Управление персональными данными: тестируем инструмент «Яндекса» Управление персональными данными: тестируем инструмент «Яндекса»

Управление персональными данными: тестируем инструмент «Яндекса»

«Сумма технологии» изучила сервис, который имеет шансы изменить представление пользователей об их цифровых правах

Утечка персональных данных пользователей сервиса «Яндекс.Еда», произошедшая весной 2022 года, создала многочисленные риски для его пользователей. Некоторые из них уже обратились в суд за компенсацией. Руководитель «Яндекс.Еды» объявил о мерах, которые компания собирается принять, чтобы повысить безопасность пользовательских данных, — в том числе о возможности подключиться к инструменту управления данными. Предполагается, что он позволит пользователям не только узнать, какие данные собрали о них разные сервисы «Яндекса», но и удалить собранное. Инструмент появился в июне 2021 года, однако большинство пользователей об этом не знали. Эксперт Центра подготовки руководителей и команд цифровой трансформации Ольга Шепелева и «Сумма технологии» разбирались в законодательстве, касающемся управления персональными данными, и протестировали этот инструмент «Яндекса».


Право на управление данными


Использование цифровых платформ и сервисов невозможно без генерации и обработки данных, связанных с пользователями и их активностью. Владельцы платформ и сервисов требуют от пользователей (руководствуясь законом) согласия на эти действия.

Условия сбора и обработки данных, на которые необходимо согласиться для подключения к конкретному сервису, могут различаться. Нередко они сформулированы очень широко и дают практически неограниченные права на сбор, хранение, обработку и передачу пользовательских данных. После того как согласие получено, пользователь чаще всего не имеет точного представления ни о том, какие именно сведения накапливаются, ни о том, что с этими сведениями происходит.

Только 15% участников опроса, проведенного ВЦИОМ осенью 2021 года, указали, что они точно знают, как могут использоваться их данные. При этом исследования ФОМ демонстрируют, что число людей, озабоченных конфиденциальностью своих данных, растет.

Формально пользователи имеют право управлять собираемыми о них данными. В частности, Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» помимо права отозвать согласие на обработку данных гарантирует человеку право получать информацию о том, какие данные о нем обрабатываются, с какой целью и как это делается. Кроме того, закреплено право требовать у оператора уточнения своих персональных данных, их блокирования или уничтожения «в случае, если персональные данные являются неполными, устаревшими, неточными, незаконно полученными или не являются необходимыми для заявленной цели обработки». Операторы должны реагировать на запросы. Однако закон не требует от них принимать какие-то специальные меры, чтобы пользователям было проще реализовать права, связанные с управлением данными.

Вопрос о том, насколько люди осведомлены о своих правах, связанных с их персональными данными, специально не изучался. Однако если лишь немногие граждане понимают, что вообще происходит с их данными, трудно предполагать, что знание о праве на управление данными широко распространено среди пользователей цифровых сервисов и платформ.

Когда осведомленность о правах низкая, а практические механизмы реализации прав не ясны, людям, за редкими исключениями, просто не приходит в голову попытаться ими воспользоваться. Предложенный «Яндексом» инструмент контроля за пользовательскими данными может переломить эту ситуацию, особенно если примеру компании последуют владельцы других крупных цифровых сервисов. Но это произойдет, если инструмент будет достаточно удобен для пользователей. Проверим, так ли это сейчас.


Инструмент контроля за данными «Яндекса»: тест


Найти инструмент в личном кабинете «Яндекса» непросто. Если зайти в раздел «Управление аккаунтом», опцию, связанную с контролем данных, сразу найти не удается. Боле того, неочевидно, в какой рубрике ее искать. В итоге, после проверки всех рубрик, в «Других настройках» была обнаружена ссылка «Управление данными». Она-то и приводит на страницу инструмента, где можно, в частности, создать архив данных, которые накопили о пользователе сервисы «Яндекса». Через «Яндекс.Справку» найти инструмент гораздо проще, при этом, чтобы попасть на страницу инструмента, придется пройти авторизацию.

Если запросить создание архива, появляется уведомление, что это может занять до 30 дней. Впрочем, архив был получен нами через два дня. Пользователю приходит уведомление о готовности архива на электронную почту «Яндекса». Перейдя по ссылке из письма на страницу «Управление данными», можно скачать архив, защищенный паролем. Данные сохранены в форматах .csv и .json (которые открываются, например, с помощью Excel, Notepad или «Блокнота» на Windows и Excel и TextEdit на MacOS). Файлы распределены по папкам со всеми сервисами «Яндекса» («Еда», «Кинопоиск», «Музыка» и т. д., а также, например, запросы к умным помощникам). Для того чтобы разобраться, какие именно данные собирает «Яндекс» в каждом из своих сервисов, достаточно на элементарном уровне знать английский язык.

На странице инструмента также можно удалить данные из некоторых сервисов. Всего сейчас их 13: «Алиса», «Главная страница», «Дзен», «Диск», «Едадил», «Игры», «Кинопоиск», «Мессенджер», «Музыка», «Облако», «Погода», «Почта», «Станция»; как отмечает «Яндекс» в разделе FAQ, список сервисов будет пополняться. Удаленные данные исчезают из всех сервисов: как сообщается в FAQ, после удаления «никто не сможет получить к этим данным доступ, а сам „Яндекс“ перестанет их использовать. Большая часть данных будет сразу стерта со всех серверов».

Для сравнения мы попытались сделать то же самое на других платформах. Аналогичный сервис в Google устроен по такому же принципу. А вот на сайте Amazon все оказалось гораздо сложнее: во-первых, данные не консолидированы, нет страницы, где были бы представлены они все. Во-вторых, для того чтобы найти простую выгрузку заказов и возвратов, потребовалась инструкция со стороннего сайта. Наконец, в отличие от «Яндекса», где отмечается, что удалить «одним кликом» можно все данные, которые компания не обязана хранить по закону, для удаления персональных данных с Amazon и полного закрытия аккаунта нужно связываться с техподдержкой сайта.


Выводы


В России появление инструмента управления данными на одной из крупнейших цифровых платформ может стать важным прецедентом: другие крупные сервисы, например Сбер и Ozon, не предоставляют пользователям такую возможность. Однако следующим шагом должна стать правильная коммуникация с пользователями: инструмент, о котором никто не знает, на самом деле бесполезен.