ГоловнаПраво

"Баги" державних реєстрів, або як захистити персональні дані

Чи штрафують посадовців за «злив» персональних даних в Україні? Яка поширена інформація про хворих на COVID-19 – порушення медичної таємниці? Та чи може судитися з державою той, хто знайшов свої персональні дані у телеграм-боті, скандал довкола якого вилився у кримінальну справу і зачепив додаток «Дія»?

Відповіді на ці запитання – у матеріалі LB.ua.

Фото: zik.ua

«Зливи» року

У 2019 році кількість випадків витоку даних у США зросла на 17% – до 1 473, повідомляє Identity Theft Resource Center – неприбуткова організація, що фіксує порушення використання персональних даних.

З 2005 року центр зафіксував близько 10 тисяч порушень. Найбільший стрибок, за даними ITRC, відбувся у 2018-му – кількість записів споживачів, що зазнали порушень поширення своїх даних, зросла на 126%.

Найскандальнішим того року був несанкціонований доступ до 383 мільйонів записів бази клієнтів однієї з провідних компаній США на ринку готельних послуг Marriott International, включаючи номери паспортів, платіжних карток тощо.

Середня загальна вартість збитків, які зазнає американський бізнес від витоків даних становить близько $8,2 млн., згідно з дослідженнями IBM Security спільно з Ponemon Institute, що базуються на опитуванні 500 компаній з 16 штатів у 2019 році. І найбільші втрати несе медична галузь – $6,42 млн.

У країнах Європейського Союзу з травня 2018 року вступив в силу Загальний регламент захисту даних (General Data Protection Regulation – GDPR) усіх осіб в межах Європейського Союзу та Європейської економічної зони. Регламент також стосується експорту персональних даних за межі ЄС і ЄЕЗ.

За підсумками першого року функціонування GDPR, наглядові органи країн європейської економічної зони зафіксували понад 144 тис запитів та скарг і понад 89 тис порушень даних. 63% із них були закриті, а 37%, станом на травень 2019-го, – тривали, повідомляла Єврокомісія.

Фото: edpb.europa.eu

Зростання запитів та скарг пов’язана, в першу чергу, з обізнаністю громадян ЄС із правами на захист свої даних. Так, згідно з опитуваннями Єврокомісії у 2019 році, 67% опитаних чули про GDPR, 36% з них знали, що тягне за собою невиконання регламенту. Такий показник зріс на 20%, порівняно з результатами такого ж опитування у 2015 році.

Як наслідок запровадження GDPR, у січні цього року італійський наглядовий орган наклав два штрафи в розмірі 8,5 млн та 3 млн євро на італійський постачальник електроенергії та газу Eni Gas e Luce (EGL).

Перший – за те, що компанія незаконно обробляла особисті дані, здійснюючи маркетингові дзвінки особам, які відмовилися від отримання таких дзвінків. Другий – за те, що EGL укладала контракти з понад 7 тис клієнтів без їх повідомлення. Вони дізнавалися про це здебільшого після отримання першого рахунку від компанії.

А на початку травня шведський орган управління захисту даних (DPA) наклав штраф у розмірі 75 мільйонів шведських крон (приблизно 7 мільйонів євро) на Google як оператора пошукової системи за невиконання вимог GDPR щодо вилучення персональних даних через неточність або оскільки така інформація була зайвою.

Штаб-квартира Google у Маунтін-В'ю, Каліфорнія, США
Фото: EPA/UPG
Штаб-квартира Google у Маунтін-В'ю, Каліфорнія, США

У порівнянні з Європою та США, захист персональних даних в Україні зводиться в переважній більшості до одиничних скарг та судових позовів.

Так, кількість витоків даних фіксує Уповноважений з прав людини. Будь-хто може також поскаржитися на порушення свого права на захист даних безпосередньо до поліції чи в суд.

Як зазначається в щорічному звіті за 2019 рік, омбудсман розглянув 1061 повідомлення про порушення права на захист персональних даних. Складено і направлено до суду 10 (!) протоколів про адміністративне правопорушення за частиною четвертою статті 188-39 Кодексу про адміністративні правопорушення (порушення законодавства у сфері захисту персональних даних).

