Вхід для користувачів
 




29 березня 2012

Заступник Голови ДСПЗД Володимир Козак та доктор права Андрій Пазюк: Реєстрація баз персональних даних зайшла в глухий кут?

Автор: Оксана Приходько

Свою першу річницю Державна служба України з питань захисту персональних даних (ДСЗПД) буде святкувати за чотири місяці. Зараз це - 51 штатна одиниця, 5 маленьких кімнат на 12 поверсі великого офісного приміщення на Лівому березі, безкінечні шафи з необробленими заявками на реєстрацію баз даних, 8,8 млн. грн. бюджету на 2012 рік. А ще – перші 10 здійснених перевірок „володільців” та „розпорядників” баз персональних даних щодо дотримання ними вимог законодавства у сфері захисту персональних даних. З переліком перевірених організацій можна ознайомитись на сайті Служби (http://zpd.gov.ua/dszpd/uk/publish/article/33812), підставою для призначення перевірок були скарги громадян, порушень законодавства було виявлено чимало, проте закінчувалось все поки що рекомендаціями та приписами (відповідальність за порушення законодавства про захист персональних даних відтермінована до 1 липня 2012 року).  

Незважаючи на те, що ратифікація Конвенції Ради Європи про захист осіб стосовно автоматизованої обробки даних особистого характеру (Конвенція 108) та прийняття відповідного національного закону є однією з важливих складових виконання наших зобов’язань перед Страсбургом, ухвалення Верховною Радою України 1 червня 2010 року Закону України „Про захист персональних даних” стало дуже неприємною несподіванкою для більшості експертів. Замість ефективного механізму контролю з боку громадян над державними структурами та бізнес-корпораціями щодо збирання, обробки та використання інформації про особу Україна отримала потужний важіль тиску з боку держави на бізнес та громадян та додаткове суттєве фінансове та бюрократичне навантаження  на різноманітні організації.

І вітчизняні, і закордонні експерти (в Україні, до речі, минулого місяця стартувала спільна програма Ради Європи та Євросоюзу, присвячена саме захисту персональних даних) не втомлюються перераховувати недоліки українського законодавства в цій сфері та наголошувати на необхідності термінового внесення змін до нього. Таку необхідність визнають і в самій ДСЗПД – в організації, яка, завдяки своїй незалежності та довірі з боку суспільства і має захищати перед державними структурами та бізнесом права „свідомих українців”. Незалежності, на жаль, нема навіть на папері (згідно з Указом Президента України від 9 грудня 2010 року діяльність Служби спрямовується через Міністра юстиції). Про довіру, за умови відсутності багатьох підзаконних актів, затвердженого порядку контролю з боку Служби, чітких рекомендацій, виписаних процедур тощо та механізмів контролю громадськості над Службою говорити не доводиться. Тотальна істерія, яка супроводжувала масову реєстрацію Бозна чого і Бозна заради чого напередодні Нового року, потужний спротив кількох галузевих об’єднань, активна антикампанія в ЗМІ встановленню конструктивного діалогу між регулятором та суспільством аж ніяк не сприяла. Тим не менш Володимир Козак, заступник Голови ДСПЗД, відмічає один безсумнівний позитив – над необхідністю захисту даних в українському суспільстві почали замислюватися, а рівень обізнаності щодо вимог українського Закону та європейської Конвенції значно зріс. Поки що це, правда, насамперед стосується тих, хто має відношення до обробки чужих даних. Але і зацікавленість в цьому питанні „суб’єктів обробки персональних даних” поступово зростає. Так, якщо в минулому році ДСПЗД реєструвала 1-2 скарги на тиждень, то цього року цей показник сягнув вже 3-5 на день. На що саме скаржаться українці, яким чином розглядаються ці скарги, як захищає права особи реєстрація баз даних, чи можливо взагалі виконання вимог Закону України „Про захист персональних даних” – на ці питання АЄЖ відповідав п. Козак.

