«Утечки» из государственных реестров, или как защитить персональные данные

"Утечки" из государственных реестров, или как защитить персональные данные

Штрафуют ли чиновников за «слив» персональных данных в Украине? Распространение какой информации о больных COVID-19 является нарушением медицинской тайны? Может ли судиться с государством нашедший свои персональные данные в телеграмм-боте , скандал вокруг которого вылился в уголовное дело и зацепил приложение «Дія»?

Ответы на эти вопросы — в материале издания LB.ua.

«Сливы» года

В 2019 году количество случаев утечки данных в США выросло на 17% — до 1473, сообщает Identity Theft Resource Center — неприбыльная организация, которая фиксирует нарушения использования персональных данных.

С 2005 года центр зафиксировал около 10 000 нарушений. Наибольший скачок, по данным ITRC, состоялся в 2018-м — количество записей потребителей, подвергшихся нарушений распространение своих данных, выросло на 126%.

Самым скандальным в прошлом годду был несанкционированный доступ к 383 миллионов записей базы клиентов одной из ведущих компаний США на рынке гостиничных услуг Marriott International, включая номера паспортов, платежных карточек и тому подобное.

Средняя общая стоимость убытков, которые несет американский бизнес от утечек данных составляет около $8 200 000, согласно исследованиям IBM Security совместно с Ponemon Institute , основанных на опросе 500 компаний из 16 штатов в 2019 году. И наибольшие потери несет медицина — $6 420 000.

В странах Европейского Союза с мая 2018 вступил в силу Общий регламент защиты данных (General Data Protection Regulation — GDPR) всех лиц в пределах Европейского Союза и Европейской экономической зоны. Регламент также касается экспорта персональных данных за пределы ЕС и ЕЭЗ.

По итогам первого года функционирования GDPR , надзорные органы стран европейской экономической зоны зафиксировали более 144 тыс запросов и жалоб и более 89 тыс нарушений данных . 63% из них были закрыты, а 37%, по состоянию на май 2019-му, — продолжались, сообщала Еврокомиссия.

Number of procedures initiated by SAs from 21 EEA countries

Рост запросов и жалоб связан, в первую очередь, с осведомленностью граждан ЕС с правами на защиту своих данных. Так, согласно опросам Еврокомиссии в 2019 году , 67% опрошенных слышали о GDPR, 36% из них знали, что влечет за собой невыполнение регламента. Такой показатель вырос на 20% по сравнению с результатами такого же опроса в 2015 году.

В результате введения GDPR, в январе этого года итальянский надзорный орган наложил два штрафа в размере 8,5 и 3 млн евро на итальянского поставщика электроэнергии и газа Eni Gas e Luce (EGL).

Первый — за то, что компания незаконно обрабатывала личные данные, осуществляя маркетинговые звонки лицам, отказавшимся от получения таких звонков. Второй — за то, что EGL заключала контракты с более 7 тыс клиентов без их уведомления. Они узнавали об этом по большей части после получения первого счета от компании.

А в начале мая шведский орган управления защиты данных (DPA) наложил штраф в размере 75 млн. шведских крон (примерно 7 млн евро) на Google как оператора поисковой системы за невыполнение требований GDPR по изъятию персональных данных за неточности или поскольку такая информация была лишней.

По сравнению с Европой и США, защита персональных данных в Украине сводится в большинстве к единичным жалобам и судебным искам.

Так, количество утечек данных фиксирует Уполномоченный по правам человека. Все могут также пожаловаться на нарушение своего права на защиту данных непосредственно в полицию или в суд.

Как отмечается в ежегодном отчете за 2019 , омбудсмен рассмотрел 1061 сообщение о нарушении права на защиту персональных данных. Составлено и направлено в суд  всего 10 (!) Протоколов об административном правонарушении по части четвертой статьи 188-39 Кодекса об административных правонарушениях (нарушение законодательства в сфере защиты персональных данных).

Больше всего такие нарушения фиксировались в сферах финансовых и банковских услуг, страхования, жилищно-коммунальных услуг, здравоохранения, социальной защиты, образования, а также при обработке персональных данных при осуществлении видеонаблюдения, учете административных и уголовных правонарушений.

В комментарии изданию LB.ua представитель Уполномоченного в сфере защиты персональных данных Инна Берназюк пояснила, что небольшое количество составленных протоколов об административных правонарушениях вызвано, прежде всего, тем, что законодательством ограничены сроки привлечения к ответственности (три месяца со дня совершения), а обращение основном поступают в секретариат Уполномоченного уже после пропуска сроков.

