Захист персональних даних
Як приватним компаніям бути на стороні користувача?

Індекс захисту даних 2021 Інтро ГО «Інтерньюз-Україна», 2021

Напередодні Нового року в у центрі Києва біля ЦУМу розгорнулася вулична виставка Data Ctrl Centre. Одна з експозицій присвячена фішингу – атакам на користувачів з ціллю шахрайським методом виманити їхні паролі чи дані банківської карти. Ознайомитися з порадами, як розпізнати фішинг й згодом робити покупки в онлайні – вдалий крок, адже напередодні свят, як-то Новий рік, багато покупців стають жертвами шахраїв в онлайні. Чому? У передcвятковій метушні багато хто намагається встигнути завершити десятки справ, й при цьому шкидко купити подарунки – увага до деталей знижується, чим й користуються шахраї.
 

Нещодавно мені на очі потрапила публікація в соцмережі знайомого. Той описав, що після розміщення оголошення на Olx.ua про продаж одного з аксесуарів для гітари, йому майже одночасно надіслали через Whatsapp два запити – невідомі пропонували знайомому лінк на сайт аби той ввів на ньому номер своєї банківської карти. Нібито для того, аби “завершити замовлення” й розрахуватися за аксесуар для гітари. Звісна річ, надіслане посилання вело на фішинговий сайт, а введення даних карточки означає втрату усіх грошей на цій карті. Знайомий таки розпізнав цю атаку.

Такі сайти як Olx.ua все дбають про безпеку ваших покупок. Адже на сайті є застереження – розраховуйтеся з допомогою системи платежів на самому сайті й не ведіться на пропозиції оплатити товари на сторонніх майданчиках. Приватні компанії в Україні, як-то Olx.ua, вже чітко розуміють – треба бути на стороні клієнта й не просто давати можливість купувати чи продавати, але й пояснювати й попереджати про можливі ризики, коли йдеться про грошові операції. 

Чим більше українці користуються послугами таких технологічних компаній, як Nova Poshta, Rozetka, Prom.ua, Olx.ua, тим більше вони проводять часу у цифровому просторі, й, відповідно, тим більше вони здійснюють онлайн-платежів. Однак, чи обмежуються ризики для користувачів тільки спробами зловмисників викрасти ваші гроші?

Радше ні, адже сучасна валюта цифрового простору – це також й персональні дані користувачів, доступ до яких і використання яких лежить в основі бізнес-моделей багатьох приватних компаній. Як же сучасні приватні компанії захищають персональні дані своїх користувачів? Це питання лягло в основу дослідження Індекс захисту персональних даних 2021, що було проведене ГО “Інтерньюз-Україна” у 2021 році.   

Дослідження Індекс захисту персональних даних 2021 є, ймовірно, першою спробою в Україні оцінити корпоративну політику підзвітності та прозорості провідних компаній приватного сектору в Україні на предмет дотримання ними цифрових прав людини в аспекті захисту персональних даних користувачів. Дослідники взяли за основу методологію американського проєкту Ranking Digital Rights, й адаптували її до українських реалій.

Дослідники відібрали 20 приватних компаній, яких віднесли до лідерів серед технологічних компаній, що надають послуги користувачам. Серед них представлені:
Три телекомунікаційні компанії, представлені брендами: Kyivstar.ua,  Lifecell.ua  та Vodafone.ua;
Три провайдери, представлені брендами— DataGroup.ua, Triolan.com, Lanet.ua;
14 компаній, що надають користувачам онлайн-сервіси та послуги: Rozetka.com.ua, Prom.ua,  Olx.ua,  Ukr.net,  NovaPoshta.ua, Сomfy.ua, Foxtrot.ua,  Eldorado.ua, Citrus.ua, Allo.ua, Makeup.com.ua, Kasta.ua, Silpo.ua та Zakaz.ua.
Кожна з цих компаній надає послуги для мільйонів користувачів в Україні, й за останні роки багато з цих компаній продемонстрували швидкий ріст – сьогодні важко уявити поштові сервіси без Нової пошти чи замовлення товарів онлайн без Розетки. Тим паче, світ для нас став би невпізнаваним, якби в одну мить зникли телекомунікаційні компанії, що надають нам мобільний зв’язок та доступ до інтернету.


