Активисты в эпоху диджитализации. Часть 1. GDPR-террористы

Этой статьей Алексей Плешков начинает серию публикаций под общим названием "Активисты в эпоху диджитализации. Влияние и последствия для организаций". В них будут изложены имевшие место в период 2018–2020 гг. неизвестные факты из мировой и отечественной практики, подтверждающие существование организованных групп активных граждан и иллюстрирующие их деятельность в реальном и виртуальном пространстве, сопряженную с нанесением имиджевого, финансового и иного материального ущерба различных организациям.

GDPR-террористы. Какие ассоциации возникают, когда вы в первый раз проговариваете про себя это словосочетание? Евросоюз, комплаенс, опасность, фанатизм, а может быть – абсурд, шутка, игра слов. По мнению автора, каждая из этих ассоциаций по-своему верна. Термин "GDPR-террорист" является второй производной от более мягкого "GDPR-активист", вошедшего в обиход граждан Евросоюза (далее – ЕС) после вступления в силу в 2018 г. регламентирующих документов под общим названием General Data Protection Regulation (далее – GDPR).

General Data Protection Regulation (генеральный регламент по защите персональных данных) – серия директив (регламент (EU) 2016/679, директива (EU) 2016/680), введенных в действие 25 мая 2018 г. на всей территории Евросоюза.

Целями GDPR являются:
- защита персональных данных граждан ЕС в любом виде и в любом объеме;
-защита прав и свобод граждан ЕС в защите их данных;
- ограничение перемещения персональных данных в рамках ЕС.

После введения в действие GDPR усиливает существующие и вводит новые права для граждан ЕС, а также дает им инструменты контроля над своими личными данными (обрабатываемыми в любом виде), а именно:
- легкий доступ к их данным, включая предоставление обработчиками подробной информации о том, как именно и где обрабатываются эти данные;
- право на переносимость данных: применение формализованных правил передачи персональных данных граждан ЕС между поставщиками услуг;
- право на удаление персональных данных: если гражданин ЕС больше не хочет, чтобы его персональные данные обрабатывались и у обработчика нет законных оснований для хранения и дальнейшей обработки персональных данных гражданина ЕС, то данные должны быть незамедлительно отовсюду удалены;
- право знать, если данные гражданина ЕС были несанкционированно скомпрометированы: компаниям и организациям придется незамедлительно информировать граждан ЕС – владельцев персональных данных в случае нарушения информационной безопасности их данных, по факту инцидента они (обработчики) также обязаны в кратчайшие сроки уведомить соответствующий орган в ЕС по надзору за защитой персональных данных и выполнению требований GDPR.

Кроме того, GDPR предоставляет гражданам ЕС рабочие инструменты для реализации своих прав, упрощая механизмы обращения в надзорные органы, например жалобы в электронном виде и пр. Под действия GDPR попадает полностью или частично автоматизированная обработка физическими или юридическими лицами, государственными органами и другими институтами и организациями персональных данных граждан ЕС на территории ЕС и за его пределами. Любая некоммерческая деятельность (в том числе безвозмездное оказание услуг гражданам ЕС), связанная с обработкой персональных данных, также попадает под действие ст. 2 и 3 GDPR, который имеет экстерриториальное действие и применяется ко всем компаниям, обрабатывающим персональных данные граждан ЕС, независимо от страны нахождения такой компании.

"GDPR-активист" – это термин, обозначающий члена организованной группы лиц, критически настроенной против обработчиков персональных данных, работающих на территории ЕС, действия которых субъективно нарушают, и это подтверждено активистами документально, основные требования GDPR, в том числе права и свободы граждан ЕС – владельцев персональных данных (в терминах GDPR). При этом, до вмешательства активистов, со стороны регуляторов и правоохранительных органов в отношении нарушителей GDPR не было предпринято должных мер воздействия или юридического преследования. Суждение о нарушении обработчиками GDPR носит сугубо экспертный характер, на первом досудебном этапе оно ничем не подтверждено. Однако GDPR-активисты не стесняются в публичном выражении своей позиции в Интернете, на стихийных пикетах и митингах, в европейских печатных СМИ. Некоторые размещают обращения об имевших место нарушениях в открытом доступе на YouTubeканалах и закрытых telegram-сообществах, другие по запросу демонстрируют текстовые и видеоматериалы, доказывающие факты нарушений. Работают GDPR-активисты слаженно и последовательно, юридически грамотно и выверенно формулируя свои претензии к третьим лицам. Многие имеют высшее техническое или юридическое образование и богатый опыт взаимодействия с европейскими регуляторами. Назвать их любителями или непрофессионалами своего дела нельзя. Поэтому и ущерб от их деятельности для юридических лиц, резидентов и нерезидентов ЕС, можно измерить миллионами евро.

В отличие от активистов, GDPR-террористы действуют более радикально, используют все доступные методы и средства информационной войны для достижения своих не всегда однозначно прослеживаемых целей. Ведь деятельность террористов не обязательно направлена на физическое устранение кого-либо.

