Захист персональних даних: що потрібно знати
24.12.2020
У сучасному світі цифрові технології поступово проникають в усі сфери життя людини. Діджиталізація державних та приватних послуг передбачає збір персональних даних. Проблема в тому, що, коли людина передає будь-які відомості про себе, здебільшого вона навіть не здогадується, що з ними відбувається далі, які є ризики та як уберегтися від неправомірних дій.
Щоб мінімізувати загрози, важливо розібратися в основних поняттях, дізнатися про свої права та обов’язки тих, хто збирає інформацію.
Що таке персональні дані?
У Законі України “Про захист персональних даних” визначено, що персональні дані – це відомості про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована.
Є помилкове уявлення, що йдеться тільки про паспорт, ідентифікаційний код або номер телефону. Насправді це стосується будь-якої інформації про людину, яка відбиває її фізичну, генетичну, економічну, соціальну або культурну ідентичність.
Законодавець розділяє персональні дані на дві категорії: загальні та особливі (чутливі).
Наприклад, до загальної категорії можна зарахувати: прізвище, ім’я, місце народження, сімейний стан, дані, записані в посвідченні водія, дані про майно, банківські дані, підпис, адресу місця проживання, IP-адреси та ін. Цей перелік не вичерпний.
Особлива категорія охоплює інформацію про: расове, етнічне походження, політичні, релігійні, світоглядні переконання, членство в політичних партіях та професійних спілках, засудження до кримінального покарання, а також біометричні, генетичні дані та дані, що стосуються здоров’я або статевого життя.
Ті, хто збирає інформацію, мають забезпечити відповідний рівень її захисту, бо розголошення чутливої інформації може становити особливий ризик для людини. Також важливо знати, що персональні дані можуть бути виражені у формі:
-фото (зображення людини);
-цифр (ідентифікаційний код, номер телефону);
-відео або звуку (голосу).
Хто збирає персональні дані?
Сьогодні практично не існує організацій чи установ, які б не збирали персональних даних. Єдине, що їх відрізняє, – мета та вид інформації, яку вони обробляють.
Наприклад, магазинам переважно потрібні електронні адреси та номери телефонів для просування продуктів. Інтернет-компанії збирають поведінкові дані людини: які сайти відвідує, що шукає, дивиться тощо, щоб у результаті отримати цифровий продукт, на основі якого формується реклама, політична агітація тощо.
Банки, медичні, страхові, туристичні та інші сервіси взагалі не можуть вести свою діяльність без персональних даних. Найширший спектр інформації про людину збирає держава.
Які є загрози витоку даних?
Персональні дані можуть зберігатися на папері, в інформаційних системах або інших носіях. Це означає, що загрози для витоку персональних даних виникають не лише в разі кібератак. Але з огляду на те, що сьогодні практично вся інформація в державному та приватному секторі оцифровується, ризик злому систем значно вищий. Також проблема витоку може бути пов’язана не із зовнішніми факторами, адже часто працівники самі розповсюджують дані.
Нещодавно Служба безпеки України повідомила, що заблокувала несанкціонований збут відомостей з інформаційних систем Державної податкової та митної служб. Посадовці спільно з банківськими працівниками організували схему та торгували даними про фінансово-господарські операції підприємців. Наразі ще не невідомі реальні наслідки цієї неправомірної діяльності як для окремої особи, так і суспільства загалом. Але ця історія демонструє, що в державних структурах існує цілий бізнес із продажу баз даних. Сподіваємося, що, коли завершиться досудове розслідування, громадськість дізнається про масштаб проблеми.
Останнім часом дедалі частіше в ЗМІ розповідають про випадки, коли шахраї, отримавши доступ до паспортних та інших даних, оформлюють без відома людини кредити, переоформлюють рухоме або нерухоме майно.
Ще одна серед популярних тем у контексті захисту інформації – це розвиток місцевої інфраструктури систем відеоспостереження. Отримавши доступ до програм, протягом невеликого проміжку часу можна сформувати повне досьє людини: де вона, коли, з ким, де буває, на якому автомобілі пересувається тощо. Є випадок, коли після мирних зібрань проти незаконного забудовника за допомогою відеоматеріалів з міських систем знаходили та переслідували активістів.