- Володимире Федоровичу, з якого боку ви вбачаєте  зараз  найбільші загрози щодо захисту персональних даних?

- Найбільш поширене порушення, з яким ми будемо дуже активно боротися – недотримання права кожного громадянина знати, хто і на яких умовах обробляє його персональні дані, з якою метою, куди можна звернутись із скаргою, яким чином можна вимагати припинення обробки своїх  даних, виправити щось. Чому саме це відбувається? Організації або не знають, що вони є загрозою захисту персональних даних, або відверто ігнорують ці загрози. Це стосується і заповнення анкети на знижку в магазинах, і відеоспостереження, і реєстрації на сайтах. Але в першу чергу я б виокремив три сфери діяльності, ризики порушень законодавства в яких великі:

1) передача даних колекторським структурам (і тут я хотів би наголосити, що ці ризики несе не лише діяльність колекторів, деякі з яких вже почали враховувати вимоги Закону, а й тих організацій, які передають інформацію колекторським організаціям, і навіть не усвідомлюють, що часто при цьому вони порушують чиїсь права);

2) житлово-комунальне господарство, реформа якого ще не закінчилась. Протягом останнього десятиліття було створено безліч додаткових бізнесово-адміністративних схем,  включно з окремими розрахунковими  центрами щодо окремих послуг, яким передаються персональні дані для обробки.  Є випадки, коли  здійснюється сповіщення про борг за сплату комунальних послуг по місцю працевлаштування боржників;

3) директ маркетинг. І тут знов таки потрібно провести межу між „диким” директ маркетингом, і цивілізованим. Що означає останній? Наприклад,  деякі організації дуже серйозно ставляться до проблеми захисту персональних даних – залучають висококваліфікованих юристів для розробки нормативних документів, працюють над забезпеченням організаційних та технічних заходів. На підставі документу Європейської асоціації директ маркетингу розроблено проект власного галузевого Кодексу поведінки щодо виконання законодавства по захисту персональних даних, що є дуже позитивним прикладом.

- Про повідомлення щодо заборгованості про комунальні послуги по місцю роботи – неможливість цього зазначена в Законі України „Про захист персональних даних”?

-  Та ні, звичайно. Інформацію про вас можуть збирати та обробляти або на підставі законів України, або на підставі вашої інформованої задокументованої згоди. Законодавством України передбачено повідомлення  ЖЕКами інформації про заборгованість до місця працевлаштування своїх мешканців? Ні. Ви давали задокументовану згоду? Сумніваюсь. Тобто, мова іде про порушення прав громадян України.

- Скільки скарг ви вже отримали? Хто має право до вас скаржитись? Хто і як приймає рішення щодо засобу реагування на скаргу?

- Зараз отримано десь понад 100 скарг. Скаржитись має право лише фізична особа, яка є суб’єктом персональних даних. Якщо порушення серйозне – то достатньо і однієї скарги. Зазвичай ми отримуємо декілька скарг на одну й ту саме проблему. Спочатку ми надсилаємо інформаційні запити до організації,  на яку поскаржились (хоча найчастіше нам скаржаться одразу на декілька організацій, саме через те, що згода на обробку персональних даних давалась одній організації, а відомості опинились у розпорядженні зовсім іншої). Якщо інформація, яку ми отримуємо, нас не влаштовує – ми можемо  звернутися до громадянина,  який до нас поскаржився, він нам дає документовану підписану згоду, із засвідченням своєї особи (адже скарга може бути і неправдивою, таке теж не можна виключати), і тільки після цього Голова Служби приймає рішення про призначення перевірки. Зараз здійснюється розробка нормативно-правового документу, який буде визначати порядок контролю.

- Яким чином здійснюється перевірка? Чи отримує організація якесь повідомлення про можливість перевірки?

