GDPR в дії, або як Facebook вчиться на власних помилках

Не минуло й півроку з моменту всім відомого скандалу з Facebook про витік даних мільйонів користувачів, як знову «запахло смаленим» – стало відомо про загрозу виникнення нового скандалу.

Фото: EPA/UPG

Мова йде про чергову атаку на соцмережу, внаслідок якої невстановлені особи отримали доступ до облікових записів більш ніж 50 млн користувачів, ще 40 млн – могли стати жертвами атаки.

В результаті близько 90 млн. користувачів були примусово «вилогінені». Такі користувачі для продовження використання мережі змушені повторно проходити процедуру авторизації у Facebook («to log back in to Facebook») на своїх пристроях, або у інших застосунках, вхід до яких було здійснено через Facebook.

Як повідомив 28.09.2018 Гай Росен, Віце-президент з управління продуктами Facebook (Guy Rosen, VP of Product Management), атака стала можливою через вразливість коду Facebook при використанні функції «View As» (перегляд свого профайлу як інший користувач).

Не будемо детально зупинятись на технічних деталях щодо проблеми безпеки, а відразу сконцентруємо увагу на її правових наслідках з точки зору Європейського законодавства.

Як відомо, з кінця травня 2018 р. набрав чинності Регламент Європейського парламенту щодо захисту персональних даних, інакше відомий як GDPR (далі – Регламент, або GDPR). Вказаний Регламент застосовується до опрацювання персональних даних громадян ЄС (якщо говорити коротко).

У ситуації з Facebook майже впевнено можна стверджувати про існування факту порушення захисту персональних даних. Потенційні потерпілі – більш ніж 50 млн користувачів Facebook. Для самої компанії Facebook – ситуація більш ніж серйозна.

Наразі достовірно не відомо, який відсоток користувачів з країн ЄС серед тих 50 млн потенційних потерпілих. Проте однозначно, що це немаленька цифра. Припустімо, що кількість потенційних потерпілих з ЄС складає всього 5 %, а це 2,5 млн користувачів.

Регламент визначає чіткі та жорсткі вимоги щодо захисту персональних даних фізичних осіб, зокрема:

- встановлює низку обов’язків для Контролерів (осіб, що здійснюють опрацювання персональних даних);

- наділяє широким колом прав Суб’єктів даних (особи, персональні дані яких опрацьовуються);

- ставить в взаємозалежність правові підстави опрацювання персональних даних від цілей та мети такого опрацювання.

Крім іншого, GDPR встановлює відповідальність Контролерів за порушення його положень – це може бути накладення адміністративного штрафу від 10 до 20 млн Євро. Немаленька сума, погодьтесь…

Тепер конкретніше: Регламент визначає обов’язкові дії Контролера (в даному конкретному випадку – це Facebook) при виникненні випадків порушення захисту персональних даних. Так, Контролер зобов’язаний:

1) протягом 72 годин після того, як йому стало відомо про це, повідомити про порушення захисту персональних даних відповідний наглядовий орган (якщо порушення навряд чи призведе до виникнення ризику для прав Суб’єкта даних);

2) без необгрунтованої затримки повідомити Суб’єкта даних про порушення захисту персональних даних (якщо порушення ймовірно призведе до виникнення високого ризику для прав Суб’єкта даних).

В будь-якому випадку таке повідомлення повинно містити:

- особу та контактні дані співробітника з питань захисту даних, де можна отримати додаткову інформацію,

- ймовірні наслідки порушення захисту даних,

- заходи, яких було вжито для реагування на порушення захисту персональних даних.

Крім того, GDPR визначає, що повідомлення Суб’єкта даних про порушення захисту персональних даних є необов’язковим, якщо Контролер, зокрема, вжив необхідних технічних та організаційних заходів захисту, і такі заходи було застосовано до персональних даних, на які вплинуло порушення.

Повертаючись до ситуації з Facebook, можемо відслідкувати виконання компанією наведених вище обов’язків.

