Витік даних в Україні. Паралелі з законодавством ЄС

Скандал з витоком даних водійських посвідчень через Telegram-бота прогримів на всю Україну. Підозри спочатку впали на додаток державних послуг “ДІЯ”, але причетність додатку до цього інциденту швидко спростували. Питання з серії “хто і як злив дані” довіримо державі в особі української поліції, СБУ та комп’ютерно-технічних експертів, але от питання відповідності нашого законодавства про захист персональних даних реалій діджитал епохи розглянув автор публікації В’ячеслав Устименко, консультант юридичної компанії Icon Partners.
Україна прагне в ЄС, і це має на увазі прийняття європейських стандартів захисту персональних даних.

Давайте змоделюємо кейс і уявимо, що некомерційна організація з ЄС допустила витік такого ж обсягу даних водійських посвідчень і цей факт встановили місцеві правоохоронні органи.

В ЄС, на відміну від України, діє регламент щодо захисту персональних даних – GDPR.

Витік свідчить про порушення принципів описаних у:
Статті 25 GDPR Захист персональних даних проектована і за замовчуванням;
Статті 32 GDPR. Безпека обробки;
Статті 5 п. 1.f GDPR. Принцип цілісності і конфіденційності;

В ЄС штрафи за порушення GDPR розраховуються індивідуально, на практиці – оштрафували би на 200,000+ євро.

Що варто змінити в Україні

Практика отримана в процесі супроводу IT і онлайн бізнесу як в Україні, так і за межами, показала проблеми і досягнення GDPR.
Нижче шість змін які варто впровадити в Українське законодавство.

#Адаптувати законодавчу базу під діджитал епоху
З моменту підписання Угоди про асоціацію з ЄС в Україні розробляється нове законодавство щодо захисту даних, а GDPR став дороговказною зіркою.

Прийняти закон про захист персональних даних виявилося не так просто. Начебто є “кістяк” у вигляді регламенту GDPR і потрібно лише наростити “м’ясо” (пристосувати норми), але виникає багато спірних моментів, як з точки зору практики, так і закону.

Наприклад:

  • будуть вважатися персональними відкриті дані,
  • буде закон поширюватися на правоохоронні органи,
  • яка відповідальність за порушення закону, буде розмір штрафів можна порівняти з європейськими та ін.

Ключовий момент – потрібно адаптувати законодавство, а не копіювати GDPR. В Україні поки багато невирішених проблем, які не притаманні країнам ЄС.

#Уніфікувати термінологію
Визначити що є персональними даними, конфіденційною інформацією. Конституція України, стаття 32, забороняє обробляти конфіденційну інформацію. Визначення конфіденційної інформації міститься мінімум двадцяти Законах.

Цитати з першоджерела українською мовою тут
  • відомості про національність, освіту, сімейний стан, релігійні переконання, стан здоров’я, адреса, дата та місце народження (ч. 2 ст. 11 Закону України «Про інформацію»);
    відомості про місце проживання (ч. 8 ст. 6 Закону України «Про свободу пересування та вільний вибір проживання в Україні»);
  • відомості про особисте життя громадян, одержані із звернень громадян (ст. 10 Закону України «Про звернення громадян»);
  • відомості про особисте життя громадян, одержані із звернень громадян (ст. 10 Закону України «Про звернення громадян»);
  • первинні дані, отримані у процесі проведення Перепису населення (ст. 16 Закону України «Про Всеукраїнський перепис населення»);
  • відомості, що подаються заявником на визнання біженцем або особою, яка потребує додаткового захисту (ч. 10 ст. 7 Закону України «Про біженців та осіб, які потребують додаткового або тимчасового захисту»);
  • інформація про пенсійні внески, пенсійні виплати та інвестиційний прибуток (збиток), що обліковується на індивідуальному пенсійному рахунку учасника пенсійного фонду, пенсійні депозитні рахунки фізичних осіб, договори страхування довічної пенсії (ч. 3 ст. 53 Закону України «Про недержавне пенсійне страхування»);
  • інформація про стан пенсійних активів, облікованих на накопичувальному пенсійному рахунку застрахованої особи (ч. 1 ст. 98 Закону України «Про загальнообов’язкове державне пенсійне страхування»);
  • відомості щодо предмета договору на виконання науково-дослідних або дослідно-конструкторських та технологічних робіт, хід їх виконання та результати (ст. 895 Цивільного кодексу України)
  • інформація яка може сприяти ідентифікації особи неповнолітнього правопорушника або яка стосується факту самогубства неповнолітнього (ч. 3 ст. 62 Закону України «Про телебачення та радіомовлення»);
  • інформація про померлого (ст. 7 Закону України Про поховання та похоронну справу»);
    відомості про оплату праці працівника (ст. 31 Закону України «Про оплату праці» Відомості про оплату праці надаються лише у випадках передбачених законодавством, або за згодою чи на вимогу працівника);
  • заявки та матеріали на видачу патентів ( ст. 19 Закону України «Про охорону прав на винаходи і корисні моделі»);
  • відомості, що містяться в текстах судових рішень та дають можливість ідентифікувати фізичну особу, зокрема: імена (ім’я, по батькові, прізвище) фізичних осіб; місце проживання або перебування фізичних осіб із зазначенням адреси, номерів телефонів чи інших засобів зв’язку, адреси електронної пошти, ідентифікаційних номерів (коди); реєстраційні номери транспортних засобів (ст. 7 Закону України «Про доступ до судових рішень»).
  • дані про особу взяту під захист у кримінальному судочинстві ( ст. 15 Закону України «Про забезпечення безпеки осіб, які беруть участь у кримінальному судочинстві»);
  • матеріали заявки фізичної чи юридичної особи на реєстрацію сорту рослин, результати експертизи сорту рослин (ст. 23 Закону України «Про охорону прав на сорти рослин»);
  • дані про працівника суду або правоохоронного органу, взятого під захист (ст. 10 Закону України «Про державний захист працівників суду і правоохоронних органів»);
  • сукупність відомостей про фізичних осіб які потерпіли від насильства (персональні дані), що містяться в Реєстрі, є інформацією з обмеженим доступом. (ч. 10 ст. 16 Закону України «Про запобігання та протидію домашньому насильству”);
  • інформація, що стосується митної вартості товарів, що переміщаються через митний кордон України (ч. 1 ст. 263 Митного кодексу України);
  • інформація, що міститься у заяві про державну реєстрацію лікарського засобу та додатка до них (ч. 8 ст. 9 Закону України «Про лікарські засоби»);

