⚠ Почему конфиденциальность ДНК важнее, чем защита других данных

Ваша ДНК несёт уникальные риски: в отличие от паролей или банковских карт, генетические данные невозможно изменить после утечки. Они раскрывают информацию о ваших биологических родственниках, которые не давали на это согласия. И несмотря на правовую защиту по закону GINA, генетическая информация теоретически может влиять на страхование (страхование жизни, нетрудоспособности и долгосрочного ухода НЕ охватывается GINA) и занятость. В этом обзоре задокументировано именно то, что MyHeritage может и чего не может делать с вашими наиболее чувствительными данными.

🌎 Уведомление о международном характере компании

Штаб-квартира MyHeritage находится в Ор-Йехуде, Израиль; дополнительные офисы расположены в Тель-Авиве, Лихае (штат Юта), Киеве (Украина) и Бербанке (Калифорния). ДНК-тестирование проводится в лаборатории Gene by Gene в Хьюстоне, Техас, США. В 2021 году компания была приобретена американской инвестиционной фирмой Francisco Partners. Передача данных между Израилем, США и другими юрисдикциями регулируется стандартными договорными положениями в соответствии с GDPR.

⚠ Инцидент безопасности 2018 года

4 июня 2018 года MyHeritage раскрыла информацию об утечке данных:

Раскрыты адреса электронной почты и хешированные пароли 92 283 889 пользователей

Согласно официальному заявлению MyHeritage, утечка произошла 26 октября 2017 года и была обнаружена, когда исследователь в области безопасности нашёл файл на стороннем сервере за пределами MyHeritage. Компания заявила, что «данные кредитных карт на серверах MyHeritage не хранятся» и что «семейные деревья и данные ДНК хранятся в изолированных системах, отдельно от систем, где хранятся адреса электронной почты».

Источник: Официальное заявление MyHeritage (4 июня 2018 г.)

📊 Объём сбора данных

Генетическая информация (данные ДНК)

MyHeritage собирает генетические данные из ДНК-тестов или загруженных результатов:

"DNA information: Genetic data from DNA tests or uploaded results"
Источник: Политика конфиденциальности MyHeritage - раздел «Информация, которую мы собираем»

Биометрические данные (распознавание лиц)

MyHeritage собирает биометрические данные с фотографий через функцию Photo Tagger:

"Biometric data: Facial recognition models from the Photo Tagger feature"
Источник: Политика конфиденциальности MyHeritage - раздел «Информация, которую мы собираем»

Медицинские данные

MyHeritage собирает сведения о семейной истории болезней, указанные самими пользователями:

"Health data: Self-reported family health history via questionnaire"
Источник: Политика конфиденциальности MyHeritage - раздел «Информация, которую мы собираем»

Данные семейного дерева и генеалогии

MyHeritage собирает имена, адреса электронной почты, данные семейного дерева, фотографии и контактные данные:

"Direct submissions: Names, emails, family tree data, photos, and contact details"
Источник: Политика конфиденциальности MyHeritage - раздел «Информация, которую мы собираем»

Поведение в сети и отслеживание

MyHeritage собирает данные об использовании с помощью автоматических средств:

"Usage data: web-behavior information using automated means of data collection"
Источник: Политика конфиденциальности MyHeritage - раздел «Информация, которую мы собираем»

👥 Передача данных третьим сторонам

Запрет на продажу или лицензирование персональных данных (твёрдое обязательство)

MyHeritage прямо и решительно заявляет о запрете на продажу персональных данных:

"PERSONAL INFORMATION PROVIDED BY YOU, INCLUDING GENETIC INFORMATION AND HEALTH INFORMATION, WILL NEVER BE SOLD OR LICENSED BY US TO THIRD PARTIES, INCLUDING INSURANCE COMPANIES, GOVERNMENT AGENCIES, OTHER CORPORATIONS OR EMPLOYERS."
Источник: Политика конфиденциальности MyHeritage - раздел «Передача данных третьим сторонам»

Запрет на продажу генетических и медицинских данных

Дополнительное конкретное обязательство в отношении генетических данных:

"MYHERITAGE HAS NEVER SOLD OR LICENSED GENETIC DATA OR HEALTH DATA, AND WILL NEVER DO SO IN THE FUTURE."
Источник: Политика конфиденциальности MyHeritage - раздел «Данные ДНК»

Поставщики услуг

MyHeritage передаёт данные конкретным сторонним поставщикам услуг:

"Service providers (payment processors, cloud storage, AI services)" including "payment processing platforms (mainly Adyen, Stripe, BlueSnap and PayPal) and cloud storage services"
Источник: Политика конфиденциальности MyHeritage - раздел «Как мы передаём информацию»

Функция сопоставления ДНК

Данные ДНК могут передаваться генетическим совпадениям при включённой функции:

"DNA data shared only with DNA Matches (if enabled) and matched individuals"
Источник: Политика конфиденциальности MyHeritage - раздел «ДНК-сервисы»

Исследования (требуют явного согласия)

Использование данных в исследовательских целях требует явного согласия пользователя:

"We may use data for research (aggregated and anonymized) only with the user's explicit consent"
Источник: Страница конфиденциальности ДНК MyHeritage

Страховые компании (прямо исключены)

MyHeritage прямо заявляет, что никогда не предоставит данные страховым компаниям:

"MyHeritage will never provide data to insurance companies under any circumstances"
Источник: Политика конфиденциальности MyHeritage - раздел «Передача данных третьим сторонам»

Доступ правоохранительных органов

MyHeritage имеет чёткую политику в отношении правоохранительных органов:

"MyHeritage prohibits law enforcement use of its DNA Services."
Источник: Политика конфиденциальности MyHeritage - раздел «Правоохранительные органы»

Правоохранительные органы - судебные ордера

Информация предоставляется только под правовым принуждением:

"We will not provide information to law enforcement unless we are required by a valid court order or subpoena for genetic information."
Источник: Политика конфиденциальности MyHeritage - раздел «Правоохранительные органы»

Корпоративные сделки

Передача данных в случае продажи компании:

"In the event that MyHeritage, or substantially all of its assets or stock, are acquired, transferred, or disposed of, personal information including DNA Data Files will be one of the transferred assets. In such an event, your personal information would remain subject to the promises made in the pre-existing Privacy Policy prior to the event."
Источник: Политика конфиденциальности MyHeritage - раздел «Корпоративные сделки»

🔑 Заявление о праве собственности на данные

MyHeritage прямо признаёт право пользователей на владение данными ДНК:

"DNA users are the sole owners of their DNA data. We hold no rights to your data."

Кроме того:

"Only you have access to your raw DNA data and control of your privacy settings"
Источник: Страница конфиденциальности ДНК MyHeritage

🕐 Хранение данных

Общая политика хранения

MyHeritage хранит персональные данные в той мере, в какой это необходимо для оказания услуг:

"Personal information retained only for as long as necessary for service delivery and legal compliance"
Источник: Политика конфиденциальности MyHeritage - раздел «Хранение данных»

Хранение образцов ДНК - до 10 лет

Физические образцы ДНК могут храниться в течение длительного времени:

"DNA samples: up to 10 years with explicit approval"
Источник: Политика конфиденциальности MyHeritage - раздел «Хранение образцов ДНК»

Место хранения образцов ДНК

Образцы ДНК хранятся в техасской лаборатории:

"DNA samples stored in Texas at Gene by Gene lab"
Источник: Политика конфиденциальности MyHeritage - раздел «ДНК-сервисы»

Хранение моделей распознавания лиц

Биометрические данные автоматически удаляются:

"Facial recognition models: automatically deleted 3 months after last use"
Источник: Политика конфиденциальности MyHeritage - раздел «Биометрические данные»

После удаления

Последствия удаления аккаунта:

"Deleted account data will not be available to you or other users"
Источник: Политика конфиденциальности MyHeritage - раздел «Удаление аккаунта»

☑ Контроль пользователя и согласие

Право на удаление данных

Пользователи могут удалить свои данные в любое время:

"You can delete your data permanently at any time"
Источник: Страница конфиденциальности ДНК MyHeritage

Уничтожение образца ДНК

Пользователи могут запросить уничтожение биологического образца:

"Users can delete DNA Results and request sample destruction anytime"
Источник: Политика конфиденциальности MyHeritage - раздел «Ваш выбор»

Управление функцией сопоставления ДНК

Пользователи могут управлять функцией сопоставления ДНК:

"'DNA Matching' feature can be disabled to prevent comparisons"
Источник: Политика конфиденциальности MyHeritage - раздел «Параметры конфиденциальности ДНК»

Отзыв согласия на участие в исследованиях

Пользователи могут отозвать согласие на участие в исследованиях, однако с ограничениями:

"any research or studies using anonymized or aggregate information that has already begun, studies that have been completed, and any study results or findings that have been published prior to your withdrawal cannot be reversed."
Источник: Информированное согласие на ДНК-тестирование MyHeritage

Права пользователей (GDPR, CCPA и др.)

