Захист персональних даних в ері беззаконня: концепція інформаційного фідуціара

Більшість онлайн-сервісів, які ми використовуємо щоденно та за які ми не платимо гроші, надаються, як ми гадаємо, безкоштовно. Хоча насправді це не так. Навіть не замислюючись про це, ми щодня платимо за безкоштовне обслуговування, але не грошима, а набагато більшою цінністю - своєю конфіденційністю.

Щодня, щохвилини та щосекунди, доки ми користуємось телефоном, ноутбуком, планшетом та іншими гаджетами з можливістю доступу до мережі інтернет, компанії збирають наші дані, які ми залишаємо там, включаючи наші особисті дані, звички, інтереси та іншу інформацію про нашу онлайн-активність. Ці дані з великою долею імовірності можуть бути в подальшому продані страховим компаніям або будь-яким іншим організаціям з метою отримання ними прибутку. Найпоширенішим в Україні прикладом, можна навести випадки, коли тими чи іншими особами купуються в інших компаній (наприклад, банків) цілі бази даних клієнтів з їх іменами та номерами телефонів для використання цієї інформації у «холодних дзвінках».

Очевидним фактом є те, що це може мати, та імовірно матиме, негативний вплив на наші права та свободи в тому чи іншому вигляді, оскільки наші особисті дані можуть бути використані, або навіть вже використовуються без нашого дозволу. Безконтрольний та анархічний збір персональних даних користувачів вже давно перестав лякати не лише малі компанії, які не потрапляють під зір регуляторних органів, а і великих, міжнародних інтернет-гігантів, таких як Facebook, які збирають дані навіть від тих, хто не є їхніми користувачами за допомогою різних методів, включаючи відстеження діяльності в Інтернеті та використання файлів «cookie» - малих файлів, що зберігаються на наших комп’ютерах або ж інших девайсах.

Читайте статтю: Кому належить майбутнє: правове поле боротьби за інтелектуальну власність творів зі штучним інтелектом?

Причиною цьому є те, що більшість інтернет-компаній отримують значну частину свого основного доходу від реклами. Наприклад, надаючи контент, пристосований до інтересів користувачів, Facebook прагне покращити взаємодію з користувачами, показувати їм більш таргетовану рекламу та збирати більше особистої інформації користувачів. Особиста інформація користувачів допомагає компаніям робити висновки про їхні вподобання та пристосовувати рекламу до реальних потреб користувачів. Чим ближче відповідність, тим дорожча плата за рекламу. Ціна рекламних продуктів, які відповідають інтересам користувачів, вища, ніж у звичайних товарів того ж бренду. Тому Facebook пріоритетно інвестує та розвиває свої відділи, які відповідальні за збільшення кількості користувачів, аналіз даних, рекламу та юристів.

Так вже вийшло, що ми живемо в інформаційну епоху, коли прибуток прив’язаний до персональних даних, а тому ми всі як користувачі наражаємось на ризики, що пов’язані з неправомірним поширенням своїх персональних даних третім особам. Наприклад, що робити, якщо сайт знайомств не може захистити персональні дані своїх користувачів, або ж гірше – починає свідомо торгувати персональною інформацією з недобросовісними рекламодавцями, які потім розсилають їм спам. В Україні з такою ситуацію може зіткнутись кожен. Зокрема, 20 вересня 2021 року експерти української громадської організації «Інтерньюз-Україна» презентували Індекс захисту персональних даних-2021 – результати дослідження корпоративної політики 20 провідних приватних українських технологічних компаній щодо персональних даних клієнтів.

Згідно проведеного 8 із 20 компаній, обраних для дослідження, набрали менш ніж 50% балів, що свідчить про нижчий за середній рівень захисту персональних даних, відображених у корпоративній політиці. Серед них — Eldorado.ua, DataGroup.ua, Lifecell.ua, Rozetka.com.ua, Makeup.com.ua, Silpo.ua, Lanet.ua і Triolan.com.

Так, на сайтах компаній Vodafone.ua, Silpo.ua, Triolan.com і Lanet.ua немає відмітки для користувача про надання дозволу на оброблення його персональних даних, хоча це одна з вимог законодавства. Десять досліджуваних компаній не інформують своїх користувачів, упродовж якого часу ці компанії зберігатимуть інформацію про них. На сайтах Triolan.com, Makeup.com.ua, Silpo.ua та Lanet.ua користувачі не мають можливості видалити свої збережені особисті дані. 15 досліджуваних компаній не описують умов видалення акаунту користувача після припинення договору або за умов некористування акаунтом. Ще 10 не вказують, де та як вони зберігають дані користувачів, тобто розташування серверів невідоме.