Перш за все, Facebook розмістив у одному зі своїх розділів відповідне повідомлення про порушення безпеки. В повідомленні чітко дотримані наведені вище критерії, а саме:

- зазначено про особу, де можна отримати додаткову інформацію («people who are having trouble logging back into Facebook … should visit our Help Center», «if anyone wants to take the precautionary action of logging out of Facebook, they should visit the “Security and Login” section»);

- вказано про наслідки порушення захисту даних («This allowed them to steal Facebook access tokens which they could then use to take over people’s accounts»);

- вказано заходи, які було вжито («we have reset the access tokens of the almost 50 million accounts»).

Крім того, можна стверджувати, що Facebook вжив необхідні заходи захисту – близько 90 млн. користувачів були примусово «вилогінені». Тобто, в такому випадку повідомлення Суб’єкта даних про порушення захисту є необов’язковим.

За таких обставин, цілком вірогідно, що передбачені Регламентом санкції не будуть застосовані до компанії Facebook.

Проте така атака, ймовірність виникнення якої було зумовлено вразливістю коду Facebook при використанні окремих його функцій, повинна стати «тривожним дзвіночком» для соцмережі.

Ок, але ж яке це значення має для українських суб’єктів?

Дії Facebook в наведеній вище ситуації можуть слугувати гарним прикладом для українських контролерів, що здійснюють опрацювання персональних даних громадян ЄС.

Відповідно до вимог GDPR його положення поширюються на опрацювання персональних даних суб’єктів, які перебувають в межах ЄС. При цьому, за таких умов вимоги GDPR поширюються й на діяльність контролерів чи операторів (особа, яка здійснює опрацювання від імені контролера), що знаходяться поза межами ЄС.

Одним із видів персональних даних є так звані файли-cookies – невеликі текстові фрагменти для зберігання відомостей у браузері, які використовуються під час відвідування особою будь-якого сайту в мережі Інтернет. В такому випадку контролером є відповідна особа, яка є власником сайту.

Як правило, файли-cookies автоматизовано опрацьовуються сайтом, зокрема, для ідентифікації особи, яка його відвідує, та для моніторингу поведінки особи, яка відвідує сайт. Наприклад, за допомогою файлів-cookies визначається історія пошуку та відвідування веб-сторінок в браузері. Саме через файли-cookies ви можете бачити в своєму Інтернет-браузері рекламу товарів, пошук яких здійснювали декілька днів тому.

В свою чергу, Регламент визначає, що його положення застосовуються, зокрема, до контролерів, які знаходяться поза межами ЄС та які здійснюють «моніторинг поведінки суб’єктів даних, якщо така поведінка має місце в межах ЄС».

Таким чином, дія Регламенту поширюється також на українські компанії, які здійснюють поставку товарів чи надають послуги особам з ЄС, та на українських власників сайтів, якими користуються громадяни ЄС.

Тобто, якщо, скажімо, даний блог прочитає мій друг з Праги (Чехія), положення Регламенту будуть застосовуватись й до власника сайту lb.ua., на якому розміщено даний блог. Відповідно, власник сайту lb.ua несе усю відповідальність за порушення захисту персональних даних та має усі обов’язки в сфері захисту персональних даних, передбачені Регламентом.

А тому у випадку виникнення у власника сайту lb.ua будь-якої загрози порушення захисту персональних даних, для того, щоб дотриматись вимог GDPR, lb.ua буде зобов’язано вчинити такі ж дії, як і Facebook.

Ба більше, з врахуванням того, що GDPR поширюється і на українських Контролерів, будь-які особи, що опрацьовують дані громадян ЄС (зокрема, власник сайту lb.ua) повинні забезпечити дотримання захисту таких персональних даних та вжиття усіх превентивних заходів, передбачених Регламентом.

Олександр Смішко Олександр Смішко , Юрист компанії Hillmont Partners
Читайте головні новини LB.ua в соціальних мережах Facebook, Twitter і Telegram