Щодо питання дотримання транспортними агрегаторами законодавства у сфері захисту персональних даних

Размещено на http://www.allbest.ru

Щодо питання дотримання транспортними агрегаторами законодавства у сфері захисту персональних даних

Бондар Павло Вадимович,

аспірант кафедри цивільного права

Національного університету «Одеська юридична академія»

Бондар Павло Вадимович

ЩОДО ПИТАННЯ ДОТРИМАННЯ ТРАНСПОРТНИМИ АГРЕГАТОРАМИ ЗАКОНОДАВСТВА У СФЕРІ ЗАХИСТУ ПЕРСОНАЛЬНИХ ДАНИХ

Предметом дослідження в межах наукової розвідки стали теоретичні та практичні моменти дотримання транспортними агрегаторами законодавства щодо збору та обробки персональних даних своїх клієнтів та перевізників. Визначено, що питання захисту персональних даних в процесі виникнення, зміни та припинення певних суспільних відносин залишається одним з найбільш проблемних питань правового регулювання в еру розвиту інформаційних технологій. Сфера суспільних відносин, що виникають щодо перевезення з використанням будь- яких транспортних агрегаторів не є виключенням, адже для ефективного здійснення своєї діяльності транспортні агрегатори вимушені ідентифікувати як клієнтів, так і водіїв-перевізників, а отже вдаються до збору персональних даних, їх обробки та зберігання.

Визначено, що згода під час під час реєстрації в інформаційно-телекомунікаційній системі шляхом проставлення відмітки про надання дозволу на обробку своїх персональних даних можлива лише за умови, що конкретна інформаційно-телекомунікаційна система не створює можливостей для обробки персональних даних до моменту проставлення відмітки. З'ясовано, що на стадії завантаження додатку транспортного агрегатора відповідна інформаційно-телекомунікаційна система може отримувати доступ до платіжної інформації своїх потенційних клієнтів, а отже й до даних суб'єктів персональних даних без їх згоди. Вирішено, що дане питання може бути пов'язане з включенням відповідних положень до політики конфіденційності магазину додатків, з якого планується викачування відповідного програмного забезпечення додатку та наданням відповідної інформації при користуванні магазином та встановленні відповідного додатку. транспортний агрегатор персональний дані

Зроблено висновок, що користувацькими угодами та політикою конфіденційності досліджуваних онлайн-плат- форм не вказується вичерпний перелік персональних даних, що збираються онлайн. Даний факт свідчить про можливість розширення кількісно-якісних характеристик відповідної інформації про особу та потенційне порушення умови згоди на збирання та обробку персональних даних, адже особа може не розуміти, які саме дані про нею збираються і на збір яких даних вона дає згоду. Зроблено висновок про необхідність додаткового опрацювання питання юридичної відповідальності транспортних агрегаторів за недотримання вимог законодавства щодо збору та обробки персональних даних своїх клієнтів.

Ключові слова: транспортні агрегатори, персональні дані, захист персональних даних, згода на обробку персональних даних.

Bondar Pavlo

REGARDING THE ISSUE OF COMPLIANCE BY TRANSPORT AGGREGATORS WITH PERSONAL DATA PROTECTION LEGISLATION

The subject of research within the scope of the study is the theoretical and practical points of compliance by transport aggregators with the legislation regarding the collection and processing of personal data of their customers and carriers. It was determined that the issue of personal data protection in the process of the emergence, change and termination of certain social relations remains one of the most problematic issues of legal regulation in the era of the development of information technologies. The sphere of public relations that arise in connection with transportation using any transport aggregators is not an exception, because in order to effectively carry out their activities, transport aggregators are forced to identify both customers and transport drivers, and therefore resort to the collection of personal data, their processing and storage.

It was determined that consent during registration in the information and telecommunications system by ticking the permission to process one's personal data is possible only on the condition that the specific information and telecommunication system does not create opportunities for processing personal data until the tick is ticked. It was found that at the stage of loading the application of the transport aggregator, the relevant information and telecommunications system can access the payment information of its potential customers, and therefore the data of the subjects of personal data without their consent. It was decided that this issue may be related to the inclusion of relevant provisions in the privacy policy of the application store, from which it is planned to download the relevant software to the application and to provide relevant information when using the store and installing the relevant application.