За такого відношення, як вбачається з цього дослідження, великої кількості українського бізнесу, які нехтують захистом персональних даних своїх користувачів, а також відсутності адекватного правового регулювання цього питання в Україні, виникає питання яким чином відшкодувати завдану, через порушення порядку користування персональними даними користувачів, шкоду.

Читайте статтю: AI в праві: Чи здатний ChatGPT замінити професію юриста?

Чинне законодавство передбачає два гіпотетичних порядки відшкодування завданої шкоди, які можуть бути застосовані в цій ситуації:

• Відшкодування завданої шкоди, пов’язаної з невиконання умов договору;
• Делікт.

Більшість юристів скажуть вам, що перед користуванням тим чи іншим сервісом необхідно прочитати всі «умови платформи» (умови та положення, політика конфіденційності, політика щодо файлів cookie, тощо), оскільки саме цими документами регулюється, поміж іншого, порядок використання сервісом приватної інформації користувачів. Міжнародна судова практика та позиція міжнародних регуляторів визнає, що з точки зору договірного права ці умови є своєрідною публічною офертою та публічним договором, а факт, наприклад, реєстрації облікового запису є акцептом умов платформи. Таким чином положення викладені в умовах платформи є обов’язковими до виконання.

При цьому реальність сьогодення свідчить про те, що зіткнувшись із нудними контрактами, більшість користувачів вирішують погодитися з політикою конфіденційності, не читаючи її, оскільки розуміють, що незгода з політикою конфіденційності означає неможливість використання того чи іншого продукту. Користувачі готові надавати свою особисту інформацію інтернет-компаніям, оскільки більшість з них не мають достатніх знань про технології, щоб ретельно аналізувати поведінку компаній щодо використання їх даних. Невелика кількість користувачів, які мають знання, щоб зрозуміти, як компанія використовуватиме їхню інформацію, можуть бути не в змозі розрізнити, що є розумною моделлю використання, не кажучи вже про те, щоб керувати тим, куди йде їхня інформація.

Технологічні компанії використовують сліпу довіру користувачів та інформаційну асиметрію, щоб використовувати їхню особисту інформацію. Цей сценарій погіршується тим, що багато інтернет-компаній розглядають питання конфіденційності лише як частину зобов’язань корпорацій щодо виконання низки контрольних списків та аби уникнути судових позовів. Натомість метою законодавства про конфіденційність має бути заохочення компаній активно вживати заходів для захисту особистої інформації користувачів. Питання, яким мають керуватися корпорації в своїй роботі, має звучати так: «Як ми можемо діяти, створюючи менше ризиків для приватності наших споживачів?», а не «Як ми можемо довести дотримання законодавства з найменшими збоями та ризиками для виробництва?».

Читайте статтю: Використання персональних даних в рекламі та продажах

За таких обставин та якщо дійсно розглядати «умови платформи» як договір (правочин), то залишається відкритим питанням чи дотримуються в цьому випадку загальні вимоги, встановлені Цивільним кодексом, додержання яких є необхідним для чинності правочину. Зокрема, мова йде про те, що зміст правочину не може суперечити інтересам держави і суспільства, його моральним засадам, а також, що волевиявлення учасника правочину має бути вільним і відповідати його внутрішній волі. Проблематика відповіді на це питання полягає в наступному.

По-перше, фірми мають необмежену владу змінювати кожен аспект своїх «контрактних» відносин зі споживачами за власним бажанням. Більшість існуючих умов платформ дозволяють фірмам змінювати ці умови платформи в односторонньому порядку без згоди споживача. Абсурд ситуації вносить також те, що багато таких компаній прямо передбачають, що компанія навіть не повинна повідомляти споживачів про обов’язкову зміну умов, і покладають на споживачів обов’язок стежити за змінами.

