Україна, входячи в європейську сім'ю, починає цінувати приватність і персональні дані своїх громадян. Втім, і самі українці все більше замислюються про це. Нас дратує спам в електронній пошті і нав'язливі рекламні дзвінки. Чим швидше розвивається світ навколо, тим більше хочеться уникнути втручання в своє особисте життя ззовні. І якщо на початку розвитку люди ідентифікували один одного по іменах, то через кілька років в біометричні паспорти будуть внесені дані про відбитки пальців і рогівку ока. І на цьому наука з технікою не зупиняються. Триває обговорення можливості створення бази ДНК всіх людей планети.
Та повернемося з далекого майбутнього в сьогодення. Інформацію про кожного з нас збирають всюди: починаючи від поліклінік і магазинів взуття, і закінчуючи соцмережами в Інтернеті. Ми почали підписувати угоди на обробку наших персональних даних, не замислюючись про те, до яких наслідків це може призвести. Про те, як захистити інформацію про себе, ForUm вирішив запитати у голови Державної служби України з питань захисту персональних даних Олексія Мервінского.
- Який перелік інформації входить в поняття «персональних даних»?
- Це будь-які відомості чи сукупність відомостей про приватну особу, яка ідентифікована або може бути конкретно ідентифікована. У країнах Євросоюзу при цьому ще додають «будь-яким можливим чином». Це може бути фото, відеозйомка, відбиток пальця, рогівка ока і багато іншого, що дає можливість ідентифікувати конкретну людину, а також окремі відомості, які в разі зіставлення їх з деякими іншими відомостями також дозволяють її ідентифікувати, такі як номер телефону, номер банківської картки, адресу в мережі Інтернет і т.п.
Наприклад, я вимовляю три категорії персональних даних: жінка, юрист, 50 років. Чи можуть ці названі категорії в сукупності конкретно ідентифікувати певну фізичну особу? Відповідь - можуть, але за певних ситуацій. Якщо я скажу це на загальних зборах Державної служби захисту персональних даних, то всі присутні зрозуміють, що я говорю про конкретну посадову особу Служби. Але якщо я скажу ці слова просто так, у приватній розмові, то це жодним чином не буде конкретно ідентифікувати ніяку фізичну особу.
Це така досить тонка грань... все залежить від того, до яких наслідків призвів або може призвести збір і некоректна обробка цих даних. Досі у жодній європейській країні немає затвердженого фіксованого переліку інформації, яку можна і варто відносити до категорії персональних даних.
Крім того, технології, за допомогою яких обробляються наші з вами персональні дані, так швидко змінюються, що перелік персональних даних, які обробляються в автоматизованій (інформаційній) системі, необхідно буде постійно доповнювати: логіни, паролі, авторизація, ідентифікація, аутентифікація, адреса електронної пошти і багато іншого, що дає можливість ідентифікувати конкретну особистість.
- Інформація, яка публікується мною в Інтернеті і в соціальних мережах, входить до цієї категорії?
- Так. Адже інформація не тільки публікується, в Інтернеті відомості легко шукаються, легко зіставляються з іншими відомостями, і легко можуть використовуватися. Крім того, все, що записується в громадських місцях на стаціонарно встановлені відеокамери, це теж наші з вами персональні дані. Адже ми не тільки не знаємо, де і коли нас знімали, а навіть не попереджені про те, що в цьому місці ведеться відеозйомка. Інше важливе у цьому контексті питання: з якою метою ведеться відеозйомка, кому ці камери належать і до кого можна звернутися для реалізації прав, якими володіє кожен громадянин відповідно до Закону «Про захист персональних даних»? Нами вивчений європейський досвід врегулювання цього питання, і це стане предметом окремого розгляду.
Наприклад, у Великобританії є окремий документ, який регулює правила і порядок встановлення камер у приміщеннях пабів. І цим документом заборонено встановлювати камери так, щоб вони охоплювали входи в заклади загального користування, тому що за кількістю відвідувань відвідувачем цього закладу можна зробити нехай непрямий, але висновок про його стан здоров'я, а це безпосередньо пов'язано з питаннями кредитування та іншими речами, які мають конкретне грошове вираження. Саме ця категорія персональних даних і належить до категорії «чутливих».
А що стосується Глобальної мережі - вона вже отримала свою відповідну назву як «цифрова тінь людини» або «цифровий слід»: все те, що один раз, нехай навіть у ранньому віці, було розміщено, вже практично ніколи неможливо буде повністю прибрати з усіх наявних ресурсів Глобальної мережі.
