Privacy by design. User-held data model as a basis for Privacy and Personal Data protection in social networks

Науковий вісник Ужгородського Національного Університету, 2023 УДК 347:342.9:341.1 DOI https://doi.org/10.24144/2307-3322.2023.80.1.84 ПРИВАТНІСТЬ ЗА ЗАМОВЧУВАННЯМ. КОРИСТУВАЦЬКА МОДЕЛЬ ДАНИХ ЯК ОСНОВА ЗАХИСТУ ПРИВАТНОСТІ ТА ПЕРСОНАЛЬНИХ ДАНИХ В СОЦІАЛЬНИХ МЕРЕЖАХ Пристай Р.А., аспірант кафедри адміністративного та фінансового права Львівського національного університету імені Івана Франка ORCID: 0000-0002-8980-1650 e-mail: Пристай Р.А. Приватність за замовчуванням. Користувацька модель даних як основа захисту приватності та песрональних даних в соціальних мережах. Стаття розкриває поняття та особливості концепції приватності за замовчуванням. Здійснено аналіз законодавства Європейського Союзу, яке регламентує обов’язок дотримання даної концепції – а саме положень Загального регламенту про захист персональних даних. В рамках концепції приватності за замовчуванням, досліджено поняття та ознаки користувацької моделі даних, як такої, що спрямована на зміну правового регулювання та технічого забезпеченння інформаційної безпеки та безпеки персональних даних в соціальних мережах. З метою досягнення цілей лослідження, проаналізовано необхідність запровадження зазначеної моделі захисту даних – практичні проблеми захисту персональних даних з огляду на особливості ринку послуг провайдерів сервісів соціальних мереж. Обгрунтовано необхідність трактування персональних даних та мета даних користувача соціальних мереж як об’єкта права власності, а також трактування самих мета даних як персональної інфорації про особу яка може бути використана для розпізнавання або відстеження особи окремо або в поєднанні з іншою інформацією, що прямо зазначено в Акті OMB № A-130 [1], однак аналогічно не трактується ні в Регламенті про захист даних, ні в законодавстві України. Наведено основні переваги впровадження користувацької моделі даних, а саме переваги для власників даних, бізнесу, держави та провайдерів хмарних послуг з надання та обслуговування моделі. Законодавство в сфері захисту персональних даних в ЄС, зокрема в сфері соціальних мереж, є більш комплексним на надціональному та національному рівнях і забезпечене окремим як нормативним, так і організаційним механізмом, який відрізняється від того, який існує на сьогодні в Україні. Механізм захисту персональних даних в Європейському Союзі передбачає створення незалежних публічних органів, які є відповідальними за виконання та дотримання вимог Загального регламенту про захист даних. В статті виокремелено необхідність створення єдиного окремого органу в сфері захисту персональних даних в Україні, який зможе здійснювати функцію моніторингу та забезпечення дотримання вимог відповідного законодавства, зокрема, дотримання приватності за замовчуванням. Ключові слова: захист персональних даних, приватність за замовчуванням, користувацька модель даних, приватність в соціальних мережах. Prystai R. Privacy by design. User-held data model as a basis for privacy and personal data protection in social networks. The article reveals the concept and features of privacy by design approach. An analysis of the legislation of the European Union, which regulates the obligation to comply with mentioned concept, namely the provisions of the General Data Protection Regulation, was carried out. Within the framework of the concept of privacy by design, the concepts and pecularities of using user-held data model are studied, which aims to change the legal regulation and technical support of information security as well as the security of personal data in social networks. 551 Серія ПРАВО. Випуск 80: частина 1 In order to achieve the goal of the research, the need to introduce the specified model of data protection was analyzed – namely practical problems of personal data protection within the peculiarities of the market of social network service providers. The need of the interpretation of personal data as an object of property right was outlined, as well as the interpretation of the purpose of the meta data itself as personal information about a person that can be used to recognize or track a person separately or in combination with other information, which is directly stated in the OMB Act No. A-130, however, is neither interpreted similarly in the Data Protection Regulation nor in the legislation of Ukraine. The main advantages of implementing a user-held data model are presented, namely the advantages for data owners, businesses, the state, and cloud service providers for providing and maintaining the model. Legislation in the field of personal data protection in the EU, in particular in the field of social networks, is more complex at the supranational and national level. It is provided with a separate regulatory and organizational mechanisms, which are different from the one that exists today in Ukraine. The mechanism for the protection of personal data in the European Union provides the creation of independent public authority that is responsible for the implementation and compliance with the requirements of the General Data Protection Regulation. The article highlights the need to create a single separate body in the field of personal data protection in Ukraine, which will be able to perform the function of monitoring and ensuring compliance with the requirements of the relevant legislation, in particular, compliance with privacy by design. Key words: personal data protection, privacy by default, user data model, privacy in social networks. Постановка проблеми. Станом на 2023 рік загальна кількість користувачів соціальних мереж становить 4,76 млрд користувачів у світі та близько 28 млн в Україні. Поряд з цим, росте і кількість порушень в соціальних мережах, які стосуються персональних даних особи. Лише за перший квартал 2023 року понад шість мільйонів записів даних було розкрито в усьому світі через витік даних. З першого кварталу 2020 року найбільшу кількість відкритих записів даних було виявлено в четвертому кварталі 2020 року, майже 125 мільйонів наборів даних. Такі порушення часто носять внутрішній характер – а саме приватного життя особи внаслідок неналежного використання, зловживання чи захисту сервісом соціальних мереж персональних даних користувача. Втім, до категорії персональних даних не завжди відносять мета дані, оскільки до цієї категорії даних часто входить інформація, за якою прямо ідентифікувати особу неможливо. Внаслідок вказаного підходу, а також часткового нівелювання значення метаданих для подальшого впливу на особу (наприклад, в маркетингових цілях), превалююче становище сервісів соціальних мереж стає все більш домінуючим і здатним використовувати свій статус при розробці подальших Політик конфіденційності, Договорів з користувачем, а також рекламній політиці. Це, в свою чергу, призводить до звуження свободи вибору сервісу користувачем, можливості схиляння користувача до дій, які б він не вчинив за інших обставин – непотрібних покупок чи транзакцій (мова йде про недобросовісну комерційну практику або ж продаж соціальними мережами дани (...truncated)