ProHoster > Блог > адміністрування > Витік даних в Україні. Паралелі із законодавством ЄС

Витік даних в Україні. Паралелі із законодавством ЄС

Витік даних в Україні. Паралелі із законодавством ЄС

Скандал з витоком даних посвідчень водіїв через Telegram-бота прогримів на всю Україну. Підозри спочатку впали на додаток до державних послуг “ДІЯ”, але причетність додатка до цього інциденту швидко спростували. Питання із серії “хто і як злив дані” довіримо державі в особі української поліції, СБУ та комп'ютерно-технічних експертів, але питання відповідності нашого законодавства про захист персональних даних реаліям діджитал епохи розглянув автор публікації В'ячеслав Устименко, консультант юридичної компанії Icon Partners.

Україна прагне ЄС, і це передбачає прийняття європейських стандартів захисту персональних даних.

Давайте змоделюємо кейс і уявимо, що некомерційна організація з ЄС допустила витік такого ж обсягу даних посвідчень водія і цей факт встановили місцеві правоохоронні органи.

В ЄС, на відміну від України, діє регламент захисту персональних даних – GDPR.

Витік свідчить про порушення принципів описаних у:

  • Стаття 25 GDPR Захист персональних даних проектований та за замовчуванням;
  • Стаття 32 GDPR. Безпека обробки;
  • Стаття 5 п.1.f GDPR. Принцип цілісності та конфіденційності.

У ЄС штрафи за порушення GDPR розраховуються індивідуально, на практиці оштрафували б на 200,000+ євро.

Що варто змінити в Україні

Практика, отримана в процесі супроводу IT та онлайн бізнесу як в Україні, так і за межами, показала проблеми та досягнення GDPR.

Нижче шість змін, які варто впровадити в Українське законодавство.

#Адаптувати законодавчу базу під діджитал епоху

З моменту підписання Угоди про асоціацію з ЄС в Україні розробляється нове законодавство щодо захисту даних, а GDPR став дороговказом.

Ухвалити закон про захист персональних даних виявилося не так просто. Начебто є “скелет” як регламенту GDPR і треба лише наростити “м'ясо” (пристосувати норми), але з'являється багато спірних моментів, як із погляду практики, і закону.

Наприклад:

  • чи вважатимуться персональними відкриті дані,
  • чи закон поширюватиметься на правоохоронні органи,
  • яка відповідальність порушення закону, чи буде розмір штрафів зіставний з європейськими та інших.

Ключовий момент – потрібно адаптувати законодавство, а чи не копіювати GDPR. В Україні поки що багато невирішених проблем, які не притаманні країнам ЄС.

#Уніфікувати термінологію

Визначити, що є персональними даними, конфіденційною інформацією. Конституція України, стаття 32, забороняє опрацьовувати конфіденційну інформацію. Визначення конфіденційної інформації міститься щонайменше у двадцяти Законах.

Цитати з першоджерела українською мовою тут

  • відомості про національність, освіту, сімейний стан, релігійні переконання, стан здоров'я, адреси, дату та місце народження (ч.2 ст. 11 Закону України «Про інформацію»);
  • відомості про місце проживання (ч.8 ст. 6 Закону України «Про свободу пересування та вільний вибір проживання в Україні»);
  • відомості про особисту життя громадян, одержані із звернень громадян (ст.10 Закону України «Про звернення громадян»);
  • первинні дані, отримані у процесі проведення Перепису населення (ст. 16 Закону України «Про Всеукраїнський перепис населення»);
  • відомості, що подаються заявником на визнання біженцем або особою, яка потребує додаткової захисту (ч.10 ст. 7 Закону України «Про біженців та осіб, які потребують додаткової або тимчасової захисту»);
  • інформація про пенсійні внески, пенсійні виплати та інвестиційний прибуток (збиток), що обліковується на індивідуальному пенсійному рахунку учасника пенсійного фонду, пенсійні депозитні рахунки фізичних осіб, договори страхування довічної пенсії (ч.3 ст. 53 Закону України «Про недержавне пенсійне страхування») ;
  • інформація про стан пенсійних активів, облікованих на накопичувальному пенсійному рахунку застрахованої особи (ч.1 ст. 98 Закону України «Про загальнообов'язкове державне пенсійне страхування»);
  • відомості щодо предмета договору про виконання науково-дослідних або дослідно-конструкторських та технологічних робіт, хід їх виконання та результати (ст. 895 Цивільного кодексу України)
  • інформація, яка може сприяти ідентифікації особи неповнолітнього правопорушника або яка стосується факту самогубства неповнолітнього (ч. 3 ст. 62 Закону України «Про телебачення та радіомовлення»);
  • інформація про померлого (ст. 7 Закону України «Про поховання та похоронну справу»);
    відомості про оплату праці працівника (ст. 31 Закону України «Про оплату праці» Відомості про оплату праці надаються лише у випадках, передбачених законодавством, або за згодою чи на вимогу працівника);
  • заявки та матеріали на видачу патентів (ст.19 Закону України «Про охорону прав на винаходи та корисні моделі»);
  • відомості, що містяться в текстах судових рішень та дають можливість ідентифікувати фізичну особу, зокрема: імена (ім'я, по батькові, прізвище) фізичних осіб; місце проживання або перебування фізичних осіб із зазначенням адреси, номерів телефонів чи інших засобів зв'язку, адреси електронної пошти, ідентифікаційних номерів (кодів); реєстраційні номери транспортних засобів (ст. 7 Закону України "Про доступ до судових рішень").
  • дані про особу взяту під захист у уголовному судочинстві (ст. 15 Закону України «Про забезпечення безпеки осіб, які беруть участь у уголовному судочинстві»);
  • матеріали заявки фізичної чи юридичної особи на реєстрацію сорту рослин, результати експертизи сорту рослин (ст. 23 Закону України «Про охорону прав на сорти рослин»);
  • дані про працівника суду або правоохоронного органу, взятого під захист (ст. 10 Закону України «Про державну захист працівників суду та правоохоронних органів»);
  • сукупність відомостей про фізичних осіб, які потерпіли від насильства (персональні дані), що містяться в Реєстрі, є інформацією з обмеженим доступом. (ч.10 ст.16 Закону України "Про запобігання та протидію домашньому насильству");
  • інформація, що стосується митної вартості товарів, що переміщуються через митний кордон України (ч.1 ст. 263 Митного кодексу України);
  • інформація, що міститься у заяві про державну реєстрацію лікарського засобу та додатку до них (ч.8 ст. 9 Закону України «Про лікарські засоби»);