- Для чого потрібен Державний реєстр баз персональних даних?
- Закон (про захист персональних даних. - Ред.), на відміну від інших законодавчих актів, що регламентують інформаційні відносини, дає чіткі і зрозумілі права кожній людині для реалізації конституційного права на невтручання в сімейне і приватне життя.
У загальному вигляді: кожній людині дані права знати, вимагати, виправляти і захищати свої права. Щоб ці права реалізовувати, має бути інструмент, який дасть нам можливість знати, які бази персональних даних та у яких організаціях будь-якої форми власності є.
Саме для цього Державною службою ведеться Державний реєстр баз персональних даних, зайшовши на веб-ресурс якого кожна людина може отримати відомості про базу персональних даних, що цікавить її, а також про власника бази, і надалі продовжувати реалізовувати свої права: направити відповідний запит за встановленою формою, отримати в установлений строк відповідь, вимагати видалити дані, які зібрані з порушенням, дані, які є недостовірними, дані, які порочать людину, і багато іншого, передбачене Законом.
На даний момент Державний реєстр баз персональних даних вже містить понад 40 тисяч записів про зареєстровані бази персональних даних.
- Комерційні структури також проходять реєстрацію в Держреєстрі?
- Всі власники персональних даних повинні пройти процедуру державної реєстрації. У новій редакції закону зроблено виняток лише для релігійних організацій, професійних об'єднань, громадських об'єднань і для баз даних, сформованих для реалізації трудових відносин. Користуючись нагодою, хочу підкреслити, що законодавством України передбачена відповідальність за ухилення від реєстрації, а не за відсутність свідоцтва про реєстрацію відповідної бази персональних даних.
При цьому факт наявності такого свідоцтва можуть перевіряти виключно представники уповноваженого державного органу з питань захисту персональних даних. А фактом, який підтверджує відправку заяви, може бути поштова квитанція про відправку і навіть другий примірник заяви на реєстрацію бази персональних даних. Інше питання, що Державна служба, в штаті якої передбачено 9 реєстраторів, а в наявності 6, фізично не встигає зареєструвати більше 2 мільйонів заяв, які вже отримані, а також вносити зміни в ті бази, які вже зареєстровані.
На мій погляд, найголовніше полягає в тому, що більшість власників наших з Вами персональних даних усвідомили сам факт того, що обробляють такі дані і добровільно взяли на себе зобов'язання відповідним чином їх захищати, що письмово або з використанням цифрового електронного підпису документально підтвердили при оформленні заяви на реєстрацію відповідної бази персональних даних.
- Як можна захистити свої персональні дані, щоб уникнути небажаного витоку?
- Перш за все, необхідно самому дбайливо ставитися до своїх власних даних, які нас ідентифікують. І щоразу, коли нас просять залишити номер телефону або іншу інформацію про нас, не соромитися запитувати, навіщо, з якою метою, відповідно до якого пункту і якого законодавчого акту, передбачено це законодавчо чи я повинен дати на це окрему згоду, і так далі відповідно до тих прав, які нами отримані.
За аналогією: найпростіше насварити людину, яка по телефону пропонує якісь свої послуги, і скинути дзвінок. Зовсім інша реакція буде, якщо ви приділите 2-3 хвилини і спокійно попередите людину, яка телефонує вам, про те, що вона грубо порушує Закон України «Про захист персональних даних», і в разі повторного дзвінка ви будете змушені застосувати заходи правового захисту. Вже дворічний досвід такої практики свідчить про те, що таких «небажаних» дзвінків стає менше. Продовжують дзвонити тим, хто лається.
Це дійсно проблема, але вирішувати її необхідно спільними зусиллями. Тому давайте кожен буде дбайливо ставитися до своїх персональних даних. Щоразу, коли вам пропонують підписати угоду, приділіть трохи часу, щоб вивчити і зрозуміти, що саме вам пропонують підписати і на яких умовах, а найголовніше - чи відповідає це законодавству в сфері захисту персональних даних. Практика показує, що якщо нам пропонують підписати згоду на обробку наших даних, то це неспроста.
Таким чином, ми спільними зусиллями формуємо суспільне ставлення і повагу, насамперед, до себе самого. А відповідальність за порушення в сфері захисту персональних даних прописана також чітко: це адміністративна та кримінальна відповідальність.
- А як можна захистити свої права в разі незаконного використання цих даних?
