Зверніть увагу

Що загрожує персональній інформації та правам користувачів у соціальних мережах: пояснення юриста

1 грудня 2023, 09:00Новини55

Этот материал также доступен на русском

Facebook здійснює збір персональної інформації і поза межами своєї платформи – може бути встановлена ІР адреса користувача, відвідані ним сайти, вид браузера, який використовується, тощо

  • Посилання скопійованоlink copied

У сучасному світі неможливо уявити своє життя без онлайн-спілкування. Ранок кожного українця починається з горнятка кави і перевірки стрічок новин у Facebook чи Instagram, надсилання повідомлень на Messenger, WhatsApp або в Telegram.

Як порушуються права користувачів в соціальних мережах та у яких випадках персональна інформація опиняється під загрозою — пояснив юрист Центру стратегічних справ Української Гельсінської спілки з прав людини Максим Войнов.

Максим Войнов, юрист ЦСС

За останні роки ми стали свідками підвищення популярності соціальних мереж, поширення блогів, розвитку сайтів щодо передання знань і спільного використання відеоматеріалів, широкого розповсюдження онлайн форумів і вебінарів.

Найпопулярніші соціальні мережі світу й України налічують мільйони користувачів. Люди зустрічаються в інтернеті для спілкування, діляться досвідом, емоціями або новинами, розміщують свої фотографії та залишають коментарі. Соціальні мережі розширили можливості людей користуватися правом на свободу вираження поглядів та отримувати і поширювати великий обсяг інформації.

Право на приватність (right to privacy) належить до основних прав і свобод людини.

Однак існують проблеми, пов’язані з безпекою особистих даних в соціальних мережах, зокрема, навмисне стеження ІТ-компаній за своїми користувачами і уразливість системи зберігання персональних даних осіб.

Великі компанії, такі як Meta Platforms (материнська компанія Facebook, Іnstagram та Tik-tok) збирають значний обсяг конфіденційної інформації своїх користувачів. Facebook здійснює збір персональної інформації і поза межами своєї платформи – може бути встановлена ІР адреса користувача, відвідані ним сайти, вид браузера, який використовується, та багато іншої особистої інформації.

Компанії можуть збирати інформацію з онлайн форм, які користувачі заповнюють в інтернеті при реєстрації на будь-якому вебсайті або купівлі товарів в Інтернеті, і навіть тоді, коли погоджуються на використання файлів cookies під час відвідування вебсайтів. В мережі зберігаються фотографії користувачів, їх вподобання, історія переглядів та широкий спектр інших джерел для створення профілю користувача, який надалі може бути проданий іншим компаніям. Внаслідок цього виникає ризик витоку персональних даних та порушення права особи на приватність.

Всі дані про особу зберігаються на сервері вебсайту, і при бажанні людини видалити свій профіль і персональні дані з соціальних мереж – фактично ці дані видаляються лише для користувача, а в мережі вони залишаються. Це порушує право людини «бути забутим» (right to be forgotten), що регламентується GDPR (General Data Protection Regulation) – Загальним Регламентом щодо захисту персональних даних осіб в межах Європейського Союзу.

Згода з «Умовами користування» та передача даних третій особі

Зазвичай для можливості використання певного програмного забезпечення або соціальної мережі користувачу необхідно погодитися з «Умовами користування», це такий собі контракт між постачальником послуги і користувачем. Однак погоджуючись з такими умовами певного сервісу, користувач надає згоду на обробку, передачу та збереження його персональної інформації, а межі та засоби її використання часто залишаються невизначеними.

Facebook, Snapchat, YouTube та багато інших онлайн-сервісів ставлять приєднання до послуги в залежність від згоди з «Умовами використання», які включають в себе поточні «Повідомлення про конфіденційність» та майбутні зміни до них. Ці умови не підлягають обговоренню і пропонуються за принципом «погоджуйся або йди». На практиці це означає, що люди часто не мають іншого вибору, окрім як погодитися, якщо вони хочуть користуватися послугою. Тому виникає питання, чи дійсно і добровільно була надана така згода.

Фіктивна згода особи з «Умовами користування» суперечить праву на недоторканність приватного життя. При наданні такої згоди користувачі ніби то самостійно приймають рішення і несуть відповідальність за те, як використовуються їхні дані. Однак на практиці неможливо з’ясувати, кому передаються особисті дані користувачів, зупинити їхню передачу або видалити неточну інформацію про себе з соціальних мереж.

