banner banner

Чому персональні дані в Україні є практично незахищеними?

Крадіжки і продаж персональних даних українців трапляються в нашій країні із небезпечною періодичністю, – засоби масової інформації буквально рясніють повідомленнями про чергових жертв шахраїв. І хоч в Україні ще з 2010 року діє закон "Про захист персональних даних", на практиці він не працює. Фактично громадяни є беззахисними перед гравцями потужної тіньової індустрії, яка спеціалізується на незаконній торгівлі приватною інформацією українців.

Чому персональні дані в Україні є практично незахищеними?
з відкритих джерел

Олег Тітамир

Президент ГО "Українська організація захисту споживачів послуг"

Крадіжки і продаж персональних даних українців трапляються в нашій країні із небезпечною періодичністю, – засоби масової інформації буквально рясніють повідомленнями про чергових жертв шахраїв. І хоч в Україні ще з 2010 року діє закон "Про захист персональних даних", на практиці він не працює. Фактично громадяни є беззахисними перед гравцями потужної тіньової індустрії, яка спеціалізується на незаконній торгівлі приватною інформацією українців.

Міфічна "приватність"

Кілька років тому засновник глобальної платіжної системи PayPal Макс Левчин назвав метадані – не більше й не менше – "нафтою XXI століття". Здебільшого це – персональні дані клієнтів мобільної індустрії, користувачів інтернету, споживачів онлайн-торгівлі, різних мобільних додатків, інших смарт-сервісів тощо. Очевидно, що сфера застосування метаданих є вельми широкою – від виборчих компаній, маркетингу й оцінки фінансових, страхових ризиків до сфери безпеки, розвідувальної діяльності тощо. В інформаційну еру пересічна людина є відкритою для сторонніх осіб, як ніколи. Адже, користуючись інтернетом, електронною поштою чи мобільним зв’язком, вона всюди лишає т. зв. "цифровий слід", з якого "треті особи" можуть незаконно видобути персональні дані особи.

Проблема полягає в тому, з якою саме метою – законною чи злочинною – нові "розпорядники" використають чужі особисті дані. Найбільш "безневинне" застосування персональної інформації громадян – це рекламні розсилки на електронні адреси споживачів або дзвінки на їхні мобільні номери з пропозиціями певних товарів чи послуг. Та у величезній кількості випадків шахраї крадуть персональні дані громадян, щоб заволодіти їхніми грішми, або іншою власністю, у деяких випадках навіть йдеться про рейдерство рухомого чи нерухомого майна. І якщо раніше носії з базами персональних даних громадян можна було придбати на деяких столичних ринках, то нині тіньові "брокери даних" торгують ними в мережі, і не лише в даркнеті. На жаль, в Україні така практика є вкрай поширеною і здебільшого безкарною попри те, що закон нібито захищає приватність громадян.

Так, згідно з чинним законодавством, персональні дані відносяться до конфіденційної інформації про особу – це, зокрема, дані про її національність, освіту, сімейний стан, релігійні переконання, стан здоров'я, а також адреса, дата і місце народження. Цими даними, відповідно до рішення Конституційного суду від 20.01.2012 р. № 2-рп/2012 р., є також інформація про особисті майнові та немайнові відносини конкретної людини з іншими особами, зокрема членами сім'ї, відомості про події та явища, що відбувалися або відбуваються у побутовому, інтимному, товариському, професійному, діловому та інших сферах життя особи тощо.

Новини за темою

Вітчизняне законодавство забороняє несанкціоноване розповсюдження конфіденційної інформації щодо громадян. Відповідно до ст. 12 та 14 закону "Про захист персональних даних", кожна особа повинна дати згоду на їхнє поширення та має право знати, кому передаються її персональні дані. Без такої згоди їх поширення є незаконним.

На папері все виглядає прекрасно. А як на практиці? Думаю, багато хто пам’ятає гучний скандал річної давнини – із масштабним витоком персональної (і здебільшого – актуальної!) інформації щодо 26 млн українців, що була оприлюднена на одному із телеграм-ботів. Тоді в інформпростір було "злито" дані внутрішніх і закордонних паспортів, водійських посвідчень, номери телефонів, дані електронної пошти і навіть паролі від неї, інша конфіденційна інформація громадян. Кіберполіція відкрила тоді кримінальну справу, заблокувавши "піратський" ресурс. Втім, судячи з усього, реальні винуватці так і не були покарані, до того ж не були офіційно названі й джерела витоку персональних даних. Тоді багато хто звинуватив у витоку інформації портал публічних послуг "Дія", хоча в Міністерстві цифрової трансформації тоді це спростували, посилаючись на надійні системи кіберзахисту державної платформи.