И омбудсмен не может самостоятельно установить, кто занимается распространением или «сливом» данных. А обращается в полицию.

В свою очередь, по данным Департамента киберполиции , в течение 2018 полицейские обнаружили 6000 преступлений, совершенных в сфере использования высоких информационных технологий. 7% из них — продажа и анализ похищенных баз данных.

Омбудсман также проводит проверки распорядителей персональных данных. За прошлый год таких было 36 и 26 предписаний об устранении нарушений.

Если требования Уполномоченного не выполнены, он может составить протокол об административном правонарушении. В 98% случаев, отмечает Инна Берназюк , предписания выполняются, или должностные лица просят Уполномоченного продлить срок их выполнения.

Юрист Назар Коршивский отмечает, что для полноценной защиты персональных данных граждан Украины средств омбудсмена недостаточно: в отделе проверок — четыре человека, в общем соответствующий департамент насчитывает 17 работников.

« Этого явно недостаточно для надлежащего контроля. В дополнение законодательная ограниченность — омбудсмен не может сам привлечь виновных к ответственности, только суд. Также относительно низкий уровень штрафов. Если в Европе это десятки, сотни, а иногда миллионы евро, у нас штраф (если не принимать во внимание уголовной ответственности) может составлять до 8500 грн. Такие штрафы отнюдь не соразмерны с расходами, которые должна понести компания для внедрения необходимых технических и организационных мер по защите данных», — отмечает он.

По мнению юриста, в Украине еще не сформирована культура защиты и ответственного отношения к персональным данным.

«В Европе отношение компании к персональным данным — одно из определяющих конкурентных преимуществ. Утечка данных может нанести удар по репутации, которые не сравнится ни с одним штрафом (даже учитывая размер штрафа в ЕС). Компании в США и ЕС идут на «мировые» соглашения с потребителями и готовы возмещать им убытки только, чтобы не получить огласку по делу. В Украине же компании часто совсем не занимаются вопросами защиты персональных данных», — отмечает Коршивский.

Чувствительность данных

И украинским, и европейским законодательством «персональные данные» определены как сведения или их совокупность о физическом лице, по которым оно идентифицировано или может быть идентифицировано (Закон «О защите персональных данных»).

Так называемые «нечувствительные» персональные данные — фамилия, имя, отчество, адрес, телефоны, паспортные данные, национальность, образование, семейное положение, религиозные и мировоззренческие убеждения, состояние здоровья, материальное положение, дата и место рождения, место жительства и пребывания и т.д., данные о личных имущественных и неимущественных отношениях этого лица с другими лицами.

К «чувствительным» данных относят персональные данные , которые раскрывают расовое или этническое происхождение, политические, религиозные или иные убеждения; сведения касающиеся здоровья или половой жизни; данные об уголовном осуждении.

Заметим, что украинским законодательством четко не определен перечень персональных данных. Европейское — содержит следующий перечень данных , которые считаются персональными:

  • имя и фамилия;
  • домашний адрес;
  • электронный адрес,
  • номер удостоверения личности;
  • данные о местоположении (в том числе, функция данных о местонахождении на мобильном телефоне) адрес интернет-протокола (IP) идентификатор файла cookie;
  • рекламный идентификатор телефона;
  • данные больницы или врача, которые могут быть такими, которые однозначно идентифицирует человека.

Для получения разрешения на обработку персональных данных:

  • — человек не должен испытывать давления;
  • — должен быть надлежащим образом информирован  о цели и последствия предоставления согласия;
  • — границы распространения его согласия должны быть конкретными и разумными.

То есть данные лица можно обрабатывать только в случае, если оно само дало на это согласие, или в соответствии с законодательством (в основном речь идет об оперативно-розыскной деятельности, хотя и это — с разрешения суда).

«Проблема в том, что для разработки любой базы данных привлекают в основном связанных с руководством этой структуры лиц, иногда еще и не очень профессиональных. Соответственно — плохое качество продукта. То есть человеческий фактор срабатывает дважды: первый раз — при разработке, второй раз — когда возникает соблазн скачать эту базу, поскольку в основном работники, имеющие к ней доступ, получают три копейки зарплаты», — отмечает в комментарии LB.ua Павел Белоусов , эксперт Школы цифровой безопасности .

