“Утечки” из государственных реестров, или как защитить персональные данные
Штрафуют ли чиновников за «слив» персональных данных в Украине? Распространение какой информации о больных COVID-19 является нарушением медицинской тайны? Может ли судиться с государством нашедший свои персональные данные в телеграмм-боте , скандал вокруг которого вылился в уголовное дело и зацепил приложение «Дія»?
Ответы на эти вопросы – в материале издания LB.ua.
«Сливы» года
В 2019 году количество случаев утечки данных в США выросло на 17% – до 1473, сообщает Identity Theft Resource Center – неприбыльная организация, которая фиксирует нарушения использования персональных данных.
С 2005 года центр зафиксировал около 10 000 нарушений. Наибольший скачок, по данным ITRC, состоялся в 2018-м – количество записей потребителей, подвергшихся нарушений распространение своих данных, выросло на 126%.
Самым скандальным в прошлом годду был несанкционированный доступ к 383 миллионов записей базы клиентов одной из ведущих компаний США на рынке гостиничных услуг Marriott International, включая номера паспортов, платежных карточек и тому подобное.
Средняя общая стоимость убытков, которые несет американский бизнес от утечек данных составляет около $8 200 000, согласно исследованиям IBM Security совместно с Ponemon Institute , основанных на опросе 500 компаний из 16 штатов в 2019 году. И наибольшие потери несет медицина – $6 420 000.
В странах Европейского Союза с мая 2018 вступил в силу Общий регламент защиты данных (General Data Protection Regulation – GDPR) всех лиц в пределах Европейского Союза и Европейской экономической зоны. Регламент также касается экспорта персональных данных за пределы ЕС и ЕЭЗ.
По итогам первого года функционирования GDPR , надзорные органы стран европейской экономической зоны зафиксировали более 144 тыс запросов и жалоб и более 89 тыс нарушений данных . 63% из них были закрыты, а 37%, по состоянию на май 2019-му, – продолжались, сообщала Еврокомиссия.
Рост запросов и жалоб связан, в первую очередь, с осведомленностью граждан ЕС с правами на защиту своих данных. Так, согласно опросам Еврокомиссии в 2019 году , 67% опрошенных слышали о GDPR, 36% из них знали, что влечет за собой невыполнение регламента. Такой показатель вырос на 20% по сравнению с результатами такого же опроса в 2015 году.
В результате введения GDPR, в январе этого года итальянский надзорный орган наложил два штрафа в размере 8,5 и 3 млн евро на итальянского поставщика электроэнергии и газа Eni Gas e Luce (EGL).
Первый – за то, что компания незаконно обрабатывала личные данные, осуществляя маркетинговые звонки лицам, отказавшимся от получения таких звонков. Второй – за то, что EGL заключала контракты с более 7 тыс клиентов без их уведомления. Они узнавали об этом по большей части после получения первого счета от компании.
А в начале мая шведский орган управления защиты данных (DPA) наложил штраф в размере 75 млн. шведских крон (примерно 7 млн евро) на Google как оператора поисковой системы за невыполнение требований GDPR по изъятию персональных данных за неточности или поскольку такая информация была лишней.
По сравнению с Европой и США, защита персональных данных в Украине сводится в большинстве к единичным жалобам и судебным искам.
Так, количество утечек данных фиксирует Уполномоченный по правам человека. Все могут также пожаловаться на нарушение своего права на защиту данных непосредственно в полицию или в суд.
Как отмечается в ежегодном отчете за 2019 , омбудсмен рассмотрел 1061 сообщение о нарушении права на защиту персональных данных. Составлено и направлено в суд всего 10 (!) Протоколов об административном правонарушении по части четвертой статьи 188-39 Кодекса об административных правонарушениях (нарушение законодательства в сфере защиты персональных данных).
Больше всего такие нарушения фиксировались в сферах финансовых и банковских услуг, страхования, жилищно-коммунальных услуг, здравоохранения, социальной защиты, образования, а также при обработке персональных данных при осуществлении видеонаблюдения, учете административных и уголовных правонарушений.
В комментарии изданию LB.ua представитель Уполномоченного в сфере защиты персональных данных Инна Берназюк пояснила, что небольшое количество составленных протоколов об административных правонарушениях вызвано, прежде всего, тем, что законодательством ограничены сроки привлечения к ответственности (три месяца со дня совершения), а обращение основном поступают в секретариат Уполномоченного уже после пропуска сроков.
И омбудсмен не может самостоятельно установить, кто занимается распространением или «сливом» данных. А обращается в полицию.
