З травня український ринок інфобезпеки хитає від постійних новин про витік персональних даних. Чому так і як з цим боротись – розбиралась наш постійний спікер Оксана Духовна, к.ю.н., адвокатка, партнерка INPRAXI LAW.

Точка відліку – травень. З’являється кілька Telegram-ботів, що поширюють персональні дані мільйонів українців від паролів соцмереж до паспортних даних, водійських посвідчень і даних банківських карток.

Липень – витік бази даних сервісу CloudFlare: 3 млн сайтів, серед них 45 записів із доменом gov.ua та понад 6,5 тис. із доменом ua. Частина оприлюднених ресурсів належить об’єктам критичної інфраструктури.

Того ж місяця було виявлено чат-бот, який поширював персональні дані українських військових: ПІБ, номера військових частин, дати самовільного залишення військових частин щодо 6 907 військових.

Серпень – Франція почала розслідування проти TikTok через незаконний збір мережею конфіденційних даних її користувачів (інформація про контакти, процесори, серійні номери пристрою та IP, а також дані про встановлені програми і точки Wi-Fi) та стеження за ними.

До чого тут Україна? Усе просто: за даними агентства Wideworks, яке з червня 2020 року є офіційним партнером TikTok в Україні, у TikTok зареєстровано майже 3,2 — 3,4 млн українців.

І хоча наразі жодних скарг з боку українських користувачів не зафіксовано, ми впевнені, що це лише справа часу та рівня обізнаності українців про свої права щодо збереження персональних даних.

25 жовтня 2017 року Україна в особі Кабінету міністрів самостійно визначила для себе завдання імплементувати Загальний регламент із захисту персональних даних (GDPR) у національне законодавство до офіційного набуття ним чинності, а саме до 25 травня 2018 року.

Тоді український бізнес подумки нервово підраховував можливі багатомільйонні штрафні санкції (10 – 20 млн євро) за порушення Регламенту та сподівався, що все минеться.

І все минулося. Принаймні сьогодні немає жодного відомого прецеденту щодо накладання штрафу за недотримання GDPR українськими компаніями.

Якщо брати до уваги останні дані Privace Affairs щодо загальної кількості призначених штрафів за порушення Регламенту з моменту набрання ним чинності, а це 340 штрафів на загальну суму 158,13 тис. євро, то виникає логічне запитання: а чи всі українські компанії чітко дотримуються Регламенту? Чи, можливо, українці не знають своїх прав?

Наразі збір, обробка, поширення в Україні персональних даних відбувається фактично безконтрольно, без притягнення до відповідальності винних осіб і застосування до них штрафних санкцій, з одного боку, і через недбалість самих користувачів – з іншого.

І якщо на розв’язання першої проблеми українці вплинути майже не в змозі через відсутність спеціального регуляторного органу, який би здійснював нагляд за дотриманням законодавства у сфері захисту персональних даних і притягував до відповідальності осіб, які винні в їхньому «зливі», то недбалість або навіть слабку проінформованість українських користувачів подолати можливо.

Digital Law

Передусім пам’ятайте, що, залучаючись до будь-якої онлайн-активності — від користування соціальними мережами, месенджерами до онлайн-покупок, онлайн-марафонів і тренінгів, користувачі добровільно надають масу своїх персональних даних.

І якщо ви користуєтеся програмами або застосунками компаній, які працюють на території ЄС, ви маєте такі права:

  • право знати, хто і навіщо обробляє ваші особисті дані;
  • право доступу до своєї персональної інформації;
  • право на виправлення персональних даних;
  • право на очищення даних, або «право бути забутим»;
  • право на обмеження або блокування обробки даних;
  • право перенесення персональних даних з одного сервісу до іншого;
  • право заперечувати проти обробки даних;
  • право особисто впливати на автоматизовані системи збору та профілювання.

Крім того, ви можете надіслати безкоштовний запит щодо використання своїх даних і обов’язково отримати відповідь протягом одного – трьох місяців.

У разі неотримання відповіді протягом трьох місяців користувач має право звернутися до регіонального або європейського органу, що контролює дотримання норм GDPR.

Також компанії, що долучилися до GDPR, крім розробки та впровадження внутрішніх політик обробки персональних даних, на обов’язковій основі вводять у дію процедуру щодо реагування та розслідування інцидентів, пов’язаних із персональними даними.

Адже порушення вимоги щодо повідомлення про інцидент протягом 72 годин на практиці обертається для компаній жорсткішим у грошовому еквіваленті покаранням (штрафом).

Крім того, такі компанії вживають заходів щодо захисту персональних даних, які вони обробляють, з використанням безлічі доступних зараз комп’ютерних технологій. Зокрема, йдеться про такі заходи, як-от:

  • шифрування та псевдонімізація персональних даних;
  • забезпечення конфіденційності й цілісності системи обробки даних;
  • вчасне відновлення доступу як самих суб’єктів персональних даних, так і уповноважених осіб до них у разі якогось інциденту (атака, витік даних тощо).

Також у компаніях обов’язково призначаються відповідальні за захист персональних даних (контролер, процесор, Data Protection Officer) — саме вони ведуть облік, обробку персональних даних і першими реагують на їхній витік.

Отже, пам’ятайте про свої права та не зволікайте нагадувати про них компаніям-порушникам.

Читайте також: Digital та автоматизація в юридичній компанії

Pin It on Pinterest