Адвокат Оксана Кочкодан добавляет:

«Данные сливают, потому что за них можно получить хорошую оплату, а за их безопасность на практике отвечают  все и никто. Должным оразом защищать данные должен  и владелец, он же контроллер (кто определил цель обработки), и распорядитель, он же процессор (тот, кто обрабатывает данные с разрешения контроллера). В государственных органах должны быть целые подразделения или ответственные лица, отвечающие за безопасность персональных данных (ст.24 ЗУ О защите персональных данных). Государственные органы также обязаны иметь сертификаты КСЗИ (комплексной системы защиты информации — LB.ua), это что-то похожее на сертификаты безопасности ISO, но не так пафосно, потому отечественно. Но все время где-то что-то кто-то сливает. И прежде всего потому, что защитить данные в Украине эффективно невозможно».

Законом «О защите персональных данных», как и европейским законодательством определено, что обработка персональных данных осуществляется для конкретных и законных целей, а также открыто и прозрачно.

Объем и содержание данных, которые собираются, должны быть не чрезмерными относительно цели их обработки. И храниться они могут не дольше, чем это необходимо для законных целей, для которых их собирали.

«И в украинском, и в европейском законодательстве содержится гарантия — персональные данные, которые собираются, не могут быть чрезмерными относительно цели их сбора. Если ее можно достичь с помощью меньшего количества данных, то такие действия являются чрезмерными. То есть контролирующие органы должны провести проверку, наложить штраф и предписание в таком случае, а затем проконтролировать, как было выполнено предписание. Если нет, то — штраф в двойном размере. Так работают в Европе. В Украине — нет. Именно поэтому у нас появляются телеграмм-боты с персональными данными», — отмечает Ирина Кушнир , эксперт по защите персональных данных.

Следовательно, отмечает она, любой, кто зафиксировал распространение своих персональных данных в телеграмм-боте «UA База» , скандал вокруг которого задел и приложение «Дія», может подавать в суд. Сначала украинский, а затем и Европейский суд по правам человека.

« Для такого иска необходимо в национальных судах доказать, что определенная персональная информация была открыта, а ее хранения относится к ответственности конкретной государственной структуры. И вам все равно, какое должностное лицо за это несет ответственность. Государство должно было обеспечить сохранность ваших данных. А поскольку нарушило, то имеете право требовать компенсацию», — отметила Кушнир.

«Баги» реестров

Довольно часто, отмечают эксперты, такие «нечувствительные» сведения, как имена пользователей и пароли, становятся целями для хакеров, поскольку люди используют их для защиты «чувствительных» — например, финансовых счетов. Немало лиц повторно используют одни и те же учетные данные или   подобные для удобства запоминания.

Почему данные настолько уязвимы? Обычно, из-за плохих мер  безопасности. Несмотря на общий рост расходов на кибербезопасность, многие компании (а украинские госструктуры и подавно) пренебрегают необходимостью регулярно обновлять и совершенствовать свои базы данных, менять устаревшую технику, нанимать квалифицированных специалистов.

«Продают все: номера телефонов, имейлы, паспортные данные … Это было и раньше, просто сейчас информацию можно купить в большем количестве и не только одного региона, как было раньше, а нескольких или по всей Украине, — говорит хакер Алексей (имя изменено), с которым удалось пообщаться LB.ua. — На самом деле это стоит довольно дешево. Но работники определенных структур, имеющих эти базы, соблазняются на эти деньги, потому что зарплаты у них — мизерные».

Он, говорит, часто писал государственным структурам о «дырах» в их реестрах, через которые профессиональные хакеры могут получить доступ, но там не реагировали.

«В Украине не привыкли нормально оплачивать работу, а нанимают студентов, платят им минималку и хотят при этом создать защищенную базу. Или вообще использовать открытые платформы. Понятно, что этот код — несовершенный и всем доступен. Сломать его — вообще не проблема», — отметил он.

Чтобы замести следы, говорит Алексей, достаточно часто создают телеграмм-боты с открытыми данными, «связывая его с «облачными» сервисами где-нибудь в Индии или любой другой стране».

«Делают переадресацию, чтобы данные переходили с одного сервиса на другой, с защитой связей между ними … Есть также немало обменников, чтобы спрятать следы транзакций. Оплата может быть в биткоинах, Perfect Money (электронная платежная система, зарегистрированная в Панаме — LB.ua) можно перевести их в «эфиры» (Ethereum, — LB.ua) или «паеры» (Payeer, — LB.ua) и так далее . А «концы» спрятать где-то в России. Кто будет сейчас выезжать из Украины туда, чтобы разбираться?», — предполагает он.

Программист Тарас (имя изменено) отмечает, что в основном на разработку программного обеспечения или баз данных для государственных структур соглашаются специалисты низшего уровня — «Джуниор». «Мидл» или «Синиоры» — имеют немало высокооплачиваемых предложений от коммерческих компаний.