В свою очередь, по данным Департамента киберполиции , в течение 2018 полицейские обнаружили 6000 преступлений, совершенных в сфере использования высоких информационных технологий. 7% из них – продажа и анализ похищенных баз данных.
Омбудсман также проводит проверки распорядителей персональных данных. За прошлый год таких было 36 и 26 предписаний об устранении нарушений.
Если требования Уполномоченного не выполнены, он может составить протокол об административном правонарушении. В 98% случаев, отмечает Инна Берназюк , предписания выполняются, или должностные лица просят Уполномоченного продлить срок их выполнения.
Юрист Назар Коршивский отмечает, что для полноценной защиты персональных данных граждан Украины средств омбудсмена недостаточно: в отделе проверок – четыре человека, в общем соответствующий департамент насчитывает 17 работников.
« Этого явно недостаточно для надлежащего контроля. В дополнение законодательная ограниченность – омбудсмен не может сам привлечь виновных к ответственности, только суд. Также относительно низкий уровень штрафов. Если в Европе это десятки, сотни, а иногда миллионы евро, у нас штраф (если не принимать во внимание уголовной ответственности) может составлять до 8500 грн. Такие штрафы отнюдь не соразмерны с расходами, которые должна понести компания для внедрения необходимых технических и организационных мер по защите данных», – отмечает он.
По мнению юриста, в Украине еще не сформирована культура защиты и ответственного отношения к персональным данным.
«В Европе отношение компании к персональным данным – одно из определяющих конкурентных преимуществ. Утечка данных может нанести удар по репутации, которые не сравнится ни с одним штрафом (даже учитывая размер штрафа в ЕС). Компании в США и ЕС идут на «мировые» соглашения с потребителями и готовы возмещать им убытки только, чтобы не получить огласку по делу. В Украине же компании часто совсем не занимаются вопросами защиты персональных данных», – отмечает Коршивский.
Чувствительность данных
И украинским, и европейским законодательством “персональные данные” определены как сведения или их совокупность о физическом лице, по которым оно идентифицировано или может быть идентифицировано (Закон «О защите персональных данных»).
Так называемые «нечувствительные» персональные данные – фамилия, имя, отчество, адрес, телефоны, паспортные данные, национальность, образование, семейное положение, религиозные и мировоззренческие убеждения, состояние здоровья, материальное положение, дата и место рождения, место жительства и пребывания и т.д., данные о личных имущественных и неимущественных отношениях этого лица с другими лицами.
К «чувствительным» данных относят персональные данные , которые раскрывают расовое или этническое происхождение, политические, религиозные или иные убеждения; сведения касающиеся здоровья или половой жизни; данные об уголовном осуждении.
Заметим, что украинским законодательством четко не определен перечень персональных данных. Европейское – содержит следующий перечень данных , которые считаются персональными:
- имя и фамилия;
- домашний адрес;
- электронный адрес,
- номер удостоверения личности;
- данные о местоположении (в том числе, функция данных о местонахождении на мобильном телефоне) адрес интернет-протокола (IP) идентификатор файла cookie;
- рекламный идентификатор телефона;
- данные больницы или врача, которые могут быть такими, которые однозначно идентифицирует человека.
Для получения разрешения на обработку персональных данных:
- – человек не должен испытывать давления;
- – должен быть надлежащим образом информирован о цели и последствия предоставления согласия;
- – границы распространения его согласия должны быть конкретными и разумными.
То есть данные лица можно обрабатывать только в случае, если оно само дало на это согласие, или в соответствии с законодательством (в основном речь идет об оперативно-розыскной деятельности, хотя и это – с разрешения суда).
«Проблема в том, что для разработки любой базы данных привлекают в основном связанных с руководством этой структуры лиц, иногда еще и не очень профессиональных. Соответственно – плохое качество продукта. То есть человеческий фактор срабатывает дважды: первый раз – при разработке, второй раз – когда возникает соблазн скачать эту базу, поскольку в основном работники, имеющие к ней доступ, получают три копейки зарплаты», – отмечает в комментарии LB.ua Павел Белоусов , эксперт Школы цифровой безопасности .
Адвокат Оксана Кочкодан добавляет:
«Данные сливают, потому что за них можно получить хорошую оплату, а за их безопасность на практике отвечают все и никто. Должным оразом защищать данные должен и владелец, он же контроллер (кто определил цель обработки), и распорядитель, он же процессор (тот, кто обрабатывает данные с разрешения контроллера). В государственных органах должны быть целые подразделения или ответственные лица, отвечающие за безопасность персональных данных (ст.24 ЗУ О защите персональных данных). Государственные органы также обязаны иметь сертификаты КСЗИ (комплексной системы защиты информации – LB.ua), это что-то похожее на сертификаты безопасности ISO, но не так пафосно, потому отечественно. Но все время где-то что-то кто-то сливает. И прежде всего потому, что защитить данные в Украине эффективно невозможно».
