Big Data and personal data protection (UKR)

The original material is in Ukrainian.

Big Data дає великі можливості. Відразу можна пригадати яскраву перемогу Барака Обами на президентських виборах Сполучених Штатів Америки 2012 року. І тут знайдеться чимало експертів, які вважають, що використання Big Data для оцінки й аналізу настроїв виборців часто допомагало коригувати виборчу кампанію штабу Обами. Доволі успішно, як свідчать результати.

Проте якщо у 2012 році використання Big Data не було ще таким популярним, то у 2021 році аналітика великих даних – це основа маркетингових стратегій більшості компаній.

Big Data допомагає оптимізувати прибуток, досліджувати онлайн поведінку потенційних клієнтів, боротися з COVID-19, а інколи й запобігати природним катаклізмам.

Водночас Big Data – це не лише про удосконалення user-experience та інші переваги, але й про потенційні ризики. Які ж проблеми можуть виникати у зв’язку використанням Big Data?

Перш за все, це витоки персональних даних, продаж персональних даних користувачів без їхньої згоди та застосування дискримінаційних суджень до користувачів. При цьому найчастіше такі проблеми виникають із двох причин – недотримання законодавства про персональні дані або ж нехтування правилами кібербезпеки.

Розглянемо детальніше, що таке Big Data, яким чином Big Data пов’язана з захистом персональних даних, а також чи можна зменшити потенційні ризики від застосування Big Data.

Що таке Big Data?

Якщо стисло, Big Data – це великі інформаційні потоки.

Проте для того, щоб вважатися Big Data, такі інформаційні потоки повинні володіти певними характеристиками, які відомі як «П’ять V»: Volume, Velocity, Variety, Veracity та Variability.

– Volume – перекладається як «об’єм» і означає, що інформація повинна бути великою за обсягом, щоб вважатися Big Data.
– Velocity – тобто «швидкість», адже інформація повинна накопичуватися та оброблятися швидкими темпами.
– Variety – «різноманітність». Важливо, що Big Data охоплює різноманітну, так би мовити неоднорідну інформацію, яка може бути структурована за певними критеріями або ж залишатися неструктурованою.
– Veracity – тобто «достовірність», оскільки важливо пересвідчитися, що масив даних містить правдиву та точну інформацію.
– Variability – «мінливість інформації». Деякі дані можуть мати декілька значень, котрі залежать від ситуації та цілей обробки.

Big Data та захист персональних даних

Big Data збирає та обробляє величезну кількість інформації. Зокрема, це можуть бути персональні дані, тобто відомості, за допомогою яких можна ідентифікувати певну особу (такі як прізвище, ім’я, місце проживання, номер телефону тощо).

Протягом довгого часу компанії не мали будь-яких обмежень щодо того, як вони обробляли персональні дані користувачів. У Європі діяла Data Protection Directive 95/46/ЄС від 24.10.1995, в інших країнах – відповідне національне законодавство. Проте кількість масових витоків персональних даних вимагала змін до існуючих правил та процедур обробки персональних даних.

GDPR

Cправжня революція розпочалася з прийняттям Загального регламенту захисту даних у Європі від 27.04.2016 (GDPR), який суттєво змінив порядок збирання та обробки персональних даних та запровадив жорсткі санкції за порушення встановлених законодавчих вимог – до 20 000 000 Євро, або 4 % від світового обороту порушника за фінансовий рік.

Відтепер будь-яка компанія, яка обробляє персональні дані резидентів Європейської економічної зони, повинна володіти належною підставою для такої обробки – як, наприклад, згода суб’єкта або дозвіл, наданий відповідно до закону.

Водночас зважаючи на принцип «екстратериторіальності», це може бути не лише компанія-резидент Німеччини, але й будь-яка українська компанія, якщо вона збирає персональні дані резидента ЄЕС.

CCPA

В США на даний момент нема єдиного федерального закону за аналогією з GDPR, який би запроваджував єдиний порядок регулювання захисту персональних даних. Проте, наприклад, у штаті Каліфорнія діє Каліфорнійський закон про конфіденційність споживачів від 28.06.2018 (CCPA), який регулює порядок використання персональних даних, а також забороняє продаж персональних даних без згоди користувача. Інші штати також на шляху прийняття власних актів щодо захисту персональних даних.

Регулювання персональних даних в Україні

В Україні поки що діє Закон України «Про захист персональних даних», прийнятий ще 1 червня 2010 року, який не відповідає стандартам обробки персональних даних, встановленим GDPR. Оскільки теперішній стан законодавства про захист персональних даних викликає чимало запитань, зокрема у міжнародних компаній, Україна долучилася до реформування правового регулювання цієї галузі. 7 червня 2021 року у Верховній Раді України було зареєстровано проєкт нового Закона України «Про захист персональних даних», який передбачає не менш жорсткі правила у порівнянні з GDPR.

Оскільки проєкт вже зазнав чимало критики, дата його прийняття поки що невідома.

Що ж робити, щоб ефективно зменшувати ризики, пов’язані з Big Data:

– Перевірити, яке ж законодавство застосовується до вашої компанії та оновити відповідним чином політики щодо обробки персональних даних, які застосовуються. За потреби отримувати згоду на обробку персональних даних від користувачів.
– Проводити регулярні аудити ефективності методів та систем кібербезпеки, що застосовуються. Зважати на дотримання принципів data protection by design & by default під час розробки нових продуктів. 
– За можливості шифрувати/псевдомінізувати персональні дані.
– Звісно ж, не забувати про «людський фактор» і проводити регулярні тренінги з кібербезпеки та захисту персональних даних у межах компанії.

Big Data тісно переплітається із захистом персональних даних, відповідно усі компанії, що використовують Big Data у своїй діяльності, зобов’язані пересвідчитися, що вони не порушують законодавчих вимог. Важливо пам’ятати, що станом на сьогодні національні законодавчі акти щодо захисту персональних даних прийняли більшість країн світу.

Ба більше, чимало законодавчих актів, як наприклад, GDPR та CIPP, застосовуються за принципом «екстратериторіальності». Відповідно, оскільки Big Data часто передбачає транскордонну передачу даних, а також збирання даних резидентів різних юрисдикцій, перш за все важливо пересвідчитися, що компанії дотримуються усіх законодавчих актів, що застосовуються до них.

Джерело: ЮРИСТ&ЗАКОН

In Focus