- Після ухвалення рішення про проведення перевірки видається   наказ, створюється група, яка буде здійснювати перевірку, пишеться лист, що буде перевірка. Звичайно, це дає організації час щось там виправити, і ми це чудово усвідомлюємо. Ми перевіряємо підстави для обробки персональних даних, наявність відповідних документів, наявність відповідальної особи. Якщо якихось складових не вистачає - пишемо припис, що це є порушенням. У випадку невиконання припису має складатись адміністративний протокол, який, за рішенням Голови ДСПЗД, передається до суду. Але поки що таких прецедентів не було.

І тут я хотів би підкреслити, що крайні заходи мають вживатись лише тоді, коли підприємства, установи чи організації не хочуть і не збираються вживати заходів. І у нас такі є. Наприклад, посилаючись на комерційну таємницю, нам відмовляють у наданні інформації щодо того, кому і на яких підставах передавалась персональна інформація. В цьому випадку написання документу, на базі якого має бути складений адміністративний протокол – це наше право і наш обов’язок, інакше взагалі ніякого захисту персональних даних не буде.

- А як щодо обовязковості письмового повідомлення особи щодо включення її в базу даних?

- Ну, це ви піднімаєте дуже „бородате” питання. Так, цю вимогу Закону (а особливо щодо повідомлення про передачу даних) дійсно в багатьох випадках фізично не можливо виконати. Буде можливість – будемо надавати пропозиції щодо внесення змін до Закону.   

- Що таке планова перевірка, хто і як її призначає?

- Це ми вже обговорюємо проект документу, який, можливо, і не буде ухвалений. Там мова іде про планову перевірку баз даних, що відносяться до групи ризику. Зокрема це стосується тих баз даних, які без попередньої перевірки взагалі створювати не можна. Наприклад, щодо обробки біометричних даних. Якщо ви захочете щось таке зареєструвати, ви не зможете цього зробити без попередньої перевірки з нашого боку.

Критерії включення володільців до плану перевірок буде визначено Порядком контролю з питань захисту персональних даних. План перевірок буде обов’язково оприлюднюватися.

- Який відсоток заяв на реєстрацію баз даних ви вже обробили? Що ця реєстрація дала вам, і що – нам, з точки зору підвищення захисту наших персональних даних?

- Реєстрація зайшла в глухий кут, і навряд чи Служба коли-небудь справиться з усіма заявами на реєстрацію. Вихід із ситуації – зміни до Закону, після чого потрібно аби взагалі відмовлятись від реєстрації, або обмежуватись реєстрацією 10-20 відсотків баз даних від тих, що підлягають реєстрації зараз.

Більш того, при завеликій кількості заяв на реєстрацію (ми вже отримали 2 млн. заяв, хоча очікували всі 4 млн.) інформації, яка міститься в цих заявах, для ефективного захисту персональних даних недостатньо. Більш того, вона не є достатньо формалізованою, що створює складнощі як під час подання заяв, так і під час їхньої обробки.

Кожна організація тим чи іншим чином обробляє  персональні дані. В цьому нема нічого страшного. Проте кожна організація має усвідомити свою відповідальність за таку обробку. І ця відповідальність має починатись з того, що кожен має відкрито оголосити, що я обробляю такі-то і такі-то дані. Починаючи від Міністерства внутрішніх справ і Служби безпеки. Цей принцип залишиться незмінним.

- І вони це дійсно зробили? І все там дійсно є прозорим і підзвітнім?

- Вони це зробили. МВС, якщо не помиляюсь, зареєструвало 14 баз даних, Міноборони - 4. Це все можна подивитись на нашому сайті у відкритому реєстрі (https://rbpd.informjust.ua).А ось щодо прозорості та підзвітності – це окреме питання. Щоб відповісти на нього, треба бачити Закон про діяльність міліції, аналізувати, яким чином ТАМ  визначені підстави збирати та обробляти персональну інформацію. Зрозуміло ж, що не в кожному випадку можна очікувати згоди на збирання та обробку інформації з метою збереження спокою та підтримки порядку.

- Так, це дійсно зрозуміло. Не зрозуміло, чи можу я вимагати від СБУ або МВД повідомити мене, чи збирається на мене якась інформація?

