Украина, входя в европейскую семью, начинает ценить приватность и персональные данные своих граждан. Впрочем, и сами украинцы все больше задумываются об этом. Нас раздражает спам в электронной почте и навязчивые рекламные звонки. Чем быстрее развивается мир вокруг, тем больше хочется избежать вмешательства в свою личную жизнь извне. И если в начале развития люди идентифицировали друг друга по именам, то через несколько лет в биометрические паспорта будут внесены данные об отпечатках пальцев и роговице глаза. И на этом наука с техникой не останавливаются. Продолжается обсуждение возможности создания базы ДНК всех людей планеты.
Но вернемся из далекого будущего в настоящее. Информацию о каждом из нас собирают повсюду: начиная от поликлиник и магазинов обуви и заканчивая соцсетями в Интернете. Мы начали подписывать соглашения на обработку наших персональных данных, не задумываясь о том, к каким последствиям это может привести. О том, как защитить информацию о себе, ForUm решил спросить у председателя Государственной службы Украины по вопросам защиты персональных данных Алексея Мервинского.
– Какой перечень информации входит в понятие «персональных данных»?
– Это любые сведения или совокупность сведений о частном лице, которое идентифицировано или может быть конкретно идентифицировано. В странах Евросоюза при этом еще добавляют «любым возможным образом». Это может быть фото, видеосъемка, отпечаток пальца, роговица глаза и многое другое, что дает возможность идентифицировать конкретного человека, а также отдельные сведения, которые в случае сопоставления их с кое-какими другими сведениями также позволяют его идентифицировать, такие как номер телефона, номер банковской карточки, адрес в сети Интернет и т.п.
К примеру: я произношу три категории персональных данных: женщина, юрист, 50 лет. Могут ли эти названные категории в совокупности конкретно идентифицировать определенное физическое лицо? Ответ – могут, но при определенных ситуациях. Если я скажу это на общем собрании Государственной службы защиты персональных данных, то все присутствующие поймут, что я говорю о конкретном должностном лице Службы. Но если я скажу эти слова просто так, в частном разговоре, то это никоим образом не будет конкретно идентифицировать никакое физическое лицо.
Это такая достаточно тонкая грань… все зависит от того, к каким последствиям привел или может привести сбор и некорректная обработка этих данных. До сих пор ни в одной европейской стране нет утвержденного фиксированного перечня информации, которую можно и следует относить к категории персональных данных.
Кроме того, технологии, с помощью которых обрабатываются наши с вами персональные данные, так быстро меняются, что перечень персональных данных, обрабатываемых в автоматизированной (информационной) системе, необходимо будет постоянно дополнять: логины, пароли, авторизация, идентификация, аутентификация, адрес электронной почты и многое другое, что дает возможность идентифицировать конкретную личность.
– Информация, которая публикуется мной в Интернете и в социальных сетях, входит в эту категорию?
– Да. Ведь информация не только публикуется, в Интернете сведения легко ищутся, легко сопоставляются с другими сведениями, и легко могут использоваться. Кроме того, все, что записывается в общественных местах на стационарно установленные видеокамеры, это тоже наши с вами персональные данные. Мы ведь не только не знаем, где и когда нас снимали, а даже не предупреждены о том, что в этом месте ведется видеосъемка. Другой важный в этом контексте вопрос: с какой целью ведется видеосъемка, кому эти камеры принадлежат и к кому можно обратиться для реализации прав, которыми обладает каждый гражданин в соответствии с Законом «О защите персональных данных»? Нами изучен европейский опыт урегулирования этого вопроса, и это станет предметом отдельного рассмотрения.
Для примера: в Великобритании есть отдельный документ, который регулирует правила и порядок установки камер в помещениях пабов. И этим документом запрещено устанавливать камеры так, чтобы они охватывали входы в заведения общего пользования, потому что по количеству посещений посетителем этого заведения можно сделать пусть косвенный, но вывод о его состоянии здоровья, а это напрямую связано с вопросами кредитования и другими вещами, которые имеют конкретное денежное выражение. Именно эта категория персональных данных и относится к категории «чувствительных».
А что касается Глобальной сети – оно уже получило свое соответствующее название как «цифровая тень человека» или «цифровой след»: все то, что один раз, пусть даже в раннем возрасте, было размещено, уже практически никогда невозможно будет полностью убрать со всех имеющихся ресурсов Глобальной сети.
– Для чего нужен Государственный реестр баз персональных данных?