It was concluded that the user agreements and privacy policies of the investigated online platforms do not specify an exhaustive list of personal data collected online. This fact indicates the possibility of expanding the quantitative and qualitative characteristics of the relevant information about the person and the potential violation of the condition of consent to the collection and processing of personal data, because the person may not understand exactly what data is being collected about him and to which data he consents. It was concluded that it is necessary to further study the issue of the legal responsibility of transport aggregators for non-compliance with the requirements of the law regarding the collection and processing of personal data of their customers.

Key words: transport aggregators, personal data, personal data protection, consent to personal data processing.

Постановка проблеми. Одним з найбільш проблемних питань правового регулювання в еру розвиту інформаційних технологій залишається питання захисту персональних даних в процесі виникнення, зміни та припинення певних суспільних відносин [2]. Сфера суспільних відносин, що виникають щодо перевезення з використанням будь-яких транспортних агрегаторів не є виключенням, адже для ефективного здійснення своєї діяльності транспортні агрегатори вимушені ідентифікувати як клієнтів, так і водіїв-перевізників, а отже вдаються до збору персональних даних, їх обробки та зберігання.

Г. Самойленко приходить до висновку, що споживачі, які використовують для замовлення індивідуальних перевезень вебсайти та мобільні додатки (типу Uber та BlaBlaCar), засоби дистанційного зв'язку для укладання договору перевезення, як правило, не усвідомлюють, із чим та з ким вони мають справу - з перевізником, з посередником, інформаційно-довідковою службою чи сервісом, інформаційно-диспетчерською службою чи суб'єктом, який надає інформаційно-диспетчерські послуги чи то для перевізника, чи то для пасажира, - як і правових наслідків вступу в такі правовідносини. Така ситуація, на думку дослідника, є недопустимою як із точки зору цивільного законодавства, яке вимагає визначеності та чіткості в регулюванні цивільних правовідносин, так і з точки зору споживчого законодавства, яке вимагає дотримання права споживача (в контексті дослідження - права пасажира) на достовірну інформацію та на захист його прав [8, с. 29-30].

На сьогоднішній день питання правового регулювання відносин перевезень пасажирів та вантажу за допомогою транспортних агрегаторів майже не досліджувалися представниками юридичної науки. В свою чергу питання юридичної відповідальності сторін договору перевезення на сучасному етапі розвитку цивілістичної науки досліджувалися І. Приленським, В. Ломакою, Р. Сірком та іншими. Саме тому метою даного дослідження є визначити особливості дотримання законодавства щодо збору та обробки персональних даних транспортними агрегаторами.

Виклад основного змісту. Згідно положень чинного Закону України «Про захист персональних даних» персональними даними визнаються відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована. Під суб'єктом же персональних даних слід розуміти фізичну особу, персональні дані якої обробляються [7].

Чинним законодавством передбачено комплекс правових заходів, метою яких є забезпечення прав осіб щодо їх персональних даних. Дані права загалом можна віднести до цивільних за своєю природою, адже суміжними з правом на невтручання в особисте життя у зв'язку з обробкою персональних даних. Відповідно до чинного законодавства суб'єкт персональних даних має право:

- знати про джерела збирання, місцезнаходження своїх персональних даних, мету їх обробки, місцезнаходження або місце проживання (перебування) володільця чи розпорядника персональних даних або дати відповідне доручення щодо отримання цієї інформації уповноваженим ним особам, крім випадків, встановлених законом;

отримувати інформацію про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються його персональні дані;

на доступ до своїх персональних даних;

отримувати не пізніш як за тридцять календарних днів з дня надходження запиту, крім випадків, передбачених законом, відповідь про те, чи обробляються його персональні дані, а також отримувати зміст таких персональних даних;

пред'являти вмотивовану вимогу володільцю персональних даних із запереченням проти обробки своїх персональних даних;

пред'являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким володільцем і розпорядником персональних даних, якщо ці дані обробляються незаконно чи є недостовірними;

на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв'язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи;

звертатися із скаргами на обробку своїх персональних даних до Уповноваженого або до суду;

застосовувати засоби правового захисту в разі порушення законодавства про захист персональних даних;

вносити застереження стосовно обмеження права на обробку своїх персональних даних під час надання згоди;

відкликати згоду на обробку персональних даних;

знати механізм автоматичної обробки персональних даних;

на захист від автоматизованого рішення, яке має для нього правові наслідки [2].