Обычно, работник компании, работающей над созданием определенного программного обеспечения, имеет доступ и к персональным данным лиц. Впрочем, в частных компаниях они подписывают NDА (Non-disclosure Agreement) — соглашение о неразглашении — с четкими и, как правило, жесткими условиями выполнения заказа. А значит, несут ответственность в случае их нарушения.

Коронавирусная правда

Пандемия коронавируса поставила под угрозу защиту персональных данных, связанных со здоровьем. Они могут подлежать обработке в случаях, когда ставят под угрозу, в частности, интересы общества по охране здоровья, предотвращение распространения коронавирусной инфекции и тому подобное. В частности, GDPR позволяет это делать для научных исследований. Хотя только после согласия человека. По возможности такие данные должны быть анонимизированы и храниться определенное время под контролем и  ответственностью тех, кто имеет к ним доступ.

В свою очередь, в Украине парламент принял изменения в Закон «О защите населения от инфекционных болезней» в середине апреля этого года, которым временно (на период карантина и до 30 дней после его отмены) разрешается обработка персональных данных граждан, заболевших COVID-19 без их согласия.

В частности, разрешается обработка данных, касающихся состояния здоровья, места госпитализации или самоизоляции, фамилии, имени, отчества, даты рождения, места жительства, работы (учебы) … «при условии использования таких данных исключительно в целях осуществления противоэпидемических мероприятий ».

В течение 30 дней после окончания карантина такие данные подлежат обезличиванию, а в случае невозможности — уничтожению.

Эти нормы применяются и для использования мобильного приложения «Дій вдома» для мониторинга соблюдения самоизоляции или обсервации гражданами, прибывших из-за рубежа, с подтверждением или подозрением на COVID-19.

По состоянию на начало мая этого года, этим приложением воспользовались более 32 000 физических лиц, сообщает Министерство цифровой трансформации.

По словам эксперта Олега Заярна , министерство должно было утвердить отдельный порядок обработки персональных данных в приложении «Дій вдома», предварительно согласовав его с Уполномоченным. Кроме того, остается открытым вопрос, что будет с персональными данными тех, кто пользовался приложением, после обнародования официального решения об отмене карантина. Поскольку в вышеупомянутом законе говорится, что данные могут быть либо уничтожены, либо обезличенны.

По мнению Ирины Кушнир , даже в условиях противодействия распространению коронавируса важно, чтобы обнародованые данные больных в совокупности не приводили к возможности их идентификации.

«Есть отдельные данные, обнародовав которые по крайней мере узкий круг лиц идентифицирует человека. Если сообщают, к примеру, что в Дарницком районе заболело столько-то людей, то идентификации не произошло. В этом районе проживает много людей. Впрочем, если говорят о маленьком городке, где называют конкретный адрес и еще и дату рождения или профессию, то его жители узнают, о ком идет речь», — объясняет она, отмечая, что в таком случае речь идет о распространении персональных данных.

По ее мнению, чтобы соблюдалось по крайней мере действующее законодательство по защите персональных данных, нужно привлекать к ответственности тех, кто его нарушает.

«Иначе не будет обеспечено сдерживающего эффекта. Все будут знать, что данные могут разгласить или продать, и никто не понесет ответственности за это», — добавляет она.

Скупая судебная практика

Украинским законодательством предусмотрена разная ответственность за нарушение прав человека на защиту персональных данных. В частности:

— административная (если произошел незаконный доступ к данным, возможен штраф в размере от 1700 до 8500 грн, а если это произошло по вине должностного лица — штраф от 5100 до 17000 грн)

— дисциплинарная (выговор или увольнение работника, допустившего такое нарушение)

— гражданско-правовая (лицо, чьи права на защиту персональных данных были нарушены, может обратиться с требованием или иском в суд о возмещении ему имущественного и/или морального вреда, причиненного нарушением)

— уголовная (ст. 182 Уголовного кодекса (нарушение неприкосновенности частной жизни), но речь идет только о умышленных действиях):

  • штраф от 8500 грн до 17000 грн, или
  • исправительные работы на срок до 2 лет, или
  • арест на срок до 6 месяцев, или
  • ограничение свободы на срок до 3 лет (в отдельных случаях на срок от 3 до 5 лет), или
  • в отдельных случаях лишения свободы от 3 до 5 лет.

Хотя журналистам LB.ua не удалось найти судебные решения, где кого-то оштрафовали бы на значительную сумму или арестовали за нарушение права на защиту персональных данных. В основном речь идет об устранении нарушения.

