Хто знає про вас усе?

Будуючи державу в смартфоні, досі послуговуємось законом про захист персональних даних від 2010 року

Інформацію про кожного з нас не можна відчути на дотик чи смак, але вона доступна багатьом, і не завжди бажаним особам або структурам. Буває ж так, що, маючи картку в одному банку, вам чомусь телефонують зовсім із інших фінансових установ, із якими ви не мали справу, або ж отримуєте без погодження розсилку новин у вайбері від МОЗ про поширення коронавірусу. Звідки міністерство має ваш номер? І найпростіше — зробили покупку в магазині, заповнили картку лояльності — й отримали спам-розсилку від інших онлайн-мереж.

Наші номери телефонів, адреси проживання, банківські картки — це все персональні дані, які мали б надійно захищатися від зловмисників. Це передбачає і законодавство. Але будуючи державу в смартфоні, досі послуговуємося законом про захист персональних даних від 2010 року, який базувався на європейській директиві ще від 1995 року (директиву ЄС було оновлено 2016-го).

Тож оновлення законодавства про захист персональних даних, вочевидь, назріло. В парламенті є кілька відповідних законопроєктів, один із них, №5628, було зареєстровано в червні цього року. Документ наразі опрацьовують профільні комітети ВРУ, а також обговорюють експерти-правники як один із найбільш перспективних для затвердження. Крім позитивних новацій, фахівці знайшли в ньому й кілька недоліків.

120 СТОРІНОК НОВАЦІЙ

Із плюсів — передусім законопроєкт значно об’ємніший за чинний закон про захист персональних даних. Так вважають в Українській Гельсінській спілці з прав людини (УГСПЛ). На думку її експертів, він містить більше визначень, прагне привести законодавство України про захист персональних даних у відповідність до актів Ради Європи та Європейського Союзу, запроваджує нові підходи до обробки та зберігання даних, вводить поняття «чутливих даних» тощо. Крім цього, з’являється поняття контролерів та контролюючих органів, які реагуватимуть на випадки витоку даних.

«У багатьох нормах законопроєкт №5628 по суті копіює GDPR Європейського Союзу (загальний регламент про захист даних. — Ред.), причому чимало норм в українському проєкті є навіть жорсткішими за європейські, попри те що європейський регламент вважається найбільш вимогливим щодо поводження з даними, — зауважує Денис ВОЛОХА, експерт УГСПЛ, який проаналізував усі 120 сторінок законопроєкту. — Якщо ретельно вивчити й імплементувати його положення, то це буде доцільним для великих компаній чи державних структур. Для малого бізнесу це може стати непосильним тягарем, що погіршить конкуренцію на ринку і просто економічну ситуацію в країні».

На думку Віти ВОЛОДОВСЬКОЇ, керівниці ГО «Лабораторія цифрової безпеки», в порівнянні з тим, що маємо зараз, цей законопроєкт — однозначно крок уперед. Утім, питання є до тексту, зокрема, до нечітких окремих формулювань. «Дуже часто використовується термін легітимні інтереси замість легітимних обмежень, які передбачені міжнародними договорами в сфері прав людини. Передбачається, що відеоспостереження можливе на підставі законодавства, а не окремих законодавчих актів, це значно ширше і не зовсім зрозуміло, як саме буде регулюватися», — пояснює експертка.

Неконкретно виписано в законопроєкті, як працювати журналістам із персональними даними. По-перше, немає визначень, що ж таке журналістська діяльність. Як додав Денис Волоха, законопроєкт передбачає, що журналісти мають посилатися на практику Європейського суду з прав людини, тобто самостійно осягнути весь масив даних, щоб визначити, коли вони здійснюють чи ні журналістську діяльність. По-друге, норми про зйомку в публічних місцях є такими, що можуть стримувати діяльність журналістів, фотографів, операторів, художників тощо. А це вже обмеження свободи вираження.

«Щодо контролюючого органу, то теж усе не до кінця виписано, — продовжив Денис Волоха. — В законопроєкті немає окремої статті про цей контролюючий орган, але йдеться, що він може відвідувати приміщення контролерів, отримувати доступ до його операційних систем, на його запит оператори (провайдери по суті) повинні надати інформацію про розташування своїх абонентів, що доволі дивно. Ми просто можемо виносити такого монстра, який стане порушником права на приватність та інших прав».


ФОТО РУСЛАНА КАНЮКИ / «День»

ЗБЕРЕГТИ ПРАВО НА ПРИВАТНІСТЬ

До слова, в парламенті вже зареєстровано й окремий законопроєкт про контролюючий орган, тож експерти радять аналізувати їх разом і приймати теж разом. Та в цілому правозахисники позитивно оцінюють наміри держави удосконалити сферу захисту персональних даних. Заодно зазначають, що варто вирішувати й інші питання, дотичні до проблеми.

Олександр ПАВЛІЧЕНКО, виконавчий директор УГСПЛ, розповідає про ще один ризик — це намагання держави створити надмірну кількість баз персональних даних. «Це те, до чого рухається кожна авторитарна та автократична держава, якій зручно мати все під контролем, — пояснює він. — Скажімо, Російська Федерація чи Білорусь наразі використовують персональні дані, щоб швидко та, на їхню думку, ефективно боротися з тими, хто не погоджується з їхніми режимами. Це становить загрозу для будь-якого демократичного суспільства. В Україні такі намагання та прагнення відбувалися та продовжують відбуватися точково або ж через окремі ініціативи, коли такі бази даних підв’язують через певні ідентифікатори, і таким чином вдається встановити багато інформації про особу без того, щоб ця особа знала, що ця інформація про неї є в розпорядженні багатьох державних структур. І це ж має економічні ризики для громадян. Коли трапився витік баз даних із банків Німеччини, клієнти отримали просто інформацію, що з їхніх рахунків знімалися кошти в різних державах, десь у Латинській Америці купувалися певні товари. Тобто це показник, коли працює система незахищеності цифрових технологій».

Доки держава створить захисну оболонку для наших даних з мінімальними ризиками для громадян, експерти з кібербезпеки радять дотримуватись кількох правил. Не варто використовувати свої персональні дані для створення паролів, не відкривати підозрілі файли чи архіви від незнайомих відправників, користуватися лише власними носіями інформації, адже чужа флешка чи будь-який інший пристрій може бути носієм «вірусу».

Багатьом громадянам бракує знань у сфері цифрових прав. Не всі розуміють цінність персональних даних, як вони можуть використовуватися, зокрема й на шкоду нам. Виходить парадокс — ми не знаємо, хто і як збирає персональні дані, але й не маємо законодавчих механізмів — як захистити своє право на збереження приватности, бо часто навіть розуміємо, що воно порушується.

«Проте кількість звернень до Офіса Омбудсмена показує, що таких порушень насправді багато. Торік було багато порушень у зв’язку з колекторською діяльністю. Тоді люди відчували тиск та погрози, адже їхні персональні дані передаються колекторам, після чого починали телефонувати не тільки цим людям, а й їхнім родичам, друзям. І тут порушення права приватности досить очевидне, бо ці порушення створюють явний дискомфорт, — коментує Віта Володовська. — В інших випадках, коли ми заповнюємо якісь картки в магазині, щоб отримувати певні бонуси та знижки, нам здається, що ж тут такого, бо ми за це теж щось отримуємо. Але насправді в контексті можливих потенційних наслідків можемо отримувати якісь повідомлення про спам. Нам не зручно, але ми не сприймаємо це за порушення нашого права приватности. Так само важко говорити про конкретні наслідки, доки не доходить до чогось більш серйозного. Якщо вийдемо на рівень соціальних мереж, особливо під час виборів, то наші персональні дані починають використовуватися, щоб маніпулювати нашою думкою. Тобто за нас будуть формувати той інформаційний простір, який впливатиме на когось. Це вплив ніби вищого рівня побудови інформаційного простору, але те, що ми цього не помічаємо, не значить, що ми не повинні так легко ставитися до використання наших персональних даних. Те, як вони будуть використані в майбутньому з розвитком технологій, спрогнозувати важко, але тенденції не дуже хороші».

ХОРОШИЙ ЗАКОН НЕ ГАРАНТУЄ ЗАХИСТУ

Власне, тенденції негативні маємо і вже. На початку вересня Офіс Уповноваженого Верховної Ради з прав людини звернувся до Національної поліції, щоби перевірити, як у відкритому доступі опинилося майже 53 мільйони записів про персональні дані українців. Такий масив інформації могла мати база даних, яку виявили працівники на одному з інтернет-сайтів. У цій базі можна було знайти прізвище особи, її дату народження, домашню адресу і телефон.

Чому так відбувається? На думку Євгена ЗАХАРОВА, голови правління УГСПЛ, нам бракує розуміння та поваги до персональних даних на рівні суспільства, держави та бізнесу. «Якщо говорити про державу, то вона не дбає про захист персональних даних, про це свідчать скандали з додатком «Дія», з підписами під петиціями в людей, які жодним чином не могли їх підписувати, скажімо, в одній із петицій з’явився президент США. Не кажу вже про роботу органів розслідування, в яких жодних серйозних обмежень у галузевих законах щодо персональних даних майже нема, і вони з ними обходяться на власний розсуд. Тож хай як добре був зроблений закон, захистити персональні дані він не зможе. Щоб це зробити, слід змінити ставлення до персональних даних, яке сьогодні існує, і якось це впорядкувати, а закон сам по собі це не зробить. Відповідно, закон треба робити добрим, але він має містити чіткі механізми, як його норми працюватимуть. Також має значення велика інформаційна кампанія щодо захисту персональних даних, щоб виховувати повагу до цього».

Доки держава створить захисну оболонку для наших даних із мінімальними ризиками для громадян, експерти з кібербезпеки радять дотримуватись кількох правил. Не варто використовувати свої персональні дані для створення паролів, не відкривати підозрілі файли чи архіви від незнайомих відправників, користуватися лише власними носіями інформації, адже чужа флешка чи будь-який інший пристрій може бути носієм «вірусу».