Персональні дані — інформація про кожного з нас, яку фактично щодня отримують і обробляють держава та приватний сектор. Відбувається це через інституції в медицині, фінансах, освіті, транспорті, логістиці, зв’язку, продажах тощо. І якщо ці дані не захищати належно, траплятимуться просочування, особиста інформація про особу може потрапити до ділків чи шахраїв, які принаймні спробують незаконно заробити на її використані.

Удосконалюємо законодавство

Президент Асоціації Digital Ukraine Олена Колченогова зазначає, що навіть розголошення й неконтрольоване поширення такої начебто й не дуже таємної інформації, як особистий номер телефону, може призвести щонайменше до навали холодних дзвінків (телефонного спаму) або надсилання нав’язливої реклами, позбутися яких майже неможливо.

В Україні Закон «Про захист персональних даних» набув чинності ще 2010 року, а 2012-го в нього вносили зміни. Та у світі цифровізації та надшвидкого поширення інформації він уже встиг застаріти і давно потребує переосмислення й докорінного оновлення. Тож 7 червня 2021 року до Верховної Ради було подано оновлений проєкт цього закону №5828, який повністю гармонізується із сучасним європейським законодавством. А також законопроєкт «Про Національну комісію з питань захисту персональних даних і доступу до інформації» №6177.

У Європі таке законодавство набуло чинності 2018 року. У ньому розширено саме поняття персональних даних, чітко визначено, як цю інформацію дозволено обробляти і як якісно її захищати. За незаконне їх використання передбачено колосальні штрафні санкції.

«У ЄС цей закон працює на повну і дає хороші результати. У нас же це законодавство й досі перебуває на стадії розроблення й доопрацювання. Та якщо до кінця цього року законопроєкт буде ухвалено, з наступного він має повноцінно набути чинності. У ньому розширено поняття персональних даних. Це буде не лише ім’я та прізвище людини, номер її телефону й адреса поштової скриньки. Сюди входитимуть і такі поняття, як ip-адреса та cookiе-файли, адже за їх допомогою можна ідентифікувати особу, а тому ці дані теж потрібно захищати. Закон врегульовує і питання відеоспостереження», — наголосила фахівець.

Документ розширює право суб’єктів на мобільність їхніх даних. Наприклад, у медцентрі зберігаються дані пацієнта, який проходить там лікування. Та згодом він вирішив змінити заклад. У такому разі його дані в повному обсязі слід передати в обрану медустанову.

Та головне — посилюється відповідальність за неправомірність оброблення даних. Штрафні санкції сягатимуть 30 тисяч гривень для фізичних осіб і 150 мільйонів — для юридичних за кричущі порушення зі збитками для потерпілих. Така цифра не суперечить міжнародним стандартам, адже в Європі штрафи в цій царині становлять понад 600 мільйонів у перерахунку на гривні.

Законопроєкт визначає, що всі державні органи у штаті повинні мати фахівця із захисту персональних даних, який контролюватиме, інформуватиме й навчатиме працівників дбайливо та виважено ставитися до своїх даних, їх поширення.

«У коментарі до законопроєкту йдеться, що слід буде передбачити видатки на створення нового повністю незалежного органу, фахівці якого контролюватимуть процедуру оброблення та захисту цієї інформації. Але будуть для держбюджету й бонуси у вигляді штрафів із тих, хто намагатиметься шахраювати із цією інформацією. Тож захист персональних даних сприятиме економічному розвитку держави», — пояснила Олена Колченогова.

Право на забуття

Голова підкомітету цифрової та смарт-інфраструктури, електронних комунікацій, кібербезпеки та кіберзахисту Комітету Верховної Ради з питань цифрової трансформації Олександр Федієнко уточнює, що в новому законопроєкті докорінно оновлено термінологію. Так, запроваджено поняття «контролер» — це особа, яка визначатиме цілі та засоби оброблення персональних даних, та «оператор» — той, хто здійснюватиме таке оброблення від імені контролера. А ключовою тут буде згода власника на оброблення його даних, яку мають обов’язково запитувати.

