Ті, що забагато про нас знають. В Україні дослідили, як найбільші техкомпанії розпоряджаються персональними даними клієнтів

20 вересня експерти української громадської організації «Інтерньюз-Україна» презентували Індекс захисту персональних даних-2021 – результати дослідження корпоративної політики 20 провідних приватних українських технологічних компаній щодо персональних даних клієнтів.
За основу взяли методологію Ranking Digital Rights, розроблену американською неурядовою організацією New America, та адаптували її до українських реалій.
Дослідники (юристи та експерти з цифрових технологій) оцінили ступінь дотримання українського та європейського законодавства у цій сфері, які персональні дані й наскільки коректно збираються, як вони використовуються, чи надійно зберігаються.

До списку аналізованих увійшли: Kyivstar, Lifecell, Vodafone, Rozetka, Olx.ua, Nova poshta, Ukr.net, Comfy.ua, Foxtrot.ua, Eldorado.ua, Prom.ua, Citrus.ua, Allo.ua, Kasta.ua, MakeUp.com.ua, Zakaz.ua, Silpo, Triolan, DataGroup, Lanet.

Кожна компанія могла набрати максимум 100% за усіма параметрами.

Загалом висновки такі: 12 із 20 приватних компаній (Foxtrot.ua, Kyivstar.ua, Comfy.ua, Allo.ua, Kasta.ua, Prom.ua, NovaPoshta.ua, Vodafone.ua, Zakaz.ua, Citrus.ua, Olx.ua та Ukr.net) отримали щонайменше 50% і більше від максимальної кількості балів.
У лідерах – Olx.ua з показником 77,5%, Ukr.net та Foxtrot.ua з показником по 70% балів відповідно (зміни внесено 24.09 після виправлення і оновлення результатів дослідження). В аутсайдерах – мережа супермаркетів Silpo.ua та інтернет-провайдери Lanet і Triolan, що набрали 30% і менше.

Чому це важливо?

Спочатку ви ставите «галочку» згоди на збір особистих даних під час реєстрації на сайті задля отримання якоїсь послуги (або вас навіть не питають про згоду).

Вказуєте своє ім’я, прізвище, електронну адресу, номер телефону, можливо, реєструєте для зручності свою банківську картку чи даєте доступ до відстеження локації. А можливо, пов’язуєте акаунт на сайті зі своїми профілями у соцмережах чи на інших сайтах.
Потім усе може бути чудово або ні.
Є ризик, що певна компанія надсилатиме вам надто багато рекламних повідомлень – це нікого не дивує.
Також є ризик, що можуть почати спамити повідомленнями інші продавці, пропонувати якийсь непотріб. А ще можуть набридати дзвінками шахраї чи колектори. Хтось може зіткнутися навіть зі спробами зламу своїх акаунтів чи отримання доступу до особистої фінансової інформації.

Це все історії про недостатній захист та різний ступінь зловживання персональними даними споживачів, яких у великих і маленьких приватних компаній стає дедалі більше.
Тож дедалі актуальнішими є питання про те, як саме компанії цими даними розпоряджаються, з ким і на яких умовах ними діляться, де і як зберігають.

Які проблеми з використанням персональних даних українців?

Щоб це з’ясувати, дослідники вивчали офіційні сайти обраних компаній, аналізували взаємодії користувачів з компаніями в онлайні та надсилали індивідуальні запити з уточненнями на офіційні адреси компаній.

Типові проблеми: бізнеси збирають надто багато даних (більше, ніж мінімально потрібно для надання певної послуги), особисті кабінети користувачів не мають функції посиленого захисту, згода користувача на опрацювання його персональних даних не завжди є очевидною для нього.

Наприклад, половина з досліджуваних компаній не інформують користувачів, де і як зберігаються їхні дані (де саме розташовані сервери).
– Ми не просимо вказувати конкретну локацію серверів, де зберігаються дані користувачів, – зазначив ініціатор дослідження Віталій Мороз, – але було б важливо розуміти, що сервери розташовані, наприклад, не в Росії чи Китаї.

На сайтах чотирьох компаній (Vodafone.ua, Silpo.ua, Triolan.com, Lanet.ua) немає позначки для користувача немає позначки для користувача про надання дозволу на оброблення його персональних даних, хоча це одна з вимог українського законодавства.

На сайтах чотирьох компаній (Triolan.com, Makeup.com.ua, Silpo.ua, Lanet.ua) користувачі не мають можливості видалити свої збережені особисті дані – після того, як припинили користуватися їхніми послугами.
На більшості досліджуваних сайтів (15 з 20-ти) не описані умови видалення акаунту на вимогу користувача.
– Olx.ua – одні з лідерів, але і їм варто мінімізувати дані, які вони збирають про користувачів, Ukr.net варто було б надати користувачам можливість отримати копію своїх персональних даних, – зазначив експерт з цифрової безпеки Павло Бєлоусов.

Також дослідники рекомендують чітко і лаконічно формулювати політику конфіденційності (не на 39 сторінках дрібним шрифтом) та прозоро пояснювати, з ким і з якою метою компанії діляться даними своїх клієнтів.

З детальними результатами дослідження по кожному пункту для кожної з 20-ти досліджуваних компаній можна ознайомитися за посиланням.

Що означає законопроєкт № 5628 для бізнесу і для клієнтів

Це дослідження важливе ще й у контексті того, що в Україні невдовзі планують узгодити законодавство у сфері захисту персональних даних з вимогами Загального регламенту про захист даних ЄС (більш відомого як GDPR). Про це йдеться у законопроєкті № 5628 про захист персональних даних, який зареєстрували у Верховній Раді 7 червня 2021 року.
У разі його ухвалення вимоги до захисту персональних даних українців будуть жорсткішими, приватним компаніям доведеться витрачати більше ресурсів на захист даних своїх користувачів, вводити посаду контролерів захисту персональних даних, повідомляти клієнтам про витоки таких даних тощо.
Штрафи за порушення правил використання персональних даних для компаній сягатимуть 150 млн грн.

персональні дані інфографіка захист даних дослідження Індекс захисту персональних даних GDPR