#Уникнути оціночних понять

У GDPR багато оцінних понять. Оціночні поняття в країні без прецедентного права (мається на увазі Україна) – скоріше простір для уникнення відповідальності, ніж користь для населення та країни в цілому.

#Ввести поняття DPO

Data protection officer (DPO) – незалежний експерт із захисту даних. У законодавстві необхідно чітко та без оціночних понять регламентувати необхідність обов'язкового призначення експерта на посаду DPO. Як роблять у Євросоюзі написано тут.

#Визначити рівень відповідальності за порушення у сфері персональних даних, диференціювати штрафи в залежності від розміру (прибутку) компанії.

  • 34 тисячі гривень

    Культури захисту персональних даних в Україні досі немає, чинний Закон «Про захист персональних даних» каже, що “порушення тягне за собою відповідальність, встановлену законом”. Штраф за адмін кодексом за незаконний доступ до персональних даних та порушення прав суб'єктів до 34,000 грн.

  • 20 мільйонів євро

    Штраф за порушення GDPR найбільший у світі – до 20,000,000 євро, або до 4% загального річного обороту компанії за попередній фінансовий рік. Перший штраф у 50 мільйонів євро за порушення конфіденційності даних щодо громадян Франції отримав Google.

  • 114 мільйонів євро

    GDPR у травні святкував 2-х річчя та зібрав 114 мільйонів євро штрафів. Під прицілом у регуляторів частіше компанії-гіганти з мільйонами даних користувача.

    Готельної мережі Marriott International та авіакомпанії British Airways цього року загрожують багатомільйонні штрафи за допущені витоки даних, які, за попередніми даними, випередять Google у бою за найвищі штрафи. Регулятори Великобританії попередили, що планують покарати їх на загальну суму приблизно 366 мільйонів доларів.

    Штрафи з шістьма нулями виписуються глобальним компаніям, послугами яких користуємося щодня. Однак це не говорить про те, що невеликі малознайомі компанії не підпадають під покарання.

    Австрійська поштова компанія отримала штраф у розмірі 18 мільйонів євро за створення та продаж профілів 3 мільйонів осіб, у яких містилася інформація про адреси, особисті переваги та політичну належність.

    Платіжний сервіс у Литві не видалив персональних даних клієнтів, коли потреба в обробці відпала і отримав штраф 61,000 євро.

    Некомерційна організація в Бельгії проводила пряме маркетингове розсилання на електронну пошту навіть після того, як одержувачі відмовилися від отримання розсилки, і отримали штраф 1000 євро.

    1000 євро ніщо порівняно з збитками репутації.

#Не в штрафах щастя

"Хто захоче дізнатися про мене інфу, і так дізнається, незважаючи на закон" - так кажуть в Україні та країнах СНД, на жаль, багато хто.

А ось в оману щодо “вкрадуть фото паспорта та візьмуть кредит на моє ім'я” вірить усе менше людей, адже навіть із оригіналом чужого паспорта в руках юридично це зробити нереально.

Люди діляться на 2 табори:

  • "параноїки" які вірять у релігію персональних даних, думають перш ніж поставити галочку і дати згоду на обробку даних.
  • "ті кому начхати", або люди які на автоматі зливають свої персональні дані в мережу, не замислюється про наслідки. А потім у них кредитні картки крадуть, підписують на рекурентні платежі, відводять аккаунти в месенджерах, пошти зламують або знімають з гаманця криптовалюту.

Свобода та демократія

Захист персональних даних – це про свободу вибору людини, культуру суспільства та демократію. Суспільством легше управляти маючи більше даних, можна пророкувати вибір людини, підштовхнути до потрібної дії. Людині складно чинити як вона хоче якщо за нею стежать, людина стає зручною, як наслідок – керованою, тобто людина підсвідомо робить не так як хоче сама, а так як її переконали робити.

GDPR не ідеальний, але головну ідею та ціль у ЄС виконує – європейці усвідомили, що незалежна людина самостійно володіє та керує своїми персональними даними.

Україна тільки на початку шляху, ґрунт готується. Від держави мешканці отримають новий текст закону, швидше за все незалежний регуляторний орган, але дійти сучасних європейських цінностей та розуміння того, що демократія у 2020 році має бути і в діджитал просторі, українці мають самі.

PS Пишу до соц. мережах про юриспруденцію та IT бізнес. Мені буде приємно, якщо підпишіться на один із моїх облікових записів. Це, безумовно, додасть мотивації розвивати профіль та працювати над контентом.

Facebook
Instagram

Тільки зареєстровані користувачі можуть брати участь в опитуванні. Увійдіть, будь ласка.

Написати про законодавство РФ щодо персональних даних?

  • 51,4%так 19

  • 48,6%краще вибрати іншу тему18

Проголосували 37 користувачів. Утрималися 19 користувачів.

Джерело: habr.com

Додати коментар або відгук