– Закон (о защите персональных данных. – Ред.), в отличие от других законодательных актов, которые регламентируют информационные отношения, дает четкие и понятные права каждому человеку для реализации конституционного права на невмешательство в семейную и частную жизнь.
В общем виде: каждому человеку даны права знать, требовать, исправлять и защищать свои права. Чтобы эти права реализовывать, должен быть инструмент, который даст нам возможность знать, какие базы персональных данных и в каких организациях любой формы собственности имеются.
Именно для этого Государственной службой ведется Государственный реестр баз персональных данных, зайдя на веб-ресурс которого каждый человек может получить сведения об интересующей его базе персональных данных, а также о владельце базы, и в дальнейшем продолжать реализовывать свои права: направить соответствующий запрос по установленной форме, получить в установленный срок ответ, требовать удалить данные, которые собраны с нарушением, данные, которые являются недостоверными, данные, которые порочат человека, и многое другое, предусмотренное Законом.
На данный момент Государственный реестр баз персональных данных уже содержит свыше 40 тысяч записей о зарегистрированных базах персональных данных.
– Коммерческие структуры тоже проходят регистрацию в Госреестре?
– Все владельцы персональных данных должны пройти процедуру государственной регистрации. В новой редакции закона сделано исключение только для религиозных организаций, профессиональных объединений, общественных объединений и для баз данных, сформированных для реализации трудовых отношений. Пользуясь случаем, хочу подчеркнуть, что законодательством Украины предусмотрена ответственность за уклонение от регистрации, а не за отсутствие свидетельства о регистрации соответствующей базы персональных данных.
При этом факт наличия такого свидетельства могут проверять исключительно представители уполномоченного государственного органа по вопросам защиты персональных данных. А фактом, который подтверждает отправку заявления, может быть почтовая квитанция об отправке и даже второй экземпляр заявления на регистрацию базы персональных данных. Другой вопрос, что Государственная служба, в штате которой предусмотрено 9 регистраторов, а в наличии 6, физически не успевает зарегистрировать более 2 миллионов заявлений, которые уже получены, а также вносить изменения в те базы, которые уже зарегистрированы.
На мой взгляд, самое главное состоит в том, что большинство владельцев наших с Вами персональных данных осознали сам факт того, что обрабатывают такие данные и добровольно взяли на себя обязательство соответствующим образом их защищать, что письменно или с использованием цифровой электронной подписи документально подтвердили при оформлении заявления на регистрацию соответствующей базы персональных данных.
– Как можно защитить свои персональные данные, чтобы избежать нежелательной утечки?
– Прежде всего, необходимо самому бережно относиться к своим собственным данным, которые нас идентифицируют. И каждый раз, когда нас просят оставить номер телефона или другую информацию о нас, не стесняться спрашивать, зачем, с какой целью, в соответствии с каким пунктом и какого законодательного акта, предусмотрено это законодательно или я должен дать на это отдельное согласие, и так далее в соответствии с теми правами, которые нами получены.
По аналогии – проще всего отругать человека, который по телефону предлагает какие-то свои услуги, и сбросить звонок. Совсем другая реакция будет, если вы уделите 2-3 минуты и спокойно предупредите звонившего вам человека о том, что он грубо нарушает Закон Украины «О защите персональных данных», и в случае повторного звонка вы будете вынуждены применить меры правовой защиты. Уже двухлетний опыт такой практики свидетельствует о том, что таких «нежелательных» звонков становится меньше. Продолжают звонить тем, кто ругается.
Это действительно проблема, но решать ее необходимо совместными усилиями. Поэтому давайте каждый будет бережно относиться к своим персональным данным. Всякий раз, когда вам предлагают подписать соглашение, уделите немножко времени, чтобы изучить и понять, что именно вам предлагают подписать и на каких условиях, а самое главное – соответствует ли это законодательству в сфере защиты персональных данных. Практика показывает, что если нам предлагают подписать согласие на обработку наших данных, то это неспроста.
Таким образом, мы общими усилиями формируем общественное отношение и уважение, прежде всего, к себе самому. А ответственность за нарушение в сфере защиты персональных данных прописана также четко: это административная и уголовная ответственность.
– А как можно защитить свои права в случае незаконного использования этих данных?