Що ж вивчали дослідники в корпоративних політиках цих компаній?

Перш за все, чи дотримуються компанії українського законодавства про захист персональних даних? Адже закон вимагає аби компанії інформували користувачів про те, як і для чого їхні персональні дані (ім’я та прізвище, email, номер мобільного, адреса проживання) будуть використовуватися. Закон вимагає, аби компанії забезпечували можливість людині надати усвідомлену згоду (самостійно проставити галочку на сайті) на опрацювання її персональних даних, інформували про термін збереження цих даних. А сама людина могла б видалити свої збережені персональні дані з сайту компанії і тд.

Також досліджували, чи українські компанії дотримуються європейських стандартів в захисті персональних даних – чи не збирають компанії зайву інформацію про користувача (дані про дітей, освіту, роботу, уподобання), чи прописують свої політики конфідеційності у простій та доступній для розуміння формі, а не на 30 сторінок дрібним шрифтом канцелярською юридичною мовою, як це зазвичай буває. Також, це інформування користувачів про те, яким чином персональні дані передаються третім особам, що є поширеною практикою.

Зрештою, дослідники вивчали технологічні аспекти роботи сайтів – чи є посилений захист для користувача, де розташовані сервери компаній. Насамкінець, чи зручно користувачу знайти на сайті політику конфідеційності та чи дотримуються компанії пронципу інклюзивності.

Що показали результати дослідження?

За результатами дослідження Індексу захисту персональних даних 2021 тільки три компанії – Olx.ua, Ukr.net та Foxtrot.ua опинилися у верхній частині рейтингу, набравши щонайменше 70% балів від 100% можливих за критерієм захисту персональних даних.

Трохи нижче розташувалася група з 9 компаній, що набрали щонайменше 50% балів – Kyivstar.ua, Comfy.ua, Allo.ua, Kasta.ua, Prom.ua, NovaPoshta.ua, Vodafone.ua, Zakaz.ua та Citrus.ua.

Й решта 8 компаній за результатами експертної оцінки не змогли набрати й половини від 100% балів, що свідчить про значні прогалини в захисті персональних даних. Серед них – Eldorado.ua, DataGroup.ua, Lifecell.ua, Rozetka.com.ua, Makeup.com.ua, Silpo.ua, Lanet.ua і Triolan.com.

Які висновки варто зробити компаніям?

Усі українські приватні компанії, які досліджувалися в рамках Індексу захисту персональних даних 2021, є лідерами на ринку. Скоріше за все, ці компанії будуть зростати й надалі. Відповідно, їхніми послугами будуть користуватися все більше українських користувачів. Для кожної з цих компаній публікація результатів дослідження є приводом переглянути свої політики конфідеційності й виправити недоліки.

У сучасному світі успішні компанії не просто дотримуються вимог чинного законодавства. Успішні компанії проактивно впроваджують внутрішні політики з акцентом на захисті цифрових прав користувачів, створюють умови для максимального убезпечення користувачів від зовнішніх загроз. Сьогодні нормою для компаній вже стало використання захищених протоколів передачі даних на сайті чи опції посиленого захисту від неавторизованих логінів для користувачів як протидія зламу особистого кабінету.

Цілком ймовірно, не всі успішні компанії в Україні нині проблематизують питання цифрових прав користувачів, включно з питанням захисту персональних даних. Кожна компанія проходить етапи свого інституційного розвитку, й дизайн політик щодо користувачів відбувається вже на етапі інституційної “зрілості” – коли менеджмент компанії чітко усвідомлює, що таке західні стандарти захисту прав користувачів, й робить конкретні кроки аби поширювати культуру поваги до приватності. Адже у цьому випадку у виграші будуть усі – й успішні компанії, й задоволені користувачі.

Віталій Мороз Фото: приватне