Інший приклад. У березні ц. р. шахраї "зламали" стару електронну пошту киянки та оформили на неї кредит у банку. На сьогодні разом із відсотками і штрафами "заборгованість" жінки становить близько 12 тис. грн! Кримінальну справу розслідує кіберполіція одного з районів столиці з кінця квітня ц. р., коли жінка довідалася про "кредит". Утім банківська установа продовжує вимагати з неї повернення грошей.

Ще один свіжий "кейс". На початку липня ц. р. мешканець Кривого Рогу дізнався, що на його ім’я хтось оформив кредит на суму 10 тис. грн. До того ж із його дебетової картки було кимось знято 13 тис. грн його власних коштів. Чоловік запідозрив щось неладне кількома днями раніше, коли йому прийшло повідомлення від мобільного оператора про те, що нібито виконується заміна сім-карти. А після цього "старий" номер було відключено. Споживач отримував мобільні послуги за передплатною, а не контрактною формою договору, відтак шахраї банально "перевипустили" його sim-картку. Криворожанин одразу подав заяву до кіберполіції й Нацбанку. Та, за його словами, наразі держорганами жодних дій не вчинено.

На жаль, у більшості випадків жертви крадіжки їхніх персональних даних є практично беззахисними в нашій державі.

 "Крадіжка особистості": наріжні фактори ризику

На думку численних експертів, тіньова індустрія торгівлі приватною інформацією громадян в Україні "поставлена на потік". Так, за свідченням "Радіо Свобода", за 25 дол. можна придбати банківські дані будь-якої особи, а за 100 дол. – майже повний "безліміт" на користування персональною інформацією людини протягом місяця. В даркнеті і навіть в легальному сегменті інтернету можна придбати все – від даних паспортів і водійських посвідчень до банківських трансакцій, майнового стану та актуального місця перебування особи. Не йдеться навіть про сакраментальне "Великий брат стежить за тобою", адже держава діє принаймні за мінімальними правилами, чого не скажеш про злочинних "брокерів даних".

Звісно, можна нарікати на низький рівень цифрової і фінансової грамотності багатьох українців, котрі надто безпечно ставляться до того, як використовується їхня приватна інформація "третіми особами". Однак постійний "злив" і крадіжки персональних даних громадян – це насамперед системна публічна проблема. А надто – прямий наслідок бездіяльності профільних держорганів, які вже давно повинні були створити ефективний інструментарій щодо захисту (safeguards) конфіденційної інформації українців. Тож визначимо наріжні "реперні" точки в цьому контексті:

профільний закон "Про захист персональних даних", ухвалений у 2010 р., є застарілим, оскільки не враховує сучасних трендів IT-технологій та цифрової економіки. Деякі фахівці і взагалі вважають цей базовий документ із самого початку "мертвонародженим". Адже здебільшого він не враховує сучасну правову базу, що діє в розвинутих країнах, зокрема наріжні положення Регламенту Європейського парламенту і Ради (ЄС) 2016/679 про захист фізичних осіб у зв’язку з опрацюванням персональних даних і про вільний рух таких даних (GDPR). Наприклад, в українському профільному законі немає градації персональних даних на загальнодоступні (зокрема ПІБ, електронна пошта), "чутливі" (наприклад, особиста фінансова інформація) і надвразливі (зокрема інформація про стан здоров’я). А відтак – з одного боку, створюються штучні перешкоди у користуванні загальнодоступними даними (наприклад, для бізнесу), а з іншого – відсутні дієві інструменти посиленого захисту вразливих даних, що призводить до часом непоправних збитків громадян. До того ж де-факто спеціальне законодавство щодо збереження і захисту особистих даних діє лише у випадку, коли витік стався з державних установ чи підприємств. Таким чином, практично відсутній контроль за належним поводженням з особистими даними громадян в комерційному секторі, звідки відбувається чи не найбільше "зливів" конфіденційної інформації;