- Можете. В країні, яка ратифікувала Конвенцію 108, не може бути баз даних, про які не відомо громадськості. Так, дійсно, інформація щодо вас може збиратись і без вашої особистої згоди, в певних встановлених законом випадках. Але ви маєте право знати, хто, яку інформацію, для чого саме збирає і що з нею робить.  Закони, які визначають можливість збору інформації без згоди, є. Але їх потрібно доопрацьовувати.

Реєстрація баз даних СБУ, МВС, Міноборони вже почалась. Є розуміння того, що їх дійсно треба реєструвати. А далі це все треба прив’язати до процедури, до цілої піраміди відповідальності. Є відповідна робоча група, є непочатий край роботи в цьому напрямку.

Є ще дуже важливий напрямок роботи – про заявлення прав громадянина на дотримання його прав щодо доступу до персональних даних в правоохоронній сфері. Зрозуміло ж, що в правоохоронній сфері не може бути прямого вільного доступу до будь-яких баз даних. Але цей доступ має бути обмеженим рівно настільки, наскільки це необхідно. І в цьому напрямку в нас ще нема ані  справжнього контролю з боку уповноваженого органу, ані з боку громадськості. Резолюція 15 Комітету Міністрів Ради Європи вимагає встановити в кожній країні контроль з боку громадськості через уповноважений орган. Тобто, саме наша служба має відстежувати, що має бути розголошеним, а що – ні. В кожному правоохоронному органі має бути створена структура, яка опікується базами даних, і яка має співпрацювати з нами.

- Реєстрацію яких саме баз даних ви вимагаєте від правоохоронних органів, зокрема? Тих, що створюються саме зараз?

- Ні, звичайно. Зараз створюється хіба що один відсоток по відношенню до тих баз даних, які вже існують. Персональні дані оброблялись, обробляються і будуть оброблятися. Реєстрація баз даних – це усвідомлення необхідності проголошення існування різних баз даних у відповідності до різних завдань. Коли ці завдання розділені, коли процедура виписана – ось тільки тоді можна казати про реєстрацію баз даних.

Навіть, власне, реєстр баз персональних даних.  Є громадянин, який написав заяву. Є посадовець, який її обробив. Є посадовець, припустимо, який цю базу даних зареєстрував. В нього є логін, є пароль, є інформація, коли він обробляв цю інформацію, скільки часу. Ця інформація не є аж занадто чутливою. Я просто хотів  продемонструвати, яких зусиль і якого часу вимагає усвідомлення усіх тих процесів,  які відбуваються під час обробки персональної інформації

- До речі, а ви свою базу даних зареєстрували?

- Звичайно, ми зареєстрували три бази даних, зараз усвідомили необхідність зареєструвати ще і четверту.

- А щодо різноманітних груп в соціальних мережах, на сайтах тощо? Я є членом вашої групи на LinkedIn. Чи зареєстрували ви цю базу даних?

- Хочу вам нагадати, що Конвенцію 108 ухвалили 1981 року, коли ані Google, ані Facebook, ані LinkedInне було. Зараз іде робота над ухваленням нової редакції цієї Конвенції, яка, сподіваюсь, буде охоплювати і нові виклики. Наразі у нас відношень з представництвами згаданих вами компаній в Україні ще нема. Проте є досвід співпраці представництва Googleв Ірландії з ірландським уповноваженим органом щодо захисту персональних даних. Там відбулась перевірка, було складено протокол, Googleвзяв на себе зобов’язання його виконувати. Окрім того, такі компанії зазвичай чітко прописують свою політику в сфері обробки персональних даних. Їх, звичайно, майже ніхто не читає, просто автоматично ставлять „галочку” в клітинці „погоджуюсь”.

З точки зору нашого законодавства саме ці компанії є володільцями баз даних. А володілець зобов’язаний не тільки зареєструвати базу даних, а ще й дотримуватися інших вимог законодавства. Як можна подати на них до суду – це проблема не тільки України, а й інших країн ЄС.