Найбільше такі порушення фіксувалися у сферах фінансових і банківських послуг, страхування, житлово-комунальних послуг, охорони здоров’я, соціального захисту, освіти, а також при обробці персональних даних під час здійснення відеоспостереження, обліку адміністративних та кримінальних правопорушень.

У коментарі LB.ua представниця Уповноваженого у сфері захисту персональних даних Інна Берназюк пояснила, що невелика кількість складених протоколів про адміністративні правопорушення викликана, перш за все, тим, що законодавством обмежені строки притягнення до відповідальності (три місяці з дня вчинення), а звернення здебільшого надходять до секретаріату Уповноваженого вже після пропущення строків.

Та й омбудсман не може самостійно встановити, хто займається розповсюдженням чи «зливом» даних. А звертається в поліцію.

У свою чергу, за даними Департаменту кіберполіції, впродовж 2018 року поліцейські виявили 6 тисяч злочинів, вчинених у сфері використання високих інформаційних технологій. 7% із них – продаж та аналіз викрадених баз даних.

Омбудсман також проводить перевірки розпорядників персональних даних. За минулий рік таких було 36 і 26 приписів про усунення порушень.

Якщо вимоги Уповноваженого не виконані, він може скласти протокол про адміністративне правопорушення. У 98% випадків, зазначає Інна Берназюк, приписи виконуються, або посадовці просять Уповноваженого продовжити термін їх виконання. Юрист Назар Коршівський зауважує, що для повноцінного захисту персональних даних громадян України спроможності омбудсмана недостатньо: у відділі перевірок – чотири особи, загалом департамент налічує 17.

«Цього явно недостатньо для належного контролю. На додачу законодавча обмеженість – омбудсман не може сам притягнути винних осіб до відповідальності, лише суд. Також відносно низький рівень штрафів. Якщо в Європі це десятки, сотні, а інколи мільйони євро, у нас штраф (якщо не брати до уваги кримінальну відповідальність) може становити до 8500 грн. Для цього необхідно змінювати закон та збільшувати спроможність контролюючого органу, зокрема чисельність штату омбудсмана», – зазначає він.

На думку юриста, в Україні ще не сформована культура захисту та відповідального ставлення до персональних даних.

«В Європі ставлення компанії до персональних даних – одна з бізнес переваг компанії, що може бути визначальним фактором у боротьбі з конкурентами. Витік даних може завдати удар по репутації, що не зрівняється з жодним штрафом (навіть враховуючи розмір штрафу в ЄС). Компанії в США та ЄС йдуть на «мирові» угоди зі споживачами та готові відшкодовувати їм збитки лише, щоб не отримати розголос щодо справи. В Україні ж компанії часто зовсім не переймаються питаннями захисту персональних даних», – зазначає Коршівський.

Фото: vogazeta.ru

Чутливість даних

І українським, і європейським законодавством «персональні дані» визначені як відомості чи їх сукупність про фізичну особу, за якими вона ідентифікована чи може бути ідентифікована (Закон «Про захист персональних даних»).

Так звані «нечутливі» персональні дані – прізвище, ім’я, по батькові, адреса, телефони, паспортні дані, національність, освіта, сімейний стан, релігійні та світоглядні переконання, стан здоров’я, матеріальний стан, дата і місце народження, місце проживання та перебування тощо, дані про особисті майнові та немайнові відносини цієї особи з іншими особами тощо.

До «чутливих» даних відносять персональні дані, які розкривають расове чи етнічне походження, політичні, релігійні чи інші переконання; які стосуються здоров’я або статевого життя; дані щодо кримінального засудження.

Зауважимо, що українським законодавством чітко не визначено перелік персональних даних. Європейське – містить наступний перелік даних, що вважаються персональними: ім'я та прізвище; домашня адреса; електронна адреса, номер посвідчення особи; дані про місцезнаходження (у тому числі, функція даних про місцезнаходження на мобільному телефоні); адреса інтернет-протоколу (IP); ідентифікатор файлу cookie; рекламний ідентифікатор телефону; дані лікарні чи лікаря, які можуть бути символом, який однозначно ідентифікує людину.

