Ми всі ділимося своїми даними із великими технологічними компаніями для отримання певних послуг. У цій статті ми розглянемо, чому обмін даними є проблематичним, та розглянемо вплив GDPR для сайту – найбільшого у світі закону про захист даних.
Більшість людей вважають конфіденційність та захист даних дратівливою або нудною темою. Яка мені різниця, якщо Amazon дізнається, що я, можливо, захочу купити сандалі Birkenstock? Навпаки, я навіть можу бути зацікавлений у отриманні персоналізованої реклами та пропозицій, що заощадить час на пошук. Саме так думають багато людей, наприклад, коли вони шукають гарне бікіні — і вони, звичайно, не шукають довгих юридичних пояснень щодо налаштувань файлів cookie. Багато хто з нас не хоче надто турбуватися про захист даних. І це також нормально. Але було б набагато краще, якби ми ухвалили це рішення цілком усвідомлено: з урахуванням усієї інформації про те, яку інформацію ми про себе розкриваємо, хто на цьому заробляє та які особисті наслідки ми можемо зазнати.
Що таке захист даних та чому це важливо?
Щоразу, коли ми відвідуємо Інтернет, ми залишаємо сліди. Яка реклама нам цікава? Куди ми їздимо у відпустку чи якісь коміки нас особливо розважають? Ці дані збираються різними способами: щоразу, коли ми відкриваємо веб-сайт, у наші браузери розміщуються невеликі текстові файли — відомі файли cookie. Деякі з них необхідні з технічних причин: наприклад, наша локалізація потрібна для того, щоб оператори сайту могли надати правильну мовну версію. Однак мережні оператори часто дозволяють іншим компаніям, також відомим як «треті сторони», встановлювати файли cookie, які аналізують нашу поведінку.
Використовуючи ці великі набори даних, будується цілісний профіль користувачів Інтернету, який постійно оновлюється і зберігається в базах даних найбільших компаній. Іноді дані, що збираються, дуже особисті і можуть включати в себе: імена, вік, стать, місце розташування, адресу електронної пошти, історію пошуку та покупок, переглянуті фільми та відео, нашу активність у соціальних мережах, консультації з психологами, наші медичні дані, рівень освіти. , фінансове становище, політична орієнтація, сексуальні уподобання та багато іншого.
Компанії можуть отримати доступ до цих даних і використовувати їх для створення профілю (часто недоречного) або навіть маніпулювання вами. Наприклад, через рекламу, що таргетує. Проте є інші небезпеки. Страхові компанії можуть відмовити вам у зниженні страхових внесків на підставі вашої історії хвороби. Банки можуть вважати вас неплатоспроможним і відмовити вам у кредиті, оскільки ви живете у сумнівному районі. Політики можуть спробувати вплинути на ваш голос на виборах, надсилаючи вам таргетовану політичну рекламу — згадайте скандал із Cambridge Analytica, в якому компанія допомогла Трампу перемогти на президентських виборах, збираючи та аналізуючи дані профілів виборців у Facebook у Facebook. У країнах із менш ліберальними поглядами такі меншості, як ЛГБТК, можуть навіть опинитися у небезпеці.
Ось чому наші дані мають бути захищені законами та правилами. Таким чином, захист даних – це набагато більше, ніж просто припинення збору та неправомірного використання наших даних, це також захист від маніпуляцій, переваг та дискримінації.
Що з цього приводу каже GDPR?
25 травня 2016 року, після багатьох років дискусій та переговорів між представниками приватного сектору, громадянського суспільства та законодавства по всьому ЄС, набув чинності Загальний регламент із захисту даних (GDPR). Однак ЄС надав компаніям дворічний пільговий період для реалізації правил, перш ніж нові правила нарешті набудуть чинності 25 травня 2018 року. З цього моменту компанії зобов'язані інформувати користувачів про збирання даних і повинні надати можливість відмовитися чи обмежити збір цих даних.
