Захист персональних даних: проблема, про яку говорять експерти - Українська Гельсінська спілка з прав людини
Повернутись назад

Захист персональних даних: проблема, про яку говорять експерти

Новина

Ініціатива УГСПЛ #експертиЗА була створена для обговорення різних проблем у сфері прав людини, пояснення громадськості суті явищ і пропонування варіантів вирішення проблемних ситуацій, які постали перед громадянським суспільством і державою у конкретний період.

Нове обговорення присвячене питанню захисту персональних даних і законодавчій ініціативі у цій сфері. Пропонуємо вашій увазі витримку із експертного обговорення.

Максим Петров: Як сьогодні можна охарактеризувати взагалі, що таке «система захисту персональних даних» в Україні?

Олександр Павліченко: Ми знаємо, що в Україні сьогодні є друге «завантаження» системи захисту персональних даних, і вона так само є невдалою і провальною. Тобто, не «злетіла» перша система, яка була підготовлена ще наприкінці 2010 року. Так само – переформатування і передача до офісу Уповноваженого Верховної Ради України з прав людини функції захисту персональних даних і намагання встановити належний інструмент захисту у вигляді Уповноваженого, який повинен здійснювати відповідні дії із захисту персональних даних. Ці кроки на сьогоднішній день так само виявляються очевидно недостатніми, і можна сказати, що це є проблемою.

Якщо ми говоримо про загальний ландшафт, як законодавчий, так і правозастосовний, то можна сказати, що Україна тільки виробляла інструментарій, який би справді ефективно захищав персональні дані, і намагалася ставити різні модельні експерименти, які би показували, наскільки яка система працює. Чи це буде державна система у вигляді органу, з захисту персональних даних? Коли всі обробники мають надіслати документи для реєстрації. І ми пам’ятаємо тони листів, які надходили. Для їх обробки потрібно було десятки років витратити, щоби внести в реєстри всіх учасників, які реєструвалися як суб’єкти обробки персональних даних.

Олександр Павліченко, виконавчий директор УГСПЛ

Ми пам’ятаємо, як відбувалася робота з опрацювання, з облікування цих документів, просто щоби вони не були знищені. А насправді це була абсолютно марна робота. Це були спроби встановлення ефективної системи контролю, як у вигляді Державної служби з захисту персональних даних (перша система), так і у вигляді інституту Уповноваженого (друга система). І тепер ми підходимо до того, що ж пропонується і що має бути?

Максим Петров: Ми обговорюємо, еволюцію розвитку сфери захисту персональних даних. В чому на даний момент є проблеми, чому знадобилося декілька спроб змінити ситуацію?

Олександр Павліченко: Передовсім є декілька аспектів цього питання. Перший і головний аспект – це, власне, розуміння, наскільки персональні дані в Україні захищені? Давайте дамо собі відверту відповідь, як захищаються персональні дані і наскільки автоматизована обробка в нас захищена відповідно до тих стандартів, які мають бути дотримані. Друге – це входження України в глобальний світ і той самий стандарт GDPR – це загальноєвропейський стандарт, який застосовується на рівні Європейського союзу, і це абсолютна вимога для всіх обробників персональних даних: забезпечити належний захист. І Україна, яка є європейською державою і має багато економічних, політичних і інших зв’язків з країнами Євросоюзу, так чи інакше повинна працювати в тому законодавчому полі, яке визначено цими стандартами.

Необхідність дотримуватися вимог GDPR є стимулом для того самому бізнесу, для всіх, хто встановлює ділові стосунки із західними партнерами. І відповідно, західним партнерам так само треба розуміти, в яке поле вони входять і як може дотримуватися законодавство про захист персональних даних на цьому полі.

В нас є наші національні проблеми і виклики, які штовхають до чіткого визначення: як закріплено захист персональних даних і наскільки реально можна очікувати, що вся процедура відбувається з дотриманням норм, стандартів, і, відповідно, є можливість в разі порушення цього права на захист персональних даних, захиститися. Оце все вимагає конкретизації і врегулювання передовсім на законодавчому рівні, а також створення моделі, яка би працювала і була більш ефективною, ніж попередні.

Віта Володовська: Власне, якщо говорити про проблеми, то можна їх розкласти на рівні суб’єктів, які задіяні взагалі у цих відносинах. І коли ми почнемо говорити про суб’єктів персональних даних, тобто про нас із вами, чиї дані обробляються, то тут очевидно в нас є проблема. Перше – грамотність у сфері цифрових прав, цифрової або медіаграмотності. Багато хто з громадян сьогодні не розуміє цінності персональних даних: те, як вони можуть використовуватися потім на шкоду нам. Ми не знаємо насправді, хто і як збирає ці персональні дані, як їх використовує?