– У каждого из нас есть законом определенное право немедленно требовать изъятия данных, которые были собраны с нарушением закона, исправлять те данные, которые не соответствуют действительности, уничтожать данные, которые позорят нашу честь, достоинство и деловую репутацию. Единственное условие, которое предъявляется для реализации этих прав, – требование должно быть обоснованным. Это единственный закон («О защите персональных данных». – Ред.), который предоставил такую возможность.
Нарушения в сфере защиты персональных данных также законодательно четко прописаны. 7 февраля решением суда было вынесено первое судебное решение, где конкретное должностное лицо было оштрафовано на 3400 грн за нарушение в сфере персональных данных по результатам проверки, которую проводили сотрудники Государственной службы Украины по вопросам защиты персональных данных.
– Эти нормы (об изъятии и исправлении данных) распространяются на Интернет?
– Да. На сегодняшний день у нас, к сожалению, немного примеров, когда собственникам интернет-ресурсов удалось доказать, что они поступают неправильно, размещая в качестве примера отсканированные копии паспортов граждан, которые плохо выполняли свою работу. После соответствующего разъяснения со стороны Службы владельцы таких сайтов поняли, что, выполняя, по их мнению, общественно значимую упреждающую работу, они нарушали законодательство в сфере защиты персональных данных, поэтому немедленно удалили такие данные со своих страниц.
Сложность состоит в том, что Службе, к сожалению, в большинстве случаев трудно найти фактического владельца подобных ресурсов, потому что они не являются резидентами Украины, или по другим, не зависящим от Службы причинам.
В том числе и для решения подобных проблем по инициативе Службы подписаны Меморандумы о сотрудничестве с уполномоченными органами в вопросах защиты персональных данных других стран. Хочу подчеркнуть, что в этом вопросе необходимо привлекать внимание общественности. В качестве примера: Всеукраинская ассоциация защиты персональных данных в инициативном порядке провела общественный мониторинг украинских веб-ресурсов на предмет выполнения одного-единственного европейского требования – обеспечения прозрачности и открытости обработки наших с вами персональных данных при посещении их интернет-ресурсов.
Конечно же, заслуживает внимания уникальная методика, которую они разработали с этой целью. Но больше всего поражают выводы, сделанные общественностью по результатам этого мониторинга: «значительная часть (3/4) отечественных веб-ресурсов не обеспечивает открытость и прозрачность обработки персональных данных, игнорируя при этом требования ратифицированной Украиной Конвенции о защите лиц в связи с автоматизированной обработкой их персональных данных и требования Закона «О защите персональных данных»».
Каждый читатель может самостоятельно ознакомиться с материалами такого исследования, проведенного не госслужащими, а общественностью, и самостоятельно сделать соответствующие выводы, прежде всего, для самого себя и для определения своего поведения в интернет-среде.
– Какие положительные моменты несет для украинцев Закон о защите персональных данных?
– В отличие от всех предыдущих законов, в Законе «О защите персональных данных» есть статья 8, которая четко обозначает и предоставляет каждому человеку права. Этого нет ни в Законе Украины «Об информации», ни в Законе «О защите информации в информационно-телекоммуникационных системах». Кроме того, в новой редакции Закона перечень таких прав дополнен правом отзывать ранее данное согласие на обработку персональных данных, знать механизмы автоматизированной обработки персональных данных, а также правом на защиту от автоматизированного решения, которое имеет правовые последствия.
– В Украине планируется введение биометрических паспортов. Это уже сейчас стало дискуссионной темой. Планируется ли создание защиты этой огромнейшей базы данных?
– Безусловно. В Украине есть закон, который четко регулирует вопросы защиты информации, в том числе персональных данных, которые обрабатываются в информационно-телекоммуникационных системах. Это компетенция уполномоченного государственного органа. Все эти вопросы урегулированы на уровне законодательства.
На заметку. В феврале 2013 года Всеукраинская общественная организация «Украинская ассоциация защиты персональных данных» провела первое исследование в рамках мониторинга открытости и прозрачности обработки персональных данных в Интернете. Мониторингом вручную занимались 3 специалиста. Они исследовали новостные ресурсы и сайты, оказывающие популярные услуги (например, продажу чайников). В результате этого выяснилось, что около трети владельцев веб-ресурсов предоставляют своим пользователям минимальные ведомости о владельце их персональных данных. Речь идет о наименовании юридического лица, которое является ответственным за полученную информацию. Именно это юрлицо по законодательству отвечает за право пользователя на невмешательство в семейную и частную жизнь.
Спасибі за Вашу активність, Ваше питання буде розглянуто модераторами найближчим часом