Боротьба з несанкціонованим доступом і незаконними операціями з обробки персональних даних

Мабуть, кожен читач і кожна читачка цих рядків хоча б раз отримував(ла) дзвінок з компанії/установи, клієнтом якої не є, з ввічливим звертанням на ім’я по батькові, есемес рекламного змісту або імейл/поштовий лист із відчайдушним закликом щось придбати. І у зв’язку з цим замислював(ла)ся: а звідки їм відомо мій номер телефону/імейл/адреса? В сучасну інформаційну еру зберегти свої персональні дані недоторканими виявляється неабияким зусиллям. Але є низка заходів, у тому числі на державному рівні, які можуть допомогти це зробити.

Володілець персональних даних – фізична або юридична особа, яка визначає мету обробки персональних даних, встановлює склад цих даних та процедури їх обробки, якщо інше не визначено законом. Стаття 2 Закону України “Про захист персональних даних”

Нині в Україні володільці персональних даних визначають власну політику безпеки персональних даних, яка, на жаль, сьогодні у більшості випадків не відповідає вимогам закону. Часто-густо існує небезпека несанкціонованого доступу до систем обліку персональних даних (відомості чи сукупність відомостей про фізичну особу) і незаконних операцій з обробки таких даних.

Однією із причин такої ситуації є те, що значна кількість установ (організацій) в Україні, які обробляють персональні дані (ці самі володільці персональних даних), не знають положень правової бази, що регулює цю сферу, а також зобов’язань щодо забезпечення конфіденційності та заходів безпеки під час обробки даних. У зв’язку з цим суб’єкти персональних даних (фізична особа, персональні дані якої обробляються) щодня піддаються ситуаціям, коли володільці даних, зокрема медичні установи, правоохоронні органи, банки, постачальники інтернет-послуг тощо, зловживають об’ємом і категоріями даних, які ними обробляються, при цьому грубо порушуючи положення закону про захист даних.

Питанню приватності особи, зважаючи на його фундаментальну значущість та ключову роль у системі захисту прав людини, приділено значну увагу в системі міжнародного права. Зокрема право на повагу до приватного й сімейного життя передбачене статтею 8 Конвенції про захист прав людини і основоположних свобод. Законом України від 6 липня 2010 року Україна ратифікувала Конвенцію Ради Європи про захист осіб у зв’язку з автоматизованою обробкою персональних даних та  Додатковий протокол до неї. 

Крім того, поряд із міжнародними положеннями, право людини на недоторканість особистого життя закріплене в статті 32 Конституції України. Для запровадження механізмів реалізації взятого на себе зобов’язання Верховною Радою України ухвалено Закон України “Про захист персональних даних”, який набув чинності 1 січня 2011 року. (3 липня 2013 року Верховна Рада України прийняла Закон України “Про внесення змін до деяких законодавчих актів України щодо удосконалення системи захисту персональних даних”, який набув чинності 1 січня 2014 року).

Усі вищезазначені національні та міжнародні положення покликані для належного забезпечення фундаментального права людини на повагу до приватного й сімейного життя.

11 порушень, на які звертаємо увагу

Однак, як свідчать результати моніторингу громадських організацій, повідомлення в ЗМІ та Уповноваженого Верховної Ради України з прав людини щодо стану забезпечення права на захист персональних даних в Україні, сьогодні встановлено численні ситуації порушення принципів обробки персональних даних.

Найпоширеніші з них такі:

  • несанкціонований доступ до персональних даних державними та приватними установами, включаючи правоохоронні органи за відсутності законної підстави та обґрунтованої мети такого доступу;
  • незаконна обробка чутливої категорії персональних даних шляхом надання необмеженого до них доступу та розкриття для широкого загалу, а також збір надмірного об’єму даних щодо цілей, для яких вони обробляються в подальшому;
  • недотримання прав суб’єктів даних на інформування й доступ до інформації про операції з обробки персональних даних, які їх стосуються;
  • недотримання режиму конфіденційності та безпеки обробки персональних даних у випадках незаконної передачі баз персональних даних між володільцями даних, зокрема з метою особистих інтересів;
  • невключення в трудові договори (контракти) або посадові інструкції зобов’язання про нерозголошення співробітниками персональних даних, до яких вони мають доступ, у тому числі після завершення їхньої трудової (професійної) діяльності;
  • обробка персональних даних з метою, несумісною з тією, з якою їх було зібрано спочатку;
  • відсутність належної політики безпеки персональних даних, затвердженої володільцем таких даних;
  • невикористання спеціальних технічних і програмних засобів захисту, зокрема ліцензійних й антивірусних програм, у ході організації контролю безпеки програмного забезпечення для обробки персональних даних;
  • відсутність відповідальних осіб з питань захисту даних в установах, організаціях, які є володільцями баз даних.
  • передача даних через незахищені канали, у тому числі приватні поштові скриньки в мережі Інтернет.

На додачу в більшості випадків інформація, яка збирається й використовується в державних органах (органах місцевого самоврядування), не архівується в формати, які забезпечують певний рівень безпеки та конфіденційності інформації, а також не ведеться належний її облік. Або взагалі така інформація є надлишковою, тобто не зрозуміло, з якою метою збирається та накопичується така кількість (вид) інформації. Тому на нашу думку, у більшості випадків порушення принципів захисту даних є наслідком службової (професійної) недбалості.

Нещодавно функції контролю щодо забезпечення права людини на захист персональних даних були покладені на Уповноваженого з прав людини. Це дозволяє більш системно підійти до вивчення та аналізу стану дотримання інформаційних прав громадян, у тому числі в діяльності правоохоронних органів. 

Суспільство, у якому гарантований захист персональних даних

Але ідеал, до якого потрібно прагнути, не ілюзорний, а цілком реальний. Для цього потрібно вжити низку заходів, які спочатку призведуть до поліпшення загальної ситуації з дотримання прав людини на захист персональних даних, а в довгій перспективі забезпечать становлення суспільства, в якому захист даних цілком гарантований. Основою такого суспільства є такі відносини, коли володільці даних забезпечують конфіденційність та безпеку обробки персональних даних, громадяни знають про свої права на захист таких даних, а держава забезпечує ефективний механізм державного контролю щодо обробки персональних даних.

Для поліпшення ситуації у сфері захисту персональних даних доцільно розробити комплексну програму діяльності у цій галузі, передбачивши у ній реалізацію конкретних і дієвих заходів за наступними напрямами:

  • удосконалення нормативно-правового забезпечення;
  • формування у державних службовців стійких внутрішніх переконань щодо їхньої відповідальності за порушення права людини на захист персональних даних та набуття ними необхідних знань та навичок.

    Важливим кроком до цього має стати внесення відповідних змін до програм підготовки та перепідготовки державних службовців.

  • інформування населення про його права на захист персональних даних, зокрема через залучення до цієї діяльності громадських організацій;
  • підвищення правової та політичної культури громадян України у цій сфері;
  • вжиття комплексу конкретних та дієвих заходів щодо підвищення технологічної забезпеченості інформаційної безпеки;
  • створення ефективних механізмів контролю як державного, так і громадського, насамперед за допомогою ЗМІ, за забезпеченням права на захист персональних даних в органах державної влади та місцевого самоврядування.

Такі нескладні кроки стануть ефективними інструментами в боротьбі з несанкціонованим доступом і незаконними операціями з обробки персональних даних.

Уляна Шадська, керівник програми “Відкритість правоохоронної системи” 

Posted in Новини, Публікації.