Документ має на меті розширити право власника даних видаляти їх з певних джерел, куди він надавав їх попередньо навіть за власною згодою. Наприклад, ви купили товар у магазині й надали свої дані для контакту з продавцем, якщо, скажімо, потребуватимете консультації або забажаєте повернути покупку. А згодом почали отримувати на всі свої пристрої нав’язливу непотрібну рекламу від цього закладу торгівлі. Що із цим робити? Нині людина не може змусити продавця видалити свої дані з реєстрів магазину. Згідно з новим законом, вона таке право на забуття отримає.

Керівник експертної групи з питань європейської та євроатлантичної інтеграції Міністерства цифрової трансформації Юлія Гаряча нагадала: Україна виконує свої зобов’язання з імплементації Угоди про асоціацію з ЄС і відповідної цифрової карти інтеграції у цифровий ринок Євросоюзу, яка обов’язкова для отримання нами режиму внутрішнього ринку в секторі електронних комунікацій.

«Захист персональних даних — невід’ємний компонент інтеграції України в ЄС за умови, що регулятор у цій галузі не зазнаватиме тиску і буде повністю незалежним. Тож маємо два шляхи: бути на цифровій хвилі або вона нас накриє. Якщо ж зробимо все правильно й інтегруємося в Європу, за оптимістичними розрахунками, зможемо в найближчій перспективі підвищити ВВП країни до 12%», — зазначила фахівець.

Хто врегулює регулятора?

Директор департаменту зовнішніх зав’язків компанії Data Group Костянтин Грицак запевняє, що у великих легальних телекомунікаційних компаніях України персональні дані споживачів завжди захищено належно. Там використовують тільки сертифікований білінг, який обліковує надання послуг.

Щодо оновлення законодавства фахівець зазначив, що, на його переконання, є певні колізії між Законом «Про електронні телекомунікації», який набув чинності 1 січня 2022 року, та проєктом закону «Про захист персональних даних». Наприклад, за статтями 119 та 121 закону будь-яку інформацію про абонента можна надати на будь-чий запит лише за рішенням суду. Але у проєкті закону про особисті дані зазначено: таку інформацію слід надавати одразу на вимогу контролюючого органу.

«Щоб суб’єкти господарювання могли свідомо та якісно виконувати законодавство й нести відповідальність за це, таку неузгодженість слід обов’язково прибрати», — наголосив фахівець.

Реформа галузі персональних даних неодмінно відбудеться, і відповідальному бізнесу вже зараз слід почати до цього готуватися: уважно вивчати законопроєкти, розробляти зміни до угод зі споживачами й консультуватися з фахівцями.

Навести лад у такій непростій галузі, як облік персональних даних, — завдання не з легких. І для цього регуляторові необхідні додаткові й цілком реальні повноваження. Та штраф за одне, можливо, невмисне порушення на рівні до 1% річного обороту компанії — надвелика сума, особливо для середнього та малого бізнесу, які поки що лише вчаться законно та обачно послуговуватися інформацією про клієнтів.

«Новий законопроєкт ще не став законом, а представники бізнесу вже охрестили регулятора «монстром», аналогів якому немає у вітчизняній правовій системі. Адже його не буде підпорядковано жодним засадам регуляторної політики і на нього не розповсюджуватимуться особливості державного нагляду в підприємницькій діяльності. А його нормативні документи навіть не підлягають реєстрації в Мін’юсті. Тож вважаю, що в цій частині законопроєкт підлягає значному доопрацюванню. А бізнес ще має час, щоб через своїх юристів подати до нього обґрунтовані зауваження та пропозиції», — зазначив Костянтин Грицак.

Що надмірно — протизаконно

Президент Всеукраїнської асоціації контакт-центрів Тетяна Шалига розповіла, що робота таких центрів саме й полягає у збиранні, збагаченні та обробці персональних даних українців. Адже конкурентоспроможні послуги бізнес надаватиме лише тоді, коли детально зрозуміє, з якою аудиторією має справу, чого вона потребує і як цей попит задовольнити доцільно, повністю та вчасно.

