Татальная сочка ў абмен на зніжкі. Як інтэрнэт-крамы збіраюць дадзеныя пра нас

01.04.23 15:46
(обновлено: 28.12.23 09:26)

Фото: Светлана Курейчик и из открытых источников

Дзякуючы пашырэнню шырокапалоснага доступу ў інтэрнэт і службы дастаўкі на дом пакупкі анлайн даўно сталі паўсядзённай рэальнасцю не толькі для райцэнтраў, але і многіх аграгарадкоў. Разам з тым большасць пакупнікоў не ведае, або не задумваецца, што надалей можа быць з асабістымі звесткамі, якія застаюцца ў руках інтэрнэт-гандляроў. З гэтай нагоды мы звярнуліся ў Нацыянальны цэнтр абароны персанальных даных, які быў створаны ў 2021 годзе ў развіццё норм адпаведнага закона. Дырэктар ЦНАПД Андрэй Гаеў пастараўся даць вычарпальныя адказы на нашы пытанні.

Што пойдзе на сайт

— Ці абавязкова наведвальнікам інтэрнэт-крам у Беларусі пакідаць свае даныя пры пошуку тавара?

— Не, заканадаўствам не прадугледжваецца неабходнасць збіраць даныя наведвальнікаў інтэрнэт-крамамі. Чалавек павінен мець магчымасць праглядаць адпаведныя сайты і шукаць інфармацыю, якая яго цікавіць, не пакідаючы асабістых звестак. Гэта датычыцца і збору файлаў «кукі». Іншая сітуацыя, калі вы вырашылі набыць той ці іншы тавар. Зразумела, што вы, як пакупнік, мусіце паведаміць пэўныя звесткі пра сябе, у тым ліку і адрас, куды трэба даставіць тавар, калі вы замаўляеце дастаўку.

Найбольшыя складанасці ўзнікаюць падчас збору персанальных даных пры ўдзеле ў розных праграмах лаяльнасці. Удзел у іх — справа добраахвотная. Але разам з тым мы фіксуем шматлікія парушэнні з боку гандлёвых сетак. Гэта і збор празмерных звестак як пра самога кліента, так і пра яго сваякоў, і несвабодны характар згоды, калі вы можаце або пагадзіцца з усімі мэтамі апрацоўкі, у тым ліку, напрыклад, з перадачай вашай асабістай інфармацыі іншым арганізацыям, або адмовіцца ад удзелу ў праграме лаяльнасці. Тут я хачу нагадаць: для забеспячэння свабоднага характару згоды павінен дзейнічаць прынцып: адна мэта — адна згода. Сур’ёзныя прэтэнзіі выклікаюць і тэрміны, на якія бярэцца згода. Нарэшце, нельга не сказаць пра адсутнасць неабходнай інфармацыі аб тым, як будуць выкарыстаны вашы даныя, каму яны будуць накіраваны. Агулам непразрыстасць апрацоўкі, на жаль, даволі распаўсюджаная рыса многіх праграм лаяльнасці. Таму я заклікаю двойчы падумаць перад удзелам у іх.

— Ці падлягаюць даныя выдаленню на запыт карыстальніка сайта?

— Магчымасць выдалення даных залежыць ад прававой падставы іх апрацоўкі. Калі гэта згода, карыстальнік сайта мае права на выдаленне даных. Але калі даныя апрацоўваюцца для выканання дагавора, тады магчымасці выдалення звестак абмежаваны тэрмінамі захавання інфармацыі пра дагавор.

— Куды варта звяртацца, калі персанальныя даныя злілі ў агульны доступ?

— Гэта насамрэч праблема. Я зараз не кажу пра нейкія злітыя базы даных, якія звычайна размяшчаюцца на замежных серверах. На іх уладальнікаў наш Закон «Аб абароне персанальных даных» не распаўсюджваецца. Але мы ў мэтах выдалення незаконна распаўсюджаных звестак звязваемся, у залежнасці ад сітуацыі, або з уладальнікамі такіх рэсурсаў, або са структурамі па абароне правоў суб’ектаў персанальных даных у краіне, дзе размяшчаюцца гэтыя рэсурсы.

Аднак мы бачым, што персанальныя даныя, напрыклад фотаздымкі, анлайн-трансляцыі ў інтэрнэце, у шэрагу выпадкаў неправамерна размяшчаюцца і беларускімі аператарамі. Яны спасылаюцца на вусную згоду, або на тое, што прысутныя не выказваліся супраць здымкаў. Але у якасці прававых падстаў гэтага недастаткова. Заканадаўствам прадугледжана зусім іншае.

Калі вы сутыкаецеся з сітуацыяй, пры якой вашы даныя з’явіліся ў агульным доступе ў Сеціве, варта ў першую чаргу звярнуцца да ўладальніка рэсурсу з пытаннем аб прычынах распаўсюджвання вашых асабістых звестак, а таксама запатрабаваць іх выдалення. У выпадку адмовы вы можаце звярнуцца ў наш цэнтр са скаргай на аператара.

Папярэдні зварот суб’екта персанальных даных да аператара мае шэраг пераваг. Гэта і хуткасць у вырашэнні праблемы, і магчымасць яе самастойнага ўрэгулявання, што часта вельмі важна для аператара. А невыкананне законнага патрабавання суб’екта персанальных даных у адпаведнасці з Кодэксам аб адміністрацыйных правапарушэннях цягне адказнасць для службовых асоб у памеры да 50 базавых велічынь (ч. 1 арт. 23.7 КаАП).

Выхаванне — незаконнае

— Ці ёсць рэзанансныя выпадкі нядобрасумленнага абыходжання з такімі данымі? Ці ўдаецца іх выкрыць?