Важливість дослідження даного питання підтверджується також непоодинокими випадками витоку персональних даних клієнтів транспортних агрегаторів (наприклад, у 2016 році хакери викрали персональні дані 57 мільйонів користувачів Uber та 7 мільйонів водіїв [1], а сам агрегатор намагався приховати та домовитися з хакерами, що теж стало порушенням за законодавством США). Враховуючи реєстрацію юридичних осіб таких гігантів ринку перевезень як Uber, Bolt за межами юрисдикції нашої держави, особливої уваги потребує дотримання зарубіжними сервісами чинного вітчизняного законодавства в сфері захисту персональних даних.

Перш за все, необхідно з'ясувати які дані і з якою метою збирають транспортні агрегатори. Так, відповідно до політики конфіденційності сервісу Uber за допомогою додатку та сайту збираються наступні дані:

відомості про профіль користувача (ім'я, електронна адреса, номер телефону, ім'я та пароль для входу в обліковий запис, адреса, фотографія профілю, платіжні або банківські відомості (зокрема, відповідна інформація про підтвердження оплати), документи державного зразка, що посвідчують особу, зокрема ті, що містять номер водійського посвідчення, дату народження, дані про стать і фотографію, відомості про транспортний засіб або страхування водіїв і кур'єрів, контактну інформацію для екстрених випадків, налаштування користувача, відомості про стан здоров'я або про можливість надавати послуги за допомогою додатків Uber;

відомості про перевірку особистих даних (інформація, надана водієм або кур'єром під час подання заявки на співпрацю, як-от стаж водіння або довідка про несудимість (якщо це дозволено законом), статус водійського посвідчення/ ліцензії, відомі псевдоніми та попередні адреси, а також право на працевлаштування;

фотографії, що підтверджують особу (фотографії користувачів (наприклад, селфі) і/ або фотографії посвідчень особи державного зразка (наприклад, водійського посвідчення або паспорта);

демографічні дані (інформація про користувачів, тобто такі дані як дата народження, вік, стать або рід діяльності);

користувацькі матеріали (дані, надані користувачами, коли вони звертаються до служби підтримки Uber: фотографії або аудіо- чи відеоза- писи, а також метадані, надані користувачами під час звернення до служби підтримки);

відомості про поїздки (інформація про маршрут подорожей, зокрема час і дати майбутніх рейсів, відомості щодо проживання або бронювання орендованих автомобілів);

дані про місцезнаходження водіїв і кур'єрів;

дані про місцезнаходження клієнтів і отримувачів замовлень;

інформація про транзакції (дані про тип замовлених або наданих послуг; відомості про поїздку або замовлення (дата й час, адреси посадки та висадки, відстань поїздки й замовлені страви); а також відомості про платіжні транзак- ції (наприклад, назву й розташування ресторану чи магазину, стягнуту суму та спосіб оплати). Ми також асоціюємо ім'я користувача з іменем будь- якої особи, яка використовує його промокод.

дані про взаємодію користувачів із сервісами Uber (дані про дату й час використання сервісів, функції додатка або переглянуті сторінки, тип браузера, завершення роботи додатка з помилкою та іншу діяльність систем);

дані про пристрої, використані для доступу до сервісів Uber (модель обладнання, IP-адреса чи інші унікальні ідентифікатори пристрою, операційні системи та версії, програмне забезпечення, мовні налаштування, рекламні ідентифікатори, відомості про переміщення пристрою та дані мобільної мережі);

дані про комунікацію (дата й час, а також вміст текстових повідомлень і сповіщень у додатку, записи телефонних розмов);