MyHeritage признаёт различные региональные права:

"Users can: Access their personal information; Request rectification or deletion; Withdraw consent; Obtain portable copies of data; Disable Smart Matches and DNA Matching; Delete accounts permanently and irreversibly; Opt out of marketing communications"
Источник: Политика конфиденциальности MyHeritage - раздел «Ваши права»

🔒 Меры безопасности

Реализация мер безопасности

MyHeritage описывает свой подход к безопасности:

"Technical, physical, and administrative safeguards implemented"
Источник: Политика конфиденциальности MyHeritage - раздел «Безопасность»

Тестирование на проникновение

Регулярные оценки безопасности:

"Periodic penetration tests" conducted
Источник: Политика конфиденциальности MyHeritage - раздел «Безопасность»

Контроль доступа

Ограниченный доступ персонала:

"Only authorized personnel have access to personal information"
Источник: Политика конфиденциальности MyHeritage - раздел «Безопасность»

Шифрование

Защита данных ДНК:

"DNA data is protected by multiple layers of encryption and stored on secure servers"
Источник: Страница конфиденциальности ДНК MyHeritage

Сертификаты лаборатории

Квалификация лаборатории ДНК-тестирования:

"Lab holds CLIA certification and CAP accreditation - industry gold standards"
Источник: Страница конфиденциальности ДНК MyHeritage

Оговорка об ограничениях безопасности

MyHeritage признаёт ограничения своих мер:

"no such program can be perfect; in other words, all risks cannot reasonably be eliminated."
Источник: Политика конфиденциальности MyHeritage - раздел «Безопасность»

🌎 Соответствие GDPR/CCPA

Региональное законодательство о конфиденциальности

MyHeritage признаёт права, специфичные для различных юрисдикций:

"Regional rights specified for GDPR (EU/EEA), LGPD (Brazil), POPIA (South Africa), and US state laws."
Источник: Политика конфиденциальности MyHeritage - раздел «Региональная конфиденциальность»

Сотрудник по защите данных по GDPR

MyHeritage назначила сотрудника по защите данных:

"Data Protection Officer available at dpo@myheritage.com"
Источник: Политика конфиденциальности MyHeritage - раздел «Соответствие GDPR»

Международная передача данных

Механизмы передачи данных при международных трансфертах:

"EU standard contractual clauses for international transfers"
Источник: Политика конфиденциальности MyHeritage - раздел «Международная передача данных»

Расположение центра обработки данных

Место хранения данных:

"Data centers in the United States"
Источник: Политика конфиденциальности MyHeritage - раздел «Хранение данных»

Уведомление об изменении политики

MyHeritage берёт на себя обязательство уведомлять пользователей о существенных изменениях:

"If anything material ever changes in this privacy policy, we will notify you by email."
Источник: Политика конфиденциальности MyHeritage - раздел «Обновления политики»

🔬 Исследовательская программа

Направления исследований

Типы исследований, проводимых MyHeritage:

"to conduct research studies designed to further our understanding of genealogy, anthropology, cultures, human evolution and migration, human genetics, population genetics, epidemiology, population health issues, and regional health issues."
Источник: Информированное согласие на ДНК-тестирование MyHeritage

Ограничение области исследований

Исследования ограничены заявленными целями:

"MyHeritage will not conduct research on topics unrelated to the Project, or use Personal Information for Research beyond what is described in this Informed Consent."
Источник: Информированное согласие на ДНК-тестирование MyHeritage

Запрет на продажу исследовательских данных третьим сторонам

Исследовательские данные не будут проданы третьим сторонам:

"MyHeritage will never sell or license your genetic information, your health information, or any of your other personal information...to any third parties, including insurance companies, government agencies, other corporations, or employers."
Источник: Информированное согласие на ДНК-тестирование MyHeritage

Анонимизация исследовательских данных

Исследовательские данные анонимизируются:

"Whenever Personal Information for Research from multiple individuals is aggregated, personal identifiers (such as names, birth dates and specific locations, etc.) from those participants will be removed."
Источник: Информированное согласие на ДНК-тестирование MyHeritage

Отсутствие индивидуальных результатов исследований

Результаты исследований не сообщаются отдельным участникам:

"It is not anticipated that the Project will provide significant benefit to an individual participant, and Project results will not be communicated by MyHeritage to you."
Источник: Информированное согласие на ДНК-тестирование MyHeritage

Сравнение с другими ДНК-сервисами

23andMe
Обзор
Ancestry
Обзор
Все сервисы