ПРАВО НА ПРИВАТНІСТЬ У СОЦІАЛЬНИХ МЕРЕЖАХ
Персональні дані – це «валюта» сучасної цифрової економіки. Належне регулювання питання накопичення, зберігання, застосування і захисту даних про особу, повинно враховувати потенціал та переваги інформаційних технологій для споживачів і одночасно мінімізувати ризики втрати безпеки та конфіденційності.
Розкриття Едвардом Сноуденом у червні 2013 р. фактів зібрання персональних даних, яке здійснювало Агентство національної безпеки США та оприлюднення міжнародною організацією WikiLeaks у березні 2017 р. документів про можливе отримання інформації Центральним розвідувальним управлінням США через камери та мікрофони мобільних пристроїв зі системами IOS і Android, комп'ютери з операційними системи Microsoft і Linux, а також Samsung Smart TV демонструє, що можливості пошуку, збору і зберігання даних про телефонні розмови, інтернет-пошук, електронні платежі тощо, впроваджені і регулярно використовуються урядовими установами.

Вважаємо, що сучасні досягнення у сфері інформаційних технологій загрожують недоторканості приватного життя людини і зумовлюють виникнення негативних наслідків у сфері доступу до персональних даних особи. Це демонструє також кейс «Facebook&Cambridge Analytica», який розкриває сферу незаконного використання персональних даних користувачів соціальних мереж.
Інтернет впроваджений в 1980-х р. як наукова мережа для обміну інформацією. Винахідник Всесвітньої мережі «Інтернет» Тімоті Бернерс-Лі у книзі «Заснування Павутини» зазначає: «Мережа – це більш соціальне, ніж технічне явище». Задумував я її для досягнення результату – допомогти людям працювати разом, – а не як технічну іграшку. Найзагальніша мета Мережі – підтримка і поліпшення нашого існування у світі, який саме багато в чому є мережевим».

Розробники Інтернету усвідомлювали, що для існування будь-якої групи ключовим є питання її цілісності, що передбачає приватність і конфіденційність. Однак, вони вважали, що «дотриманню приватності ніщо не заважає, оскільки все може здійснюватися автоматично – внесення і перевірка інформації, а також вжиття заходів забезпечення приватності.

Передбачалося, що спільне використання особистої інформації при спілкуванні з іншими учасниками Мережі не заподіє жодної шкоди, а питання про конфіденційність і безпеку даних з'явилося, коли Інтернет набув світового масштабу. Розуміючи, що згода щодо приватності є «найважливішою передумовою будь-якої спільноти мережевого типу» – довірою, для забезпечення якої, розробники Всесвітньої мережі впровадили криптографію з відкритим ключем (public key cryptography – PCI), механізм шифрування інформації, завдяки якому прочитати її неможливо без ключа.
Однак 12 березня 2017 р. Тімоті Бернерс-Лі однією з основних сучасних проблем Інтернету визначив втрату контролю над особистими даними. Веб-винахідник зазначив, що «значна кількість веб-сайтів пропонує безкоштовний контент в обмін на персональні дані. Багато з нас згодні з цим, хоча ми часто й приймаємо довгі та заплутані документи з умовами, але в принципі ми не заперечуємо, щоб інформація збиралася в обмін на безкоштовні послуги». Зберігаючи персональні дані особи, компанії не забезпечують можливості прямого контролю над цими даними і не дозволяють відслідковувати інформацію про передані персональні дані третім особам.
Для забезпечення захисту персональних даних 14 квітня 2016 р. Європейський парламент ратифікував «Загальні положення про захист даних» (General Data Protection Regulation (GDPR), які набирали чинності 25 травня 2018 р.

