обробляти дані, які дані, для чого, кому передаватимуться дані і які є права в людини. Коли дані збирали не напряму в людини, то є обовʼязок повідомити людей протягом 30 днів із моменту отримання даних.
У випадку з відкритими даними, це складна задача. Якщо немає контактних даних кожної людини — тут треба шукати творчі підходи, наприклад, публікувати свої політики в очевидних місцях, поширювати інформацію про свої практики в ЗМІ. Або приймати ризики про те, що повідомити людям про обробку їхніх даних ви обʼєктивно не зможете.
- Мінімізація обробки. Дані мають бути релевантними, адекватними й ненадмірними щодо мети, для якої вони використовуються. ТОВ «Мандаринка» зробить дуже правильно, якщо видалить усі дані, які їй не потрібні, одразу після отримання статистики.
- Захист даних. Володілець має захищати дані від помилок і втручань. ТОВ «Мандаринка», поки робить свої статистичні махінації, не може допустити, щоб у її процеси хтось втрутився і це призвело до втрати даних, незаконного доступу. Тут допоможе псевдонімізація, шифрування, обмежений доступ до даних та алгоритмів, які їх аналізують, лише обмеженого кола осіб із ТОВ.
- Права людини. Якщо вже взялися використовувати персональні дані — мусите гарантувати, що кожен ФОП, із чиїми даними ви працюєте для своїх цілей, міг отримати доступ до своїх даних, виправити їх, відмовитися від їхньої обробки. Про ці права людина має почути від ТОВ «Мандаринка» протягом 30 днів із моменту отримання даних. Щонайменше потрібно про це написати в політиці приватності на сайті компанії.
Як бізнесам НЕ використовувати відкриті персональні дані
Декілька прикладів, що з відкритими персональними даними організації робити не повинні:
- Неправомірний продаж баз. Формувати свої бази даних на основі персональних даних із відкритих реєстрів і продавати ці бази іншим компаніям без згоди чи іншої підстави. Так само компанії, які купили бази, не зможуть законно використовувати їх, якщо самі не мають правової підстави для обробки, не повідомили людей про те, що мають їхні дані, не мають політик щодо обробки таких даних.
- Неправомірна розсилка. Розсилати рекламні брошури на особисті адреси адвокатів без згоди цих адвокатів, без додаткових пояснень, хто організація, де взяла дані і як адвокат може легко відмовитися.
- Неправомірні маркетингові дзвінки. Без згоди телефонувати з пропозицією відкрити банківський рахунок у їхньому банку ФОПам, які щойно зареєструвалися і яких ці банки ніколи не бачили. Особливо якщо це відбувається без додаткових пояснень, хто організація, де взяла дані і як відмовитися від цих дзвінків.
- Штучний інтелект у дії без аналізу ризиків. Обробляти дані з реєстрів за допомогою штучного інтелекту, не зробивши перед тим аналіз ризиків, як ця обробка буде впливати на права людей, чиї дані будуть оброблятися, і не впровадивши корисні практики, як-от:
- політика приватності,
- спосіб донесення до людей інформації про обробку їхніх даних,
- визначення підстави обробки даних,
- визначення, як будете реалізувати права людей, чиї дані обробляєте,
- визначення, як будете захищати дані людей від помилок і неточностей, втручань зловмисників чи втрати.
А як можна
Якщо просто — дослідивши вимоги законодавства і їх застосування до вашої конкретної обробки. Поширені в Україні практики, які можна налаштувати правильно, відповідно до законодавства про захист персональних даних:
- KYC і background check щодо бізнесів. Background check щодо працівників в Україні ризикований. Незаконно відмовляти людині в працевлаштуванні на підставі того, що людина має судимість чи інші «чорні плями» на репутації, бо це ознака дискримінації. Але перевіряти компанії та їхніх бенефіціарів із точки зору можливості оплачувати рахунки чи неповʼязаності із країною-агресором — це ок.
- Маркетингові розсилки і дзвінки. Збирати дані з відкритих баз для маркетингових цілей можна. Просто треба дослідити кожен специфічний випадок. Найбільша проблема — підібрати правильну правову підставу, бо легітимний інтерес підійде далеко не для кожної маркетингової активності. Так само треба пропрацювати механізм роботи з людьми, чиї дані потраплять у бази для маркетингових активностей: що їм повідомляти і як, що документувати всередині компанії.
- Продаж доступу до продукту, що може містити бази з персональними даними. Окрім того, що дослідити, чи є у власника продукту правова підстава й чи може він реалізувати права людей щодо персональних даних, треба повідомити своїх клієнтів про характер продукту.
Наприклад, продукт пропонує організаціям на основі даних з Українського порталу відкритих даних запитувати певну інформацію для KYC через зручний інтерфейс. Якщо в цьому продукті організація використовує бази відкритих даних, що містять персональні дані, то власник продукту має повідомити своїх клієнтів, що продукт містить бази з персональними даними. Треба дати клієнтам зрозуміти, що вони стають незалежними володільцями за законодавством про захист персональних даних, у яких виникають певні обовʼязки.
Навіщо паритися?
«Навіщо це все робити», — спитаєте ви, організації, які знають, що в Україні максимальний штраф за порушення законодавства про захист персональних даних менший за 1000 доларів.
Щоби бути кращими за інших. Щоб орієнтуватися на європейські стандарти якості. І щоби підготуватися до ухвалення законопроєкту про захист персональних даних, над яким активно працює Верховна Рада України. Щоби потім не робити все в останній момент.
0 комментариев
Добавить комментарий