Вызов для украинского бизнеса: защитить персональные данные пользователей
Несколько десятков крупнейших украинских технологических компаний за последние десять лет стали лидерами на рынке, завоевав расположение миллионных аудиторий пользователей. Пришло время компаниям пересмотреть и обновить внутренние политики в отношении самих пользователей, ведь последние поделились с бизнесом наиболее ценным — собственными персональными данными.
В 2019 году Всемирная федерация рекламодателей (WFA) запустила инициативу под названием «безопасность бренда» (brand safety) — крупные компании добровольно взяли на себя обязательства ограничить использование опасной рекламы в интернете. Идея вполне очевидна — реакция пользователей на опасные навязчивые рекламные объявления имеет обычно негативный оттенок и это вредит репутации крупных компаний. К опасной рекламе отнесли исчерпывающий перечень категорий, среди которых — реклама алкоголя, табака, оружия, криминальных новостей, онлайн-пиратства, терроризма. Одной из новых категорий для поддержки «безопасности бренда», появившейся в списке, стало недопущение рекламы недостоверных новостей (fake news).
Бизнес крайне чувствителен к вопросу своей репутации в онлайне, и поэтому такие бренды как Adidas, Bayer, Unilever, BP, Danone, Procter&Gamble присоединились к инициативе по «безопасности бренда». О соблюдении принципов этической рекламы заявили и ключевые технологические компании, размещающие на своих платформах рекламу, в частности это Facebook, Google/YouTube, Twitter. Забота о собственной репутации идет в ногу с заботой о клиентах, ведь объявления влияют на поведение пользователей, и способны поощрять потреблять алкоголь и табак или даже способствовать присоединяться к террористическим группам.
Украинский бизнес все еще изредка может похвастаться коллективными усилиями, особенно когда речь идет об интересах пользователей. Лучшее, что удается крупнейшим технологическим компаниям в Украине — улучшать качество услуг для пользователей, делать сервисы удобными и современными. Именно поэтому миллионы украинцев пользуются услугами Новой почты или маркетплейса OLX, используют почтовый ящик на Ukr.net, имеют доступ к надежному и довольно недорогому интернету от локальных провайдеров или ключевых операторов мобильной связи. Однако, идет ли забота о пользователях всех этих компаний дальше, чем удобство пользования?
В современном мире забота о пользователях предусматривает также и прозрачность работы компаний, их ответственность за соблюдение прав пользователей — в онлайн-пространстве эти права называют цифровыми. Речь идет и о праве на защиту персональных данных, которые каждая частная компания собирает у пользователей, чтобы хранить и распоряжаться этими данными. Чтобы пользователь получил доступ к сервисам, в большинстве случаев частные компании предлагают пользователю зарегистрироваться, в частности, через создание рабочего кабинета. Процесс регистрации сопровождается запросом к пользователям поделиться «пакетом» персональных данных, в частности именем и фамилией, полом, email, и нередко — годом рождения, местом жительства, предпочтениями и т.д.
Согласно украинскому законодательству, частные компании во взаимодействии с пользователями обязаны соблюдать Закон о защите персональных данных. Он был одобрен еще в 2011 году, во время, когда внимание к онлайн-пространству еще не было определяющим, а интенсивность взаимодействий пользователей была ниже, чем сейчас. Некоторые украинские компании в своей деятельности уже учитывают европейские регуляции — в частности, речь идет о европейском регламенте защиты персональных данных, известном как GDPR, принятый в ЕС в 2016 году. Но таких компаний пока единицы.
В то же время, Украина приблизилась к тому, чтобы обновить собственные регуляции — 7 июня этого года на сайте Верховной Рады появился долгожданный текст новой редакции закона о защите персональных данных. В ближайшие месяцы законопроект станет предметом жарких дискуссий среди представителей гражданского общества и частного сектора — действительно ли закон предусматривает все нюансы соблюдения прав пользователей и не возникнут ли с этим законопроектом новые препятствия для работы бизнеса?