Для отримання дозволу на обробку персональних даних:

- людина не повинна зазнавати тиску;

- має бути належно поінформована про мету і наслідки надання згоди;

- межі поширення її згоди повинні бути конкретними і розумними.

Тобто дані особи можна обробляти лише у випадку, якщо вона сама дала на це згоду, або згідно із законодавством (здебільшого йдеться про оперативно-розшукову діяльність, хоча й це – із дозволу суду).

«Проблема в тому, що для розробки будь-якої бази даних залучають здебільшого пов’язаних з керівництвом цієї структури осіб, іноді ще й не дуже професійних. Відповідно – погана якість продукту. Тобто людський фактор спрацьовує двічі: вперше – під час розробки, другий раз – коли виникає спокуса скачати цю базу, оскільки здебільшого працівники, що мають до неї доступ, отримують три копійки зарплати», – зазначає LB.ua Павло Бєлоусов, експерт Школи цифрової безпеки.

Павло Бєлоусов
Фото: detector.media
Павло Бєлоусов

Адвокат Оксана Кочкодан додає: «Дані зливають, бо за них можна отримати хорошу оплату, а за їх безпеку на практиці відповідають всі і ніхто. Належно захищати дані має і володілець, він же контроллер (хто визначив мету обробки), і розпорядник, він же процесор (той, хто обробляє дані з дозволу контроллера). В державних органах мають бути цілі підрозділи чи відповідальні особи, які відповідають за безпеку персональних даних (ст.24 ЗУ Про захист персональних даних). Державні органи також мають мати сертифікати КСЗІ (комплексної системи захисту інформації – LB.ua), це щось подібне на сертифікати безпеки ISO, але не так пафосно, бо вітчизняно. Але весь час десь щось хтось зливає. І перш за все тому, що захистити дані в Україні ефективно неможливо».

Законом «Про захист персональних даних», як і європейським законодавством, визначено, що обробка персональних даних здійснюється для конкретних і законних цілей, а також відкрито і прозоро.

Обсяг та зміст даних, які збираються, мають бути не надмірними стосовно мети їх обробки. І зберігатися вони можуть не довше, ніж це необхідно для законних цілей, для яких їх збирали.

«І в українському, і в європейському законодавстві міститься гарантія – персональні дані, які збираються, не можуть бути надмірними відносно мети їх збору. Якщо її можна досягти за допомогою меншої кількості даних, то такі дії є надмірними. Тобто контролюючі органи повинні провести перевірку, накласти штраф і припис в такому випадку, а згодом проконтролювати, чи його було виконано. Якщо ні, то – штраф в подвійному розмірі. Так працюють в Європі. В Україні – ні. Саме тому у нас з’являються телеграм-боти з персональними даними», – зазначає Ірина Кушнір, експерт із захисту персональних даних.

А отже, зазначає вона, будь-хто, хто зафіксував поширення своїх персональних даних в телеграм-боті «UA База», скандал довкола якого зачепив додаток «Дія», може позиватися в суд. Спочатку український, а згодом і Європейський суд з прав людини.

Ірина Кушнір
Фото: dostup.pravda.com.ua
Ірина Кушнір

«Для такого позову необхідно в національних судах довести, що певна персональна інформація була відкрита, а її зберігання належить до відповідальності конкретної державної структури. І вам все одно, яка посадова особа за це відповідальна. Держава повинна була забезпечити збереження ваших даних. А оскільки порушила, то маєте право вимагати компенсації», – зазначила Кушнір.

«Баги» реєстрів

Доволі часто, зазначають експерти, такі «нечутливі» відомості, як імена користувачів та паролі, стають цілями для хакерів, оскільки люди використовують їх для захисту «чутливих» – наприклад, фінансових рахунків. Чимало осіб повторно використовують онлайн-облікові дані або використовують подібні для зручності запам’ятовування.