#Піти від оціночних понять
У GDPR багато оціночних понять. Оціночні поняття в країні без прецедентного права (мається на увазі Україна) – швидше простір для “відходу від відповідальності”, ніж користь для населення і країни в цілому.

#Ввести поняття DPO
Data protection officer (DPO) — незалежний експерт із захисту даних. В законодавстві необхідно чітко і без оціночних понять регламентувати необхідність обов’язкового призначення експерта на посаду DPO. Як роблять в Євросоюзі написано тут.

#Визначити рівень відповідальності за порушення у сфері персональних даних, диференціювати штрафи в залежності від розміру (прибутку) компанії.

  • 34 тисячі гривень
    Культури захисту персональних даних в Україні досі немає, чинний Закон “Про захист персональних даних” говорить що “порушення тягне за собою відповідальність, встановлену законом”. Штраф за адмін кодексу за незаконний доступ до персональних даних та за порушення прав суб’єктів до 34,000 грн.
  • 20 мільйонів євро
    Штраф за порушення GDPR найбільший у світі – до 20,000,000 євро, або до 4% від загального річного обороту компанії за попередній фінансовий рік. Перший штраф у 50 мільйонів євро за порушення конфіденційності даних, що стосуються громадян Франції, отримав Google.
  • 114 мільйонів євро
    GDPR в травні святкував 2-х річчя і зібрав 114 мільйонів євро штрафів. Під прицілом регуляторів частіше компанії-гіганти з мільйонами користувальницьких даних.Готельної мережі Marriott International і авіакомпанії British Airways в цьому році загрожують багатомільйонні штрафи за допущені витоку даних, які, за попередніми даними, випередять Google в бою за найвищі штрафи. Регулятори Великобританії попередили, що планують покарати їх на загальну суму приблизно 366 мільйонів доларів.
    Штрафи з шістьма нулями виписуються глобальним компаніям, послугами яких користуємося щодня. Однак, це не говорить про те, що невеликі маловідомі компанії не підпадають під покарання.
    Австрійська поштова компанія отримала штраф у розмірі 18 мільйонів євро за створення і продаж профілів 3 мільйонів осіб, в яких містилася інформація про адреси, особистих уподобаннях і політичної приналежності.
    Платіжний сервіс в Литві не видалив персональні дані клієнтів, коли потреба в обробці відпала і отримав штраф 61,000 євро.
    Некомерційна організація в Бельгії проводила пряму маркетингову розсилку на електронну пошту навіть після того, як одержувачі відмовився від отримання розсилки, і отримала штраф 1000 євро.
    1000 євро ніщо порівняно збитком репутації.

#Не в штрафах щастя
“Хто захоче дізнатися про мене інфу, і так дізнається, незважаючи на закон” – так кажуть в Україні і країнах СНД, на жаль, багато.
А ось в оману щодо “вкрадуть фото паспорта і візьмуть кредит на моє ім’я” вірить все менше людей, адже навіть з оригіналом чужого паспорта в руках юридично це зробити нереально.

Люди діляться на 2 табори:

  • “параноїки” які вірять в релігію персональних даних, думають перш ніж поставити галочку і дати згоду на обробку даних.
  • “ті кому плювати”, або люди які на автоматі зливають свої персональні дані в мережу, не замислюється про наслідки. А потім у них кредитні картки крадуть, підписують на рекурентні платежі, заводять акаунти в месенджерах, пошти зламують або знімають з гаманця криптовалюту.

Свобода і демократія

Захист персональних даних – це про свободу вибору людини, культуру суспільства і демократії. Суспільством легше керувати маючи більше даних, можна передбачати вибір людини, спонукати до потрібної дії. Людині складно обирати як він хоче якщо за ним стежать, людина стає зручною, як наслідок – керованою, тобто людина підсвідомо робить не так як хоче сама, а так як його переконали робити.

GDPR не ідеальний, але головну ідею і мету в ЄС виконує – європейці усвідомили, що незалежна людина самостійно володіє і управляє своїми персональними даними.

Україна лише на початку шляху, готується грунт. Від держави жителі отримають новий текст закону, швидше за все незалежний регуляторний орган, але прийти до сучасних європейських цінностей і розуміння того, що демократія в 2020 році має бути і в діджитал просторі, українці повинні самі.

Джерело

Поділитися
  •  
  •  
  •  
  •  
  •  
  •  
  •  
  •  
Реклама

154

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *

Схожі записи

Почніть набирати текст зверху та натисніть "Enter" для пошуку. Натисніть ESC для відміни.

Повернутись вверх