Що ж до  кожної окремої сторінки або групи – доки ви за їхньою допомогою просто створюєте власний контент – щось там дискутуєте, обговорюєте – ви не є ані розпорядником, ані володільцем бази даних. Українське законодавство розмежовує відповідальність фізичних та юридичних осіб. Якщо ви використовуєте цю групу для задоволення своїх власних потреб як фізична особа – жодних проблем не має бути. Якщо як юридична, для задоволення інших потреб – треба дивитись. 

Інший випадок – реєстрація на сайтах, які невідомо кому належать.

Кожний сайт, який з’явився, має написати, а хто він такий. Перш ніж ви звернулись по реєстрацію на сайті, ви маєте отримати інформацію, хто саме і для чого буде обробляти надану вами інформацію. Ось приклад FinancialTimes– політика безпеки виписана,  є адреса, є контактна інформація, куди можна звернутись зі скаргою. А, якщо ми візьмемо будь-який вітчизняний сайт, там ми таку інформацію дуже рідко знайдемо.

- Давайте візьмемо сайт вашої служби

- Наш сайт не містить жодних елементів інтерактивності. Ми отримуємо електронну пошту, і політику щодо неї ми оголосимо.  І, звичайно, на сайті є наша юридична адреса і усі контакти. Там є деякі недопрацьовані моменти, але ми над ними працюємо.

- Тобто, якщо на сайті організації є реєстрація, наприклад, вона вже має реєструвати у вас цю базу даних?

- Сайт не обов’язково є окремою базою персональних даних, частіше це елемент іншої бази даних, наприклад бази персональних даних клієнтів, відвідувачів, учасників дисконтних програм, тощо. Закон вимагає реєструвати всі бази персональних даних.  Не просто зареєструвати, а визначити мету збирання та обробки персональних даних, процедуру, призначити відповідального, забезпечити відповідний захист. Наприклад, навіть якщо у вас передбачена ця сама „галочка” на знак згоди з умовами обробки даних, вам потрібно ще щонайменше забезпечити систему збереження та забезпечення цілісності логів, завдяки яким потім ви зможете доводити, який абонент з якого IPі коли зайшов і поставив цю саму галочку.

- Це потребує послуг як юриста, так і фахівця з інформаційного захисту. Чи може собі дозволити таке кожна школа, кожен ЖЕК, волонтерські організації? Чи ви готові розробити для них типові рекомендації та вивісити їх на своєму сайті?

- Розробка таких рекомендацій буде нами здійснюватися. Ми працюємо з Мінюстом щодо визначення правового статусу і форми таких рекомендацій. Водночас, ми вважаємо, що такі рекомендації необхідно розробляти спільно з фахівцями профільних міністерств, адже саме вони знають детально цілі та процедури обробки інформації в конкретних галузях.

Ми готові також співпрацювати з професійними асоціаціями щодо розробки кодексів поведінки стосовно обробки персональних даних в тих чи інших сферах.

+++++ 

За коментарями щодо відповідності українського законодавства в сфері захисту прав людей на приватність їхнього життя АЄЖ звернулась також і до доктора права Андрія Пазюка, який займався розробкою цієї теми ще з 2002 року, а зараз є керівником проекту «Кібер-право» на кафедрі міжнародного права Інституту міжнародних відносин КНУ імені Тараса Шевченка.

- Андрію Валерійовичу, на вашу думку, ухвалення Закону України „Про захист персональних даних” та перші результати діяльності відповідної служби розширюють права та свободи українців, чи навпаки, звужують їх?

- Суть Конвенції Ради Європи полягає у захисті людської гідності – людина не повинна розглядатися як об’єкт, що піддається обробці «бездушною» машиною. Звідси випливає, що рішення стосовно людини не можуть прийматися виключно на результатах, здобутих при автоматизованій обробці персональних даних. Людина має право знати про обробку даних та оскаржувати неправомірне поводження з даними про її особистість. Проте створений за українським законом державний механізм нагляду не гарантує захист прав громадян, а несе їм ще більшу загрозу. Масова реєстрація баз даних лише призводить до створення ще однієї державної, але концентрованої бази даних, що суперечить принципам Конвенції. Адже головною метою закону є захист не персональних даних, а насамперед прав громадян, чиї дані збираються і використовуються як державними органами, так і бізнесом.