GDPR – найсуворіший закон про захист даних у світі. Їх можна розділити на три основні області, що викликають занепокоєння: більша прозорість, самовизначення та суворіше правозастосування.
- Велика прозорість: споживачі мають декларація про інформацію. Підприємства згідно із законом повинні розкривати, які дані про нас вони зберігають, якщо ми цього запитуємо. Крім того, GDPR вимагає від компаній надавати споживачам інформацію «у короткій, прозорій, зрозумілій та легко доступній формі, зрозумілою та простою мовою» (стаття 12) про те, як вони використовують наші дані. терміни, які однаково ніхто не читає.
- Більше самовизначення: GDPR дає нам більше контролю над нашими даними. Наприклад, це дає право бути забутими. Якщо немає явної причини для зберігання даних, компанії повинні видалити їх за нашим запитом. GDPR додатково вимагає від компаній забезпечити налаштування за промовчанням, що забезпечують конфіденційність. За промовчанням це зазвичай називається конфіденційністю: оператори веб-сайтів можуть збирати лише мінімальний обсяг необхідних даних від відвідувачів, якщо вони не дали явної згоди на інше. Багато компаній використовують банери cookie, щоб змусити користувачів дати згоду, яким набагато простіше прийняти запит на збір даних, ніж відхилити його. Бельгійське управління захисту даних після консультації з іншими європейськими органами на початку лютого 2022 року опублікувало заяву з цього приводу, оголосивши використання банерів cookie незаконним, що може мати далекосяжні наслідки для рекламної індустрії.
- Суворіше забезпечення дотримання: GDPR також посилює дотримання закону про захист даних. Органи захисту даних тепер можуть накладати більш жорсткі фінансові штрафи: до 20 мільйонів євро або 4% річного глобального доходу компанії. Також запроваджено принцип ринкового розташування: GDPR застосовується до всіх компаній, що пропонують послуги на європейському ринку, навіть якщо їхня штаб-квартира знаходиться за межами ЄС. Управління захисту даних Люксембургу наклало на Amazon рекордний штраф: технологічного гіганта зобов'язали виплатити 746 мільйонів євро за зловживання при націленні онлайн-реклами. Ще невідомо, чи це здійсниться насправді.
У Німеччині кожна федеральна земля має власний орган захисту даних. Вони контролюють дотримання правил захисту даних та відповідають за розгляд скарг від приватних осіб та організацій. Ці органи тісно співпрацюють із Європейським органом з нагляду за захистом даних (EDPS) та іншими національними органами захисту даних. Liberties разом зі своїми партнерськими організаціями вже подали до органів захисту даних кілька скарг на порушення GDPR: наприклад, у 2020 році на незаконний збір даних у популярних додатках, а у 2019 році на неправомірне використання даних у рекламній індустрії.
Захист даних по всьому світу
Як ми згадували вище, GDPR є найсуворішим регулюванням захисту даних у світі. Однак останніми роками багато країн ухвалили додаткові закони для захисту цих громадян. Наприклад, у Китаї з листопада діє новий закон про захист даних, аналогічний GDPR, який спрямований на те, щоб звести до мінімуму збір даних та обмежити націлення. Він також надає користувачам Інтернету більше права на самовизначення та більший контроль над своїми даними. Однак ці правила поширюються лише на компанії, на уряд це не поширюється – держава, як і раніше, може безперешкодно контролювати своїх громадян.
У США немає загального регулювання захисту даних, подібного GDPR. Компанії повинні дотримуватись галузевих правил, але у влади набагато більше повноважень, ніж у ЄС, особливо після того, як Патріотичний акт набув чинності після терактів 11 вересня 2001 р. Органи безпеки можуть отримувати персональні дані без постанови суду. Аналогічно, в Індії та Росії органи безпеки та спецслужби мають необмежений доступ до даних онлайн-користувачів у різних галузях. Крім того, додаються нові сфери, зрозуміло, без згоди користувачів. Подібні дії часто пояснюються та виправдовуються міркуваннями національної безпеки та боротьбою з тероризмом.