Законом «О защите персональных данных», как и европейским законодательством определено, что обработка персональных данных осуществляется для конкретных и законных целей, а также открыто и прозрачно.
Объем и содержание данных, которые собираются, должны быть не чрезмерными относительно цели их обработки. И храниться они могут не дольше, чем это необходимо для законных целей, для которых их собирали.
«И в украинском, и в европейском законодательстве содержится гарантия – персональные данные, которые собираются, не могут быть чрезмерными относительно цели их сбора. Если ее можно достичь с помощью меньшего количества данных, то такие действия являются чрезмерными. То есть контролирующие органы должны провести проверку, наложить штраф и предписание в таком случае, а затем проконтролировать, как было выполнено предписание. Если нет, то – штраф в двойном размере. Так работают в Европе. В Украине – нет. Именно поэтому у нас появляются телеграмм-боты с персональными данными», – отмечает Ирина Кушнир , эксперт по защите персональных данных.
Следовательно, отмечает она, любой, кто зафиксировал распространение своих персональных данных в телеграмм-боте «UA База» , скандал вокруг которого задел и приложение «Дія», может подавать в суд. Сначала украинский, а затем и Европейский суд по правам человека.
« Для такого иска необходимо в национальных судах доказать, что определенная персональная информация была открыта, а ее хранения относится к ответственности конкретной государственной структуры. И вам все равно, какое должностное лицо за это несет ответственность. Государство должно было обеспечить сохранность ваших данных. А поскольку нарушило, то имеете право требовать компенсацию», – отметила Кушнир.
«Баги» реестров
Довольно часто, отмечают эксперты, такие «нечувствительные» сведения, как имена пользователей и пароли, становятся целями для хакеров, поскольку люди используют их для защиты «чувствительных» – например, финансовых счетов. Немало лиц повторно используют одни и те же учетные данные или подобные для удобства запоминания.
Почему данные настолько уязвимы? Обычно, из-за плохих мер безопасности. Несмотря на общий рост расходов на кибербезопасность, многие компании (а украинские госструктуры и подавно) пренебрегают необходимостью регулярно обновлять и совершенствовать свои базы данных, менять устаревшую технику, нанимать квалифицированных специалистов.
«Продают все: номера телефонов, имейлы, паспортные данные … Это было и раньше, просто сейчас информацию можно купить в большем количестве и не только одного региона, как было раньше, а нескольких или по всей Украине, – говорит хакер Алексей (имя изменено), с которым удалось пообщаться LB.ua. – На самом деле это стоит довольно дешево. Но работники определенных структур, имеющих эти базы, соблазняются на эти деньги, потому что зарплаты у них – мизерные».
Он, говорит, часто писал государственным структурам о «дырах» в их реестрах, через которые профессиональные хакеры могут получить доступ, но там не реагировали.
«В Украине не привыкли нормально оплачивать работу, а нанимают студентов, платят им минималку и хотят при этом создать защищенную базу. Или вообще использовать открытые платформы. Понятно, что этот код – несовершенный и всем доступен. Сломать его – вообще не проблема», – отметил он.
Чтобы замести следы, говорит Алексей, достаточно часто создают телеграмм-боты с открытыми данными, «связывая его с «облачными» сервисами где-нибудь в Индии или любой другой стране».
«Делают переадресацию, чтобы данные переходили с одного сервиса на другой, с защитой связей между ними … Есть также немало обменников, чтобы спрятать следы транзакций. Оплата может быть в биткоинах, Perfect Money (электронная платежная система, зарегистрированная в Панаме – LB.ua) можно перевести их в «эфиры» (Ethereum, – LB.ua) или «паеры» (Payeer, – LB.ua) и так далее . А «концы» спрятать где-то в России. Кто будет сейчас выезжать из Украины туда, чтобы разбираться?», – предполагает он.
Программист Тарас (имя изменено) отмечает, что в основном на разработку программного обеспечения или баз данных для государственных структур соглашаются специалисты низшего уровня – «Джуниор». «Мидл» или «Синиоры» – имеют немало высокооплачиваемых предложений от коммерческих компаний.