Уже нікого не дивують дзвінки або повідомлення рекламного змісту від невідомої компанії. Існує обмін даними між компаніями для збільшення бази клієнтів, покращення алгоритмів роботи, аналізу вподобань, рекламного таргетингу тощо.
У соціальних мережах люди часто скаржаться на інциденти поширення інформації про здоров’я людини. Наприклад, у заповненому коридорі адміністратор уголос нагадує лікарям про візит пацієнтів, називаючи ім’я та діагноз. Існує також практика передання чутливої інформації на неправильну електронну адресу, реклама медичних процедур на прикладі конкретних пацієнтів або обмін даними з іншими суб’єктами без відома пацієнтів тощо.
Таких ситуацій безліч, і всі вони є грубим порушенням національного та міжнародного законодавства.
У цьому контексті важливо розуміти одне: є велика кількість суб’єктів, які збирають персональні дані, і якщо вони не будуть належно захищені, то можуть опинитися в руках зловмисників. Далі сценарії бувають різні: від використання задля маркетингу до цькування, переслідування людини або заволодіння її власністю.
У чому причини витоку даних в Україні?
Причини насамперед у низькій правосвідомості суспільства в цій сфері, недосконалому законодавстві, відсутності належного контролю з боку держави та недостатніх санкціях щодо порушників.
Наприклад, якщо за порушення права на приватність резидентів Європейського Союзу сума штрафу може становити десятки мільйонів євро, то максимальний штраф за порушення персональних даних українців – 17 000 гривень. Хоча проблема навіть не так у санкціях, як у тому, що порушники поки що не бачать своїх репутаційних ризиків. Адже в більшості країн світу захист даних стає новим критерієм довіри, який турбує людей нарівні з якістю наданих послуг.
Як захистити себе від витоку?
Наразі існує проблема розуміння основ інформаційного законодавства. Щоб уникнути негативного досвіду, потрібно для початку подолати переконання, що тема захисту персональних даних нудна, складна та не “про мене”.
Далі розібратися з базовими поняттями щодо цифрових прав, щоб максимально взяти під контроль потік особистої інформації. Зокрема, сприймати персональні дані як свою власність та не боятися ставити питання про їхнє оброблення. У статті 8 закону про захист даних зазначено, що кожен має право на доступ до своїх даних та знати про:
-мету, порядок, джерело збору та місце перебування своїх даних;
-механізм оброблення;
-хто має доступ та порядок передання інформації третім особам;
-умови захисту;
-термін зберігання, порядок видалення та ін.
Отримати цю інформацію можна, надіславши відповідний запит. Також законом передбачене право людини висувати вмотивовану вимогу із запереченням проти оброблення, зміни або знищення своїх даних. Наприклад, якщо вони збираються або поширюються незаконно. Будь-які протиправні дії з персональними даними можна оскаржити, звернувшись до Уповноваженого Верховної Ради України з прав людини або до суду.
Як можна вплинути на ситуацію?
Держава не регулює належним чином цієї сфери, тож контроль з боку суспільства – важливий елемент стримування використання персональних даних на шкоду людям. Громадянське суспільство та ЗМІ відіграють ключову роль як рупор щодо права людини на приватність. Що більше буде повідомлень про реальні порушення та ризики, то швидше сформується запит суспільства розібратися в цих питаннях, щоб захисти себе.
Адже, з одного боку, ми хочемо жити в суспільстві, у якому гарантовано захист персональних даних, а з іншого, стаючи свідками порушення права людини на приватність, не бажаємо про це говорити, залишаючи проблему латентною.
Наша приватність – це те, що робить нас особистостями, які можуть самостійно робити свій вибір та ухвалювати рішення. Культура приватності – це розуміння всього спектра вразливості людини в інформаційному середовищі та забезпечення їй належного захисту.
Уляна Шадська, юристка, експертка Експертного центру з прав людини у сфері медіаправа