Кров ХХІ століття: Що таке персональні дані і як ви можете їх захистити
14.04.2021Нажаль, в Україні навіть сьогодні у багатьох політиків і топ-чиновників часто досить примарне розуміння як власне персональних даних, так і діючих принципів їх збереження та обробки. Це наглядно продемонстрували, наприклад, журналісти Схем, котрі виявили як один із діючих нардепів намагався заборонити обробляти свої персональні дані прикордонникам.
Саме тому ми в ГО «Електронна республіка» підготували своєрідний чек-лист для громадян із відповідями доступною мовою на основні питання щодо обробки та захисту персональних даних в Україні.
Що таке персональні дані. Персональні дані – це відомості чи їх сукупність, за допомогою яких можна ідентифікувати фізичну особу. Варто підкреслити, що закон під обробкою персональних даних розуміє практично будь-яку дію з ними (збирання, накопичення, адаптація, передача, розповсюдження і навіть їх знищення).
Для справки: 28 січня виповнилось 40 років від дня відкриття для підписання документу-основи регулювання сфери захисту персональних даних – Конвенції Ради Європи «Про захист осіб у зв'язку з автоматизованою обробкою персональних даних». Саме тому уже 14 років саме цього дня Європа відзначає Міжнародний день захисту персональних даних.
Наскільки захищені персональні дані в Україні. Погано. В питанні захисту персональних даних ми сьогодні в тій точці відліку, коли варто говорити в принципі про захищеність будь-яких даних – як банківських, даних про місце проживання, стан здоров’я і так далі. Великі витоки персональних даних та торгівля ними в мережі (через той же UA Baza Bot) тільки підтверджують цю думку. Більше того, професійна спільнота уже не перший рік намагається розібратися, хто в Україні несе відповідальність за обробку персональних даних громадян і за витік такої інформації та який державний орган регулює роботу з персональними даними українців.
Коли і які ваші дані можуть обробляти без вашого дозволу. Обробляти персональні дані без згоди можна лише у випадках, якщо така обробка є необхідною для захисту життєво важливих інтересів людини, чиї дані обробляються. Також без згоди людини не можна обробляти персональну інформацію крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини. Тобто, бізнес апріорі повинен мати згоду на обробку даних від людини.
Як дані не можна обробляти без вашої однозначної згоди. Без однозначної згоди людини не можна обробляти дані про расове або етнічне походження, переконання, членство в партіях чи профспілках, засудження до кримінального покарання, а також дані про здоров’я, статеве життя, біометричні або генетичні дані.
Але і тут є винятки. Зокрема, такі дані можна обробляти, якщо це обов’язок володільця у сфері трудових правовідносин; якщо обробка необхідна для захисту життєво важливих інтересів особи у разі її недієздатності чи обмеження дієздатності; якщо обробка необхідна для обґрунтування, задоволення або захисту правової вимоги; якщо обробка необхідна в цілях охорони здоров’я, встановлення діагнозу, для забезпечення лікування чи функціонування електронної системи охорони здоров’я (якщо дані обробляє медпрацівник). Також, за умови відповідного захисту, такі чутливі дані як релігійні чи політпереконання можуть обробляти власне відповідні релігійні організації, політичні партії чи профспілки. З обмовкою: ці організації можуть обробляти персональні дані виключно членів цих об'єднань, а персональні дані не передаються третій особі без згоди суб’єкта.
Також заборона обробки без однозначної згоди не працює, якщо людина явно оприлюднила ці дані самостійно.
Чому ваші персональні дані витікають. Ходять чутки, що витоки персональних даних громадян – це справа рук злісних хакерів, які зламують бази даних і потім торгують ними. Частково так і є, але насправді набагато більша проблема – чиновники, відповідальні за збереження цих даних з мізерними зарплатами та такими ж мізерними компетенціями. Будь-хто з операторів, що обробляють ці персональні дані, може вивантажити ці дані собі на флеш-накопичувач і продати на чорному ринку за умовну тисяч доларів, чи просто розшерити папку з даними на всю глобальну мережу, де їх уже знайдуть ті, хто зможе цими даними скористатися у власних цілях.
Що робити, якщо ваші персональні дані використовуються незаконно. Якщо ви виявили незаконне використання своїх персональних даних, перший крок – звернутися безпосередньо до того, хто ці дані обробляє. Подайте письмовий запит такій особі. Ви маєте права вимагати від неї отримання інформації про мету і підстави обробки ваших даних, дізнатися про третіх осіб, яким ваші дані могли передаватися, отримати зміст зібраних про вас даних та заперечити проти обробки таких даних. При цьому, обов’язково зафіксуйте сам запит (скріншот листування електронною поштою, записуйте розмови тощо) – це може знадобитися в подальшому. Особа, до якої ви звернулися, має надати вам відповідь на запит протягом 30 календарних днів.