дані з інших джерел (дані користувачів, які беруть участь у програмах рекомендацій; дані власників облікових записів Uber, які замовляють послуги для або від імені інших користувачів (наприклад, друзів або членів сім'ї) або які дозволяють іншим користувачам замовляти чи отримувати послуги через облікові записи їхніх компаній; надані користувачами або іншими особами дані через скарги або суперечки; дані від ділових партнерів Uber, за допомогою яких користувачі створюють або входять в облікові записи Uber, наприклад постачальників платіжних послуг, соціальних мереж, додатків або сайтів, які використовують API Uber або API яких використовує Uber; дані від ділових партнерів Uber, пов'язані з дебетовими або кредитними картками, виданими фінансовими установами спільно з Uber, у межах, визначених правилами та умовами для картки; дані від постачальників послуг, які допомагають нам перевіряти особу користувачів, особисті дані та право на роботу або які перевіряють користувачів у зв'язку із санкціями, відмиванням грошей або вимогами клієнта; дані від постачальників послуг страхування, оренди транспортних засобів або фінансових послуг для водіїв і/або кур'єрів; дані від компаній-партнерів із перевезень для водіїв або кур'єрів, які використовують наші сервіси за допомогою облікового запису, пов'язаного з такою компанією); дані з публічних джерел; дані від постачальників маркетингових послуг або торговельних посередників, які Uber використовує для маркетингу або досліджень; дані від правоохоронних органів, органів охорони здоров'я та інших державних органів [5].

В свою чергу, конкурентний агрегатор таксі Bolt повідомляє про збір наступних даних своїх клієнтів:

контактна інформація (ім'я, номер телефону та адреса електронної пошти, домашня адреса);

інформація про профіль (зображення профілю, збережені адреси, мова і налаштування спілкування, дані водійського посвідчення);

геолокація (місце, звідки потрібно здійснити поїздку, кінцевий пункт призначення);

платіжна інформація (списана сума і використана платіжна карта);

записи спілкування з агентами з обслуговування клієнтів і переписки в чаті в додатку;

обмежені ідентифікаційні дані пристрою (IP-адреса, на якому встановлено додаток Bolt);

дані про використання транспортних послуг (дані про статус, час поїздки і дані про поведінку клієнта за оцінкою водіїв);

дані, що відносяться до спілкування за допомогою миттєвих повідомлень безпосередньо в додатку Bolt (дата й час спілкування та його зміст) [4].

Відповідно до Положення про обробку та захист персональних даних вітчизняного оператора таксі Uklon через веб-сайт «Uklon», додаток для мобільного пристрою «Uklon» для iOS та Android, а також через інші джерела відбувається збір таких персональних даних як ім'я, електронна адреса, номер телефону, місто, вказані при заповненні реєстраційної форми на Веб- сайті чи у Мобільному додатку або при заповненні профілю клієнта. Крім того в автоматичному режимі обробляються такі дані як IP-адреса, дата і час, використання клієнтом відповідних послуг; інформація про апаратне і програмне забезпечення, а також інтернет-браузер, який використовує клієнт; інформація про операційну систему комп'ютера чи мобільного пристрою (наприклад, версії додатків та налаштування мови). Також за допомогою мобільного додатку можуть збиратися дані, що ідентифікують відповідний мобільний пристрій, його налаштування і характеристики, дані місця розташування, збої в роботі програми, інші системні операції та Ваші рекламні ідентифікатори. Мобільні додатки також можуть отримувати доступ до різноманітних служб та даних мобільного пристрою клієнта, зокрема, але не обмежуючись: до телефонної книги (контакти), місцезнаходження та зовнішніх пристроїв зберігання даних (карти пам'яті) (але лише у випадку надання згоди) [6].

Слід відзначити, що користувацькими угодами та політикою конфіденційності досліджуваних транспортних агрегаторів не вказується вичерпний перелік персональних даних, що збираються, що свідчить про можливість розширення кількісно-якісних характеристик відповідної інформації про особу та потенційне порушення умови згоди на збирання та обробку персональних даних, адже особа може не розуміти, які саме дані про нею збираються і на збір яких даних вона дає згоду. Крім того, відповідно до ч.3 ст.6 Закону України «Про захист персональних даних» склад та зміст персональних даних, що збираються, мають бути відповідними, адекватними та ненадмірними стосовно визначеної мети їх обробки [7]. Дане правило може порушуватися або нівелюватися можливість захисту відповідного права суб'єкта у випадку недонесення обсягу персональних даних, що збираються за допомогою програмного забезпечення транспортного агрегатора.