Цим актом запроваджено:
  • право на забуття або право на стирання інформації (особа зможе вимагати знищення її персональних даних);
  • право на скаргу (особа зможе виступати проти обробки своїх персональних даних, включаючи «профайлінг»);
  • право на перенесення даних (особи зможуть подавати заявки на відправлення особистих даних одним їх володільцем іншому);
  • штрафи за порушення конфіденційності даних (встановлена відповідальність за порушення конфіденційності даних, і, в залежності від виду порушення, компанії можуть притягатися до адміністративної відповідальності у вигляді штрафу на суму до 20 мільйонів євро або 4 % від річного світового обороту).
Провайдери, розташовані за межами ЄС, які пропонують товар і послуги для громадян ЄС, повинні будуть дотримуватися норм даного положення незалежно від того, чи володіють вони персональними даними, чи ні. Компанії, які знаходяться за межами ЄС та здійснюють моніторинг поведінки громадян ЄС (наприклад, використання «cookies» на своїх веб-сайтах, які часто містять інформацію про користувачів, щоб відслідковувати їх поведінку) також повинні будуть виконувати вимоги нового закону. Персональні дані зможуть «покинути» Європейську економічну зону (країни ЄС + Норвегія, Ісландія, Ліхтенштейн) лише за умови, що закони ЄС про захист даних продовжуватимуть діяти, перебуваючи поза територією ЄС.

GDPR має екстериторіальну дію і застосовується до всіх компаній, які обробляють персональні дані резидентів і громадян ЄС, незалежно від місцезнаходження такої компанії. Зрозуміло, що філії/представництва українських організацій на території ЄС повинні будуть відповідати новим вимогам. Наприклад, компанія «А» зареєстрована на території України. Вона продає онлайн товари і надає послуги користувачам, в тому числі громадянам з країн ЄС. Послуги надаються користувачам на локальних мовах, в місцевих валютах і на національних доменах верхнього рівня країн ЄС (напр., «.de», «.nl» або «.uk»). При цьому ця організація не здійснює жодних операцій безпосередньо на території ЄС. Виникає питання чи повинна дана компанія дотримуватися положень GDPR? Так і ось чому. Компанія «А» надає послуги громадянам ЄС, оскільки: послуги оплачуються в місцевих валютах ЄС; послуги надаються на національних доменах верхнього рівня країн ЄС. Це означає, що компанія здійснює обробку персональних даних громадян ЄС на території України при надалі онлайн-послуг (наприклад, авіакомпанії, готелі, хостели тощо), що підпадає під дію GDPR, тому компанія зобов'язана дотримуватися правила ЄС у сфері обробки персональних даних.
Після набрання чинності GDPR чимало компаній зіткнулися з проблемою адаптації політики приватності до нових вимог у сфері захисту персональних даних. Основні вимоги до змісту політики приватності містяться в ст. 13 і 14 GDPR. Основна помилка при складенні політики приватності – це розпорошення інформації про окрему обробку персональних даних серед різних розділів, коли укладачі описують категорії оброблюваних даних окремо від цілей, а цілі - окремо від правових підстав обробки (згода, інтерес, вимога закону тощо). Це не слід робити, тому що суб'єкту даних (людині) не зрозуміло, з якою метою персональні даних обробляються. Наприклад, на початку 2019 р. Національна комісія з питань інформатизації і свободи Франції оштрафувала компанію «Google» на 50 мільйонів євро. Одним з порушення було те, що важлива інформація про цілі обробки, терміни зберігання категорій персональних даних, що підлягають обробці була розміщена у різних документах. Французький регулятор зазначив, що корпорація «Google» не надає споживачам чіткої та доступної інформації про те, як саме збираються та зберігаються їхні персональні дані.
Найбільш зацікавленими у захисті персональних даних у соціальних мережах є користувачі, а також власники ресурсу. Перші бажають зберегти у таємниці приватне життя, а другі – отримати якомога більше користувачів. Незважаючи на існування у соціальних мережах політики конфіденційності, виключно від користувачів залежить наповнення контенту персональною інформацією. На серверах соціальних мереж створюються «централізовані сховища» персональної інформації, обсяги якої з кожним днем зростають у міру того, як користувачі її наповнюють.
Аналіз «Політики використання даних» Facebook свідчить що, залежно від використовуваних особою сервісів, дана соціальна мережа отримує різні види інформації від особи або про особу, такі як: стать, дата народження, місце проживання (знаходження), номер телефону, номери кредитних карток, IP-адреса, пов'язанні акаунти, дані про зміну імені, політичні та релігійні погляди, перелік видалених друзів, мова спілкування, пошукові запити тощо.

