Скандал с утечкой данных водительских удостоверений через Telegram-бота прогремел на всю Украину. Подозрения изначально пали на приложение государственных услуг ДЯ, но причастность приложения к этому инциденту быстро опровергли. Вопросы из серии кто и как слил данные доверим государству в лице украинской полиции, СБУ и компьютерно-технических экспертов, но вот вопрос соответствия нашего законодательства о защите персональных данных реалиям диджитал эпохи рассмотрел автор публикации Вячеслав Устименко, консультант юридической компании Icon Partners.
Украина стремится в ЕС, и это подразумевает принятие европейских стандартов защиты персональных данных.
Давайте смоделируем кейс и представим, что некоммерческая организация из ЕС допустила утечку такого же объема данных водительских удостоверений и этот факт установили местные правоохранительные органы.
В ЕС, в отличие от Украины, действует регламент по защите персональных данных GDPR.
Утечка свидетельствует о нарушениях принципов описанных в:
Статье 25 GDPR Защита персональных данных проектируемая и по умолчанию;
Статье 32 GDPR. Безопасность обработки;
Статье 5 п.1.f GDPR. Принцип целостности и конфиденциальности;
В ЕС штрафы за нарушение GDPR рассчитываются индивидуально, на практике оштрафовали бы на 200,000+ евро.
Что стоит изменить в Украине
Практика полученная в процессе сопровождения IT и онлайн бизнеса как в Украине, так и за пределами, показала проблемы и достижения GDPR.
Ниже шесть изменений которые стоит внедрить в Украинское законодательство.
#Адаптировать законодательную базу под диджитал эпоху
С момента подписания Соглашения об ассоциации с ЕС в Украине разрабатывается новое законодательство по защите данных, а GDPR стал путеводной звездой.
Принять закон о защите персональных данных оказалось не так просто. Вроде бы есть скелет в виде регламента GDPR и нужно лишь нарастить мясо (приспособить нормы), но возникает много спорных моментов, как с точки зрения практики, так и закона.
Например:
- будут ли считаться персональными открытые данные,
- будет ли закон распространяться на правоохранительные органы,
- какая ответственность за нарушение закона, будет ли размер штрафов сопоставим с европейскими и др.
Ключевой момент нужно адаптировать законодательство, а не копировать GDPR. В Украине пока много нерешенных проблем, которые не присущи странам ЕС.
#Унифицировать терминологию
Определить что является персональными данными, конфиденциальной информацией. Конституция Украины, статья 32, запрещает обрабатывать конфиденциальную информацию. Определение конфиденциальной информации содержится минимум в двадцати Законах.
Цитаты с первоисточника на украинском языке тут
- вдомост про нацональнсть, освту, смейний стан, релгйн
переконання, стан здоровя, адреса, дата та мсце народження (ч.2 ст.
11 Закону Украни Про нформацю);
вдомост про мсце проживання (ч.8 ст. 6 Закону Украни Про свободу пересування та вльний вибр проживання в Укран); - вдомост про особисте життя громадян, одержан з звернень громадян (ст.10 Закону Украни Про звернення громадян);
- вдомост про особисте життя громадян, одержан з звернень громадян (ст.10 Закону Украни Про звернення громадян);
- первинн дан, отриман в процес проведення Перепису населення (ст. 16 Закону Украни Про Всеукранський перепис населення);
- вдомост, що подаються заявником на визнання бженцем або особою, яка потребу додаткового захисту (ч.10 ст. 7 Закону Украни Про бженцв та осб, як потребують додаткового або тимчасового захисту);
- нформаця про пенсйн внески, пенсйн виплати та нвестицйний прибуток (збиток), що облковуться на ндивдуальному пенсйному рахунку учасника пенсйного фонду, пенсйн депозитн рахунки фзичних осб, договори страхування довчно пенс (ч.3 ст. 53 Закону Украни Про недержавне пенсйне страхування);
- нформаця про стан пенсйних активв, облкованих на накопичувальному пенсйному рахунку застраховано особи (ч.1 ст. 98 Закону Украни Про загальнообов'язкове державне пенсйне страхування);
- вдомост щодо предмета договору на виконання науково-дослдних або дослдно-конструкторських та технологчних робт, хд х виконання та результати (ст. 895 Цивльного кодексу Украни)
- нформаця яка може сприяти дентифкац особи неповнолтнього правопорушника або яка стосуться факту самогубства неповнолтнього (ч. 3 ст. 62 Закону Украни Про телебачення та радомовлення);
- нформаця про померлого (ст. 7 Закону Украни Про поховання та
похоронну справу);
вдомост про оплату прац працвника (ст. 31 Закону Украни Про оплату прац Вдомост про оплату прац надаються лише у випадках передбачених законодавством, або за згодою чи на вимогу працвника); - заявки та матерали на видачу патентв ( ст.19 Закону Украни Про охорону прав на винаходи корисн модел);
- вдомост, що мстяться в текстах судових ршень та дають можливсть дентифкувати фзичну особу, зокрема: мена (м'я, по батьков, прзвище) фзичних осб; мсце проживання або перебування фзичних осб з зазначенням адреси, номерв телефонв чи нших засобв звязку, адреси електронно пошти, дентифкацйних номерв (коди); рестрацйн номери транспортних засобв (ст. 7 Закону Украни Про доступ до судових ршень).