Крім того відповідно до користувацьких угод транспортних агрегаторів можуть передаватися, а отже збиратися та оброблятися персональні дані інших осіб у випадках замовлення послуг перевезення для третіх особи, або при замовленні послуги доставки. Однак оператори інформаційної системи зазвичай попереджають про необхідність отримання згоди третіх осіб - суб'єктів персональних даних та щодо добросовісності використання таких даних транспортними агрегаторами [6].

Крім того, як бачимо агрегатор таксі Uber в угоді з користувачем своїх послуг вказує на те що може збирати відомості про стан здоров'я клієнта, що прямо заборонено ч. 1 ст.7 Закону України «Про захист персональних даних» [7] за винятком випадків, в яких обробка персональних даних здійснюється за умови надання суб'єктом персональних даних однозначної згоди на обробку таких даних або необхідна для здійснення прав та виконання обов'язків володільця у сфері трудових правовідносин відповідно до закону із забезпеченням відповідного захисту або необхідна для захисту життєво важливих інтересів суб'єкта персональних даних тощо. Питання отримання «однозначної згоди на обробку таких даних» у випадку мовчазної згоди при встановленні додатку та реєстрації в інформаційній системі транспортного агрегатора нажаль не має очевидного вирішення та потребує додаткового дослідження. Так наприклад, інтернет-сервіс таксі Bolt на своєму офіційному сайті зазначає, що сервісом здійснюється обробка персональні дані клієнтів сервісу. Як зазначається в користувацькій угоді, коли особа встановлює додаток і реєструється в сервісі, вона погоджуєтеся з Правилами та умовами Bolt і дає свою згоду на збір та обробку власних персональних даних [3].

Що ж до мети збору даних, то положеннями користувацьких угод транспортних агрегаторів зазвичай зазначаються наступні цілі збору та обробки персональних даних:

виконання умов договору про надання послуг з організації перевезення пасажирів; розміщення замовлень з метою передачі персональних даних партнерам транспортного агрегатора з метою виконання останніми відповідних замовлень; забезпечення роботи служби підтримки клієнтів; забезпечення функціонування та керування обліковим записом (акаунтом) користувачами; забезпечення комунікації з клієнтами та водіями; виконання вимог закону (юридичні цілі) щодо обробки та передачі даних компетентним органам згідно чинного законодавства України [6];

покращення фунціоналу відповідного мобільного додатку; оптимізація маршрутів перевезення; розроблення та впровадження стандартів обслуговування [4];

підвищення рівня безпеки та захисту наших користувачів і сервісів; надання підтримки користувачам; дослідження та розробки; можливість для користувачів спілкуватись одне з одним; маркетинг і реклама; надсилання користувачам інших повідомлень (не пов'язаних із рекламою); у зв'язку із судовим провадженням [5].

Відповідно до ст. 6 Закону України «Про захист персональних даних» метою обробки персональних даних має бути сформульована в законах, інших нормативно-правових актах, положеннях, установчих чи інших документах, які регулюють діяльність володільця персональних даних, та відповідати законодавству про захист персональних даних. Відповідно до п. 2 ч. 1 відповідної статті обробка персональних даних здійснюється відкрито і прозоро із застосуванням засобів та у спосіб, що відповідають визначеним цілям такої обробки [7].

Збір та обробка персональних даних повинні здійснюватися для конкретних і законних цілей, визначених за згодою суб'єкта персональних даних, або у випадках, передбачених законами України, у порядку, встановленому законодавством. Згідно законодавства незаконною є обробка даних про фізичну особу, які є конфіденційною інформацією, без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.