У лютому 2011 р. австрійський медіаюрист Макс Шремс запідозрив, що Facebook зберігає всю інформацію про користувачів у США і використовує її без дотримання норм права ЄС. Після багатьох звернень на адресу керівництва соціальної мережі, Шремс отримав CD – диск від Facebook з усією інформацією про себе (інформація містилася на 1200 сторінках), яка зберігалася у корпорації. При перегляді даних він виявив видалені та закриті від публічного перегляду повідомлення, які знаходилися в базі компанії. На підставі цих порушень юрист двічі звертався до суду в м. Дублін (Ірландія) щодо захисту персональних даних. За результатами розгляду першого позову, суд зобов'язав соціальну мережу відповідальніше ставитися до конфіденційності даних. Другий позов суд відхилив.

У 2013 р. Шремс звернувся до Суду Європейського Союзу (Суд справедливості). У жовтні 2015 р. цей суд ухвалив рішення про скасування дії трансатлантичної угоди про використання персональних даних (угода про «безпечну гавань»), яка дозволяла американським компаніям переносити дані про їх європейських користувачів у США. Угоду визнано неправомірною, оскільки вона не дає європейським регуляторам можливості захищати громадян країн ЄС, чиї права на захист персональних даних були порушені.

У 2015-2016 рр. уряди деяких країн Європейського Союзу звинуватили корпорацію Facebook в тому, що компанія не дотримується законів про збереження конфіденційності даних користувачів. Так, у лютому 2016 р. у Національній комісії з обробки даних та громадянських свобод Франції, яка здійснює нагляд за дотриманням законодавства про захист персональних даних, заявили, що Facebook повинен припинити відстежувати відвідувачів сайту, які не є його зареєстрованими користувачами. За результатами аналізу, проведеного французьким регулятором, у Facebook вирішили, що кожен відвідувач сайту за замовчуванням погоджується з умовами використання соціальної мережі, навіть якщо вони не були авторизовані на сайті. Комісія стверджує, що соціальна мережа без попередження поміщує у браузер кожного відвідувача сайту файл «cookie» і використовує його для збору даних, необхідних для реклами. Крім цього, Комісія звинуватила Facebook у тому, що соціальна мережа зберігає дані про віросповідання, політичні погляди і сексуальну орієнтацію користувачів. Представники регулятора вважають, що цей підхід «порушує основні права та інтереси людей, в тому числі й право на таємницю їх приватного життя».

У відповідь на звинувачення у Facebook заявили, що статистика, яку збирає соціальна мережа, не дозволяє ідентифікувати кого-небуть окремо, і що плагіни Facebook не встановлюють «cookie» тим користувачам, у яких їх раніше не було, тобто вони повинні були колись приймати угоду користувача.
Також варто проаналізувати кейс «Facebook&Cambridge Analytica», який розкриває сферу незаконного використання персональних даних користувачів соціальних мереж. Британська компанія «Cambridge Analytica», створена в 2013 р. займається збором даних про користувачів Інтернету і соціальних мереж, складенням їх психологічних портретів та розробкою персоналізованої реклами. На основі зібраних даних 50 мільйонів користувачів Facebook через додаток «ThisIsYourDigitalLife», у компанії змоделювали поведінку громадян різних країн для того, щоб показувати їм релевантну політичну рекламу.
Існують підозри, що персональні дані користувачів Facebook аналізувалися компанією «Cambridge Analytica» через додаток «ThisIsYourDigitalLife» і могли бути використані для впливу на результати виборів президента США 2016 р. та референдуму про вихід Великобританії з ЄС. Даний кейс не лише сформував нову хвилю обговорень щодо захисту персональних даних в соціальних мережах, а також призвів до накладення на компанію Facebook штрафу у розмірі $ 5 млрд.

