Виклик для українського бізнесу: захистити персональні дані користувачів
Кілька десятків найбільших українських технологічних компаній за останні десять років стали лідерами на ринку, завоювавши прихильність мільйонних аудиторій користувачів. Настав час компаніям переглянути й оновити внутрішні політики щодо самих користувачів, адже останні поділилися з бізнесом найбільш цінним – власними персональними даними.
Фото Unsplash
У 2019 році Всесвітня федерація рекламодавців (WFA) запустила ініціативу під назвою "безпека бренду" (brand safety) – великі компанії добровільно взяли на себе зобов'язання обмежити використання небезпечної реклами в інтернеті. Ідея цілком очевидна – реакція користувачів на небезпечні нав'язливі рекламні оголошення має зазвичай негативний відтінок й це шкодить репутації великих компаній. До небезпечної реклами віднесли вичерпний перелік категорій, серед яких – реклама алкоголю, тютюну, зброї, кримінальних новин, онлайн-піратства, тероризму. Однією з нових категорій для підтримки "безпеки бренду", що з'явилася в переліку, стало недопущення реклами недостовірних новин (fake news).
Бізнес є вкрай чутливим до питання своєї репутації в онлайні, й тому такі бренди як Adidas, Bayer, Unilever, BP, Danone, Procter&Gamble приєдналися до ініціативи з "безпеки бренду". Про дотримання принципів етичної реклами заявили й ключові технологічні компанії, що розміщують на своїх платформах рекламу, зокрема це Facebook, Google/YouTube, Twitter. Турбота про власну репутацію йде в ногу з турботою про клієнтів, адже оголошення впливають на поведінку користувачів, й здатні заохочувати споживати алкоголь і тютюн чи навіть сприяти приєднуватися до терористичних груп.
Український бізнес все ще зрідка може похизуватися колективними зусиллями, особливо, коли йдеться про інтереси користувачів. Найкраще, що вдається найбільшим технологічним компаніям в Україні – покращувати якість послуг для користувачів, робити сервіси зручними і сучасними. Саме тому мільйони українців користуються послугами Нової пошти чи маркетплейсу Olx, користуються поштовою скринькою на Ukr.net, мають доступ до надійного й доволі недорогого інтернету від локальних провайдерів чи ключових операторів мобільного зв'язку. Однак, чи турбота про користувачів усіх цих компаній сягає далі, ніж зручність користування?
У сучасному світі турбота про користувачів передбачає також й прозорість роботи компаній, їхню відповідальність за дотримання прав користувачів – в онлайн-просторі ці права називають цифровими. Йдеться, зокрема, й про право на захист персональних даних, що їх кожна приватна компанія збирає у користувачів аби зберігати та розпоряджатися цими даними. Аби користувач отримав доступ до сервісів, у більшості випадків приватні компанії пропонують користувачу зареєструватися, зокрема, через створення робочого кабінету. Процес реєстрації супроводжується запитом до користувачів поділитися "пакетом" персональних даних, зокрема іменем та прізвищем, статтю, email, й нерідко – роком народження, місцем проживання, уподобаннями і т.д.
Згідно з українським законодавством, приватні компанії у взаємодії з користувачами зобов'язані дотримуватися Закону про захист персональних даних. Він був схвалений ще у 2011 році, в час, коли увага до онлайн-простору ще не була визначальною, а інтенсивність взаємодій користувачів була нижчою як зараз. Деякі українські компанії у своїй діяльності вже зважають на європейські регуляції – зокрема, йдеться про європейський регламент захисту персональних даних, відомий як GDPR, ухвалений в ЄС у 2016 році. Але таких компаній наразі одиниці.
Водночас, Україна наблизилася аби оновити власні регуляції – 7 червня цього року на сайті Верховної Ради з'явився довгоочікуваний текст нової редакції закону про захист персональних даних. В найближчі місяці законопроект стане предметом палких дискусій серед представників громадянського суспільства та приватного сектору – чи справді закон передбачає усі нюанси дотримання прав користувачів та чи не виникнуть з цим законопроект нові перешкоди для роботи бізнесу?
