Захист персональних даних в Інтернеті
Чи замислювалися ви колись про обсяги інформації, яку щоденно розміщують у всесвітній мережі користувачі?
Корпорації (як маленькі, так й гіганти) зберігають та контролюють більше даних про повсякденне життя, онлайн активності та взаємодії користувачів, ніж тоталітарні уряди XX століття. Саме через це гостро постає питання захисту даних користувача мережі Інтернет.
Право на захист персональних даних та конфіденційність є фундаментальним правом людини, яке набуло ще більшої актуальності зі стрімким розвитком інформаційних технологій.
Проблема захисту даних полягає в тому, що в більшості випадків, величезний обсяг інформації збирається, обробляється, та використовується у власних інтересах корпорацій без згоди, та навіть (що найприкріше) без відома користувачів.
Експерти з кібербезпеки та захисту конфіденційних даних AdLock підготували для вас статтю, в якій будуть розглянуті сучасні норми захисту персональних даних та деякі інші цікавинки стосовно теми. Приступимо?
Що таке персональні дані?
Найточніше пояснення “персональних даних”: це сукупність будь-яких фактів та відомостей (інформації), за якими можна ідентифікувати фізичну особу — прізвище, ім’я, по батькові, адреса, номер телефона, паспортні дані, освіта, сімейний стан, релігійні погляди, стан здоров’я, матеріальний стан, дата і місце народження тощо.
Додатково, спираючись на класифікацію персональних даних від директора Житомирського місцевого центру з надання БВПД Олександра Коваля, це дані про особисті майнові та немайнові відносини цієї особи з іншими особами, зокрема членами сім’ї. До персональних даних відносяться також відомості про події та явища, що відбувалися або відбуваються у побутовому, інтимному, товариському, професійному, діловому та інших сферах життя особи (за винятком даних стосовно виконання повноважень особою, яка обіймає посаду, пов’язану зі здійсненням функцій держави або органу місцевого самоврядування) тощо.
Навіть те, що ви купуєте, або просто браузите на маркетплейсах чи інших вебсайтах, перетворюється на дані, за якими вас можна впізнати та ідентифікувати як особу якщо мати доступ до інших джерел інформації про вас — дані, які ви залишаєте у формі під час реєстрації на сайті того ж таки онлайн-магазину чи під час простого отримання пластикової картки для накопичення бонусів. Саме тому, дуже гостро постає питання про захист персональних даних в інтернеті.
Навіщо збирають персональні дані?
Персональні дані — вкрай цінний ресурс, яким хочуть володіти бізнеси. Зараз пояснимо. Маркетологи займаються налагодженням процесів, реалізацією стратегій розвитку, масштабуванням бізнесу, для чого необхідно володіти великою кількістю даних в тому числі й персональних. Це дозволяє створити профайлінг — портрет онлайн користувача. Завдяки профайлінгу можна розділити загальну кількість користувачів на групи та відокремити цільову аудиторію, яка може зацікавити рекламодавців. Ця технологія має назву “таргетинг” і дає можливість сконцентрувати зусилля в просування товарів та послуг для чітко визначеної аудиторії. Саме комерційна мета є найрозповсюдженою, але окрім неї за допомогою таргетингу здійснюється вплив на політичні вподобання аудиторій, на формування суспільної думки тощо.
Завдяки отриманій інформації може складатися не лише портрет користувача, але й звички та вподобання. Це більш складна процедура, але на основі вивчення поведінки та вподобань людини можна скласти прогноз, що її може зацікавити.
А зараз кулсторі. Аналітики торгівельної мережі у США розробили програму, яка на основі персональних даних покупців – жінок могла з великою вірогідністю визначити, що та чи інша покупчиня є вагітною. Що найцікавіше, відбувалось це ще до того, як жінка почне купувати речі для вагітних та немовлят. Маючи необхідну інформацію, за допомогою реклами цій покупчині обережно і м’яко рекламувалися товари та послуги для вагітних. Курйози не змусили себе чекати: торгівельна мережа дізналась про вагітність школярки раніше за її батька. Ось такий ледь помітний натяк, чому потрібно захищати особисті дані в інтернеті.