Тому компанії мають зробити механізм використання і поширення особистих даних їх користувачів більш прозорим, а також надати користувачам можливість відмовитися від використання їх конфіденційної інформації.

Крім того, сервіси іноді передають особисту інформацію осіб іншим компаніям, мотивуючи це необхідністю персоналізації реклами і таргетингу для більшої зручності користувачів. В такому випадку також існує великий ризик порушення права на приватність особистого життя людини.

Оператори соціальних медіа-платформ мають технічні засоби для видалення і блокування небажаної інформації користувачів та призупинення дії їх акаунтів. Ці дії можуть застосовуватись через власний комерційний інтерес або з метою дотримання юридичних обов’язків чи урядових розпоряджень, що приводить до придушення потенційно законних форм вираження поглядів користувачів. У зв’язку з цим виникає питання, чи можуть кінцеві користувачі законно оскаржити рішення про видалення даних з соціальних мереж і захистити себе від такого втручання.

Користувачі соціальних мереж мають ретельно аналізувати інформацію, яку вони розміщують в соціальних мережах, перевіряти надані ними дані і розуміти ризики, пов’язані з витоком, передачею та поширенням їх особистих даних в кіберпросторі.

Захист персональних даних осіб на національному рівні

Загальний Регламент з обробки даних GDPR уніфікує принципи з захисту персональних даних в межах ЄС і їх передачу за межі країн Євросоюзу. Цей регламент містить перелік законних підстав для обробки персональних даних користувачів, і в контексті надання інтернет-послуг найпоширенішою підставою з них є наявність згоди та законного інтересу.

Хоча закони про захист персональних даних прийняті вже в більшості країн Європи, в Україні досі немає належного регулюючого законодавства і якісного підходу до роботи з такими технологіями.

Основним законом у сфері захисту персональних даних осіб залишається Закон України «Про захист персональних даних» , який встановлює вичерпний перелік підстав щодо обробки персональних даних, і саме наявність згоди суб’єкта особистих даних є обов’язковою умовою для збору таких даних в інтернеті. Однак цей закон не містить норм, які б дозволяли застосовувати його до соціальних мереж, зважаючи на їх специфіку обробки персональних даних.

Українське законодавство потребує вдосконалення для надання особам більших гарантій захисту їх приватності. В спеціальному національному законодавстві потрібно закріпити основоположні принципи, які б могли вимагати користувачі соціальних мереж:

  1. право на прийняття рішень щодо прийнятності «Умов використання»;
  2. право на контроль за використанням персональної інформації;
  3. право на остаточне видалення інформації з мережі при видаленні сторінки користувача з соціальних мереж тощо.

На даний час у Верховній раді України розглядається «Проєкт Закону про захист персональних даних» № 8153 від 25.10.2022 року, який має заповнити існуючі законодавчі прогалини.

Чинним українським законодавством передбачено, що одним з засобів захисту у сфері персональних даних є звернення до Уповноваженого Верховної Ради з прав людини, який може прийняти пропозиції, скарги, інші звернення від фізичних і юридичних осіб з питань захисту персональних даних, зокрема в соціальних мережах, провести перевірки, надати рекомендації щодо застосування законодавства в цій сфері тощо.

Національним українським законодавством встановлені санкції за порушення прав і свобод у сфері приватного життя, зокрема це закріплено в ст. 182 Кримінального Кодексу України (штрафи, виправні роботи, арешт або позбавлення волі за незаконне збирання, зберігання, використання, знищення, поширення конфіденційної інформації про особу або незаконна зміна такої інформації), та в статті 188 Кодексу України про адміністративні правопорушення (штрафи щодо порушення законодавства у сфері захисту персональних даних).

Розгляд скарг щодо порушення статті 8 Конвенції Європейським Судом з прав людини

Стаття 8 Європейської Конвенції з прав людини проголошує право на повагу до приватного життя, яке безпосередньо містить захист персональних даних і дотримання конфіденційності кореспонденції і комунікації.

Практика ЄСПЛ стосовно порушень, пов’язаних з використанням соціальних мереж, поступово розширюється. В справі «Volodina v. Russia» Суд встановив, що держава мала можливість покарати співмешканця заявниці за триваючий кібербулінг, який здійснювався через соціальні мережі, але державні органи не зробили цього та не провели ефективного розслідування злочину. Таким чином, мало місце порушення права на повагу до приватного життя заявниці.

