Утечка данных в Украине. Параллели с законодательством ЕС

Скандал с утечкой данных водительских удостоверений через Telegram-бота прогремел на всю Украину. Подозрения изначально пали на приложение государственных услуг “ДІЯ”, но причастность приложения к этому инциденту быстро опровергли. Вопросы из серии “кто и как слил данные” доверим государству в лице украинской полиции, СБУ и компьютерно-технических экспертов, но вот вопрос соответствия нашего законодательства о защите персональных данных реалиям диджитал эпохи рассмотрел автор публикации Вячеслав Устименко, консультант юридической компании Icon Partners.

Украина стремится в ЕС, и это подразумевает принятие европейских стандартов защиты персональных данных.

Давайте смоделируем кейс и представим, что некоммерческая организация из ЕС допустила утечку такого же объема данных водительских удостоверений и этот факт установили местные правоохранительные органы.

В ЕС, в отличие от Украины, действует регламент по защите персональных данных – GDPR.

Утечка свидетельствует о нарушениях принципов описанных в:

• Статье 25 GDPR Защита персональных данных проектируемая и по умолчанию;
• Статье 32 GDPR. Безопасность обработки;
• Статье 5 п.1.f GDPR. Принцип целостности и конфиденциальности.

В ЕС штрафы за нарушение GDPR рассчитываются индивидуально, на практике – оштрафовали бы на 200,000+ евро.

Что стоит изменить в Украине

Практика полученная в процессе сопровождения IT и онлайн бизнеса как в Украине, так и за пределами, показала проблемы и достижения GDPR.

Ниже шесть изменений которые стоит внедрить в Украинское законодательство.

#Адаптировать законодательную базу под диджитал эпоху

С момента подписания Соглашения об ассоциации с ЕС в Украине разрабатывается новое законодательство по защите данных, а GDPR стал путеводной звездой.

Принять закон о защите персональных данных оказалось не так просто. Вроде бы есть “скелет” в виде регламента GDPR и нужно лишь нарастить “мясо” (приспособить нормы), но возникает много спорных моментов, как с точки зрения практики, так и закона.

Например:

• будут ли считаться персональными открытые данные,
• будет ли закон распространяться на правоохранительные органы,
• какая ответственность за нарушение закона, будет ли размер штрафов сопоставим с европейскими и др.

Ключевой момент – нужно адаптировать законодательство, а не копировать GDPR. В Украине пока много нерешенных проблем, которые не присущи странам ЕС.

#Унифицировать терминологию

Определить что является персональными данными, конфиденциальной информацией. Конституция Украины, статья 32, запрещает обрабатывать конфиденциальную информацию. Определение конфиденциальной информации содержится минимум в двадцати Законах.

Цитаты с первоисточника на украинском языке тут

• відомості про національність, освіту, сімейний стан, релігійні переконання, стан здоров’я, адреса, дата та місце народження (ч.2 ст. 11 Закону України «Про інформацію»);
• відомості про місце проживання (ч.8 ст. 6 Закону України «Про свободу пересування та вільний вибір проживання в Україні»);
• відомості про особисте життя громадян, одержані із звернень громадян (ст.10 Закону України «Про звернення громадян»);
• первинні дані, отримані в процесі проведення Перепису населення (ст. 16 Закону України «Про Всеукраїнський перепис населення»);
• відомості, що подаються заявником на визнання біженцем або особою, яка потребує додаткового захисту (ч.10 ст. 7 Закону України «Про біженців та осіб, які потребують додаткового або тимчасового захисту»);
• інформація про пенсійні внески, пенсійні виплати та інвестиційний прибуток (збиток), що обліковується на індивідуальному пенсійному рахунку учасника пенсійного фонду, пенсійні депозитні рахунки фізичних осіб, договори страхування довічної пенсії (ч.3 ст. 53 Закону України «Про недержавне пенсійне страхування»);
• інформація про стан пенсійних активів, облікованих на накопичувальному пенсійному рахунку застрахованої особи (ч.1 ст. 98 Закону України «Про загальнообов'язкове державне пенсійне страхування»);
• відомості щодо предмета договору на виконання науково-дослідних або дослідно-конструкторських та технологічних робіт, хід їх виконання та результати (ст. 895 Цивільного кодексу України)
• інформація яка може сприяти ідентифікації особи неповнолітнього правопорушника або яка стосується факту самогубства неповнолітнього (ч. 3 ст. 62 Закону України «Про телебачення та радіомовлення»);
• інформація про померлого (ст. 7 Закону України Про поховання та похоронну справу»);
  відомості про оплату праці працівника (ст. 31 Закону України «Про оплату праці» Відомості про оплату праці надаються лише у випадках передбачених законодавством, або за згодою чи на вимогу працівника);
• заявки та матеріали на видачу патентів ( ст.19 Закону України «Про охорону прав на винаходи і корисні моделі»);
• відомості, що містяться в текстах судових рішень та дають можливість ідентифікувати фізичну особу, зокрема: імена (ім'я, по батькові, прізвище) фізичних осіб; місце проживання або перебування фізичних осіб із зазначенням адреси, номерів телефонів чи інших засобів зв’язку, адреси електронної пошти, ідентифікаційних номерів (коди); реєстраційні номери транспортних засобів (ст. 7 Закону України «Про доступ до судових рішень»).
• дані про особу взяту під захист у кримінальному судочинстві ( ст. 15 Закону України «Про забезпечення безпеки осіб, які беруть участь у кримінальному судочинстві»);
• матеріали заявки фізичної чи юридичної особи на реєстрацію сорту рослин, результати експертизи сорту рослин (ст. 23 Закону України «Про охорону прав на сорти рослин»);
• дані про працівника суду або правоохоронного органу, взятого під захист (ст. 10 Закону України «Про державний захист працівників суду і правоохоронних органів»);
• сукупність відомостей про фізичних осіб які постраждали від насильства (персональні дані), що містяться в Реєстрі, є інформацією з обмеженим доступом. (ч.10 ст.16 Закону України «Про запобігання та протидію домашньому насильству");
• інформація, що стосується митної вартості товарів, що переміщаються через митний кордон України (ч.1 ст. 263 Митного кодексу України);
• інформація, що міститься в заяві про державну реєстрацію лікарського засобу та додатка до них (ч.8 ст. 9 Закону України «Про лікарські засоби»);