По-друге, фірми користуються такою ж необмеженою владою змінювати своє програмне забезпечення, послуги та пристрої. Facebook, який існує сьогодні, суттєво відрізняється від сервісу, на який підписалися незліченні мільйони споживачів. В сучасному світі те саме можна сказати і про побутові пристрої, починаючи від пральних машин і закінчуючи лампочками. Проте, як і у випадку з оновленням умов платформи, компанії часто не розкривають, що саме вони змінюють і чому. Суттєві практичні та юридичні перешкоди заважають споживачам зрозуміти ці зміни, зокрема чи з оновленням системи гаджет користувача не почав збирати про нього нові дані. Гірше того, нагальна потреба йти в ногу з оновленнями системи безпеки змушує споживачів, у тому числі тих, хто турбується про конфіденційність, приймати ці таємничі оновлення, які надходять з дивовижною частотою. Деякі з цих оновлень ставлять під загрозу особисте життя таким чином, що люди не в змозі зрозуміти або протистояти їм.

По-третє, фірми, як правило, зберігають право передавати інформацію про споживачів у разі злиття або продажу. Такі транзакції є неймовірно поширеними і, по суті, являють собою кінцеву мету багатьох стартапів. Окрема людина може небезпідставно вважати, що власник нового цікавого додатку серйозно ставиться до своїх зобов’язань, коли каже, що дбає про конфіденційність. Але це зобов’язання нівелюється, коли неминуче з’являється Google або інша велика технологічна компанія, щоб придбати цей стартап, дані та все інше, як це дозволено положеннями про передачу прав в умовах платформи. І навіть якщо такі положення про передачу даних були відсутні в початковому тексті умов платформи, існує занадто висока доля імовірності, що такий первісний текст включав положення про односторонню модифікацію, яке дозволило б стартапу в односторонньому договірному порядку «благословити» передачу даних напередодні продажу.

Зазначені обставини свідчать про наявність обґрунтованих сумнівів у наявності внутрішньої волі споживача цифрових послуг на користування його персональними даними, навіть за умови, якщо він тим чи іншим чином несвідомо погодився на це. А відтак і наявність договірних відносин між сторонами. Зазначені недоліки є лише краплиною в морі всих аргументів про те, що умови використання тієї чи іншої платформи не повинні розглядатися як договори чи правочини. Але на міжнародній арені ця битва вже програна. За останні тридцять років суди пройшли шлях від «shrinkwrap» угод (текст угод розміщений на сайті) до clickwrap угод (з текстом угоди погоджуєшся натискаючи кнопку «Я згоден)), яка, як правило, визнає умови надання тих чи інших послуг договорами, що підлягають примусовому виконанню.

Читайте статтю: Бази персональних даних – «Ахіллесова п’ята» бізнесу

Аналогічно, деліктне право також недостатньо захищає потреби в недоторканності приватного життя в сучасну інформаційну епоху. У справах щодо деліктів судова практика вже протягом довгого часу базується на необхідності встановлення складу цивільного правопорушення як єдиної передумови для притягнення особи до відповідальності за завдану шкоду. При цьому, для застосування цивільно-правової відповідальності потрібна наявність усіх елементів складу цивільного правопорушення, а саме: протиправної поведінки, збитків, причинного зв’язку між протиправною поведінкою іншої особи та збитками й вини.

Тобто, деліктне право суворо перевіряє наявність «конкретної шкоди», наприклад, фізичної травми або економічних збитків. Така точка зору може знецінити цифрову шкоду і призвести до того, що позивачі покладатимуться на незначні фактичні збитки для отримання компенсації замість того, щоб виграти справу по суті питання. Типові підстави для позову у справах про порушення права на приватність, такі як втручання у приватне життя, недостовірна інформація, або ж привласнення даних, на мою думку, не будуть ефективними.

Хоч наразі, здавалося б немає виходу з ситуації, однак під тиском громадськості багато компаній вимушені вживати необхідних заходів, щоб не потрапляти в ситуації, за яких відбувається порушення прав споживачів щодо персональних даних. Наприклад, після оприлюднення в 2018 році інформації про можливий витік персональних даних з баз Нової Пошти, чимало компаній посилили свої заходу безпеки щодо персональних даних клієнтів. Однак реальність така, що навіть якщо в компанії працюють співробітники, які займаються питаннями, пов’язаними з конфіденційністю (Спеціаліст із захисту даних, Data protection officer, DPO), вона все одно може не досягти бажаного результату щодо захисту особистої інформації користувачів. Щоб захистити приватність, еліти різних галузей намагаються знайти ефективні рішення для захисту особистої інформації користувачів з різним рівнем короткострокового успіху. Наприклад, IT-фахівцями розробляють нові продукти, які дозволяють користувачам володіти своїми даними через блокчейн, але коли такі продукти можуть бути запущені і застосовані у повсякденному житті, поки що невідомо.

