Захист даних під час війни. Що змінилося в Україні у 2023-му
Років 15 тому я замовила на одному сайті швейцарський ножик для батька. Той ножик десь загубився, коли батька не стало. Але компанія, що продала мені цей ножик, всі ці 15 років невпинно надсилає мені листи і смс. Спочатку я їх просто видаляла, потім не раз відписувалась і банила відправника. А буквально днями від них знову прийшов лист про знижки.
Мабуть у кожного в житті є свій такий “ножик”. Бо цей приклад – про те, як компанії можуть розпоряджатися персональними даними користувачів.
Експерти ГО “Інтерньюз Україна” вперше в Україні вперше дослідили цю сферу ще у 2021 році, оприлюднивши “Індекс захисту персональних даних” (за результатами оцінки 20 сайтів великих українських бізнесів, що надають різноманітні послуги споживачам).
У 2022-2023 роках автори “Індексу захисту персональних даних”, окрім тих же 20 сайтів, взяли до уваги 10 застосунків сервісних приватних компаній.
Замовляючи таксі через мобільний застосунок, ви ділитеся своєю локацією; користуючись застосунками інтернет-магазинів та картами лояльності в супермаркетах і на заправках, окрім номера телефону і адреси електронної пошти, надаєте дані про свої купівельні звички й місця перебування. Замовляючи ліки через онлайн-сервіс, вводите дані, пов’язані зі станом здоров’я – вашим, або близьких.
Непотрібні сповіщення і нав’язливі послуги – пів біди. Але, наприклад, недостатньо захищені сховища користувацьких даних – це вже ризики їхнього зламу, викрадення, перепродажу і зловживань.
Коли після реєстрації на якомусь сайті чи в додатку вам починає сипатися спам чи “прилітають” спроби зламу – це також може свідчити саме про проблеми із захистом користувацьких даних у компаній, яким ви ці дані довірили. Вони пропонують вам різні сервіси, а також збирають, зберігають і розпоряджаються усім, що ви їм про себе розповіли.
– У цьому дослідженні не оприлюднюємо оцінки для шести досліджуваних компаній, які представляють телекомунікаційний ринок, а саме – операторів та провайдерів мобільного зв’язку Kyivstar, Vodafone, lifecell та провайдерів – DataGroup, Triolan та Lanet, на яких поширюються регуляції уряду під час війни, – застерігають автори.
Сайти та мобільні додатки (для Android) оцінювали за чотирма категоріями:
- Українське законодавство у сфері захисту персональних даних;
- Європейські стандарти, у тому числі, умови передавання даних третім особам;
- Технологічні аспекти: які саме дані збирають, як, де і як довго зберігають, як їх можна видалити;
- Доступність: наскільки легко споживачеві знайти всю цю інформацію, чи доступно вона викладена і чи реально зв’язатися з компанією задля роз’яснень.
Ознайомитися з повним текстом дослідження сайтів і застосунків можна за посиланням
Сайти: 10 з 20 набрали менше 50%
Найкращі результати серед 20 досліджуваних компаній продемонстрували Olx.ua та Ukr.net. У дослідженні за 2021 рік вони теж були серед лідерів.
Але запитання є навіть до лідерів. Наприклад, “Нова пошта” продовжує збирати “надмірні дані” – питають про стать, домашню адресу та індивідуальний податковий номер. А Olx.ua не пояснює користувачам, які саме їхні дані збирає.
Також є проблема з тривалістю зберігання інформації про користувачів (привіт, швейцарський ножик 15-річної давнини) та їхнім видаленням. Більшість опитаних компаній зберігають їх "настільки довго, наскільки це необхідно", а видаляють – лише за запитом клієнта (часто ви зверталися кудись з цього приводу?)
10 із 20 приватних компаній в категорії “сайти” отримали щонайменше 50% максимальної кількості балів за критерієм захисту персональних даних. Корпоративну політику цих компаній дослідники оцінюють як середнього та вищого від середнього рівня в контексті забезпечення захисту персональних даних своїх клієнтів.
Судячи з оприлюднених результатів дослідження, серед тих 10 компаній, що набрали менше 50% – шість телекомунікаційних (детальні дані про які, нагадаємо, не оприлюднюються).
До речі, у 2021 році таких було 8 з 20. Найбільший прогрес за ці два роки продемонстрували Silpo.ua, Rozetka.com.ua та NovaPoshta.ua.
Android-застосунки: 8 з 10 мають 50% і більше
Мобільним застосункам споживачі зазвичай довіряють більше даних, ніж сайтам. І ситуація ними – краща, за результатами цього дослідження. Лише 2 з 10 в сумі набрали менше 50% балів.
Наприклад, Bolt отримав 100% балів у категорії “Відповідність європейським стандартам щодо персональних даних” – ймовірно з огляду на те, що компанія є резидентом ЄС – головний офіс розташований в Естонії. Tabletki.ua – лідер у категорії “Дотримання українського законодавства щодо персональних даних” з 90% зі 100 можливих.
Дослідники радять компаніям збирати з користувачів лише ті дані, що необхідні для надання послуги, чітко прописувати, як передають зібрані дані третім особам, вичерпно пояснювати, де зберігаються ці дані. – Ми не вимагаємо зазначати конкретну країну чи регіон, – зауважує Віталій Мороз, один з авторів дослідження. – Але людям важливо знати, що їхні дані зберігаються та обробляються в Україні, у Європі чи на території демократичних країн, а не в Китаї наприклад.
Захист даних, як у Європі
Сьогодні Україна – на порозі ухвалення нової законодавчої ініціативи, що регулюватиме захист персональних даних. 25 жовтня 2022 року у Верховній Раді України було зареєстровано євроінтеграційний законопроєкт № 8153 “Про захист персональних даних”. Його впровадження допоможе наблизити Україну до стандартів захисту персональних даних користувачів, які діють у Євросоюзі.
Експертне дослідження підготувала ГО «Інтерньюз-Україна» у межах проєкту «Актуалізація конфіденційності у цифровій сфері в Україні» за підтримки ABA ROLI Ukraine / Rule of Law Initiative. Матеріал відображає позицію авторів і не обов’язково відображає позицію ABA ROLI Ukraine / Rule of Law Initiative.