- У кожного з нас є законом визначене право негайно вимагати вилучення даних, які були зібрані з порушенням закону, виправляти ті дані, які не відповідають дійсності, знищувати дані, які ганьблять нашу честь, гідність та ділову репутацію. Єдина умова, яка пред'являється для реалізації цих прав, - вимога має бути обґрунтованою. Це єдиний закон («Про захист персональних даних». - Ред.), який надав таку можливість.
Порушення у сфері захисту персональних даних також законодавчо чітко прописані. 7 лютого рішенням суду було винесено перше судове рішення, де конкретна посадова особа була оштрафована на 3400 грн за порушення в сфері персональних даних за результатами перевірки, яку проводили співробітники Державної служби України з питань захисту персональних даних.
- Ці норми (про вилучення і виправленні даних) поширюються на Інтернет?
- Так, на сьогоднішній день у нас, на жаль, небагато прикладів, коли власникам інтернет-ресурсів вдалося довести, що вони чинять неправильно, розміщуючи як приклад відскановані копії паспортів громадян, які погано виконували свою роботу. Після відповідного роз'яснення з боку Служби власники таких сайтів зрозуміли, що, виконуючи, на їхню думку, суспільно значиму упереджувальну роботу, вони порушували законодавство у сфері захисту персональних даних, тому негайно видалили такі дані зі своїх сторінок.
Складність полягає в тому, що Службі, на жаль, в більшості випадків важко знайти фактичного власника подібних ресурсів, тому що вони не є резидентами України, або з інших причин, що не залежать від Служби.
У тому числі для вирішення подібних проблем за ініціативою Служби підписані Меморандуми про співпрацю з уповноваженими органами у питаннях захисту персональних даних інших країн. Хочу підкреслити, що в цьому питанні необхідно привертати увагу громадськості. Як приклад: Всеукраїнська асоціація захисту персональних даних в ініціативному порядку провела громадський моніторинг українських веб-ресурсів на предмет виконання однієї-єдиної європейської вимоги - забезпечення прозорості та відкритості обробки наших з вами персональних даних при відвідуванні їхніх інтернет-ресурсів.
Звичайно ж, заслуговує на увагу унікальна методика, яку вони розробили з цією метою. Але найбільше вражають висновки, зроблені громадськістю за результатами цього моніторингу: «значна частина (3/4) вітчизняних веб-ресурсів не забезпечує відкритість та прозорість обробки персональних даних, ігноруючи при цьому вимоги ратифікованої Україною Конвенції про захист осіб у зв'язку з автоматизованою обробкою їхніх персональних даних та вимоги Закону «Про захист персональних даних».
Кожен читач може самостійно ознайомитися з матеріалами такого дослідження, проведеного не держслужбовцями, а громадськістю, і самостійно зробити відповідні висновки, перш за все, для самого себе і для визначення своєї поведінки в інтернет-середовищі.
- Які позитивні моменти несе для українців Закон про захист персональних даних?
- На відміну від усіх попередніх законів, у Законі «Про захист персональних даних» є стаття 8, яка чітко позначає і надає кожній людині права. Цього немає ні в Законі України «Про інформацію», ні в Законі «Про захист інформації в інформаційно-телекомунікаційних системах». Крім того, в новій редакції Закону перелік таких прав доповнений правом відкликати раніше дану згоду на обробку персональних даних, знати механізми автоматизованої обробки персональних даних, а також правом на захист від автоматизованого рішення, яке має правові наслідки.
- В Україні планується запровадження біометричних паспортів. Це вже зараз стало дискусійною темою. Чи планується створення захисту цієї величезної бази даних?
- Безумовно. В Україні є закон, який чітко регулює питання захисту інформації, у тому числі персональних даних, які обробляються в інформаційно-телекомунікаційних системах. Це компетенція уповноваженого державного органу. Всі ці питання врегульовані на рівні законодавства.
На замітку. У лютому 2013 року Всеукраїнська громадська організація «Українська асоціація захисту персональних даних» провела перше дослідження в рамках моніторингу відкритості та прозорості обробки персональних даних в Інтернеті. Моніторингом вручну займалися 3 фахівців. Вони досліджували новинні ресурси та сайти, що надають популярні послуги (наприклад, продаж чайників). У результаті цього з'ясувалося, що близько третини власників веб-ресурсів надають своїм користувачам мінімальні відомості про власника їхніх персональних даних. Мова йде про найменування юридичної особи, яка є відповідальною за отриману інформацію. Саме ця юрособа за законодавством відповідає за право користувача на невтручання в сімейне і приватне життя.
Тетяна Григор'єва,
Спасибі за Вашу активність, Ваше питання буде розглянуто модераторами найближчим часом