Як ще один вихід з ситуації, IT-фахівцями розроблені також такі продукти як Securiti, Osano, DataGrail, з метою видачі сертифікатів конфіденційності для підприємств і надання компаніям рекомендацій щодо створення системи захисту конфіденційності, але, як показує практика, ймовірність того, що веб-сайти з сертифікатами порушують політику конфіденційності, є вищою, ніж веб-сайти без сертифікатів.

Одночасно з цим, вчені-юристи запропонували схему, яку гіпотетично реально реалізувати в короткостроковій перспективі, на якій я вважаю за необхідне і зупинитися. Зокрема, вони запропонували розробити єдиний «інформаційний фідуціарний обов’язок» як стабільний фундамент між мережевими компаніями та користувачами.

Читайте статью: Штрафов GDPR еще не было? Будут! Все, что нужно знать о защите персональных данных

Для початку потрібно розібратися хто такий «фідуціар» та що таке «фідуціарний обов’язок»?

Слово фідуціар прийшло в нашу мову від латинської «fiducia», тобто «довіра», та позначає юридичну чи фізичну особу, яка управляє майном і несе відповідальність за нього в інтересах іншої особи. Відповідно, фідуціарні обов’язки також не нове правове поняття, оскільки бере своє коріння ще з Римського права. Концепція фідуціарних обов’язків (з англ. fiduciary duties) історично є надбанням системи прецедентів загального права, і з роками поширилась та знайшла своє відображення в національному законодавстві багатьох країн світу.

Як практика країн загального права, так і міжнародні Принципи корпоративного управління Організації економічного співробітництва та розвитку (Принципи ОЕСР) закріплюють такі основні фідуціарні обов’язки директорів або інших посадових осіб підприємства: обов’язок дбайливого ставлення (з англ. duty of care) та обов’язок лояльності (з англ. duty of loyalty). Перший передбачає обов’язок діяти добросовісно на користь розвитку підприємства, приділяючи достатньо часу, зусиль і професійних навичок управлінню ним, другий націлений на уникнення конфлікту інтересів і дії директора або інших посадових осіб під час ухвалення рішень щодо діяльності підприємства лише в інтересах останнього.

Також виокремлюють обов’язок діяти добросовісно (in good faith). Хоча певні елементи фідуціарних обов’язків можна знайти в корпоративному законодавстві України, загалом правовий склад «фідуціарного обов’язку» використовується лише в Цивільному кодексі України.

В Україні ж основним положенням про фідуціарні обов’язки директора (хоч і не дає такого визначення) є стаття 92 Цивільного кодексу України. Згідно з нею, орган або особа, яка відповідно до установчих документів юридичної особи чи закону виступає від її імені, зобов’язана діяти в інтересах юридичної особи, добросовісно і розумно та не перевищувати своїх повноважень. Якщо орган/особа порушують свої обов’язки, вони несуть солідарну відповідальність за збитки.

Доктрина корпоративного права переважно закріплює фідуціарні обов’язки саме за директорами (керівниками) підприємств, інколи його посадовими особами, хоча в зарубіжній літературі трапляється й поняття фідуціарних обов’язків акціонерів.

Головною метою фідуціарних обов’язків директора або інших посадових осіб є необхідність забезпечення економічного розвитку підприємства, а відповідно недотримання директором або інших посадових осіб таких базових обов’язків може призвести до збитків підприємству й зобов’язання директора або інших посадових осіб їх відшкодувати.

Принципи ОЕСР є головним документом, який закріпив універсальні ознаки фідуціарних обов’язків директорів підприємства через призму обов’язку діяти в інтересах підприємства та його власників. Залежно від юрисдикції, директори можуть бути зобов’язані діяти лише в інтересах підприємства, а не в інтересах його власників. І хоча це питання має дискусійний характер, безсумнівним є те, що директор підприємства, як особа, уповноважена діяти від його імені, має ухвалювати рішення насамперед на користь самого підприємства з метою отримання прибутку.