- дан про особу взяту пд захист у кримнальному судочинств ( ст. 15 Закону Украни Про забезпечення безпеки осб, як беруть участь у кримнальному судочинств);
- матерали заявки фзично чи юридично особи на рестрацю сорту рослин, результати експертизи сорту рослин (ст. 23 Закону Украни Про охорону прав на сорти рослин);
- дан про працвника суду або правоохоронного органу, взятого пд захист (ст. 10 Закону Украни Про державний захист працвникв суду правоохоронних органв);
- сукупнсть вдомостей про фзичних осб як постраждали вд насильства (персональн дан), що мстяться в Рестр, нформацю з обмеженим доступом. (ч.10 ст.16 Закону Украни Про запобгання та протидю домашньому насильству");
- нформаця, що стосуться митно вартост товарв, що перемщаються через митний кордон Украни (ч.1 ст. 263 Митного кодексу Украни);
- нформаця, що мститься в заяв про державну рестрацю лкарського засобу та додатка до них (ч.8 ст. 9 Закону Украни Про лкарськ засоби);
#Уйти от оценочных понятий
В GDPR много оценочных понятий. Оценочные понятия в стране без прецедентного права (имеется в виду Украина) скорее пространство для ухода от ответственности, чем польза для населения и страны в целом.
#Ввести понятие DPO
Data protection officer (DPO) независимый эксперт по защите данных. В законодательстве необходимо четко и без оценочных понятий регламентировать необходимость обязательного назначения эксперта на должность DPO. Как делают в Евросоюзе написано тут.
#Определить уровень ответственности за нарушение в сфере персональных данных, дифференцировать штрафы в зависимости от размера (прибыли) компании.
- 34 тысячи гривен
Культуры защиты персональных данных в Украине до сих пор нет, действующий Закон О защите персональных данных говорит что нарушение влечет за собой ответственность, установленную законом. Штраф по админ кодексу за незаконный доступ к персональным данным и за нарушение прав субъектов до 34,000 грн. - 20 миллионов евро
Штраф за нарушение GDPR самый большой в мире до 20,000,000 евро, или до 4% от общего годового оборота компании за предыдущий финансовый год. Первый штраф в 50 миллионов евро за нарушения конфиденциальности данных, касающихся граждан Франции, получил Google.
- 114 миллионов евро
GDPR в мае праздновал 2-х летие и собрал 114 миллионов евро штрафов. Под прицелом у регуляторов чаще компании-гиганты с миллионами пользовательских данных.
Гостиничной сети Marriott International и авиакомпании British Airways в этом году грозят многомиллионные штрафы за допущенные утечки данных, которые, по предварительным данным, опередят Google в бою за самые высокие штрафы. Регуляторы Великобритании предупредили, что планируют наказать их на общую сумму примерно в 366 миллионов долларов.
Штрафы с шестью нулями выписываются глобальным компаниям, услугами которых пользуемся каждый день. Однако, это не говорит о том, что небольшие малознакомые компании не подпадают под наказания.
Австрийская почтовая компания получила штраф в размере 18 миллионов евро за создание и продажу профилей 3 миллионов человек, в которых содержалась информация об адресах, личных предпочтениях и политической принадлежности.
Платежный сервис в Литве не удалил персональные данные клиентов, когда нужда в обработке отпала и получил штраф 61,000 евро.
Некоммерческая организация в Бельгии проводила прямую маркетинговую рассылку на электронную почту даже после того, как получатели отказался от получения рассылки, и получила штраф 1000 евро.
1000 евро ничто по сравнению ущербом репутации.
#Не в штрафах щастье
Кто захочет узнать про меня инфу, и так узнает, несмотря на закон так говорят в Украине и странах СНГ, к сожалению, многие.
А вот в заблуждение насчет украдут фото паспорта и возьмут кредит на мое имя верит все меньше людей, ведь даже с оригиналом чужого паспорта в руках юридически это сделать нереально.
Люди делятся на 2 лагеря:
- параноики которые верят в религию персональных данных, думают прежде чем поставить галочку и дать согласие на обработку данных.
- те кому плевать, или люди которые на автомате сливают свои
персональные данные в сеть, не задумывается о последствиях. А потом
у них карточки кредитные воруют, подписывают на рекуррентные
платежи, уводят аккаунты в мессенджерах, почты взламывают или
снимают с кошелька криптовалюту.
Свобода и демократия
Защита персональных данных это о свободе выбора человека, культуре общества и демократии. Обществом легче управлять имея больше данных, можно предсказывать выбор человека, подтолкнуть к нужному действию. Человеку сложно поступать как он хочет если за ним следят, человек становится удобным, как следствие управляемым, то есть человек подсознательно делает не так как хочет сам, а так как его убедили делать.
GDPR не идеальный, но главную идею и цель в ЕС выполняет европейцы осознали, что независимый человек самостоятельно владеет и управляет своими персональными данными.
Украина только в начале пути, почва готовится. От государства жители получат новый текст закона, скорее всего независимый регуляторный орган, но прийти к современным европейским ценностям и пониманию того, что демократия в 2020 году должна быть и в диджитал пространстве, украинцы должны сами.
P.S. Пишу в соц. сетях про юриспруденцию и IT бизнес. Мне будет приятно, если подпишитесь на один из моих акаунтов. Это, безусловно, добавит мотивации развивать профиль и работать над контентом.