Друге – ми не маємо механізмів захисту своїх прав. Ц не тільки через незнання. А і через те, що їх нема у законодавстві – ефективних – захистити своє право навіть тоді, коли ми розуміємо, що воно порушується. Кількість звернень, які надходять до омбудсмена показує, що таких порушень насправді багато. От, наприклад, в минулому році багато таких порушень було у зв’язку з колекторською діяльністю. І захиститися механізмів ефективних на сьогодні немає.

Віта Володовська, керівниця юридичного відділу громадської організації “Лабораторія цифрової безпеки”

Далі, якщо ми перейдемо на рівень уже зараз за новим проектом контролерів, тобто тих, хто обробляє персональні дані. У них теж є певна проблема, тому що законодавство, яке є на сьогодні –сформульовано нечітко, і їм важко зрозуміти правила гри. Навіть якщо суб’єкт хоче захистити персональні дані – не факт, що, виходячи з того законодавства, яке є, він зможе зрозуміти, які конкретні дії і що йому потрібно з цим робити.

Тому тут має бути просвітницька робота не лише з громадянами, суб’єктами персональних даних, а і, власне, дуже серйозна робота з компаніями і державними органами. Про те, як вони мають працювати з персональними даними, захищати їх.

І є третій рівень: це, власне, держава, і тут треба вести розмову про наявність контролера, державного контролюючого органу, який може якраз створювати ефективні механізми для захисту, реагувати у випадку порушень. Це мав би бути той орган, який може здійснювати і просвітницьку роботу. Оскільки саме він мав би бути найбільш компетентним у питаннях захисту персональних даних.

Але на сьогодні у нас фактично на усіх цих трьох ланках є провисання. І коли ми аналізували і будемо далі аналізувати цей законопроєкт (проєкт Закону України «Про захист персональних даних» №5628 –прим.авт.), то, на мою думку, дуже важливо звертати увагу на те, чи вирішуємо ми перелічені вище проблеми цим законопроєктом.

Максим Петров: якщо переводити на мову побуту, теперішні проблеми з захистом персональних даних в чому проявляються для повсякденного життя?

Віта Володовська: Насправді дуже складно, коли ми говоримо про права людини: тобто є якісь такі порушення, які легше виміряти. З персональними даними складніше, тому що ми з цим стикаємося постійно, і це більше створює якийсь дискомфорт, от як у випадку з колекторською діяльністю. Люди відчувають реальний тиск на них, погрози, коли їхні персональні дані передаються колекторам, які починають телефонувати, не тільки їм, а й родичам, друзям, і поширювати інформацію про вас. Ця ситуація очевидна, і тому так багато порушень.

В інших випадках, наприклад, коли ми заповнюємо картки якісь в магазинах (картки лояльності, для того щоб отримувати бонуси і знижки) – нам здається, що тут нічого такого, ми ж за це теж ніби щось отримуємо. Але насправді в контексті можливих потенційних наступних наслідків потім ми можемо отримувати якісь повідомлення про спам, які до нас починають надходити. Нам незручно, але ми не думаємо про те, що це може бути порушення нашого права.

Якщо ми вийдемо на рівень, наприклад, тих же соціальних мереж, особливо під час виборів чи обговорення якихось інших гострих соціальних питань, то наші персональні дані починають використовуватися для того, щоб маніпулювати нашою думкою. То по суті для нас, за нас, будуть формувати той інформаційний простір, який буде сприятливий для когось. І коли ми будемо гортати свою новинну стрічку і зустрічати там якісь повідомлення, ми не усвідомлюємо про те, що чому ми саме бачимо ці повідомлення.

В Україні немає таких досліджень, але насправді такі дослідження проводилися в США, особливо після скандалу з Кембридж Аналітик. В одному з них демонструють, як політтехнологи тестують одне й те саме повідомлення, просто загорнуте в різні «упаковки», на різні категорії людей, для того щоб зрозуміти, як і де воно краще «заходить».

Нам здається, ніби це не впливає. Але тільки через те, що ми цього зараз не відчуваємо, не означає, що ми маємо так легко ставитися до своїх персональних даних, тому що технології розвиваються, і, випустивши ці персональні дані, назад ти їх уже не повернеш. І тому те, як вони можуть бути використані у майбутньому, спрогнозувати сьогодні важко, але тенденції не дуже хороші.

Євген Захаров: Я згадую, що десь 22 роки тому, коли я задумав ввести в ужиток слово «приватність», як переклад англійського «privacy», якого не було – я тоді радився з  деякими своїми старшими знайомими. Євген Сверстюк мені тоді написав, що він це цілком підтримує, бо поляки так само зробили. Написав що «privacy» польською – це «prywatność», і сказав, що у нас це проблема, бо у суспільній свідомості це «мозоль».