Поряд із Принципами ОЕСР особливості реалізації фідуціарних обов’язків директорів в окремих сферах закріплено у Принципах корпоративного управління для банків Базельського комітету з питань банківського нагляду 2015 року та Керівних принципах ОЕСР щодо корпоративного врядування на підприємствах державної форми власності 2015 року.

Хоч, фудіціарні обов’язки, як вбачається з вищезазначеного та існуючого правозастосування, наразі передбачають правовідношення саме директора або інших посадових осіб до Товариства, яке вони представляють, тим не менш, деякі правники припускають, що фідуціарне право може бути використане для обмеження того, як ці компанії використовують дані своїх клієнтів.

Читайте статтю: GDPR: СУТНІСТЬ, ПРИНЦИПИ, ВІДПОВІДАЛЬНІСТЬ ЗА НОВИМИ ПРАВИЛАМИ ОБІГУ ПЕРСОНАЛЬНИХ ДАНИХ У ЄС

У цьому контексті, завдяки старанням юристів-міжнародників з’явився новий член сім’ї фідуціарних інститутів, який отримав назву «інформаційний фідуціар». Концепція інформаційного фідуціара полягає в тому, що компанія, яка надає мережеві послуги зі «збору, аналізу, використання, продажу та розповсюдження особистої інформації», має фідуціарний обов’язок перед клієнтами та кінцевими користувачами використовувати зібрані дані в інтересах їхніх інтересів, тим самим беручи на себе фідуціарну відповідальність, якщо вона зловживає або привласнює дані клієнтів. Таким чином інформаційним фідуціаром вважається юридична чи фізична особу, яка управляє майном – персональними даними своїх клієнтів та несе відповідальність за такі дані в інтересах іншої особи – цих же клієнтів.

Поява фідуціарного обов’язку щодо інформації може забезпечити виконавчі рішення для більшості з вищезгаданих видів поведінки, що шкодять приватності.

Фідуціарна модель може дозволити звичайним людям подавати позови проти корпорацій до суду, щоб реально реалізувати свої права на приватність. Права на приватний судовий розгляд дозволяють громадськості відігравати наглядову роль і збільшують можливість успішного захисту своїх прав у режимі реального часу. При цьому, контроль за персональною інформацією за допомогою фідуціарного обов’язку не обмежується певною галуззю промисловості. Це дозволить уникнути неконтрольованого використання інформації про користувачів у галузях, де вчасно не створиться відповідного правового регулювання. Право окремих користувачів оминати державні інститути і напряму подавати позови до суду, а також послаблення вимоги до користувачів доводити, що існує чіткий зв’язок між конкретною шкодою, якої вони зазнали, та порушенням компанією їхніх прав на приватність, стимулюватиме компанії приділяти більше уваги конфіденційності користувачів під час розробок та експлуатації онлайн-продуктів.

Встановлення фідуціарного обов’язку щодо інформації може також спрямовувати діяльність інтернет-платформ і запобігати потенційній шкоді. Якщо фідуціарний обов’язок щодо інформації може бути забезпечений, багато чого можна буде змінити або покращити. Наприклад, Facebook буде зобов’язаний інформувати користувачів, якщо третя сторона використовує їхню інформацію. Користувачі могли б вирішити не розкривати свою особисту інформацію компаніям, які можуть завдати їм шкоди, або ж протидіяти їхнім заходам під тиском громадської думки.

Слід зазначити, що інформаційний фідуціарний обов’язок не є панацеєю від усіх випадків зловживання інформацією користувачів, але він може значно зменшити маркетингову поведінку, яка маніпулює споживачами. Навіть у міру розвитку технологій фундаментальна концепція інформаційного фідуціарного обов’язку стабільно захищатиме інформацію користувачів від посягань, не вимагаючи частої модифікації законодавства, яка б пристосовувалася до вимог часу, що, в свою чергу, призвело б до вичерпання законодавчих та судових ресурсів.

Хоча можливість створення «інформаційного фідуціара» привернула значну увагу юристів, однак наразі вона ще не знайшла свого місця для практичної реалізації в жодній з країн. А проблеми викладені вище, так і залишаються невирішеними. Враховуючи, існуюче правове регулювання персональних даних в Україні, а також швидкість імплементування положень GDPR в національне законодавство, малоімовірним вбачається розгляд таких проблем та їх вирішення саме в Україні.

Однак, як то кажуть – «OMNIA POSSIBILIA SUNT».

Автор статті: Вячеслав Третяк