Якщо на запит вам не відповіли чи порушення продовжуються, варто звернутися до Уповноваженого із прав людини з доказами, які підтверджують, що ваші вимоги були проігноровані.
Що може Уповноважений з прав людини. До 2014 року контроль за додержанням законодавства про захист персональних даних здійснювався органами прокуратури. З 1 січня 2014 цю функцію передали Уповноваженому Верховної Ради України з прав людини. Уповноважений збирає та розглядає звернення з питань захисту персональних даних, може проводити виїзні та безвиїзні, планові, позапланові перевірки володільців або розпорядників персональних даних. видавати обов'язкові для виконання вимоги (приписи), складати протоколи про притягнення до адміністративної відповідальності та направляти їх до суду. Детальніше з функціями уповноваженого можна ознайомитися тут.
Пам’ятайте також, що дрібних проблем не буває: ваші персональні дані мають бути захищені, навіть якщо вам спамить студія лазерної епіляції, ваш банк якось неправильно себе поводить, чи надзвонюють невідомі з погрозами за чужі кредити. Якщо ви вбачаєте в такій розсилці якісь певні шахрайські дії – можна поскаржитися ще й до кіберполіції.
Яке покарання для компаній за незаконну обробку персональних даних. Відповідальність за порушення законодавства у сфері захисту персональних даних прописана в Кодексі України про адміністративні правопорушення та Кримінальному кодексі України.
Згідно з Кодексом про адміністративні правопорушення недодержання порядку захисту персональних даних, що призвело до незаконного доступу до них або порушення прав суб’єкта персональних даних, тягне за собою штраф для відповідальної особи чи громадянина-субєкта підприємницької діяльності в розмірі від трьохсот до однієї тисячі неоподатковуваних мінімумів доходів громадян. Неоподатковуваний мінімум доходів громадян, нагадаю, в Україні дорівнює 17 гривням. Якщо протягом року посадовець чи СПД повторить таке порушення, його чекатиме штраф від однієї до двох тисяч нмдг.
Крім цього в КУпАП передбачено відповідальність за неповідомлення, несвоєчасне повідомлення Уповноваженого про обробку персональних даних (або про зміну відомостей) повідомлення неповних чи недостовірних відомостей – від двохсот до чотирьохсот неоподатковуваних мінімумів доходів для посадових осіб та громадян, які є суб’єктами підприємницької діяльності. За невиконання приписів Уповноваженого чи співробітників його секретаріату посадові особи і громадяни-СПД можуть отримати штраф від 300 до 1000 нмдг. Повторне порушення протягом року, звісно, збільшує штрафи – від 500 до 2000 неоподатковуваних мінімумів доходів громадян. Невиконання законних вимог Уповноваженого чи його представників теж загрожує штрафом – від 1700 до 3400 гривень.
Кримінальний кодекс, звісно, більш жорсткий. У ньому передбачено відповідальність за порушення недоторканності приватного життя – за незаконний збір, зберігання, використання, знищення, зміну чи поширення конфіденційної інформації про особу. За це можна отримати штраф до 17 тисяч гривень, до двох років виправних робіт чи до трьох років обмеження волі. За повторний злочин покарання жорсткіше – до 6 місяців арешту, від 3 до 5 років обмеження чи позбавлення волі.
Чи можна отримати компенсацію за незаконне використання ваших персональних даних. Теоретично, суд – одна із інстанцій, де суб’єкт персональних даних може захистити свої права. Проте в Україні така практика, на жаль, майже не працює. Одна із причин – банальне небажання громадян втягуватися в довгі судові спори та, власне, байдуже ставлення до власних персональних даних і їх використання. На жаль принцип «та що вони там можуть знайти такого?» в українців досі активно працює. І це при тому, що дані в ХХІ столітті уже називають новою кров’ю.
Ми маємо формувати правову культуру, формувати попит на якісні зміни – в тому числі в питанні захисту персональних даних. І, як би це пафосно не звучало, все починається з вас: якщо ви самі не будете переживати за свої дані, ніхто не буде.
До даних, а, особливо, до персональних даних треба ставитися як до власних грошей. Якщо вас при покупці просять залишити свій номер телефону – ви можете цього не робити, але якщо «дуже-дуже» просять, бо «система інакше не працює», залишайте свій «чорновий» телефон, робіть помилку в номері тощо. Потрібно скорочувати кількість даних, які ви залишаєте про себе в мережі – чим менше даних ви самі залишаєте, тим менше шансів, що ними скористаються зловмисники.