Як саме захистити приватні персональні дані?
Спираючись на Олега Заярного, експерта спільного проєкту «Європейський Союз та Рада Європи працюють разом задля посилення операційної спроможності Омбудсмана у захисті прав людини», необхідно дотримуватися наступного:
- Перед наданням згоди на обробку персональних даних обов’язково ознайомтеся з метою, процедурами обробки, а також політикою конфіденційності.
- Уникайте будь-яких випадків обробки персональних даних, якщо від вас вимагають безвідкличну або безвідмовну згоду на обробку персональних даних, або коли вам відмовляються повідомити мету і процедури обробки персональних даних.
- Не дозволяйте обробку персональних даних, якщо від вас вимагають персоніфіковану інформацію в обсязі більшому, ніж це потрібно для виконання повідомленої вам мети обробки персональних даних.
- Не повідомляйте персональні дані особам, з якими ви не плануєте укладати юридичний правочин.
- Після того, як ви припинили відносини з володільцем персональних даних, тобто, особою, яка відповідно до закону чи договору уповноважена визначати мету та підстави обробки персональних даних, вимагайте видалення чи знищення інформації про себе.
Як працює Загальний регламент захисту даних GDPR?
Принципи Генерального регламенту захисту персональних даних орієнтовані на інтереси власників персональних даних, запроваджуючи суворе регулювання та контроль над компаніями, які збирають дані користувачів.
Відповідно до вимог GDPR, організація повинна отримати від користувача явно виражений дозвіл на збирання та використання персональних даних.
Основні принципи GDPR:
- Компанія повинна надати кожному користувачеві інформацію про те, які дані та чому використовуються. При цьому користувач має право відмовитися від передачі та подальшого зберігання даних.
- Кожен користувач має право будь-якої миті змінити або видалити інформацію про себе.
- Компанії повинні визначити відповідального за захист даних.
- У разі порушення регламенту або витоку даних компанії повинні повідомити про це країни ЄС протягом трьох діб.
- Користувач має право отримати інформацію щодо обробки своїх персональних даних. Відповідальний співробітник зобов’язаний за запитом безкоштовно надати копію інформації, що є про нього.
- Право на забуття. Кожен користувач може будь-якої миті попросити видалити свої дані, зупинити їх поширення та обробку.
- Користувач може попросити передати свої дані до іншої компанії.
- Вбудований алгоритм. Вже на етапі проектування до системи має бути доданий механізм роботи з персональними даними.
- Необхідність отримувати згоду на обробку даних для досягнення конкретної мети. Якщо одні дані збираються для досягнення кількох цілей, необхідно отримувати згоду на кожну з них.
До GDPR IT-компанії дозволяли собі ігнорування вимог щодо обробки персональних даних для досягнення власних цілей. GDPR різко підвищує розмір штрафів. Систематичне недотримання нових вимог загрожує штрафом у розмірі до 20 млн. євро або 4% від обороту компанії за попередній фінансовий рік.
Збільшення розміру штрафу необхідно для примусу до дотримання GDPR тих IT-гігантів, які могли б вибрати стратегію сплати штрафів, а не виконання нового регламенту. Передбачається, що Google, Facebook та інші корпорації будуть змушені підкорятися новим вимогам.
Перед винесенням штрафу потенційному порушнику буде надіслано листа з вимогою усунення порушень. Завдяки цьому доброчесний малий та середній бізнес зможе уникнути зайвих витрат.
Як я можу захистити дані під час здійснення онлайн покупок?
Зростання популярності інтернет-магазинів призвело до посилення активності кіберзлочинців, метою яких стають довірливі покупці. Щоб успішно здійснювати покупки в інтернеті і при цьому не стати жертвою кіберзлочинців або інтернет-шахраїв, необхідно вжити деяких запобіжних заходів.