неможливо говорити про хоча би мінімальну захищеність конфіденційної інформації  українців, позаяк у системі державної влади і досі відсутній окремий регуляторний орган, який би здійснював системний нагляд за дотриманням законодавства із захисту персональних даних, а саме – уповноважений у сфері захисту персональних даних. Попри те, що створення такої інституції передбачено профільним законом від 2010 р.! Ефективність чинних органів у сфері захисту приватної інформації громадян – зокрема, уповноваженого з прав людини, кіберполіції, судів – доволі сумнівна. Так, у 2020 р. кіберполіція відкрила 850 проваджень за фактом незаконного використання приватної інформації, хоча насправді таких злочинів – в десятки разів більше. На жаль, у цього правоохоронного підрозділу – недостатній кадровий потенціал та фінансове забезпечення, щоб охопити весь кримінальний спектр у цьому сегменті. А чого варта лишень судова статистика: так, за даними Єдиного порталу судових рішень, за весь 2019 рік було винесено лише 15 вироків у справах щодо злочинів у сфері персональних даних;

в Україні відсутні як "пакет" підзаконних актів, які б містили деталізовані регламенти захисту персональних даних на різних рівнях і регулювали окремі сфери застосування профільного закону, так і система моніторингу витоків персональних даних та превентивних антихакерських систем. Та чи можливо ефективно захищати приватну інформацію українців і періодично здійснювати "апдейт" профільного законодавства відповідно до сучасних цифрових трендів, якщо не володіти вичерпною статистичною інформацією й аналітичними даними в цій турбулентній сфері?!

найбільший витік персональних даних, як правило, відбувається через їх продаж посадовцями або інсайдерами бізнес-структур. Водночас "відповідальність" за неналежний захист особистої інформації чиновниками – це штраф від 1 700 до 17 000 грн, залежно від виду порушення та його повторюваності. Але ж, продаючи конфіденційні дані, чиновник заробить у рази більше! До того ж, за експертними даними, лише 60% зі 135 державних реєстрів мають атестовані комплексні системи захисту інформації. При цьому реєстри багатьох держорганів дублюють персональну інформацію про громадян, що створює додаткові корупційні ризики в контексті ймовірної торгівлі персональними даними. Що ж стосується бізнес-структур, то в сенсі дотримання ними норм захисту особистої інформації клієнтів, компанії практично ніхто в державі не контролює! Наприклад, у ЄС про ефективність застосування Регламенту GDPR свідчить статистика: так, за останні 2 роки за порушення норм документу було стягнуто з публічних та юридичних осіб майже 360 млн євро. Чи комусь відомі аналогічні цифри в Україні?!

Що потрібно, аби зупинити "брокерів даних"?

Для цього щонайменше необхідно:

урядові й парламенту – доопрацювати закон "Про захист персональних даних", актуалізувавши його положення з урахуванням новітніх технологій з обробки персональних даних (наприклад, автоматичної, т. зв. профайлінгу), а надто – основних положень загального Регламенту із захисту персональних даних ЄС (зокрема впровадивши "право бути забутим" і право на мобільність даних);

урядові – розробити деталізовану нормативну базу, яка б містила основні алгоритми захисту персональних даних – зокрема з урахуванням їхньої градації;

урядові – протягом року впровадити інститут уповноваженого у сфері захисту персональних даних. Можливо, є сенс створити цей орган за моделлю естонської Інспекції з питань захисту персональних даних, співробітники якої мають повноваження перевіряти всі держоргани на предмет дотримання норм із захисту персональної інформації;

уповноваженому – створити у своїй структурі спеціальний центр (think-tank), який би здійснював періодичний моніторинг витоків персональних даних, комплексний аналіз міжнародної практики та розробляв би актуальні зміни до профільного законодавства;

урядові й уповноваженому – в перспективі 5 років, спільно з провідними бізнес-асоціаціями, вітчизняними й міжнародними експертами – розробити кодекси поведінки з питань захисту приватної інформації в різних підприємницьких сферах. Як на мене, в перспективі кількох років, слід передбачити вимогу для компаній у контексті призначення у їхньому штаті фахівця з питань захисту персональних даних. А також – розробити відповідний національний "стандарт якості" у цій сфері, з рекомендацією українським компаніям проводити неупереджений GDPR-аудит за стандартами ЄС. Він повинен включати перевірку того, які персональні дані збираються й обробляються та яким чином, ким і на підставі яких документів (у межах компанії та на умовах аутсорсингу) конфіденційна інформація опрацьовується.

Олег Тітамир

Редакция может не соглашаться с мнением автора. Если вы хотите написать в рубрику "Мнение", ознакомьтесь с правилами публикаций и пишите на [email protected].

Джерело: 112.ua

відео по темі

Новини за темою

Новини за темою

Новини партнерів

Loading...

Віджет партнерів