Internews Ukraine-scaled.jpg&w=3840&q=75)
Один із найбільших європейських офісів компанії Meta, Inc, яка управляє Facebook, розташований у Дубліні. В Європейському Союзі у Meta є багато роботи — американська компанія має відповідати стандартам законодавства ЄС у сфері захисту прав людини, оскільки управляє мільйонами облікових записів жителів ЄС — користувачів Facebook, Instagram і WhatsApp.
У Дубліні також є офіс відомого критика Meta — компанії Digital Rights Ireland. Вона захищає цифрові права користувачів соцмереж, зокрема Facebook.
У лютому 2023-го в Digital Rights Ireland (DRI) заявили, що планують подати позов про відшкодування збитків Facebook-користувачам у країнах ЄС, чиї дані скомпрометували й опублікували в інтернеті.
Заява DRI прозвучала після завершення судової справи, що розглядала ірландська Комісія із захисту даних (DPC). За твердженням DRI, суд завершився перемогою Facebook-користувачів, чиї дані були оприлюднені.
Ще раніше — у листопаді 2022-го ірландський регулятор оштрафував компанію Meta, Inc як власника Facebook на 265 млн євро. За висновками розслідування дані 533 млн облікових записів Facebook стали доступними в інтернеті без відома власників цих облікових даних. Тоді постраждало близько 100 млн Facebook-користувачів із країн-членів ЄС. Переважна більшість оприлюднених записів включала номери телефонів, імена, стать та ідентифікатори Facebook.
Чому саме в ЄС національні уряди та наддержавні органи проводять чисельні розслідування проти таких компаній як Meta, Inc?
Відповідь очевидна — в ЄС створено багато запобіжників щодо порушень цифрових прав людини, зокрема у сфері захисту персональних даних.
Цю сферу в ЄС регламентує низка документів, які окреслюють права та обовʼязки між власниками вебресурсів та їхніми користувачами.
У 1995-му Рада ЄС ухвалила Директиву 95/46/ЄС, яка визначає правила зберігання, обробки та використання особистих даних європейських інтернет-користувачів. Пізніше у 2008-му Рада доповнила документ Рамковим рішенням № 2008/977/JHA про захист персональних даних, що обробляються в межах поліційного та судового співробітництва в кримінальних справах.
Одна з головних вимог Директиви 95/46/ЄС полягала в тому, що будь-яка організація, яка збирає персональні дані, мала отримати дозвіл від людини, що надає ці дані. Крім того, організації мали гарантувати, щоби персональні дані їхніх користувачів були оброблені та збережені в безпечному місці. Персональні дані можна було обробити тільки в окремих випадках, а власники онлайн-ресурсів мали добре убезпечити ці дані від несанкціонованого доступу.
Зі швидким розвитком інтернету, ускладненням його архітектури, зростанням впливу та збільшенням кількості зловживань із боку недобросовісних користувачів у ЄС постало питання ґрунтовного перегляду регуляторних норм. У 2018-му інституції ЄС ухвалили Загальний регламент про захист персональних даних (GDPR), який замінив Директиву 95/46/ЄС. На відміну від Директиви, яку країни ЄС мали інтегрувати у своє законодавство, GDPR є актом прямої дії – державам-членам не треба було додатково його імплементувати.
Основною метою GDPR є захист персональних даних громадян Європейського Союзу, які компанії збирають, обробляють і зберігають. GDPR встановлює чіткі правила щодо збору та обробки даних, включно з правилами щодо отримання згоди на збір та обробку даних, правилами щодо інформування про використання даних і правилами щодо прав осіб на доступ до своїх персональних даних та їх виправлення.
GDPR базується на семи принципах, що лягають в основу всього законодавства:
- Законність, справедливість і прозорість
Законність – у компанії має бути вагома причина, щоб обробляти персональні дані. Справедливість — компанія не може навмисно приховувати мотиви збору даних. А користувачі не мають бути заскочені тим, як компанія використовує їхні дані. Прозорість — чіткість, відкритість і чесність щодо того, як і чому компанія обробляє персональні дані.
- Обмеження мети збору даних
Цей принцип GDPR означає, що дані «збираються лише для визначених, явних і законних цілей.
- Мінімізація даних
Компанії повинні збирати тільки ті дані, які їм потрібні для досягнення своїх цілей. Наприклад, якщо компанія хоче зібрати підписників для своєї електронної розсилки, вона має запитати тільки інформацію, необхідну для розсилки своїх матеріалів.
- Точність
Компанія повинна забезпечувати точність даних, які збирає і зберігає. Вона має вживати заходів, аби виправляти, оновлювати чи видаляти неправильні, чи неповні дані.
- Обмеження терміну зберігання
Відповідно до GDPR компанія повинна обґрунтувати тривалість зберігання даних. Йдеться про крайні терміни зберігання даних, щоб відповідати політиці обмеження зберігання.
- Цілісність і конфіденційність
GDPR вимагає підтримувати цілісність і конфіденційність даних, захищаючи їх від внутрішніх і зовнішніх загроз. Необхідний захист даних від несанкціонованої або незаконної обробки та випадкової втрати, знищення або пошкодження.
- Підзвітність
Відповідно до принципу підзвітності компанії повинні мати відповідну документацію, що слугуватиме доказом дотримання принципів обробки даних. Регулятор може вимагати ознайомлення із цією документацією.
Штрафи за недотримання GDPR можуть сягати до 4 % річного обороту компанії або до 20 млн євро — залежно від того, яке значення є більшим. Ці санкції рідко втілюють; і, як показує практика, штрафи насправді набагато менші. Але регулятор може застосовувати й жорсткіші санкції. Яскравим прикладом цього є значні штрафи для техгігантів, як-то Meta, Inc.
Стаття написана в межах проєкту «Актуалізація конфіденційності в цифровій сфері в Україні» (Індекс захисту персональних даних 2022), що реалізується ГО «Інтерньюз-Україна», за підтримки ABA ROLI Ukraine / Rule of Law Initiative.