Стосовно критеріїв, які Суд розглядає щодо порушення Конвенції у такого роду справах, слід зазначити, що постає питання знаходження балансу між правом на повагу до приватного життя, передбаченого статтею 8 ЄКПЛ та правом на свободу вираження поглядів, що регламентовано статтею 10 Конвенції.

Для розуміння логіки Суду при винесенні рішень, слід розглянути справу «Einarsson v. Iceland». Ця справа висвітлює труднощі, пов’язані з балансуванням між конкуруючими правами на недоторканність приватного життя та репутацію, з одного боку, і свободою вираження поглядів, з іншого. В цій справі Європейський суд з прав людини надав пріоритет праву відомого коментатора на повагу до його приватного життя (відповідно до статті 8 ЄКПЛ) над правом особи на свободу вираження поглядів (відповідно до статті 10 ЄКПЛ) в контексті публікації в Instagram щодо звинувачення заявника в зґвалтуванні.

Стосовно співвідношення свободи вираження поглядів та права на приватність, важливими прецедентом ЄСПЛ з цього питання є справа «Sanchez v. France». Суть цієї справи полягає в тому, що пан Санчеc в ході передвиборної компанії напередодні парламентських виборів у Франції виклав пост на своїй сторінці Фейсбук, який містив звинувачення та образи на адресу його політичного опонента. Коментарі, залишені третіми особами під зазначеною публікацію містили дискримінаційні висловлювання на адресу мусульманської національної меншини.

В результаті, пан Санчеc був притягнутий до кримінальної відповідальності за розпалювання міжетнічної, расової та релігійної ворожнечі та зобов’язаний виплатити штраф. У вищих інстанціях суму штрафу було знижено, однак рішення залишилося чинним. Після цього політик подав скаргу в ЄСПЛ, стверджуючи, що його право на свободу висловлювання, гарантоване статтею 10 ЄКПЛ було порушено.

Однак, розглянувши цю справу, Суд дійшов висновку, що порушення статті 10 не мало місця. Обґрунтовуючи своє рішення, Суд зазначив свою позицію, що явно незаконні коментарі з «мовою ворожнечі» встановлюють межу, коли мова йде про свободу вираження поглядів в Інтернеті.

У своєму тесті на пропорційність Суд застосував критерії, встановлені ним у справі «Delfi AS v. Estonia» та в подальшому розвинені у справі «MTE and Index v. Hungary», такі як наявність нагальної суспільної потреби, пропорційність переслідуваній законній меті, а також релевантність та достатність, щоб оцінити, чи покладалися національні суди на відповідні та достатні підстави, що виправдовують втручання у права, передбачені статтею 10 ЄКПЛ. Водночас Суд змінив свій підхід, який він запровадив у справі «Delfi AS v. Estonia», відійшовши від розмежування між комерційними новинними інтернет-порталами, з одного боку, і платформами соціальних мереж або приватними особами, які ведуть вебсайт або блог як хобі, з іншого.

У справі «Delfi AS v. Estonia» ЄСПЛ зазначив, що великий комерційний новинний інтернет-портал може бути притягнутий до відповідальності за коментарі, що містять «мову ворожнечі», якщо він надає користувачам можливість до коментування. Однак у справі, що розглядається, пан Санчес діяв не в комерційних цілях і не як журналіст, а як звичайний користувач соціальної мережі. Таким чином, Суд застосував новий підхід, розширюючи межі відповідальності з власників платформи до користувачів платформи, не пояснивши, чим обумовлена така різниця в підходах у різних справах.

З цього випливає, що Суд при винесенні рішення вкрай прискіпливо ставиться до наявності в певній публікації в соцмережі «мови ворожнечі».

На підтвердження цього підходу можна навести рішення Суду у справі «Kilin v. Russia». В цій справі заявник був притягнутий до кримінальної відповідальності національними судами за розпалювання міжнаціональної ворожнечі через розміщення на його сторінці в соціальній мережі «Вконтакті» матеріалів, в яких містилися заклики до екстремістських дій щодо національних меншин, зокрема, азербайджанців. В цьому випадку Суд не виявив порушення права заявника на свободу вираження поглядів та визнав санкції, накладені на нього національними судами пропорційним, оскільки відео та аудіофайли, які розмістив заявник, обґрунтовано сприймалися як такі, що розпалюють міжнаціональну ворожнечу шляхом закликів до насильства проти осіб азербайджанського походження та осіб неросійського етнічного походження.