Чому дані настільки вразливі? Зазвичай, через погані заходи безпеки. Незважаючи на загальне зростання витрат на кібербезпеку, багато компаній (а українські держструктури й поготів) нехтують необхідністю регулярно оновлювати та вдосконалювати свої бази даних, змінювати застарілу техніку, наймати кваліфікованих фахівців.

«Продають все: номери телефонів, емейли, паспортні дані… Це було й раніше, просто зараз інформацію можна купити в більшій кількості і не лише одного регіону, як було раніше, а кількох чи по всій Україні, – каже хакер Олексій (ім’я змінене), з яким вдалося поспілкуватися LB.ua. – Насправді це коштує досить дешево. Але працівники певних структур, що мають ці бази, спокушаються на ці гроші, бо зарплати в них – мізерні».

Він, каже, часто писав державним структурам про «дірки» в їхніх реєстрах, через які професійні програмісти можуть отримати доступ, але там не реагували.

«В Україні не звикли нормально оплачувати роботу, а наймають студентів, платять їм мінімалку і хочуть при цьому створити захищену базу. Або взагалі використовувати відкриті платформи. Зрозуміло, що цей код – недосконалий і всім доступний. Зламати його – взагалі не проблема», – зазначив він.

Аби замести сліди, каже Олексій, досить часто створюють телеграм-боти з відкритими даними, «пов’язуючи його з «хмарковими» сервісами де-небудь в Індії чи будь-якій іншій країні».

«Роблять переадресацію, щоб дані переходили з одного сервісу на інший, із захистом зв’язків між ними… Є також чимало обмінників, щоб заховати розрахунки. Може бути в біткоїнах, Perfect Money (електронна платіжна система, зареєстрована в Панамі – LB.ua) може перевести їх в «ефіри» (Ethereum, – LB.ua) чи «паєри» (Payeer, – LB.ua) і так далі. А «кінці» заховати десь в Росії. Хто буде зараз їхати з України туди, щоб розбиратися?», – припускає він.

Програміст Тарас (ім’я змінене) зазначає, що здебільшого на розробку програмного забезпечення чи баз даних для державних структур погоджуються фахівці нижчого рівня – «джуніори». «Мідли» чи «сініори» – мають чимало високооплачуваних пропозицій від комерційних компаній.

Зазвичай, працівник компанії, що працює над створенням певного програмного забезпечення, має доступ і до персональних даних осіб, котрі його використовують (чи використовуватимуть). Втім, у приватних компаніях вони підписують NDА (Non-disclosure Agreement) – угоду про нерозголошення – з чіткими і, як правило, жорсткими умовами виконання замовлення. А отже, несуть відповідальність у разі їх порушення.

Коронавірусна правда

Пандемія коронавірусу поставила під загрозу захист персональних даних, пов’язаних зі здоров’ям. Вони можуть підлягати обробці у випадках, коли ставлять під загрозу, зокрема, інтереси суспільства щодо охорони здоров’я, запобігання поширенню коронавірусної інфекції тощо. Зокрема, GDPR дозволяє це робити для наукових досліджень. Хоча лише після згоди людини. За можливості такі дані повинні бути анонімізовані та зберігатися визначений час під контролем і з відповідальністю тих, хто має до них доступ.

У свою чергу, в Україні парламент ухвалив зміни до Закону «Про захист населення від інфекційних хвороб» у середині квітня цього року, яким тимчасово (на період карантину та до 30 днів після його скасування) дозволяється обробка персональних даних громадян, які захворіли на COVID-19, без їхньої згоди.

Фото: facebook/Чернівецька обласна державна адміністрація

Зокрема, дозволяється обробка даних, що стосуються стану здоров’я, місця госпіталізації або самоізоляції, прізвища, ім’я, по батькові, дати народження, місця проживання, роботи (навчання)… «за умови використання таких даних виключно з метою здійснення протиепідемічних заходів».

Протягом 30 днів після закінчення карантину такі дані підлягають знеособленню, а у разі неможливості – знищенню.