Обычно, работник компании, работающей над созданием определенного программного обеспечения, имеет доступ и к персональным данным лиц. Впрочем, в частных компаниях они подписывают NDА (Non-disclosure Agreement) – соглашение о неразглашении – с четкими и, как правило, жесткими условиями выполнения заказа. А значит, несут ответственность в случае их нарушения.
Коронавирусная правда
Пандемия коронавируса поставила под угрозу защиту персональных данных, связанных со здоровьем. Они могут подлежать обработке в случаях, когда ставят под угрозу, в частности, интересы общества по охране здоровья, предотвращение распространения коронавирусной инфекции и тому подобное. В частности, GDPR позволяет это делать для научных исследований. Хотя только после согласия человека. По возможности такие данные должны быть анонимизированы и храниться определенное время под контролем и ответственностью тех, кто имеет к ним доступ.
В свою очередь, в Украине парламент принял изменения в Закон «О защите населения от инфекционных болезней» в середине апреля этого года, которым временно (на период карантина и до 30 дней после его отмены) разрешается обработка персональных данных граждан, заболевших COVID-19 без их согласия.
В частности, разрешается обработка данных, касающихся состояния здоровья, места госпитализации или самоизоляции, фамилии, имени, отчества, даты рождения, места жительства, работы (учебы) … «при условии использования таких данных исключительно в целях осуществления противоэпидемических мероприятий ».
В течение 30 дней после окончания карантина такие данные подлежат обезличиванию, а в случае невозможности – уничтожению.
Эти нормы применяются и для использования мобильного приложения «Дій вдома» для мониторинга соблюдения самоизоляции или обсервации гражданами, прибывших из-за рубежа, с подтверждением или подозрением на COVID-19.
По состоянию на начало мая этого года, этим приложением воспользовались более 32 000 физических лиц, сообщает Министерство цифровой трансформации.
По словам эксперта Олега Заярна , министерство должно было утвердить отдельный порядок обработки персональных данных в приложении «Дій вдома», предварительно согласовав его с Уполномоченным. Кроме того, остается открытым вопрос, что будет с персональными данными тех, кто пользовался приложением, после обнародования официального решения об отмене карантина. Поскольку в вышеупомянутом законе говорится, что данные могут быть либо уничтожены, либо обезличенны.
По мнению Ирины Кушнир , даже в условиях противодействия распространению коронавируса важно, чтобы обнародованые данные больных в совокупности не приводили к возможности их идентификации.
«Есть отдельные данные, обнародовав которые по крайней мере узкий круг лиц идентифицирует человека. Если сообщают, к примеру, что в Дарницком районе заболело столько-то людей, то идентификации не произошло. В этом районе проживает много людей. Впрочем, если говорят о маленьком городке, где называют конкретный адрес и еще и дату рождения или профессию, то его жители узнают, о ком идет речь», – объясняет она, отмечая, что в таком случае речь идет о распространении персональных данных.
По ее мнению, чтобы соблюдалось по крайней мере действующее законодательство по защите персональных данных, нужно привлекать к ответственности тех, кто его нарушает.
«Иначе не будет обеспечено сдерживающего эффекта. Все будут знать, что данные могут разгласить или продать, и никто не понесет ответственности за это», – добавляет она.
Скупая судебная практика
Украинским законодательством предусмотрена разная ответственность за нарушение прав человека на защиту персональных данных. В частности:
– административная (если произошел незаконный доступ к данным, возможен штраф в размере от 1700 до 8500 грн, а если это произошло по вине должностного лица – штраф от 5100 до 17000 грн)
– дисциплинарная (выговор или увольнение работника, допустившего такое нарушение)
– гражданско-правовая (лицо, чьи права на защиту персональных данных были нарушены, может обратиться с требованием или иском в суд о возмещении ему имущественного и/или морального вреда, причиненного нарушением)
– уголовная (ст. 182 Уголовного кодекса (нарушение неприкосновенности частной жизни), но речь идет только о умышленных действиях):
- штраф от 8500 грн до 17000 грн, или
- исправительные работы на срок до 2 лет, или
- арест на срок до 6 месяцев, или
- ограничение свободы на срок до 3 лет (в отдельных случаях на срок от 3 до 5 лет), или
- в отдельных случаях лишения свободы от 3 до 5 лет.
Хотя журналистам LB.ua не удалось найти судебные решения, где кого-то оштрафовали бы на значительную сумму или арестовали за нарушение права на защиту персональных данных. В основном речь идет об устранении нарушения.