При винесенні рішення суд звертав увагу на такі критерії:

  • соціальний та політичний контекст, в якому були зроблені висловлювання;
  • чи можуть заяви, якщо їх належним чином тлумачити і розглядати в безпосередньому або більш широкому контексті, розглядатися як прямий або непрямий заклик до насильства або як виправдання насильства, ненависті або нетерпимості;
  • спосіб, у який були зроблені заяви, і їх здатність, пряма або непряма, призвести до шкідливих наслідків.

Саме взаємодія між цими різними факторами, а не будь-який з них, взятий ізольовано, визначає результат, коли Суду необхідно знайти баланс між свободою вираження поглядів і правами інших людей.

Іншим прикладом балансування між правом на приватність та свободою вираження поглядів може слугувати справа «Balaskas v. Greece». Ця справа стосувалася скарги журналіста на притягнення його до кримінальної відповідальності за статтю, в якій він критикував директора місцевої середньої школи за те, що той у своєму особистому блозі висловлював неонацистські погляди. ЄСПЛ встановив, що грецькі суди не забезпечили баланс між правом журналіста на свободу вираження поглядів і правом директора школи на повагу до приватного життя та виявив порушення статті 10 ЄКПЛ.

У цьому випадку національні суди не взяли до уваги той факт, що стаття заявника сприяла дискусії з питання, що становить суспільний інтерес. Директор школи був державним службовцем, який сам привернув увагу до своїх політичних поглядів через свій блог, а тому мав би бути більш толерантним до критики. Крім того, заявник звернув увагу на раніше розміщені директором школи публікації про арійську расу та націонал-соціалізм як фактичну основу для підтримки своїх висловлювань. Більше того, грецькі суди визнали статтю заявника образливою, не беручи до уваги загальний контекст та її можливість викликати суспільну полеміку, а також використану мову, яка, хоч і була провокаційною, але не становила безпідставних особистих образ в бік директора школи.

В справі «Tamiz v. United Kingdom» Суд підкреслив важливість свободи вираження поглядів у контексті онлайн-форумів. У цій справі грубі коментарі, розміщені в блозі компанії Google Inc (зокрема, про те, що заявник був «жорстоким расистом»), були визнані занадто тривіальними за своїм характером і недостатньо поширеними для того, щоб становити ризик для репутації заявника, щоб виправдати обмеження свободи вираження поглядів компанії Google Inc та її користувачів. Було підкреслено, що коментарі такого характеру є поширеним явищем в Інтернеті і, як політик, Таміз повинен був терпляче ставитися до них.

Отже, при визначенні балансу між правом на повагу до приватного життя та репутації з правом на свободу вираження поглядів при прийнятті рішення Суд бере до уваги такі критерії, як:

  • внесок у дискусію, що становить загальний інтерес;
  • наскільки добре відома відповідна особа і що є предметом повідомлення;
  • її попередня поведінка;
  • спосіб отримання інформації та її правдивість;
  • зміст, форма і наслідки публікації; а також суворість накладених санкцій.

Крім того, для того, щоб оцінити обґрунтованість оскаржуваного висловлювання, необхідно розрізняти констатацію фактів і оціночні судження.

За останні роки Європейським судом з прав людини був прийнятий ряд рішень, пов’язаних з порушенням права на недоторканність приватного життя. Рішення ЄСПЛ мають велике значення і для України, адже остання залишається активно залученою у розвиток та використання цифрових технологій.

Не пропустіть важливе!
Підписуйтесь та отримуйте дайжест новин

Щоденно чи щотижня – обираєте ви!

Думка експерта

Бажаєте стати автором borg.expert?

Матеріали за темою

Огляд ринків

Статті • БОРГ-review
Нові правила значно збільшують фінансове та трудове навантаження на фонди

Огляд ринків

Статті • БОРГ-review
Понад 15% українців володіють криптовалютою і багато з них використовують її щодня

Огляд ринків

Статті • БОРГ-review
Звільнення з військової служби через сімейні обставини або інші поважні причини здійснюється за наявності оригіналів документів, що підтверджують таку підставу звільнення

Огляд ринків

Статті • БОРГ-review
У полі зору міжнародної спільноти найголовніше в галузі безпеки – битва проти рашизму

Огляд ринків

Статті • БОРГ-review
Іван Піддубний був тривалий час не лише найкращим борцем світу, а й пристрасним пропагандистом чесності у спорті

Огляд ринків

Статті • БОРГ-review
Народні депутати України запропонували називати новітню версію фашизму саме так – рашизмом