Дмитрий Корчинский, старший юрист компании AVITAR, специалист по защите персональных данных, рассказал в колонке для AIN.UA о спаме, личных данных и том, как, к примеру, службы такси могут незаконно их собирать и использовать.


Вам когда-нибудь приходили сообщения с рекламой такси? Скорее всего, приходили и не раз. А знаете ли вы, что рассылка таких SMS является нарушением законодательства Украины? Да, предложение о «лучшем такси в городе» нарушает сразу три закона Украины: 

  • Закон про рекламу (15.1. Реклама послуг, що надаються з використанням електрозв’язку, в тому числі телефонного, при розповсюдженні її в рекламних засобах має містити точну інформацію про повне ім’я, найменування, адресу надавача рекламованої послуги);
  • Закон про защиту потребителей (19.5.3. Як агресивні забороняються такі форми підприємницької практики здійснення постійних телефонних, факсимільних, електронних або інших повідомлень без згоди на це споживача);
  • Закон про защиту персональных данных (11.1.1. Підставами для обробки персональних даних є згода суб’єкта персональних даних на обробку його персональних даних).

Как юрист, который специализируется на защите персональных данных в рамках законодательства Европейского Союза, могу сказать, что наш закон во многом копирует уже устаревшую на территории ЕС директиву о защите персональных данных. Директива вступила в силу в 1995 году, однако вплоть до принятия GDPR в 2018 году именно она служила фундаментом защиты персональных данных европейцев. Потому, вооружившись нашим законом о защите персональных данных, я решил побороться с назойливыми сообщениями. 

Первым делом я разослал на не менее 5 номеров такси сообщение следующего содержания:

«Добрый день! 

С данного номера мне приходит реклама такси. Я обращаюсь с запросом на реализацию своих законных прав, согласно Закону Украину “О защите персональных данных” от 01.06.2010. 

Пункт 2.1 статьи 8 Закона даёт мне право: 

  • знать источники сбора данных обо мне;
  • место хранения моих данных;
  • местонахождение или место проживания владельца или распорядителя данных.
  • Прошу вас предоставить мне указанную информацию. Согласно пункту 2.4 статьи 8 Закона я должен получить ответ в течение 30 календарных дней. Более того, я должен получить содержание моих данных, которые вы обрабатываете».

Как и следовало ожидать, в течение 30 календарных дней ответа не поступило. Я решил не опускать рук и обратился в Департамент в сфере защиты персональных данных – специальное подразделение Уполномоченного по правам человека. Одной из задач департамента является «прием жалоб от физических лиц по вопросам защиты персональных данных».

Я хотел оставить жалобу, но все оказалось не так просто, как я думал. От сотрудника департамента я узнал, что эти сообщения – это спам и нужно блокировать номера, с которых они приходят. Кстати, в США есть федеральный закон, который посвящен исключительно борьбе со спамом, называется CAN-SPAM Act от 2003 года. Что касается моей жалобы – ее не смогли обработать по нескольким причинам:

  • Во-первых,  такси не обязательно получать предварительное согласие на обработку данных, ведь сообщение, скорее всего, было отправлено «случайным подбором цифр».
  • Во-вторых, не персонализированные сообщения, то есть такие, которые не обращаются к вам по имени, не считаются обработкой персональных данных. Виной этому определение персональных данных, которое прописано в нашем законе: «відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована». Сам по себе номер телефона не позволяет конкретно идентифицировать личность. 
  • В-третьих, игнорирование моего запроса на протяжении более чем 30 дней тоже не может быть взято во внимание, ведь сообщение, скорее всего, отправил бот, потому не считается, что мое сообщение достигло адресата-человека. 

После того, как я получил эту аргументацию, я решил узнать, как реализовать мои законные права. На что получил ответ от Департамента, что нужно отправить заказное письмо с уведомлением о вручении на юридический адрес службы такси, к которой у меня претензия. Однако мой поиск адреса не дал результатов. Ни на сайте (где эта информация должна быть согласно требованию законодательства), ни в открытых источниках я не смог найти нужную мне информацию. Другими словами, я достиг тупика и восстановить справедливость мне не удалось. 

Как бы эта ситуация выглядела на территории ЕС?

Службе такси пришлось бы выслать мне предварительное письмо о том, что мои данные собираются использовать в маркетинговых целях, и у меня было бы право отказаться от их рассылки. 

Мой номер телефона считался бы персональными данными, потому что согласно GDPR персональные данные – это данные, которые могут быть использованы для прямой или косвенной идентификации. 

Я бы смог отправить жалобу в орган, который занимается обработкой персональных данных. Этот орган уже занимался бы восстановлением моих прав, в том числе, поиском нарушителя. 

Итого, таков путь украинца к защитите своих прав в сфере персональных данных:

  • найти адрес нарушителя;
  • отправить заказное письмо с уведомлением о вручении;
  • получить уведомление о вручении, ждать 30 дней;
  • по истечении 30 дней обратиться в департамент по защите данных;
  • департамент составит протокол и направит его в суд;
  • судиться с нарушителем.

Путь европейца выглядит кое-что проще:

  • подать жалобу в регулирующий орган;
  • дождаться ответа регулятора (до 30 дней);
  • обратиться в суд.

В обоих случаях нужно обращаться в суд. Однако, на территории ЕС за нарушение в сфере обработки персональных данных придется рассчитываться дважды: первый раз – административным штрафом за нарушение законодательства, второй – компенсацией лицу (лицам), чьи права были нарушены. 

Пока что в Украине ситуация с защитой персональных данных оставляет желать лучшего. Но уже сейчас создаются разные инициативы, направленные на улучшение этой ситуации. Возможно, в скором времени эти инициативы помогут положить конец спаму и другим проблемам в сфере защиты персональных данных.

Автор: Дмитрий Корчинский, старший юрист компании AVITAR, специалист по защите персональных данных.