Так, в феврале прошлого года Верховный Суд увидел нарушения прав чиновницы Чопского горсовета по защите ее персональных данных. В марте 2015 года ее фото было опубликовано в одной из местных газет «с лицом мужского пола» без ее разрешения. Суд подтвердил решение первой инстанции, которым признал, что публикация этого фото касается личной жизни чиновницы и не несет никакой роли для общества, а следовательно, не могла быть опубликована без его согласия.
В марте этого года Верховный Суд отменил решения предыдущих инстанций и отправил на новое рассмотрение дело в отношении видеонаблюдения. В частности, истец жаловался на то, что его сосед достроил пристройку к своему дому и установил четыре камеры, две из которых направлены в сторону его участка, что является нарушением права на частную жизнь. Нижестоящие инстанции приняли решение, указав, что истец не предоставил достаточных доказательств. Впрочем, кассация увидела нарушения при рассмотрении этого дела и отправила его на новое рассмотрение.
Львовский окружной админсуд в январе прошлого года признал нарушением прав истца и обязал Министерство внутренних дел удалить из баз данных информацию о сообщении ему три года назад о подозрении в уголовном правонарушении, поскольку другой суд закрыл это производство.
Суд признал, что после закрытия дела хранения этой информации является вмешательством в его право на уважение частной жизни, и не соответствует критерию «по закону».
Единый реестр судебных решений содержит также немало жалоб к омбудсмену на ненадлежащее рассмотрение заявления о нарушении прав человека. Так, одно из них касалась публикации Анатолием Матиосом на его странице в Facebook запроса на доступ к публичной информации, содержащий персональные данные истца. Суд оставил заявление без движения, давая истцу возможность исправить допущенные ошибки в жалобе.
По итогам прошлого года Офис омбудсмена сообщил о передаче Высшей школой адвокатуры Национальной ассоциации адвокатов Украины персональных данных (фамилии, имена, номера телефонов, адреса электронной почты, IP-адреса, регион, дата и время входа, а также при наличии должности, названия компаний, профили facebook и фото) адвокатов, помощников адвокатов, стажеров адвокатов, а также других лиц без их ведома и однозначного согласия.
Во время проверки было установлено, что Высшая школа адвокатуры НААУ фактически осуществляет обработку персональных данных онлайн-курсов в электронном виде с помощью онлайн-платформы www.antitreningi.ru, хостинг которой физически находится на территории Российской Федерации, а непосредственная регистрация пользователей и оплата услуг осуществляется через онлайн-форму, хостинг которой находится на территории Германии.
В феврале этого года Подольский райсуд Киева закрыл это производство , не увидев в действиях Высшей школы адвокатуры состава административного правонарушения. В частности, ссылаясь на позицию ответчика, представители омбудсмена не анализировали программный код сайта, а потому не доказали самого факта передачи данных или российской, или немецкой компании.
И снова – Конституция
По словам Ирины Кушнир , в парламенте создана рабочая группа по наработке изменений в Конституцию и Закон «О защите персональных данных» для создания отдельного органа по защите данных.
«Чтобы этот орган действовал независимо, его надо вывести из-под контроля исполнительной ветви власти, чтобы он мог проверять, давать предписания, штрафовать и тому подобное. А это требует внесения изменений в Конституцию», – отметила она.
Эту информацию подтвердил LB.ua и сопредседатель рабочей группы, депутат фракции «Слуга народа» Тарас Тарасенко.
«Сейчас юридическое сообщество дискутирует, нужны ли изменения в Конституцию, достаточно ли внести изменения подзаконными актами … Впрочем, большинство склоняется к мысли, что для создания отдельного органа для полноценной защиты персональных данных, все же нужны изменения в Конституцию. Чтобы этот орган мог проводить расследование, налагать штрафы и т.д.», – отметил Тарасенко.
По его словам, параллельно рабочая группа нарабатывает новую редакцию Закона «О защите персональных данных», учитывая европейский GDPR. И планирует через полторы-две недели представить проект изменений.
Его коллега по этой группе, депутат от «Слуги народа» Егор Чернев, отмечает, что пока неизвестно, в Украине будет работать такой персональный или коллегиальный орган. «Рассматриваются различные варианты: возможно, это будет Информационный комиссар или комиссия, или комитет … Есть разная практика Европейского Союза», – добавил он.
А тем временем эксперты советуют:
- не передавать свои данные без соответствующего запроса;
- не давать доступ к данным непроверенным источникам;
- читать политику конфиденциальности сайта или компании перед тем как передавать данные;
- создавать надежные пароли и менять их время от времени.
И самое главное – интересоваться своими правами для защиты персональных данных и в случае необходимости защищать их.
Автор: Виктория Матола , редактор отдела “Право”; LB.ua
Tweet