Как работает новое Европейское положение о защите данных GDPR?


Компании и власти все чаще собирают личную информацию о нас. Эмилия Лаурила, 25 лет, сотрудник ИТ и студент по коммуникациям, попросила показать ее личную информацию. В этой статье она рассказывает, какие результаты получила.

Эмилия – 25-летняя студентка, которая работает в ИТ-секторе. Вопросы сбора данных ей не очень знакомы, поэтому она хотела попробовать на практике, как работает новое Европейское положение о защите данных GDPR, вступившее в силу в 2018 году: какая информация была собрана оо ней? Кто ее собирает? Может ли Эмилия увидеть данные в электронном формате, если она их спросит?

За прошедшие годы информация о ней была передана по крайней мере бывшим работодателям, колледжам, врачам, отелям, муниципалитетам, муниципальным объединениям, клиентским базам магазинов, лотереям, приложениям, страницам социальным медиа, такси, авиакомпаниям, страховым компаниям, банкам и различным онлайн-сервисам.

Список может быть расширен почти до бесконечности, учитывая, как часто клиент вынужден соглашаться с условиями обслуживания о раскрытии персональных данных третьим лицам.

 

Факты

    • Предприятия и органы власти все чаще собирают личную информацию о людях, включая адреса, номера социального страхования и информацию о местонахождении.
    • Информация собирается, например, для предложения услуг, таргетинга рекламы и развития бизнеса.
    • Хранение личной информации всегда сопряжено с риском утечки конфиденциальной информации, кражи личных данных и других вторжений.
    • Регламент ЕС о защите данных (GDPR), вступивший в силу в прошлом году, упростил контроль ваших собственных данных.
    • Сегодня персональные данные, собранные предприятиями и государственными органами, могут быть запрошены для просмотра в электронном виде, и, если вы того пожелаете, их можно потребовать удалить.

 

Личный идентификационный номер Эмилии можно найти в сотнях разных реестров. Ее имя и адрес электронной почты сохранены в тысячах реестров. Она даже не уверена, сохраняет ли какое-либо приложение в настоящее время  данные о ее местоположении.

В конце концов, Эмилия решила проверить свою личную информацию в 15 разных местах. Среди них финские и иностранные компании, приложения, бывший работодатель, муниципалитет в Пяйят-Хяме и муниципальное объединение, ответственное за общественный транспорт.

Запрос информации может быть ненужным, если организация не собирает информацию или она доступна без запроса информации.

Студия йоги сказала Эмилии, что они не сохраняют никакой информации, кроме имени и адреса электронной почты клиентов. Это также один из способов соответствовать требованиям GDPR: не собирать дополнительную личную информацию.

Личная информация, хранящаяся в системе бронирования Timman, легко отображается при входе в сервис. Точно также данные, собранные S-Group, могут быть проверены непосредственно на их веб-сайте, если клиент владеет кодами онлайн-банкинга S-банка. Кроме того, некоторые компании сделали отдельную услугу на запрос информации. Например, в Tori.fi, Finnair и Norwegian запрос информации может быть получен в течение нескольких минут. Информация или ссылка на них будут отправлены позже по электронной почте.

Легко, быстро и просто.

 

Медленная почта и неполные инструкции

В вышеуказанных случаях запрос информации у вас под рукой. Однако это не всегда так просто.

Например, LocalTapiola и город Лахти имеют свою собственную форму запроса информации, которая должна быть распечатана, заполнена и отправлена ​​обычной почтой. Город Лахти также хочет получить копию удостоверения личности. Из соображений безопасности Эмилия разместила запросы в виде отслеживаемых по почте писем. В дополнение к времени, это может также стоить денег для запроса информации.

Страницы конфиденциальности HSL, с другой стороны, имеют ссылку, которая должна содержать инструкции для запроса информации. Однако ссылка перенаправляет пользователя обратно на ту же страницу. Компании и государственные органы не всегда предоставляют подробные инструкции для запроса информации. Зачастую единственным советом является обращение в службу поддержки клиентов или к специалисту по защите данных.

Как доказать свою личность? Как предоставляется информация? Позже выясняется, что существует множество практик. Некоторые приглашают вас прийти, а некоторые отправляют информацию напрямую, основываясь только на вашем адресе электронной почты.

Для некоторых компаний Эмилия отправила заполненную форму запроса информации Helsingin Sanomat на финском или английском языке. Она приложила фотографию удостоверения личности. Формат запроса информации не регулируется законом, поэтому Эмилия просто могла запросить проверку личных данных. Позже, однако, стало ясно, что она никогда не должна была отправлять копию своей идентификационной карты по незащищенной электронной почте. Это серьезный риск для безопасности, который не следует никому предпринимать.

 

Извините, мы удалили всю вашу информацию

Hostelling International, сеть из более чем 4000 хостелов, была первой, кто откликнулся на запрос о предоставлении информации.

Ответ: Мы удалили всю вашу информацию из нашего реестра.

Что произошло?

Эмилия перечитала еще раз свой запрос, который однажды отправила: «Я хочу увидеть все данные, что вы храните обо мне». Все должно быть предельно ясно. Она не сказала ни слова об удалении данных. Эмилия сказала лишь, что просто хочет посмотреть свои данные, а не удалять их. Она получила ответ с извинениями за ошибку, но данные не могли быть восстановлены. Через неделю после переписки Эмилия получила еще одно письмо от другого сотрудника. Как выяснилось, сотрудник, допустивший ошибку, был направлен на дальнейшее обучение. В письме также приносили извинения: «Еще раз прошу принять извинения за нашу ошибку».

На данный момент компания уже знала, что Yle пишет статью об этом.