Так, в феврале прошлого года Верховный Суд увидел нарушения прав чиновницы Чопского горсовета по защите ее персональных данных. В марте 2015 года ее фото было опубликовано в одной из местных газет «с лицом мужского пола» без ее разрешения. Суд подтвердил решение первой инстанции, которым признал, что публикация этого фото касается личной жизни чиновницы и не несет никакой роли для общества, а следовательно, не могла быть опубликована без его согласия.

В марте этого года Верховный Суд отменил решения предыдущих инстанций и отправил на новое рассмотрение дело в отношении видеонаблюдения. В частности, истец жаловался на то, что его сосед достроил пристройку к своему дому и установил четыре камеры, две из которых направлены в сторону его участка, что является нарушением права на частную жизнь. Нижестоящие инстанции приняли решение, указав, что истец не предоставил достаточных доказательств. Впрочем, кассация увидела нарушения при рассмотрении этого дела и отправила его на новое рассмотрение.

Львовский окружной админсуд в январе прошлого года признал нарушением прав истца и обязал Министерство внутренних дел удалить из баз данных информацию о сообщении ему три года назад о подозрении в уголовном правонарушении, поскольку другой суд закрыл это производство.

Суд признал, что после закрытия дела хранения этой информации является вмешательством в его право на уважение частной жизни, и не соответствует критерию «по закону».

Единый реестр судебных решений содержит также немало жалоб к омбудсмену на  ненадлежащее рассмотрение заявления о нарушении прав человека. Так, одно из них касалась публикации Анатолием Матиосом на его странице в Facebook запроса на доступ к публичной информации, содержащий персональные данные истца. Суд оставил заявление без движения, давая истцу возможность исправить допущенные ошибки в жалобе.

По итогам прошлого года Офис омбудсмена сообщил о передаче Высшей школой адвокатуры Национальной ассоциации адвокатов Украины персональных данных (фамилии, имена, номера телефонов, адреса электронной почты, IP-адреса, регион, дата и время входа, а также при наличии должности, названия компаний, профили facebook и фото) адвокатов, помощников адвокатов, стажеров адвокатов, а также других лиц без их ведома и однозначного согласия.

Во время проверки было установлено, что Высшая школа адвокатуры НААУ фактически осуществляет обработку персональных данных онлайн-курсов в электронном виде с помощью онлайн-платформы www.antitreningi.ru, хостинг которой физически находится на территории Российской Федерации, а непосредственная регистрация пользователей и оплата услуг осуществляется через онлайн-форму, хостинг которой находится на территории Германии.

В феврале этого года Подольский райсуд Киева закрыл это производство , не увидев в действиях Высшей школы адвокатуры состава административного правонарушения. В частности, ссылаясь на позицию ответчика, представители омбудсмена не анализировали программный код сайта, а потому не доказали самого факта передачи данных или российской, или немецкой компании.

И снова — Конституция

По словам Ирины Кушнир , в парламенте создана рабочая группа по наработке изменений в Конституцию и Закон «О защите персональных данных» для создания отдельного органа по защите данных.

«Чтобы этот орган действовал независимо, его надо вывести из-под контроля исполнительной ветви власти, чтобы он мог проверять, давать предписания, штрафовать и тому подобное. А это требует внесения изменений в Конституцию», — отметила она.

Эту информацию подтвердил LB.ua и сопредседатель рабочей группы, депутат фракции «Слуга народа» Тарас Тарасенко.

«Сейчас юридическое сообщество дискутирует, нужны ли изменения в Конституцию, достаточно ли внести изменения подзаконными актами … Впрочем, большинство склоняется к мысли, что для создания отдельного органа для полноценной защиты персональных данных, все же нужны изменения в Конституцию. Чтобы этот орган мог проводить расследование, налагать штрафы и т.д.», — отметил Тарасенко.

По его словам, параллельно рабочая группа нарабатывает новую редакцию Закона «О защите персональных данных», учитывая европейский GDPR. И планирует через полторы-две недели представить проект изменений.

Его коллега по этой группе, депутат от «Слуги народа» Егор Чернев, отмечает, что пока неизвестно, в Украине будет работать такой персональный или коллегиальный орган. «Рассматриваются различные варианты: возможно, это будет Информационный комиссар или комиссия, или комитет … Есть разная практика Европейского Союза», — добавил он.

А тем временем эксперты советуют:

  1. не передавать свои данные без соответствующего запроса;
  2. не давать доступ к данным непроверенным источникам;
  3. читать политику конфиденциальности сайта или компании перед тем как передавать данные;
  4. создавать надежные пароли и менять их время от времени.

И самое главное — интересоваться своими правами для защиты персональных данных и в случае необходимости защищать их.

Автор: Виктория Матола , редактор отдела «Право»;  LB.ua 

Читайте также: