20 листопада 2018

Збір персональних даних та інформаційна безпека

Збір персональних даних та інформаційна безпека

Автор: Олександр Зозуля, доктор философії у сфері права, старший юрист

Назва ЗМІ: «Юрист&Закон»

Вихід: 20.11.2018

Проблема регулювання процесу збирання персональних даних, збереження інформаційної безпеки та інші супутні питання, пов'язані з роботою з персональними даними в нашій країні, нині є відносно вирішеною та відомою широкому загалу юристів. Очевидно, що законодавство не досконале та потребує поліпшення, однак основні положення регулює Закон України "Про захист персональних даних" від 01 червня 2010 року № 2297-VI. Так, відповідно до ст. 12 указаного Закону збирання персональних даних є складовою процесу їх обробки, що передбачає дії з підбору чи впорядкування відомостей про фізичну особу. Суб'єкта персональних даних повідомляють про володільця персональних даних, склад і зміст зібраних персональних даних, свої права, визначені Законом, мету збирання персональних даних й осіб, яким передають його персональні дані: у час збору персональних даних, якщо їх збирають у суб'єкта персональних даних, і в інших випадках – протягом тридцяти робочих днів із дня збору персональних даних. Крім наведеного вище Закону, юридичні та фізичні особи мають можливість вирішувати питання, пов'язані з власною інформаційною безпекою, використовуючи положення Цивільного кодексу УкраїниЗакону України "Про інформацію" та інші акти законодавства України.

Менш дослідженим і більш цікавим питанням із погляду кроків у майбутнє та євроінтеграційних амбіцій України є ознайомлення, вивчення й аналіз регулювання захисту персональних даних, зокрема їх збирання в країнах Європейського Союзу. Найбільш актуальною та такою, що активно розвивається нині, є проблематика захисту персональних даних та інформаційної безпеки в Інтернеті. Так, 25 травня 2018 року набули чинності Правила нового Закону про захист персональних даних в Інтернеті для користувачів, які перебувають на території Європейської економічної зони (ЄЕЗ). Тут треба розуміти, що ЄЕЗ охоплює не тільки країни власне Європейського Союзу, а й країни Європейської асоціації вільної торгівлі (ЄАВТ), крім Швейцарії.

Угоду щодо створення Європейської економічної зони підписано в 1992 році, вона набрала чинності 1 січня 1994 року. ЄЕЗ ґрунтується на тих самих "чотирьох свободах", що й Європейське Співтовариство: вільне пересування товарів, осіб, послуг і капіталу між країнами ЄЕЗ. Отже, країни ЄАВТ, що входять до ЄЕЗ, мають режим вільної торгівлі з Європейським Союзом. Це дає змогу країнам – учасницям ЄАВТ, таким як Ісландія, Норвегія та Ліхтенштейн, брати участь у єдиному європейському ринку без вступу до ЄС. Відповідно до Угоди про Європейську економічну зону, розширення ЄС веде до розширення Європейської економічної зони. Тож нині Європейська економічна зона охоплює 30 країн.

Нові правила, які наведено вище, позначають абревіатурою GDPR (The General Data Protection Regulation, Загальні правила захисту даних) і поширюються вони на всіх учасників всесвітньої мережі Інтернет, які беруть участь у збиранні, зберіганні або обробці персональних даних. Хоча Закон прийнято для захисту європейських даних, глобальний характер Інтернету означає, що GDPR установлює стандарт конфіденційності даних у всьому світі. Практично всі найбільші інтернет-компанії, включаючи Facebook, Twitter і Google, підпадають під регулювання вимог GDPR.

Важливо зазначити, що GDPR – це давно назрілий набір сучасних методів забезпечення та дотримання конфіденційності в бізнесі й особливо в Інтернеті, що є надважливим у нових умовах розвитку глобальної економіки. Він покликаний навчити нас ставитися до даних користувачів із такою самою ретельністю та повагою, з якою ми ставимося до власних.

GDPR має на меті забезпечувати ще більший захист персональних даних особи, включаючи, але не обмежуючись, її релігійні або політичні переконання. Покарання за недотримання правил суттєві: до 20 млн євро або 4 % від загального обігу за порушення. Крім того, GDPR забезпечує користувачам можливість компенсації будь-якого матеріального та/або нематеріального порушення GDPR.

Метою цієї статті є огляд нових правил GDPR, оскільки на сьогодні практично кожен сайт в Інтернеті так чи інакше працює з персональними даними користувачів. Якщо підприємець буде знати, що ваш сайт відповідає вимогам GDPR, він продемонструє, що серйозно ставиться до конфіденційності своїх користувачів.

До чого/кого застосовують правила GDPR?

GDPR застосовують до даних, які збирають, обробляють та/або зберігають у Європі незалежно від того, де зібрано дані. Якщо, наприклад, у фізичної особи є інтернет-магазин в Україні з інформаційної розсилкою та хоча б один можливий клієнт із Європейського Союзу підписався на неї, тоді на такий інтернет-магазин поширюються правила GDPR, що відкриває юристам нові можливості для покращення своїх знань і надання допомоги клієнтам.

Важливою умовою GDPR є те, що з часу набрання чинності цим Законом заборонено передання даних за межі Європейського Союзу в будь-яку країну, яку ЄС не вважає такою, що відповідає вимогам законодавства про захист персональних даних. Якщо дані передають особисто за межі ЄС для обробки або зберігання, то необхідно отримати явну згоду на це від користувача, якому належать дані.

Варто звернути увагу на те, що багаторівневий характер юрисдикцій всесвітньої мережі Інтернет і такі технології, як CDN, призведуть до того, що в певний час дані, які особа збирає та зберігає, передаватимуть за межі Європейського Союзу та схвалених країн. Тому незалежно від того, які інші дозволи запитуються у своїх користувачів, бажано завжди отримувати дозвіл на зберігання даних за межами ЄС і дані має бути захищено.

GDPR розрізняє два основні типи даних, які має бути захищено: особисті та делікатні.

Особисті дані – це будь-які дані, які ідентифікують людину. Ваше ім'я, адреса електронної пошти, місце розташування, біометричні дані, логін (інші онлайн-ідентифікатори) – усе це особисті дані.

Делікатні дані – це те, що, на думку ЄС, більш особисте, ніж ім'я. Етнічне походження, релігійні переконання, сексуальні переваги, політичні погляди, кримінальна історія – усе це можна зарахувати до делікатних даних. Нові правила покликані приділяти більше уваги захисту й делікатних даних.

Також GDPR установлює умови для даних, які можуть зібрати з різних джерел. Найкраща поведінка в такому разі полягає в тому, щоб ніколи не запитувати більше даних, ніж вам потрібно – чим менше даних ви зберігаєте, тим менше ризику їх втратити.

Права користувачів згідно з правилами GDPR

У будь-якій ситуації, коли ви запитуєте дані користувача, спочатку запитайте себе: як це вплине на права власника цих даних? GDPR визначає такі офіційні права, якими володіють власники даних: право доступу, право на об'єкт, право бути поінформованим, право на виправлення, право на перенесення даних, право на видалення даних, право не піддаватися автоматичному прийняттю рішень, право обмежити обробку даних.

Однак особи, які зберігають дані, також мають права. Наприклад, якщо користувач підписався на вашу розсилку. Згодом він вирішує, що більше не хоче отримувати розсилку та відписується. У такому разі ви просто зобов'язані назавжди стерти адресу електронної пошти цього користувача. Однак, коли користувач підписується на розсилку, ви повинні знати його IP-адресу, щоб зіставити з його згодою отримувати розсилку (як і зобов'язані), отже ви маєте право зберегти ці дані, щоб підтвердити виконання своїм сайтом правил GDPR.

Практичні кроки щодо забезпечення відповідності вимогам

Важливо розуміти, що регулюючий орган Європейського Союзу не зобов'язаний доводити ваше недотримання правил. Це ваш юридичний обов'язок доводити, що ви відповідаєте правилам, а нездатність зробити це само собою є невідповідністю вимогам. Також треба виходити з принципу конфіденційності за замовчуванням: користувачеві не потрібно робити жодних дій для забезпечення конфіденційності. Якщо користувач нічого не робить, його дані обробляють як приватні. Упровадження конфіденційності в проект: конфіденційність не додають до проекту заднім числом, вона є невід'ємним компонентом будь-якого продукту або системи. Також необхідно здійснювати оцінювання впливу на конфіденційність, нагальною потребою для великих компаній також постане необхідність прийняття на роботу співробітника щодо захисту даних. Крім цього, варто зауважити, що відповідно до GDPR згоду ретельно визначено для забезпечення захисту прав користувачів: вона повинна бути явною, такою, що піддається перевірці та її має бути надано з доброї волі. Згода на цифрові послуги від дитини у віці до 16 років вимагає також згоди батьків.

Необхідно розуміти, що якщо згода, яку ви отримали від ваших користувачів, не виконує будь-які з цих вимог, тоді вважатимуть, що у вас немає згоди, незалежно від намірів ваших користувачів. Також GDPR, зокрема, вимагає конкретної декларації про конфіденційність.

Завершуючи короткий огляд матеріальних норм щодо збирання персональних даних і дотримання інформаційної безпеки в Європейському Союзі, уважаю за необхідне зупинитися на деяких практичних аспектах, пов'язаних із судовою практикою щодо питань, які стосуються тематики цієї статті.

Так, цікавим із погляду розуміння балансу між захистом персональних даних і свободою вираження поглядів є справа "Аксель Шпрінгер АГ проти Німеччини" ("Axel Sprinder AG v. Germany"), 7 лютого 2012 р., № 39954/08.

Угоду про зведення "Північного потоку" було підписано в присутності Шредера та Путіна в квітні 2005 року, а договір про будівництво – за їхньої ж присутності у вересні 2005 року. Через 10 днів після цього відбулися дострокові національні вибори, ініційовані Шредером шляхом постановки перед Бундестагом питання про довіру уряду, у якому йому було відмовлено, унаслідок чого президент Німеччини розпустив парламент. Опубліковане газетою Bild питання поставив заступник голови парламентської фракції Вільної демократичної партії Німеччини Карл-Людвіг Тіле. Скаргу проти Німеччини подав до ЄСПЛ видавець газети – компанія "Аксель Шпрінгер АГ".

ЄСПЛ дійшов висновку, що відомості про особисте життя Герхарда Шредера газета опублікувала не з метою задоволення цікавості читачів. Вони стосувалися дій Шредера на посаді федерального канцлера та його спірного призначення головою комітету акціонерів німецько-російського консорціуму незабаром після звільнення зі своєї посади. Відтворений у статті коментар пана Тіле щодо причин ініціювання Шредером національних виборів був більше схожий на оціночне судження, ніж твердження про факт, який вимагає доказів.

Досліджуючи матеріали справи, Страсбурзький суд зазначив, що обговорюване питання підняли в межах політичного контексту, який залучає увагу громадськості, і Шредера не звинувачували в скоєнні злочину. Питання, яке поставив Карл-Людвіг Тіле, ґрунтувалося на низці фактів, а нове призначення Шредера широко висвітлювали в пресі й обговорювали в парламенті. Питання пана Тіле також не було єдиним коментарем, який опублікувала газета, навпаки, він супроводжувався цілою низкою заяв політиків від різних партій. ЄСПЛ указав, що він не може погодитися з думкою німецьких судів про те, що стаття повинна була також містити відомості на підтримку Шредера. Колишній федеральний канцлер, який займав один із найвищих політичних постів Німеччини, зобов'язаний демонструвати значно більшу міру терпимості, ніж приватна особа.

Крім того, хоча коментар пана Тіле опублікувала газета, зробив його політик і член парламенту. Покликання ЗМІ полягає в тому, щоб поширювати інформацію та ідеї з усіх питань, що привертають громадську увагу. На політичному терені свобода вираження думки найбільш важлива та преса тут відіграє ключову роль "сторожового пса". Покарання журналіста за допомогу в поширенні заяв, які зробила інша особа, серйозно завадило б ЗМІ робити свій внесок в обговорення питань, що викликають інтерес із боку суспільства. ЄСПЛ зазначив, що від газети не можна вимагати постійної перевірки змісту кожного коментаря, який один політик висловив щодо іншого, якщо такий дають у контексті публічної політичної полеміки.

Отже, ЄСПЛ дійшов висновку, що газета не вийшла за межі журналістської свободи в поширенні спірного коментаря. Німецькі суди не встановили з усією переконливістю, що була нагальна суспільна потреба поставити захист репутації колишнього федерального канцлера Герхарда Шредера вище гарантованої заявникові свободи вираження думки та загального інтересу в тому, щоб сприяти цій свободі, коли йдеться про питання, що привертають суспільну увагу. Відповідно, було порушення свободи вираження думки, гарантованої ст. 10 Конвенції про захист прав людини і основоположних свобод.

Також актуальним і цікавим із погляду захисту персональних даних щодо відстеження за переміщенням особи за допомогою засобів GPS є справа "Узун проти Німеччини" ("Uzun v. Germany"), 2 вересня 2010 р., № 35623/05, а також інші пов'язані з цим справи, у якій ЄСПЛ установив, що спостереження за заявником за допомогою глобальної системи позиціонування, обробки та використання добутої в такий спосіб інформації було втручанням у здійснення ним свого права на недоторканність приватного життя, захищеного п. 1 ст. 8 Конвенції.

Тоді як основною метою ст. 8 Конвенції є головним чином захист особи від свавільного втручання державних органів, а невід'ємною частиною ефективного забезпечення недоторканості приватного та сімейного життя можуть бути позитивні зобов'язання (див. рішення у справі "Ейрі проти Ірландії", постанова від 9 жовтня 1979 р., серія А, № 32). Ці зобов'язання можуть мати на увазі прийняття державою заходів, призначених забезпечити недоторканысть приватного життя, навіть у сфері відносин приватних осіб, наприклад користувача Інтернету й тих, хто надає доступ до конкретного сайта. Інакше кажучи, держава несе позитивний обов'язок щодо встановлення ефективного стримувального засобу проти серйозних посягань на особисті дані особи, іноді за допомогою застосування ефективних кримінально-правових положень. Збирання, зберігання та розкриття інформації особистого характеру державою, наприклад щодо поліцейського реєстру, є втручанням у здійснення права особи на недоторканність приватного життя, гарантовану п. 1 ст. 8 Конвенції.

У разі зберігання інформації особистого характеру в інтересах національної безпеки мають бути належні й ефективні гарантії від зловживань з боку держави. Коли такі гарантії є, ЄСПЛ може й не встановити порушення ст. 8 Конвенції. Інформацію про користування засобами телекомунікацій широко використовує влада держави для цілей здійснення спостереження, оскільки для доступу до неї та її зберігання потрібні найменші витрати.

Завершити огляд європейської судової практики хотілось би не менш актуальною та цікавою справою, яка пов'язана з регулюванням проблем захисту персональних даних та інформаційною безпекою особи.

"К. У. проти Фінляндії" ("K. U. v. Finland") від 02 грудня 2008 р., заява № 2872/02: національне законодавство має передбачати положення про відступ від конфіденційності з метою попередження злочинів і захисту прав та свобод інших осіб (ст. 8 Конвенції).

Фабула судового акта: невстановлена особа розмістила оголошення сексуального характеру на інтернет-сайті знайомств від імені заявника без його згоди, якому в той час було 12 років.

Національні суди відмовили у витребовуванні від інтернет-провайдера інформації про особу, яка розмістила оголошення, оскільки зловмисне уведення в оману не було тим складом правопорушення, яке дозволяло вимагати видачу такої інформації. Крім того, провайдер відмовився повідомити дані про особу-порушника, стверджуючи, що це буде порушенням законодавства про конфіденційність.

Заявник звернувся зі скаргою за ст. 8 Конвенції за втручання в його приватне життя та брак дієвого засобу правового захисту, який дозволяв би установити особу, яка розмістила оголошення в Інтернеті, що порочить його гідність, від його імені на порушення ст. 13 Конвенції.

ЄСПЛ установив, що було порушення ст. 8 Конвенції: факти, викладені в скарзі, охоплюють поняття "приватне життя", до якого входить фізичний і моральний вигляд людини.

ЄСПЛ вирішив, що це оголошення мало злочинний характер, зачіпало неповнолітнього громадянина та робило його об'єктом уваги педофілів.

ЄСПЛ постановив, що ефективне розслідування не могли розпочати через наявність обов'язкової умови дотримання конфіденційності. Законодавство повинно передбачати положення про відмову в конфіденційності з метою запобігання порушенню порядку та злочинів, а також захисту прав і свобод інших осіб. З огляду на висновок щодо ст. 8 Конвенції ЄСПЛ постановив, що немає необхідності розглядати питання про те, чи було в цій справі також порушення ст. 13 Конвенції.

ВИСНОВОК:

Підсумовуючи, хотілося б зазначити, що в Україні система захисту персональних даних, зокрема їх збирання та питання інформаційної безпеки, потребують розвитку, причому вектор цього розвитку має бути західний. Оскільки країни Європейського Союзу вже пройшли цей шлях, поступово вибудовували системи, усували слабкі місця й адаптувалися до нових умов. Ускладнює ситуацію низька поінформованість громадян, зокрема й правова, однак вирішення цих проблем – тривалий процес, який може відбуватися протягом років, і він є неминучим, якщо наша держава планує зайняти своє місце серед передових демократій світу.