— За час існавання цэнтра прыкладаў нядобрасумленнага абыходжання з персанальнымі данымі назбіралася дастаткова. Сярод іх накіраванне наймальніку інфармацыі аб запазычанасці работніка па камунальных паслугах у мэтах «паўплываць на пагашэнне запазычанасці»; фактычна прымусовы збор біяметрычных даных непаўналетніх для кантролю ўвахода ва ўстанову адукацыі; атрыманне без юрыдычных падстаў наймальнікамі звестак аб прыцягненні работніка да адміністрацыйнай або крымінальнай адказнасці; незаконная трансгранічная перадача персанальных даных; вядзенне суцэльнага відэаназірання за офіснымі работнікамі; размяшчэнне камер у пераапранальнях, кухнях і г. д.

Найбольшая колькасць запісаў у кнізе скаргаў зафіксавана ў сетках крам «Суседзі» — 634 тыс. запісаў, «Востраў чысціні і смаку» — 148 тыс.

Правілы гандлю

— У якой ступені замежныя інтэрнэт-крамы падпарадкоўваюцца беларускаму заканадаўству?

— Айчынны закон у адрозненне ад законаў шэрагу іншых краін не мае экстэрытарыяльнага дзеяння. Ён распаўсюджваецца на арганізацыі, якія апрацоўваюць персанальныя даныя на тэрыторыі Беларусі. Такім чынам, калі вы самастойна перадаяце даныя замежным інтэрнэт-крамам, закон не зможа паўплываць на іх дзейнасць.

онлайн-покупки — *За год анлайн-пакупкі зрабілі 2,14 млрд чалавек у свеце*

— Ці прадугледжана выдача НЦАПД рэкамендацый для інтэрнэт-крам, як і для іншых аператараў персанальных даных?

— Зараз цэнтрам падрыхтаваны тлумачэнні аб прымяненні закона ў шэрагу сфер: банкаўскай, страхавой, жыллёва-камунальнай гаспадаркі, адукацыі, у сферы дзейнасці гандлёвых сетак. Акрамя таго, ёсць тлумачэнні адносна статусу аператара і ўпаўнаважанай асобы, прымянення закона ў сферы працоўных адносін. Як правіла, падрыхтоўка «сектаральных» рэкамендацый звязана з зацікаўленасцю ў гэтым адпаведных асацыяцый, якімі комплексна аналізуецца інфармацыя ў пэўнай сферы і па выніках фармулююцца і накіроўваюцца ў цэнтр пытанні. Пры паступленні падобных запытаў цэнтр можа разгледзець магчымасць падрыхтоўкі тлумачэнняў і для сферы анлайн-гандлю.

Зніжкі, якія вы атрымліваеце, на самой справе не з’яўляюцца падарункам: вы плаціце за іх сваімі асабістымі звесткамі.

— Якія абмежаванні накладаюцца на збор і пашырэнне пэўных відаў даных наведвальнікаў такіх сайтаў?

— Перш за ўсё для збору і распаўсюджвання персанальных даных патрэбна юрыдычная падстава. Для інтэрнэт-крам гэта звычайна выкананне дагавора або згода. Але гэтым сітуацыя не абмяжоўваецца: наяўнасць юрыдычнай падставы яшчэ не гарантуе законнасць апрацоўкі.

Аператар таксама павінен прытрымлівацца агульных патрабаванняў да апрацоўкі, прадугледжаных артыкулам 4 закона. Часцей за ўсё назіраецца такое парушэнне, як празмернасць: калі патрабуемыя даныя не з’яўляюцца неабходнымі для дасягнення мэты (напрыклад, у дагавор уключаецца права аператара перадаваць даныя іншым арганізацыям-партнёрам). Даволі часта нягледзячы на наяўнасць згоды яна не з’яўляецца юрыдычна дзейснай. Так, аператары рэгулярна парушаць такое патрабаванне да згоды, як яе свабодны характар. Напрыклад, уключэнне норм аб тым, што, заключаючы дагавор куплі-продажу пэўнага тавару, вы адначасова пагаджаецеся на атрыманне рэкламы. Такая згода не адпавядае патрабаванням артыкула 5 закона і, адпаведна, апрацоўка персанальных даных на яе падставе прызнаецца незаконнай.

— Якія тэрміны прадугледжваюцца для захоўвання персанальных даных?

— У адпаведнасці з пунктам 8 артыкула 4 закона захоўванне персанальных даных павінна ажыццяўляцца ў форме, якая дазваляе ідэнтыфікаваць суб’екта не далей, чым таго патрабуюць заяўленыя мэты апрацоўкі персанальных даных.

Іншымі словамі, па агульным правіле персанальныя даныя падлягаюць выдаленню пасля дасягнення мэты апрацоўкі.

Аднак у некаторых сітуацыях аператар мае права захоўваць іх больш працяглы тэрмін. Напрыклад, дагавор у адпаведнасці з заканадаўствам у сферы архіўнай справы і справаводства павінен захоўвацца 3 гады, а калі не было падатковай праверкі — 10 гадоў. Але ў гэтай сітуацыі аператар можа толькі захоўваць персанальныя даныя. Правам іх выкарыстання іншым чынам ён не валодае.

Калі ж гаворка ідзе пра апрацоўку даных на падставе згоды, тэрмін захоўвання вызначаецца тэрмінам, на які бярэцца згода. Пры гэтым варта помніць, што вы заўсёды маеце права адклікаць сваю згоду. У такім разе вашы даныя павінны быць выдалены цягам 15 дзён.