Однак приватним компаніям варто зважати не тільки на формальне дотримання норм закону про захист персональних даних. У сучасному світі компанії йдуть далі й впроваджують внутрішні політики про захист цифрових прав користувачів, створюють умови для максимального убезпечення користувачів від зовнішніх загроз, зокрема й через розташування серверів на території країн, де панує верховенство права, аніж в у Білорусі чи в Росії. Сьогодні нормою сьогодні для компаній вже стало використання захищених протоколів передачі даних на сайті, опція посиленого захисту від неавторизованих логінів для користувачів як протидія зламу особистого кабінету.
Цілком ймовірно, не всі успішні компанії в Україні нині проблематизують питання цифрових прав користувачів. Кожна компанія проходить етапи свого інституційного розвитку, де дизайн детальних політик щодо користувачів відбувається вже на етапі інституційної "зрілості" – завдяки тому, що менеджмент компанії неодноразово пройшов стажування на Заході, а консультанти компаній мають за плечима західну освіту та зарубіжний досвід.
Одним з маркерів недостатньої уваги компаній до питання цифрових прав користувачів, й зокрема питання захисту персональних даних, є взаємодія компаній з громадянським суспільством. Кілька місяців тому команда ГО "Інтерньюз-Україна" розпочала дослідження під назвою Індекс прозорості звітування за підтримки Міжнародного Фонду "Відродження" та Європейського Союзу. Команда з юристів та фахівців з технологій почала досліджувати 20 найбільш популярних в Україні приватних компаній у сфері телекомунікацій, надання послуг доступу до інтернету та маркетплейсів. Дослідження мало на меті проаналізувати політики компаній щодо цифрових прав користувачів з акцентом на захисті персональних даних.
Одним з методів дослідження було надіслання письмових запитів до компаній з проханням дати відповіді на кілька уточнюючих запитань, що допомогли б дослідникам оцінити корпоративні політики компаній. Запити подавалися як через офіційний лист поштою, так і через надіслання запиту на корпоративний email. Дослідники відтворили поведінку звичайного користувача, який цікавиться, як саме компанія розпоряджається його персональними даними, й відповідно для цього надсилає запити на офіційні мейли та адресу, взяті з відкритих джерел інформації.
Впродовж 40 днів з моменту надіслання таких запитів, команда дослідження отримали близько 30% відповідей – тільки 7 з 20 компаній вирішили відповісти станом на кінець червня. Відповіли такі компанії: Olx.ua (ТОВ "ЄМАРКЕТ УКРАЇНА"), prom.ua (ТОВ "УАПРОМ"), Vodafone Ukraine (ПрАТ «ВФ УКРАЇНА»), Kyivstar (ПАТ "Київстар"), Нова пошта (ТОВ "Нова пошта"), Silpo.ua (ТОВ "СІЛЬПО-ФУД"), Comfy.ua (ТОВ "КОМФІ-ТРЕЙД"). При цьому, не всі відповіді були змістовними, іноді були й "відписки"
Ми не можемо точно знати причини, чому інші 13 компаній наразі взагалі не надіслали відповідь. Ці причини можуть бути досить банальними: листи загубилися серед великої кількості кореспонденції чи рутинної роботи. Адже запити надсилалися так, як це роблять пересічні користувачі – не на спеціальні департаменти, а на офіційні адреси, вказані на сайтах компаній. Нам важливо дотримуватися саме такого підходу – аби повторити досвід будь-якого, хто воліє дізнатися про долю своїх персональних даних.
У найближчі тижні команда проекту представить результати дослідження Індекс прозорого звітування щодо усіх 20 українських приватних компаній. Результати покажуть – які саме приватні технологічні компанії є "чемпіонами" з дотримання цифрових прав користувачів, а кому варто переглянути свої корпоративні політики й зробити більший фокус на користувачах та їхніх невід'ємних правах в онлайн-просторі.
Матеріал підготовлено за підтримки Європейського Союзу та Міжнародного Фонду «Відродження» в рамках спільної ініціативи «EU4USociety». Матеріал відображає позицію авторів і не обов'язково відображає позицію Міжнародного фонду «Відродження» та Європейського Союзу».
