Благодаря GDPR, пользователи и компании обратили больше внимания на приватность данных. Дмитрий Корчинский, специалист по защите персональных данных в юридической компании AVITAR, написал для AIN.UA колонку о том, как и зачем удалять персональную информацию.
Зачем удалять данные — три причины
Удаление данных спасет от их незаконной обработки
После ликвидации компании, которая предоставляет услугу, попросту будет нечего обрабатывать. Что может включать в себя незаконная обработка?
Из банального – реклама на номер мобильного телефона. Из более специфического – компания незаконно передала ваши данные другой компании, и теперь кто-то знает о вас много информации, что подводит ко второй причине удаления данных.
Удаление данных не позволит манипулировать мнением
Многие не подозревают о том, что компании используют данные для манипуляции пользователями. Снова банальный пример: пользователю показывают таргетированную рекламу – пользователь покупает товар. Менее тривиальная история — скандал с Cambridge Analytica.
Это именно то, за что Facebook придется выплатить штраф в размере $5 млрд, а также полностью изменить свою внутреннюю политику конфиденциальности. Утверждают, что работа Cambridge Analytica — один из факторов, который привел Дональда Трампа к победе в президентской гонке в США, а также спровоцировал выход Великобритании из состава ЕС.
Удаление данных помогает сохранить репутацию
Если вбить свое имя в поисковую строку, можно наткнуться на неожиданные результаты. Например, на юношеские фотографии с вечеринок или устаревшее резюме, которое вы могли разместить для поиска работы еще в студенческие годы.
Своевременное удаление своих данных поможет избежать казусов, если вдруг кто-то захочет узнать, что о вас знают поисковые системы.
Как удалить данные
На сегодняшний день за пользователями закреплено право на забвение, то есть право на удаление информации о нем/ней. Такие крупные компании, как Google, Facebook и прочие, позволяют пользователям реализовать свое право через персональный кабинет и настройки конфиденциальности. Например:
Некоторые сервисы, как например, Telegram, позволяют установить период бездействия. Это означает, что, если аккаунтом не пользоваться указанный период времени, например, 3 месяца, по истечении этого периода он будет удален автоматически.
Такая функция – практичный инструмент для реализации принципа GDPR «storage limitation» (п.е ч. 1 ст. 5 Регламента). Вот бы работал и аналогичный принцип в нашем законе (ч. 8 ст. 6 Закона Украины «О защите персональных данных»), ведь ситуация, в которой данные хранятся вечность весьма распространена.
Если сайт или платформа не имеют функционала, который позволял бы вручную удалить аккаунт и все, что с ним связано, нужно писать в службу поддержки с требованием удалить свои данные. Согласно Закону Украины «О защите персональных данных» (п. 6 ч. 2 ст. 8 Закона) владелец сайта/платформы должен удалить данные после обоснованного запроса на удаление.
Если речь идет о европейском ресурсе, то запрос на удаление также можно оставить, ссылаясь на статью 17 GDPR. Юристы скажут, что GDPR распространяется только на европейских граждан и резидентов, однако, если украинскому пользователю откажут в реализации прав, такое дело можно раздуть до судебного разбирательства на почве дискриминации. К слову, такой случай уже был на территории Великобритании, и компании пришлось не только реализовать права пользователя, но и выплатить штраф в размере 15 000 фунтов.
Почему в Украине нужен регламент ЕС по защите данных
Украине нужно обновить законодательство в сфере защиты персональных данных, так как действующий на сегодняшний день Закон Украины «О защите персональных данных» 2010 года морально устарел. Дело в том, что наш закон был написан на основе Директивы ЕС «О защите персональных данных» 1995 года.
То есть старшему брату украинского закона уже 24 года. За это время многое изменилось, особенно, в плане технологий. Потому Закон Украины не может гарантировать такой защиты данных, как новый европейский аналог. Более того, европейский GDPR установил максимальный порог штрафа в 20 миллионов евро или в 4% годового оборота, в зависимости от того, какая сумма больше.
Например, British Airways недавно оштрафовали на 183 млн фунтов за утечку данных, в то время, как в Украине за аналогичное нарушение максимальная сумма штрафа составляет 968 000 гривен. Более того, GDPR всецело ужесточает процесс обработки персональных данных, что дает пользователю много преимуществ в плане прав, а также запрещает компаниям эксплуатировать данные.
После вступления регламента в силу в 2018 году, по миру продолжает катиться волна ужесточения законодательства именно в сфере защиты персональных данных. Возможно, в скором времени волна дойдет и до нас, и ситуация с защитой данных заметно улучшится.