Я думаю, що цей «мозоль» лишився з того 1999 року і до сьогодні і суттєвих змін на краще в цьому сенсі не сталося. В нас немає розуміння того, що таке персональні дані в суспільстві у основної маси людей, нема поваги до персональних даних. Нема такої поваги, власне кажучи, в бізнесі; нема такої поваги у держави, у нас – можу навести купу прикладів у всіх сферах: це і продаж  (CD)  бази податкових номерів. Вже ввели відповідальність, дають суми нереальні за це, але це можна піти і придбати. Можу пригадати і зливи паролів до банківських карт, і знання всіма, хто працює з великими масивами споживачів і їхніх персональних даних. Коли ти відкриєш номер ідентифікаційний, в той же день прийде запрошення відкрити рахунок саме в певному банку. Тобто вже буде відомо в тому банку, що в тебе такий номер, і тебе будуть запрошувати. Не кажу вже про рекламу, настійливі пропозиції щось придбати і так далі.

Євген Захаров, Голова правління УГСПЛ

Ну, і відомо, що такі гіганти, як Facebook, Google, інші – вони уважно слідкують за нашими транзакціями в інтернеті і прогнозують, чого ми захочемо, і пропонують нам те саме, чого ми маємо бажати, за їхніми урахуваннями. Тобто насправді на сьогодні навіть поза державою персональні дані абсолютно не захищені. Фактично в нашій країні. Та й в інших країнах також. Сьогодні щось втаємничити із приватного життя дуже важко. Особливо публічній особі.

Якщо говорити про державу, то вона не дбає про захист персональних даних, і про це свідчать скандали, які вже виникали з додатком «Дія». Йдеться про підписи людей під петиціями, які жодним чином не могли їх підписувати: скажімо, президент Сполучених Штатів Америки в одній петиції з’явився. Я вже не кажу про роботу органів розслідування, у яких насправді серйозних обмежень щодо персональних даних у відповідних галузевих законах майже немає. І вони на це не звертають ніякої уваги, вони з цим обходяться як вважають за потрібне.

Нарешті слід сказати про те, що фактично в Україні створений єдиний універсальний код – податковий номер, який ми всі маємо, за яким збирається вся інформація всіма органами, і немає ніяких перепон в тому, щоб мати досьє на людину, а вона про це нічого і знати не буде.

Отже, я б сказав, що ситуація з повагою до персональних даних і всіх записів в Україні геть погана, і звідси випливає два висновки: перший – що ніякий (як би добре не був зроблений) закон насправді персональні дані захистити не зможе. За великим рахунком, для того щоб він це зробив, треба приборкати ту стихію ставлення до персональних даних, яка сьогодні існує – приборкати і ввести в якесь русло, бо сьогодні цього нема абсолютно, а закон сам по собі цього не зробить. Навіть сумлінна практика такого доброго закону це також не зробить. Відповідно, закон все ж таки треба робити безперечно добрим, але він має містити в собі абсолютно чіткі механізми, які зрозуміло як застосовувати, щоби це було всім зрозуміло: і користувачам закону, і його виконавцям; як це працює; як це буде працювати і якщо це буде працювати.

Ті ідеї, які є в законопроєкті, на кшталт дуже великих штрафів – не буде працювати. Абсолютно. Тут має бути дещо інше.

А друге – не менш ніж гарний закон, значно навіть більше цього має значення велика інформаційна кампанія захисту персональних даних для того, щоб було краще розуміння тих речей і щоб виховувати повагу до «privacy» загалом, до персональних даних, оскільки – я закінчу тим, з чого почав – що тут у нас була і залишилася «мозоль» у суспільному середовищі.

Олександр Павліченко: Ще одна небезпека, про яку ми сьогодні маємо зазначити – намагання держави створити надмірні бази персональних даних. Це те, до чого, власне, рухається кожна авторитарна, автократична держава, якій зручно мати все під контролем і отак, як, скажімо, Російська Федерація чи Білорусь на сьогоднішній день використовують персональні дані для того, щоби швидко і, на їхню думку, ефективно боротися з тими, хто не погоджується з їхніми режимами. Відповідно, це становить величезну загрозу для будь-якого демократичного суспільства.

В Україні такі намагання, прагнення відбувалися і продовжують відбуватися: або очно, коли йдеться про ухвалення окремих законопроєктів щодо створення великих баз даних. Або ж через окремі ініціативи, коли намагаються створити або поєднати бази даних, які потім у нас фактично підв’язуються під ідентифікатори, які дозволяють встановити дуже багато інформації про особу без того, щоб ця особа знала, що така інформація про неї є в розпорядженні дуже різних державних структур. І це є великою небезпекою.

Це має стати так само об’єктом і регулювання, і контролю з боку суспільства, для того щоб з цим не було зловживань.

Матеріал підготовлено за підтримки Європейського Союзу та Міжнародного Фонду «Відродження» в рамках спільної ініціативи «EU4USociety». Матеріал відображає позицію авторів і не обов’язково відображає позицію Міжнародного фонду «Відродження» та Європейського Союзу».