Дмитрий Корчинский, старший юрист компании AVITAR, специалист по защите персональных данных, рассказал в колонке для AIN.UA о спаме, личных данных и том, как, к примеру, службы такси могут незаконно их собирать и использовать.
Вам когда-нибудь приходили сообщения с рекламой такси? Скорее всего, приходили и не раз. А знаете ли вы, что рассылка таких SMS является нарушением законодательства Украины? Да, предложение о «лучшем такси в городе» нарушает сразу три закона Украины:
- Закон про рекламу (15.1. Реклама послуг, що надаються з використанням електрозв’язку, в тому числі телефонного, при розповсюдженні її в рекламних засобах має містити точну інформацію про повне ім’я, найменування, адресу надавача рекламованої послуги);
- Закон про защиту потребителей (19.5.3. Як агресивні забороняються такі форми підприємницької практики здійснення постійних телефонних, факсимільних, електронних або інших повідомлень без згоди на це споживача);
- Закон про защиту персональных данных (11.1.1. Підставами для обробки персональних даних є згода суб’єкта персональних даних на обробку його персональних даних).
Как юрист, который специализируется на защите персональных данных в рамках законодательства Европейского Союза, могу сказать, что наш закон во многом копирует уже устаревшую на территории ЕС директиву о защите персональных данных. Директива вступила в силу в 1995 году, однако вплоть до принятия GDPR в 2018 году именно она служила фундаментом защиты персональных данных европейцев. Потому, вооружившись нашим законом о защите персональных данных, я решил побороться с назойливыми сообщениями.
Первым делом я разослал на не менее 5 номеров такси сообщение следующего содержания:
«Добрый день!
С данного номера мне приходит реклама такси. Я обращаюсь с запросом на реализацию своих законных прав, согласно Закону Украину “О защите персональных данных” от 01.06.2010.
Пункт 2.1 статьи 8 Закона даёт мне право:
- знать источники сбора данных обо мне;
- место хранения моих данных;
- местонахождение или место проживания владельца или распорядителя данных.
Прошу вас предоставить мне указанную информацию. Согласно пункту 2.4 статьи 8 Закона я должен получить ответ в течение 30 календарных дней. Более того, я должен получить содержание моих данных, которые вы обрабатываете».
Как и следовало ожидать, в течение 30 календарных дней ответа не поступило. Я решил не опускать рук и обратился в Департамент в сфере защиты персональных данных – специальное подразделение Уполномоченного по правам человека. Одной из задач департамента является «прием жалоб от физических лиц по вопросам защиты персональных данных».
Я хотел оставить жалобу, но все оказалось не так просто, как я думал. От сотрудника департамента я узнал, что эти сообщения – это спам и нужно блокировать номера, с которых они приходят. Кстати, в США есть федеральный закон, который посвящен исключительно борьбе со спамом, называется CAN-SPAM Act от 2003 года. Что касается моей жалобы – ее не смогли обработать по нескольким причинам:
- Во-первых, такси не обязательно получать предварительное согласие на обработку данных, ведь сообщение, скорее всего, было отправлено «случайным подбором цифр».
- Во-вторых, не персонализированные сообщения, то есть такие, которые не обращаются к вам по имени, не считаются обработкой персональных данных. Виной этому определение персональных данных, которое прописано в нашем законе: «відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована». Сам по себе номер телефона не позволяет конкретно идентифицировать личность.
- В-третьих, игнорирование моего запроса на протяжении более чем 30 дней тоже не может быть взято во внимание, ведь сообщение, скорее всего, отправил бот, потому не считается, что мое сообщение достигло адресата-человека.
После того, как я получил эту аргументацию, я решил узнать, как реализовать мои законные права. На что получил ответ от Департамента, что нужно отправить заказное письмо с уведомлением о вручении на юридический адрес службы такси, к которой у меня претензия. Однако мой поиск адреса не дал результатов. Ни на сайте (где эта информация должна быть согласно требованию законодательства), ни в открытых источниках я не смог найти нужную мне информацию. Другими словами, я достиг тупика и восстановить справедливость мне не удалось.
Как бы эта ситуация выглядела на территории ЕС?
Службе такси пришлось бы выслать мне предварительное письмо о том, что мои данные собираются использовать в маркетинговых целях, и у меня было бы право отказаться от их рассылки.
Мой номер телефона считался бы персональными данными, потому что согласно GDPR персональные данные – это данные, которые могут быть использованы для прямой или косвенной идентификации.
Я бы смог отправить жалобу в орган, который занимается обработкой персональных данных. Этот орган уже занимался бы восстановлением моих прав, в том числе, поиском нарушителя.
Итого, таков путь украинца к защитите своих прав в сфере персональных данных:
- найти адрес нарушителя;
- отправить заказное письмо с уведомлением о вручении;
- получить уведомление о вручении, ждать 30 дней;
- по истечении 30 дней обратиться в департамент по защите данных;
- департамент составит протокол и направит его в суд;
- судиться с нарушителем.
Путь европейца выглядит кое-что проще:
- подать жалобу в регулирующий орган;
- дождаться ответа регулятора (до 30 дней);
- обратиться в суд.
В обоих случаях нужно обращаться в суд. Однако, на территории ЕС за нарушение в сфере обработки персональных данных придется рассчитываться дважды: первый раз – административным штрафом за нарушение законодательства, второй – компенсацией лицу (лицам), чьи права были нарушены.
Пока что в Украине ситуация с защитой персональных данных оставляет желать лучшего. Но уже сейчас создаются разные инициативы, направленные на улучшение этой ситуации. Возможно, в скором времени эти инициативы помогут положить конец спаму и другим проблемам в сфере защиты персональных данных.
Автор: Дмитрий Корчинский, старший юрист компании AVITAR, специалист по защите персональных данных.