 

Извините, мы удалили всю вашу информацию, часть II

 

Эмилия также получила другой ответ, что ее информация была удалена. Опять речь шла о международной организации. Airbnb сообщил ей, что вся личная информация была навсегда удалена.

Совпадение? Возможно. Она не нашла веских причин, по которым организация хотела бы удалить ее информацию.

– Я снова сообщаю, что не хочу удалять данные, написала Эмилия.

Она получила извинения за ошибку и ответ, что данные, которые были удалены, были возвращены и будут отправлены ей в течение 30 дней. Месяц прошел, а данные отсутствовали. Тем не менее, их прислали после окончания срока ожидания с задержкой.

 

Персональные данные могут быть не предоставлены полностью

Airbnb и Hostelling International не были единичными случаями. Предоставление информации также вызвало трудности для отечественных компаний.

На сайте Tori.fi создан портал, который  использует мультперсонажей, чтобы посмотреть, какие данные о клиентах собираются и для какой цели. Вы можете запросить проверку или удаление вашей информации, нажав кнопку.

Всего через несколько дней в электронном письме уже говорилось, что запрашиваемая информация доступна в личном профиле данных. Однако, несмотря на поиск, Эмилия не смогла их найти. Она сделала новый запрос, но проблема не исчезла. Эмилия пришла к выводу, что сервис просто не работает.

 

Сбор данных также может быть радостью

В принципе, Эмилия ничего не имеет против сбора информации о себе. Однако для этого должна быть веская причина.

Лучшая причина – получить лучшие услуги. С помощью службы «Мои покупки» S-Group клиенты могут отслеживать свое покупательское поведение в течение двух лет. В информационном блоке отражается, среди прочего, что клиент в магазинах купил, какие магазины посетил и в какое время. При необходимости  также можно полностью запретить сбор данных. В лучшем случае эти виды услуг могут привести к потреблению в более здоровом и экологически устойчивом направлении. В будущем мы сможем проверить углеродный след наших покупок или количество пальмового масла, которое наносит ущерб тропическим лесам.

 

Записанные и расшифрованные телефонные разговоры

 

В конверте, отправленном LocalTapiola, был настоящий сюрприз. Среди личной информации также был большая стопка бумаг с расшифровкой разговоров со службой поддержки клиентов. Самые старые звонки более года назад. Я не ожидала, чтобы звонки записывались и архивировались, хотя об этом сообщается на сайте LocalTapiola. Я полагаю, что многие не знают, что предприятия и органы власти могут записывать звонки, если для сохранения есть веская причина. Еще меньше людей, вероятно, будут чувствовать себя вправе просматривать записанные разговоры.

 

Криптографический код и точная информация о местоположении

Даже при правильном предоставлении личных данных может быть сложно их интерпретировать. Например, Вольт и Тимма предоставили Эмилии личную информацию в неизвестном формате JSON.

Google говорит, что это «синтаксис объекта JavaScript». Среди переменных и функций Kaivel Wolt хранит следующие типы информации:

 

$ oid “:” 57cff8f02fc7ee1b92c0eaa3 ”

$ date “:” 2017-07-07T07: 49: 00.703Z ”

registration_fingerprint “: {” request_ip “:” 193.93. ***. **, 205.251. ***. ** “}

client_location: [24. *** 463, 60. *** 279]

Примечание издательства: звезды добавлены, чтобы защитить конфиденциальность Лаурилы.

 

Это похоже на информацию о местоположении. На самом деле, шесть знаков после запятой показывают позицию Эмилии с точностью до десяти сантиметров. Таким образом, хранение информации о местоположении неудивительно, поскольку операции Wolt основаны на доставке еды. Она дала разрешение на информацию о местоположении при регистрации службы обработки. Тем не менее, условия конфиденциальности Wolt точно не разъясняются, для чего  IP-адрес и местоположение клиента, сохраненные в 2017 году, по-прежнему необходимо сохранять. Эмилия не видит веских причин для этого.

 

Бывший работодатель: информация об Эмилии в Ювяскюля

Знаете ли вы, что у вас также есть право запрашивать личную информацию у вашего работодателя? Если ваш начальник записал ваш номер обуви или задержку в Excel, вы имеете право просматривать информацию.

Эмилия отправила запрос о хранении личной информации бывшему работодателю в ресторане в Ювяскюля. Однако ей сказали, что запрос информации должен быть сделан на бумаге, после чего личная информация может быть получена из офиса компании в Ювяскюля. И это несмотря на то, что она живет в 300 км от города. Причина этого в том, что компания говорит, что у них нет электронной идентификации. Затем генеральный директор компании начал задумываться, почему она хотела проверить свою личную информацию. Он предлагал обсудить это по телефону, однако так и не вышел на связь.

Наконец, Эмилия решила поехать и узнать информацию о себе в Ювяскюля. Встреча с бывшим работодателем для запроса информации казалась запутанной. Возможно, что вся операция выглядела как месть бывшего работника. В Интернете ходили слухи о троллях GDPR, которые заваливали компании самыми сложными информационными запросами.

Эмилия прибыла в офис и подтвердила свою личность. Директор компании взял конверт с холодильника. Она не успела осмотреть подозрительно тонкий конверт, а только открыла его по дороге домой в Хельсинки. В письме даже не содержались ее личные данные, а просто был приведен общий список типа сбора информации, которую компания хранила об Эмилии в течение шести лет. «Информация о заработной плате», «Информация о договоре», «Свидетельство о праве работать с алкогольной продукцией» и т.д. В качестве смягчающей информации упоминалось, что личные данные хранятся за замками. Тем не менее,  создалось впечатление, что правообладатели информации закрыты не с той стороны двери.

Источник: https://yle.fi/aihe/artikkeli/2019/08/22/emilia-laurila-25-halusi-selvittaa-mita-tietoja-hanesta-on-keratty-paljastui