«Але ми також усвідомлюємо, що компанії, які провадять не зовсім законну діяльність, можуть використовувати технології збирання даних для подальшого їх перепродажу, шахрайських дій тощо. Проте часто люди самі недбало ставляться до інформації про себе. Наприклад, у гонитві за примарною знижкою заповнюють анкети в магазинах чи навіть на вулиці на запит, скажімо, молодої, усміхненої, добре вдягненої людини, яка обіцяє «великий готівковий приз або безоплатну подорож у теплі краї». Більшість просто не хоче усвідомити, якими можуть бути наслідки такої легковірності. Щоб надати клієнтові знижку чи запропонувати новий товар, досить єдиного параметра для ідентифікації, наприклад, номера телефону. Тож коли задля надання незначної знижки у вас вимагають розповісти про себе геть усе, слід замислитися, навіщо збирають таку інформацію. Отже, питання надмірного збирання даних нині насправді актуальне, і його слід врегулювати у законодавстві», — зауважила фахівець.

А споживачам, на її переконання, слід усвідомити, що надійно зберігати їхні персональні дані, передані під час замовлення чи купівлі товару, нині можуть собі дозволити лише великі добре фінансовані бізнеси, які вкладають чималі кошти у такі програмні продукти. Але не середній, і надто малий бізнес. Це просто факт, на який слід зважати, коли у магазині чи на вулиці вам пропонують надати контактну інформацію, спокушаючи примарними бонусами.

Всеукраїнська асоціація контакт-центрів плідно співпрацює з департаментом кібербезпеки Національної поліції, щоб викривати конкретні випадки, коли контактні центри використовують персональні дані клієнтів не за призначенням або продають клієнтські бази.

Бізнес, який насправді хоче навчитися надійно зберігати особисті дані клієнтів, може вже проходити тренінги в асоціації, а згодом, можливо, й отримати відповідну сертифікацію.

Не слід забувати, що особливо обачним з розповсюдженням своїх даних слід бути саме нині, в часи гібридної агресії РФ, постійних кібератак на Україну та Європу. Тому свідоме ставлення до інформації про себе — без перебільшення, питання національної безпеки.

Баланс публічного і приватного

Представник уповноваженого з дотримання права на інформацію та представництва в Конституційному Суді Віктор Барвіцький зауважив, що цього року до річниці ратифікації конвенції Ради Європи «Про автоматизовану обробку персональних даних» №180 уповноважений представив рекомендації, пов’язані з відеоспостереженням. Адже відеокамери щодня дедалі більше інтегруються в повсякденну інфраструктуру. Нині вони є в більшості установ, організацій, закладів, на автошляхах тощо. Мета парламентського контролю — захист, сприяння поновленню порушених прав, утвердження поваги на дотримання права людини на приватність.

«Останнім часом кількість звернень до уповноваженого зі скаргами на порушення цього права зросла вдвічі: якщо протягом 2020 року ми отримали близько 2 тисяч таких повідомлень, то 2021-го — майже 4 тисячі. Здебільшого проблеми виникають у людей під час взаємодії з банківськими, кредитно-фінансовими установами й колекторами. Нещодавно було внесено зміни до законодавства про колекторську діяльність, та, на жаль, вони себе не виправдали і фактично не працюють. Серед частих звернень — скарги на несанкціоноване оприлюднення особистих даних в інтернеті (соцмережах, меседжерах, на сайтах тощо)

За кожним зверненням ми, безперечно, вживаємо заходів реагування: фіксуємо, складаємо протоколи, відкриваємо провадження й надсилаємо їх до суду. Мета уповноваженого — ретельно розібратися в конкретній ситуації й зайняти таку позицію, яка б утверджувала баланс публічного і приватного інтересу. І що більше органів та інституцій опікуватимуться цими питаннями, то краще буде захищено права людини на приватність у нашій країні», — зазначив він.

Україна потребує оновленого законодавства в галузі захисту персональних даних, аналогічного європейському. А поки що кожен має усвідомити, що важлива інформація про особу — не лише паспортні дані, код платіжної картки або номер банківського рахунку, а й номер телефону, реальна й електронна адреси і навіть cookiе-файли наших гаджетів. І необачне поширення її може зробити нас жертвою шахрайства.