Ці норми застосовуються і для використання мобільного додатку «Дій вдома» для моніторингу дотримання самоізоляції або обсервації тими громадянами, що прибули з-за кордону, з підтвердженням або підозрою на COVID-19.

Станом на початок травня цього року, цим додатком скористалися понад 32 тисячі фізичних осіб, повідомляє Міністерство цифрової трансформації.

За словами експерта проєкту «Європейський Союз та Рада Європа працюють разом для посилення спроможності Омбудсмана у захисті прав людини» Олега Заярного, міністерство повинно було затвердити окремий порядок обробки персональних даних у додатку «Дій вдома», попередньо погодивши його з Уповноваженим. Крім того, залишається відкритим питання, що буде з персональними даними тих, хто користувався додатком, після оприлюднення офіційного рішення про скасування карантину. Оскільки у вищезазначеному законі йдеться, що дані можуть бути або знищені, або знеособлені.

На думку Ірини Кушнір, навіть в умовах протидії поширенню коронавірусу важливо, щоб оприлюднені дані хворих в сукупності не призводили до можливості їх ідентифікації.

«Є окремі дані, оприлюднивши які принаймні вузьке коло осіб ідентифікує людину. Якщо повідомляють, до прикладу, що в Дарницькому районі захворіло стільки-то людей, то ідентифікації не відбулося. У цьому районі проживає чимало людей. Втім, якщо говорять про маленьке містечко, де називають конкретну адресу та ще й дату народження чи професію, то його мешканці дізнаються, про кого йде мова», – пояснює вона, зазначаючи, що в такому випадку йдеться про поширення персональних даних.

На її думку, аби дотримувалися принаймні чинного законодавства щодо захисту персональних даних, потрібно притягувати до відповідальності тих, хто його порушує.

«Інакше не буде забезпечено стримувального ефекту. Усі знатимуть, що дані можуть розголосити чи продати, і ніхто не понесе відповідальності», – додає вона.

Скупа судова практика

Українським законодавством передбачена різна відповідальність за порушення прав людини на захист персональних даних. Зокрема:

- адміністративна (якщо відбувся незаконний доступ до даних, можливий штраф у розмірі від 1 700 до 8 500 грн; якщо це відбулося з вини посадової особи, - штраф від 5 100 до 17 000 грн);

- дисциплінарна (догана чи звільнення щодо працівника, який допустив таке порушення);

- цивільно-правова (особа, чиї права на захист персональних даних були порушені, може звернутись із вимогою або позовом до суду про відшкодування їй майнової та/або моральної шкоди, завданої порушенням);

- кримінальна (за ст. 182 Кримінального кодексу (порушення недоторканності приватного життя), але мова йде лише про умисні дії):

• штраф від 8 500 грн до 17 000 грн, або

• виправні роботи на строк до 2 років, або

• арешт на строк до 6 місяців, або

• обмеження волі на строк до 3 років (в окремих випадках на строк від 3 до 5 років), або

• в окремих випадках позбавлення волі від 3 до 5 років.

Хоча LB.ua не вдалося знайти судові рішення, де когось оштрафували би на значну суму чи арештували за порушення права на захист персональних даних. Здебільшого йдеться про усунення порушення.

Так, у лютому минулого року Верховний Суд побачив порушення прав чиновниці Чопської міськради на захист персональних даних. У березні 2015 року її фото було опубліковано в одній із місцевих газет «з особою чоловічої статі» без її дозволу. Суд підтвердив рішення першої інстанції, яким визнав, що публікація цього фото стосується особистого життя чиновниці і не несе жодної ролі для суспільства, а отже, не могла бути опублікована без її згоди.

Фото: Макс Требухов

У березні цього року Верховний Суд скасував рішення попередніх інстанцій і відправив на новий розгляд справу щодо відеоспостереження. Зокрема, позивач скаржився на те, що його сусід добудував прибудову до свого будинку і встановив чотири камери, дві з яких направлені в бік його ділянки, що є порушення права на приватне життя. Нижчі інстанції прийняли рішення, вказавши, що позивач не надав достатніх доказів. Втім, касація побачила порушення під час розгляду цієї справи і відправила її на новий розгляд.