Иногда достаточно любыми средствами, но вовремя убрать крупную фигуру из сложной политической партии, чтобы нанести непоправимый вред государству и его гражданам в будущем.

Персональные данные в терминах GDPR
Персональные данные – это любая информация, относящаяся к идентифицированному или идентифицируемому физическому лицу (субъекту данных), по которой прямо или косвенно можно его определить. К такой информации относятся в том числе фамилия, имя, отчество субъекта, данные его фактического местоположения, онлайнидентификаторы, технические реквизиты и параметры сессии, один или несколько факторов и параметров, характеризующих генетическую, культурную, религиозную, социальную идентичность субъекта данных. При таком подходе даже MAC-адрес сетевого адаптера мобильного устройства и динамический IPадрес ноутбука могут быть признаны персональными данными субъекта.

Деятельность GDPR-террористов

Если погрузиться в тему GDPR глубже, то можно обнаружить, что для контроля за соблюдением GDPR практически в каждой стране – члене ЕС официально созданы и укомплектованы штатом, оборудованием и бюджетом национальные надзорные органы. Для них разработаны, локализованы и внедрены нормативно распорядительные документы, а также методики проведения проверок выполнения требований GDPR.

рис1-1

Однако, по мнению GDPR-активистов, институт GDPR в Европе по состоянию на конец 2019 г. работает недостаточно эффективно в части систематического выявления нарушений и привлечения юридических лиц к справедливой ответственности. А формальные санкции и штрафы размером 20 млн евро или 4% от годового оборота нарушителя лишь слегка ограничивают крупные компании, такие как Google, Amazon или Facebook, и не гарантируют соблюдение прав и свобод граждан ЕС в цифровом пространстве Интернет.

В этой ситуации единственным вариантом действий для GDPR-активистов становится противостояние (открытое или скрытое) активных граждан ЕС выявленным и доказанным нарушениям.

Согласно первому обзору Европейского Совета по защите данных (European Data Protection Board, EDPB) по реализации GDPR, c момента вступления в силу данного регламента надзорными органами в 31 стране ЕС за первые девять месяцев было зарегистрировано 206 326 нарушений. По статистике европейских регуляторов, в 2019 г. общая сумма штрафов, собранная с нарушителей требований регламента GDPR, составила более 405 млн евро.

Топ-5 штрафов за нарушение GDPR в 2019 г.:
- British Airways – 204,6 млн евро;
- Marriott International – 110,3 млн евро;
- Google LLC – 50 млн евро;
- Austrian Post – 18 млн евро;
- Deutsche Wohnen SE – 14,5 млн евро.

В контексте деятельности GDPR-активистов интересен кейс № 3 с Google LLC. В январе 2019 г. GDPR-активист из Франции обратился к представителям уполномоченного по GDPR французского надзорного органа (Commission nationale de l’informatique et des liberte's, CNIL) с заявлением о массовых нарушениях правил прозрачности (в том числе отсутствии достаточных правовых оснований), допущенных Google при демонстрации целевой рекламы для граждан ЕС – пользователей Android. В результате длительного расследования компания Google признала нарушение и была оштрафована на огромную сумму.

Плешков

Открытое противостояние выражается в подготовке и написании в различные инстанции ЕС обращений с информацией об имевших место в компаниях массовых нарушениях. За два года GDPR-регуляторам поступило более полумиллиона таких обращений. К примеру, для открытого противостояния с нарушителями GDPR одним из основателей движения GDPR-активистов в Европе Максом Шремпсом создан некоммерческий проект Not Your Business (NOYB, в переводе с английского "Не твое дело"). Подробнее об этом проекте чуть-чуть дальше.

Скрытое противостояние нарушителям (и здесь в полной мере мы видим нарушение требований по защите конфиденциальной информации в организациях) заключается в поиске и подкупе источников внутри организации – потенциального нарушителя GDPR, которые добудут и предоставят необходимые в качестве доказательства материалы по формату/запросу активистов или представителей регуляторов. При реализации подобных сценариев подтвержденные действия инсайдеров фактически являются нарушением внутренних политик конфиденциальности компании и могут повлечь за собой юридические последствия, вплоть до судебного преследования.

К примеру, в списке выше топ-5 штрафов за нарушение GDPR в 2019 г. в позиции № 4 упоминается прецедент с австрийской почтовой компанией Osterreichische Post AG. В октябре 2019 г. австрийская коммерческая компания Austrian Post получила штраф за нарушение GDPR в части несанкционированного профилирования своих клиентов. Сотрудники почты много лет создавали в автоматизированной системе класса CRM профили своих клиентов, содержащие ФИО, информацию об адресах, личных предпочтениях в печатных изданиях, в том числе комментарии по политической принадлежности клиентов. Суммарно база содержала более 3 млн записей по клиентам. Затем эти данные были проанализированы и в определенный момент проданы почтой в различные политические партии Австрии и коммерческим компаниям. Указанные действия Austrian Post были классифицированы австрийским регулятором как нарушение ст. 5 и 6 GDPR. Интересен тот факт, что первичную информацию о нарушении GDPR, которая легла в основу расследования, регулятор получил из анонимного источника, близкого к Osterreichische Post AG, в разгар очередной политической битвы в Австрии.