#Уйти от оценочных понятий

В GDPR много оценочных понятий. Оценочные понятия в стране без прецедентного права (имеется в виду Украина) – скорее пространство для “ухода от ответственности”, чем польза для населения и страны в целом.

#Ввести понятие DPO

Data protection officer (DPO) — независимый эксперт по защите данных. В законодательстве необходимо четко и без оценочных понятий регламентировать необходимость обязательного назначения эксперта на должность DPO. Как делают в Евросоюзе написано тут.

#Определить уровень ответственности за нарушение в сфере персональных данных, дифференцировать штрафы в зависимости от размера (прибыли) компании.

• 34 тысячи гривен
  
  Культуры защиты персональных данных в Украине до сих пор нет, действующий Закон «О защите персональных данных» говорит что “нарушение влечет за собой ответственность, установленную законом”. Штраф по админ кодексу за незаконный доступ к персональным данным и за нарушение прав субъектов до 34,000 грн.
• 20 миллионов евро
  
  Штраф за нарушение GDPR самый большой в мире – до 20,000,000 евро, или до 4% от общего годового оборота компании за предыдущий финансовый год. Первый штраф в 50 миллионов евро за нарушения конфиденциальности данных, касающихся граждан Франции, получил Google.
  
• 114 миллионов евро
  
  GDPR в мае праздновал 2-х летие и собрал 114 миллионов евро штрафов. Под прицелом у регуляторов чаще компании-гиганты с миллионами пользовательских данных.
  
  Гостиничной сети Marriott International и авиакомпании British Airways в этом году грозят многомиллионные штрафы за допущенные утечки данных, которые, по предварительным данным, опередят Google в бою за самые высокие штрафы. Регуляторы Великобритании предупредили, что планируют наказать их на общую сумму примерно в 366 миллионов долларов.
  
  Штрафы с шестью нулями выписываются глобальным компаниям, услугами которых пользуемся каждый день. Однако, это не говорит о том, что небольшие малознакомые компании не подпадают под наказания.
  
  Австрийская почтовая компания получила штраф в размере 18 миллионов евро за создание и продажу профилей 3 миллионов человек, в которых содержалась информация об адресах, личных предпочтениях и политической принадлежности.
  
  Платежный сервис в Литве не удалил персональные данные клиентов, когда нужда в обработке отпала и получил штраф 61,000 евро.
  
  Некоммерческая организация в Бельгии проводила прямую маркетинговую рассылку на электронную почту даже после того, как получатели отказался от получения рассылки, и получила штраф 1000 евро.
  
  1000 евро ничто по сравнению ущербом репутации.

#Не в штрафах щастье

“Кто захочет узнать про меня инфу, и так узнает, несмотря на закон” – так говорят в Украине и странах СНГ, к сожалению, многие.

А вот в заблуждение насчет “украдут фото паспорта и возьмут кредит на мое имя” верит все меньше людей, ведь даже с оригиналом чужого паспорта в руках юридически это сделать нереально.

Люди делятся на 2 лагеря:

• “параноики” которые верят в религию персональных данных, думают прежде чем поставить галочку и дать согласие на обработку данных.
• “те кому плевать”, или люди которые на автомате сливают свои персональные данные в сеть, не задумывается о последствиях. А потом у них карточки кредитные воруют, подписывают на рекуррентные платежи, уводят аккаунты в мессенджерах, почты взламывают или снимают с кошелька криптовалюту.
  

Свобода и демократия

Защита персональных данных – это о свободе выбора человека, культуре общества и демократии. Обществом легче управлять имея больше данных, можно предсказывать выбор человека, подтолкнуть к нужному действию. Человеку сложно поступать как он хочет если за ним следят, человек становится удобным, как следствие – управляемым, то есть человек подсознательно делает не так как хочет сам, а так как его убедили делать.

GDPR не идеальный, но главную идею и цель в ЕС выполняет – европейцы осознали, что независимый человек самостоятельно владеет и управляет своими персональными данными.

Украина только в начале пути, почва готовится. От государства жители получат новый текст закона, скорее всего независимый регуляторный орган, но прийти к современным европейским ценностям и пониманию того, что демократия в 2020 году должна быть и в диджитал пространстве, украинцы должны сами.

P.S. Пишу в соц. сетях про юриспруденцию и IT бизнес. Мне будет приятно, если подпишитесь на один из моих аккаунтов. Это, безусловно, добавит мотивации развивать профиль и работать над контентом.

Facebook
Instagram