Львівський окружний адмінсуд у січні минулого року визнав порушенням прав позивача і зобов’язав Міністерство внутрішніх справ видалити з баз даних інформацію про повідомлення йому три роки до того про підозру у кримінальному правопорушенні, оскільки інший суд закрив це провадження.

Суд визнав, що після закриття справи зберігання цієї інформації є втручанням в його право на повагу до приватного життя, що не відповідає критерію «згідно із законом».

Єдиний реєстр судових рішень містить також чимало скарг до омбудсмана щодо неналежного розгляду заяви про порушення прав людини. Так, одна з них стосувалася публікації Анатолієм Матіосом на його сторінці в Facebook запиту на доступ до публічної інформації, що містив персональні дані позивача. Суд залишив заяву без руху, даючи позивачу можливість виправити допущені помилки в скарзі. 

За підсумками минулого року Офіс омбудсмана повідомив про передачу Вищою школою адвокатури Національної асоціації адвокатів України персональних даних (прізвища, імена, номери телефонів, електронні адреси, IP-адреси, регіон, дата та час входу, а також за наявності посади, назви компаній, профілі facebook та фото) адвокатів, помічників адвокатів, стажистів адвокатів, а також інших осіб без їх відома та однозначної згоди.

Під час перевірки встановив, що Вища школа адвокатури НААУ фактично здійснює обробку персональних даних користувачів онлайн-курсів в електронному вигляді за допомогою онлайн-платформи www.antitreningi.ru, хостинг якої фізично знаходиться на території Російської Федерації, а безпосередня реєстрація користувачів та оплата послуг здійснюється через онлайн-форму, хостинг якої знаходиться на території Німеччини.

У лютому цього року Подільський райсуд Києва закрив це провадження, не побачивши в діях Вищої школи адвокатури складу адмінправопорушення. Зокрема, посилаючись на позицію відповідача, що представники омбудсмана не аналізували програмний код сайту, а тому не довели самого факту передачі даних чи то російській, чи німецькій компанії.

Фото: fainaidea.com

І знову – Конституція

За словами Ірини Кушнір, в парламенті створена робоча група з напрацювання змін до Конституції та Закону «Про захист персональних даних» для створення окремого органу із захисту даних.

«Щоб цей орган діяв незалежно, його треба вивести з-під контролю виконавчої гілки влади, щоб він міг перевіряти, надавати приписи, штрафувати тощо. А це потребує внесення змін до Конституції», – зазначила вона.

Цю інформацію підтвердив LB.ua і співголова робочої групи, депутат фракції «Слуга народу» Тарас Тарасенко.

«Наразі юридична спільнота дискутує, чи потрібні зміни до Конституції, чи достатньо внести зміни підзаконними актами... Втім, більшість схиляється до думки, що для створення окремого органу для повноцінного захисту персональних даних, все таки потрібні зміни до Конституції. Щоб цей орган міг проводити розслідування, накладати штрафи тощо», – зазначив Тарасенко.

За його словами, паралельно робоча група напрацьовує нову редакцію Закону «Про захист персональних даних», враховуючи європейський GDPR. І планує через півтора-два тижні презентувати проєкт змін.

Його колега по цій групі, депутат від «Слуги народу» Єгор Чернєв, зазначає, що поки невідомо, чи в Україні буде працювати такий персональний чи колегіальний орган. «Розглядаються різні варіанти: можливо, це буде Інформаційний комісар чи комісія, чи комітет… Є різна практика Європейського Союзу», – додав він.

А тим часом експерти радять:

  1. не передавати свої дані без відповідного запиту;
  2. не давати доступ до даних неперевіреним джерелам;
  3. читати політику конфіденційності сайту чи компанії перед тим як передавати дані;
  4. cтворювати надійні паролі і змінювати їх час від часу.

І найголовніше – цікавитися своїми правами для захисту персональних даних та у разі необхідності захищати їх.

Вікторія МатолаВікторія Матола, журналістка
Читайте головні новини LB.ua в соціальних мережах Facebook, Twitter і Telegram