Закон залишає громадянам право звертатися до суду за захистом своїх порушених прав, але не створює передумов для запобігання порушенням.  

- Які, на Вашу думку, положення закону слід змінити?

- Поширеною в європейських країнах, і не тільки, а також у Канаді, Австралії є модель, коли крім адміністративного органу захисту персональних даних, існує також парламентський або громадський орган (уповноважена особа), що сприяє захисту прав громадян у сфері обробки персональних даних. Нерідко така уповноважена особа сприяє також у здійсненні права на доступ до публічної інформації, що дозволяє покращити транспарентність державного управління.  Можливо, що цей досвід міг би бути корисним для України. Доречи, наразі триває обговорення змін до Конвенції, що передбачають збільшення повноважень для діяльності таких органів, зокрема, вступати у судові процеси в інтересах суб’єктів даних.

На які зміни в Конвенції слід очікувати і чим вони викликані?

- Останні зміни до Конвенції вносилися у 2001 році, а самій Конвенції понад 30 років. За цей час з’явилося багато нових загроз приватності, які привнесені розвитком інформаційних технологій. Серед нових положень хочу відзначити вимоги щодо транспарентності процедур обробки. Це покладатиме на обробників надання суб’єктам даних повної інформації про наявність чи відсутність обробки, повідомлення на їх запит усієї цієї інформації, а також повних відомостей  про походження та джерела інформації, логічні алгоритми, використані для автоматизованої обробки при прийнятті рішень, негайні повідомлення при виявлених порушеннях. Запроваджується  так званий «внутрішній аудит», що передбачає аналіз ризиків до початку обробки даних, що здійснюватиметься як власним, так і залученим сертифікованим персоналом.

- Надзвичайно важливим є питання балансу між правом на захист приватного життя та свободою інформації. Як захистити приватність, не обмежуючи свободу слова? Адже обидві свободи є фундаментальними для демократичного суспільства. Чи дає відповідь на це питання Конвенція?

- Не випадково, що зміни торкнуться і цього гострого питання, при відповіді на яке слід дати оцінку - який інтерес переважає у конкретному випадку. Робоча група пропонує визначити конкретні випадки, які права суб’єкта даних і в якому обсязі підлягають обмеженню, якщо обробка персональних даних здійснюється виключно для передачі інформації для загалу в суспільних інтересах.

- А яким чином повинні захищатися права, якщо персональна інформація поширюється в Інтернеті, що не має національних кордонів?

- Дякую за запитання, воно дійсно надзвичайно актуальне. Дуже часто, забуваючи про  власну безпеку, користувачі соціальних мереж необачливо надають дозвіл на поширення про них інформації. Проте, на жаль, це також трапляється і без їхнього відома, коли від їхнього імені розпочинається спілкування з невизначеним колом осіб, пропонується встановлення контактів. І все це робиться за допомогою програм, які беззастережно розпоряджаються нашою, так званою, «цифровою ідентичністю», персональними даними, у тому числі інтимними зображеннями та уподобаннями, які збираються тими ж програмами без відома людини. До речи, запропоновані робочою групою Ради Європи зміни до Конвенції № 108 (в ред. 5.03.2012р.), передбачають поширення її дії та відповідно захисту прав стосовно обробки персональних даних на «віртуальний» простір. А отже, є надія, що свавілля з персональним  даними в соціальних мережах буде зупинено. Принаймні, у кожного з нас з’явиться правовий механізм протидії порушенням на підставі законодавства про захист персональних даних, якість якого має бути покращена в інтересах, насамперед, громадян. 




Коментарі

 


RSS 2.0 contacts home