Однако частным компаниям следует учитывать не только формальное соблюдение норм закона о защите персональных данных. В современном мире компании идут дальше и внедряют внутренние политики о защите цифровых прав пользователей, создают условия для максимального обеспечения безопасности пользователей от внешних угроз, в том числе и из-за расположения серверов на территории стран, где царит верховенство права, в отличие от Беларуси или России. Сегодня нормой для компаний уже стало использование защищенных протоколов передачи данных на сайте, опция усиленной защиты от неавторизованных логинов для пользователей как противодействие взлому личного кабинета.
Вполне вероятно, не все успешные компании в Украине сейчас проблематизируют вопрос цифровых прав пользователей. Каждая компания проходит этапы своего институционального развития, где дизайн детальных политик в отношении пользователей происходит уже на этапе институциональной «зрелости» — благодаря тому, что менеджмент компании неоднократно прошел стажировку на Западе, а консультанты компании имеют за плечами западное образование и зарубежный опыт.
Одним из маркеров недостаточного внимания компаний к вопросу цифровых прав пользователей, и в частности вопросу защиты персональных данных, является взаимодействие компаний с гражданским обществом. Несколько месяцев назад команда ОО «Интерньюз-Украина» начала исследование под названием Индекс прозрачности отчетности при поддержке Международного фонда «Возрождение». Команда из юристов и специалистов по технологиям начала исследовать 20 самых популярных в Украине частных компаний в сфере телекоммуникаций, предоставления услуг доступа к интернету и маркетплейсов. Исследование имело целью проанализировать политики компаний по цифровым правам пользователей с акцентом на защите персональных данных.
Одним из методов исследования было направление письменных запросов к компаниям с просьбой ответить на несколько уточняющих вопросов, которые помогли бы исследователям оценить корпоративные политики компаний. Запросы подавались как через официальное письмо по почте, так и через направление запроса на корпоративный email. Исследователи воспроизвели поведение обычного пользователя, который интересуется, как компания распоряжается его персональными данными, и соответственно для этого посылает запросы на официальные имейлы и адрес, взятые из открытых источников информации.
В течение 40 дней с момента направления таких запросов, команда исследования получила около 30% ответов — только 7 из 20 компаний решили ответить на конец июня. Ответили следующие компании: Olx.ua (ООО «ЕМАРКЕТ УКРАИНА»), prom.ua (ООО «УАПРОМ»), Vodafone Ukraine (ЧАО «ВФ УКРАИНА»), Kyivstar (ПАО «Киевстар»), Новая почта (ООО «Новая почта»), Silpo.ua (ООО «Сильпо-ФУД»), Comfy.ua (ООО «Комфи-Трейд»). При этом, не все ответы были содержательными, иногда были и «отписки».
Мы не можем точно знать причины, почему другие 13 компаний пока вообще не прислали ответ. Эти причины могут быть достаточно банальными: письма затерялись среди большого количества корреспонденции или рутинной работы. Ведь запросы направлялись так, как это делают рядовые пользователи — не в специальные департаменты, а на официальные адреса, указанные на сайтах компаний. Нам важно придерживаться именно такого подхода — чтобы повторить опыт любого, кто предпочитает узнать о судьбе своих персональных данных.
В ближайшие недели команда проекта представит результаты исследования Индекс прозрачной отчетности по всем 20 украинским частным компаниям. Результаты покажут — какие именно частные технологические компании являются «чемпионами» по соблюдению цифровых прав пользователей, а кому стоит пересмотреть свои корпоративные политики и сделать больший фокус на пользователях и их неотъемлемых правах в онлайн-пространстве.
Материал подготовлен при поддержке Европейского Союза и Международного Фонда «Возрождение» в рамках совместной инициативы «EU4USociety». Материал отражает позицию авторов и не обязательно отражает позицию Международного фонда «Возрождение» и Европейского Союза.