Окрім штрафу, Федеральна торгова комісія США зобов'язала Facebook змінити політику конфіденційності, а саме: здійснювати більш суворий контроль над сторонніми додатками, в тому числі шляхом припинення відносин з розробниками додатків, які не можуть підтвердити, що додатки відповідають політиці конфіденційності Facebook або не можуть обґрунтувати потребу використання персональних даних користувачів; заборонено використовувати телефонні номери, отримані для включення функції безпеки (наприклад, двофакторної аутентифікації); надавати чітке повідомлення про використання технології розпізнавання осіб і отримати стверджувальну згоду користувача; зобов'язаний створити, впровадити і підтримувати комплексну програму захисту даних; зашифрувати паролі користувачів і регулярно їх сканувати, щоб визначити, чи зберігаються будь-які паролі у відкритому вигляді; заборонено вимагати паролі електронної пошти для інших служб, якщо споживачі підписуються на послуги даної компанії.

Проведене Федеральною комісією США розслідування та накладення штрафу за незаконне використання персональних даних користувачів Facebook у справі «Facebook&Cambridge Analytica», зумовило зміну політики соціальної мережі у сфері приватності. У Facebook зазначають, що «існує необхідність фундаментальної зміни в підході до роботи у сфері приватності, і це покладає додаткову відповідальність на людей, що створюють продукти соціальної мережі Facebook на всіх рівнях компанії. Це буде означати більш різкий поворот до приватного життя, в іншому масштабі, ніж все, що ми робили в минулому». Підзвітність, передбачена угодою між Федеральною торговою комісією США та корпорацією Facebook, зумовлює перегляд законодавства США про персональні дані.
Професор Гарвардського університету Марго Зельцер вважає, що «приватне життя вже майже померло», адже люди залишають величезний цифровий слід через використання пластикових карт, відвідування сайтів, спілкування в соціальних мережах, використання мобільних додатків в смартфонах і користування Інтернетом речей.

Зважаючи на розглянуті кейси, варто зазначити, що користувачі сучасних інформаційних технологій повинні:
  1. розуміти, що їх персональні дані мають цінність та мають бути повідомлені, що компанії, особливо ті, які пропонують безкоштовні послуги, такі як Facebook і Google, використовують їх персональні дані в управлінні своїм бізнесом та можуть надавати їх третім особам;
  2. ознайомитися з політикою конфіденційності компанії та продуктів, які вона пропонує споживачам;
  3. вміти реалізовувати і захищати свої права та вимагати, щоб компанія дозволила їм переглядати, редагувати і видаляти персональні дані, тому що, персональні дані належать користувачам, а не компаніям.
Компанії, які обробляють персональні дані в електронному вигляді, а тепер це практично кожна компанія в світі, повинні навчитися краще поєднувати ризики для конфіденційності зі засобами контролю конфіденційності. Чим більший ризик використання даних, тим більше призначених для користувача елементів керування доступом до персональних даних повинно бути. Елементи керування повинні включати згоду на обробку персональних даних, зручні для читання і видимі повідомлення про конфіденційність, а також доступні налаштування конфіденційності за замовчуванням.

Впровадження GDPR – це важливий крок у підвищені рівня захисту персональних даних в ЄС і за його межами. Європейська реформа захисту персональних даних спрямована на відновлення довіри онлайн-користувачів у сфері збору, аналізу та переміщення персональних даних. Однак, захисником персональних даних повинен бути сам користувач. Завжди потрібно ретельно стежити за тим, які персональні дані надає користувач при використанні інформаційних технологій.
Роман Радейко