Відповідно до ч.8. ст.6 Закону України «Про захист персональних даних» персональні дані можуть оброблятися у формі, що допускає ідентифікацію суб'єкта персональних даних, не довше, ніж це необхідно для законних цілей, у яких вони збиралися або надалі оброблялися. Подальша обробка персональних даних в історичних, статистичних чи наукових цілях може здійснюватися за умови забезпечення їх належного захисту [7]. В даному контексті постає резонне питання щодо доцільності зберігання даних користувача інформаційної системи транспортного агрегатора після видалення облікового запису з будь- яких причин. Так, наприклад, користувацькою угодою сервісу Bolt передбачено, що у випадку видалення акаунта клієнтом «незважаючи на те, що ваші дані буде видалено, ми все ще зберігатимемо таку інформацію, як рахунки- фактури та платіжну інформацію, щоб відповідати законодавству та відповідно до нашої Політики конфіденційності» [3].

Окремо необхідно дослідити питання визначення однозначності згоди фізичної особи на обробку власних персональних даних. Так, під згодою суб'єкта персональних даних слід розуміти добровільне волевиявлення фізичної особи (за умови її поінформованості) щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки, висловлене у письмовій формі або у формі, що дає змогу зробити висновок про надання згоди. Як зазначають дослідники, у сфері віртуальних відносин згода суб'єкта персональних даних може надаватися під час реєстрації в інформаційно-телекомунікаційній системі шляхом проставлення відмітки про надання дозволу на обробку своїх персональних даних відповідно до сформульованої мети їх обробки [2].

Однак, необхідно наголосити на тому, що згода під час під час реєстрації в інформаційно-телекомунікаційній системі шляхом проставлення відмітки про надання дозволу на обробку своїх персональних даних можлива лише за умови, що конкретна інформаційно-телекомунікаційна система не створює можливостей для обробки персональних даних до моменту проставлення відмітки. Дане питання є спірним щодо транспортних агрегаторів, адже ще на стадії завантаження додатку транспортного агрегатора відповідна інформаційно-телекомунікаційна система може отримувати доступ до платіжної інформації своїх потенційних клієнтів, а отже й до даних суб'єктів персональних даних без їх згоди. Дане питання вирішується включенням відповідних положень до політики конфіденційності магазину додатків, з якого планується викачування відповідного програмного забезпечення додатку та наданням відповідної інформації при користуванні магазином та встановленні відповідного додатку.

Висновки

Аналіз договірних основ, що пропонуються відомими транспортними агрегаторами свідчить про те, що користувацькими угодами та політикою конфіденційності досліджуваних онлайн-платформ не вказується вичерпний перелік персональних даних, що збираються, що свідчить про можливість розширення кількісно-якісних характеристик відповідної інформації про особу та потенційне порушення умови згоди на збирання та обробку персональних даних, адже особа може не розуміти, які саме дані про нею збираються і на збір яких даних вона дає згоду. Підсумовуючи вищезазначене, можна зробити висновок про необхідність додаткового опрацювання питання юридичної відповідальності транспортних агрегаторів за недотримання вимог законодавства щодо збору та обробки персональних даних своїх клієнтів.

Література

Витік даних у США та ЄС. URL: https://axon.partners/uk/blog/vytik-danyh-u-usa-ta-eu/

Персональні дані: використання, захист і відповідальність - що потрібно знати. Юрліга. URL: https://cutt.ly/d3GK9uA

Підтримка Bolt. URL: https://cutt.ly/b3GK5FB

Повідомлення про конфіденційність для пасажирів та водіїв Bolt. URL: https://cutt.ly/b3GLyTd

Політика конфіденційності Uber. URL: https://www.uber.com/legal/ru/document/?country=united-states&lang=uk&name= privacy-notice

Положення про обробку та захист персональних даних Uklon. URL: https://uklon.com.ua/wp-content/uploads/2022/09/ protection-ofpersonal-data.pdf

Про захист персональних даних: Закон України від 01.06.2010 № 2297-VI. URL: https://zakon.rada.gov.ua/laws/ show/2297-17#Text

Самойленко Г. В. Особливості цивільно-правового регулювання перевезень пасажирів, здійснюваних з використанням мобільних додатків Uber та BlaBlaCar. Підприємництво, господарство і право. 2018. № 9. С. 29-34.

Размещено на Allbest.ru