Принципы работы GDPR-активистов

Разберем отдельные активности GDPR-террористов на примере некоммерческой организации NOYB. Официально зарегистрированные в Австрии как юридическое лицо ID#1354838270, они ни от кого не скрываются. Информация о NOYB доступна на сайте местного регистратора http://zvr.bmi.gv.at/. Основываясь на материалах сайта https://noyb.eu, можно самостоятельно сделать вывод о схеме работы и основных принципах, лежащих в основе деятельности подобных организаций. Хештеги, звучащие как лозунги на демонстрациях, недвусмысленно дают понять, чем руководствуются GDPR-активисты в своей деятельности.

#MakePrivacyReal
Воплотим в реальности требования европейского законодательства по защите персональных данных
#StrategicandEffectiveEnforcement
Добьемся эффективного правоприменения к нарушителям GDPR
#CollaborativeEffort
Совместно с другими группами активистов достигнем синергетического эффекта в борьбе
#CrucialMoment
С принятием GDPR в ЕС наступил переломный момент, наступила эра конфиденциальности
#ExperiencedTeam&Members
Представляем собой опытную команду экспертов-единомышленников с компетенциями в различных областях
#FocusonCommercialPrivacy
Сфокусируем свою деятельность на нарушениях конфиденциальности крупными корпорациями
#EuropeanScopeGlobalImpact
Правоприменение GDPR в ЕС в конечном итоге повысит уровень конфиденциальности персональных данных во всем мире
#SupportingBusiness
Поддержим европейские компании, которые готовы, хотят и соблюдают GDPR, защитим их от недобросовестной конкуренции со стороны крупных корпораций – нарушителей GDPR
#InvestInPrivacy
Готовы к сотрудничеству с людьми, которые ценят право неприкосновенности своих персональных данных, своей частной жизни и собственного выбора

Таким образом, не только европейские компании сталкиваются с деятельностью GDPR-активистов. Экстерриториальность GDPR открывает перед желающими возможность воздействовать прямо или косвенно практически на любую компанию, в деятельности которой на территории ЕС GDPRактивисты усмотрели нарушения своих прав.

А как с GDPR-активистами в России?

По состоянию на февраль 2020 г. автору неизвестно о существовании/регистрации в российском юридическом пространстве организаций, подобных по своей сути и направлению деятельности проекту NOYB. Возможно, что они уже кем-то созданы, но пока не вышли на такой уровень публичности, чтобы открыто заявить о своих успехах в борьбе с нарушителями GDPR в России.

Начиная с 2018 г. в открытых источниках и СМИ достаточно регулярно появляются комментарии и публикации на тему присутствующих в деятельности крупных российских компаний нарушений отдельных статей GDPR.

В 2018 г. ВКонтакте (ВК) столкнулся с проблемой, связанной с политикой конфиденциальности: белорусский активист Кристиан Шинкевич, постоянно проживающий на территории Польши, официально и публично со ссылкой на нормы GDPR запросил у российского проекта ВК предоставить ему все касающиеся его персональные данные, которые он ранее разместил на своей странице или страницах своих друзей в ВК. ВК недостаточно детально, по мнению активиста, удовлетворил данное требование, предоставив не всю информацию. В то же время ВК нашел причину, чтобы приостановить доступ активиста к его ВК-странице. Полученный от ВК ответ лег в основу статей и публикаций в Интернет, вызвал множество споров и побочных ветвей для обсуждения.

Но отсутствие реальных прецедентов из правозащитной практики GDPR-террористов в России ни в коем разе не подтверждает пассивность отечественных активистов в вопросах соблюдения конфиденциальности персональных данных. Федеральные законы, такие как 152-ФЗ, и подзаконные акты предоставляют широкое юридическое поле для деятельности. К примеру, 13 февраля 2020 г. мировой судья судебного участка № 374 Таганского района г. Москвы, рассмотрев на открытом судебном заседании материалы дела № 5-168/2020 об административном правонарушении в отношении иностранного юридического лица Facebook, Ink. и материалы дела № 5-167/2020 об административном правонарушении в отношении иностранного юридического лица Twitter Inc., постановила: признать обе иностранные компании виновными в совершении административного правонарушения, предусмотренного ч. 8 ст. 13.11 Кодекса РФ об административных правонарушениях, и назначить наказание каждой из компаний в виде штрафа в размере 4 млн рублей. Как и в случае с Austrian Post, базой для проведенного регулятором расследования (в данном случае – Роскомнадзором) послужили материалы, опубликованные в открытом доступе пользователями сети Интернет с активной жизненной позицией.

Опубликовано в журнале "Системы безопасности" №1/2020

Сюжеты: Защита информации и связи День эксперта Цифровая экономика