- Виконуйте пошук в інтернеті безпечно
Попри те, що пошукові системи дуже корисні при пошуку продуктів, відгуків покупців і для порівняння цін, користувач ненавмисно наражається на ризик, коли проходить за посиланнями в результатах пошуку, які можуть привести на заражений сайт. - Наберіть вручну URL-адресу
Замість використання посилання для переходу на сайт інтернет-магазину, найбезпечнішим буде введення URL-адресу в адресний рядок веб-браузера. Може це й незручно, але ця проста дія може допомогти запобігти відвідуванню фальшивого або шкідливого веб-сайту. - Використовуйте окрему адресу електронної пошти
Варто розглянути можливість створення адреси електронної пошти, яка використовуватиметься лише для покупок в мережі інтернет. Таким чином, можна скоротити ризик відкриття потенційно шкідливих повідомлень електронної пошти або спаму, замаскованих під рекламу товарів або інших повідомлень. - Обережніше з загальнодоступними мережами Wi-Fi
Вихід в інтернет через громадську мережу Wi-Fi супроводжується певним ризиком. Кіберзлочинці можуть легко перехопити ваші дані, логіни та паролі для входу на сайти та фінансову інформацію. - Звертайте увагу на шифрування
Переконайтеся, що ви використовуєте зашифроване з’єднання, коли потрібно вводити будь-які конфіденційні дані. Якщо з’єднання безпечне, URL-адреса починається з літер “https”. Крім того, в адресному рядку або рядку стану браузера відображається невеликий значок блокування. - Використовуйте надійний антивірус
Деякі антивірусні програми також включають спеціальні технології, які забезпечують додаткові рівні безпеки під час роботи із системами онлайн-банкінгу та здійснення покупок в інтернет-магазинах.
Як я можу захистити свої дані в соціальних мережах?
Ось кілька правил від нашої редакції, яких слід дотримуватися:
- Ніколи не відкривайте підозрілі повідомлення та електронні листи. Не переходьте за сумнівними посиланнями (навіть якщо вони були надіслані людиною, котрій ви довіряєте) — вони можуть містити віруси або шкідливі скрипти.
- Отримавши щось підозріле від знайомої людини, напишіть текстове повідомлення або зателефонуйте їй, щоб уточнити, що саме ця людина відправила вам посилання.
- Створіть надійні паролі – робіть їх довгими, використовуйте великі та малі літери, цифри і символи. Ніколи й нікому не давайте своїх паролів.
- Використовуйте різні паролі для різних акаунтів.
- Користуйтеся багатофакторною аутентифікацією всюди, де це можливо.
- Не логіньтеся в персональні акаунти використовуючи громадьский Wi-Fi. Якщо вкрай потрібно, то обов’язково використовуйте VPN.
- Завжди оновлюйте свої додатки. Кожне оновлення – це виправлення вразливостей і зламати акаунт стає складніше.
Часто задавані питання
Чи видалені мої дані соцмережах якщо я ними вже не користуюсь?
Що стосується соціальних мереж, то ситуація наступна. Якщо ви просто перестали користуватися та логінитися до свого акаунту, то ні його, ні дані, котрі є в профілі, не будуть видалені. Для того, щоб їх видалити, ви маєте зробити це вручну. Що стосується акаунтів Google, то ми маємо інформацію, що каже наступне.
Компанія Google поновила правила обслуговування своїх сервісів. Нова політика управління даними набула чинності 1 червня 2021 року. Видалення контенту розпочнеться 1 червня 2023 року. Таким чином, користувачі мають близько двох з половиною років, щоб навести порядок у своїх облікових записах. Перед видаленням даних компанія попередить користувачів електронною поштою. Щоб зберегти статус активного користувача, необхідно періодично входити до сервісів компанії. Якщо на пристрої є кілька облікових записів Google, потрібно входити до кожного з них. Також компанія залишає за собою право видаляти весь контент, який виходить за межі безкоштовних 15 гігабайт. Користувачеві запропонує очистити місце у сховищі або придбати додатковий обсяг.