Право на забвение. Что изменится в Украине от внедрения европейских норм защиты персональных данных
В 2018 году в странах Евросоюза вступил в силу Общий регламент по защите данных (GDPR). Одна из главных его норм касается права требовать удаления своих персональных данных, когда доступ посторонних к этой информации может повредить субъекту. Фокус разбирался, что может измениться в Украине после имплементации европейских правил
Они знают, где и с кем мы живем, что едим и пьем, какие покупки делаем, чем болеем. От них не спрячешься — они знают номера наших телефонов, адреса электронной почты и вообще все контакты. Им не нужно пускать по следу ищеек, чтобы следить за нами, достаточно знать коды — идентификаторы наших мобильных гаджетов. Еще у них есть наши паспортные данные, налоговые номера, данные водительских удостоверений и реквизиты банковских карт. Так что они могут позариться на наше имущество, а могут "подставить" вместо реальных виновников ДТП или каких-нибудь правонарушений: в деле, о котором мы сейчас даже не знаем, будут фигурировать наши документы. Речь не о персонажах шпионских фильмов или конспирологических книжек, а о вполне реальных покупателях баз данных.
Зоны уязвимости
Недавний скандал, разгоревшийся вокруг чат-бота, торговавшего личными данными украинцев через Telegram, привлек внимание масс к проблеме, которая существовала давно и системно не решалась, — к информационной беззащитности. Слишком много частных и государственных организаций на вполне законных основаниях собирают и обрабатывают личные данные. Слишком сложно проследить за тем, как их хранят, кто получает к ним доступ. Еще сложнее выявить и привлечь к ответственности виновника утечки, которая уже произошла, когда информацию получил тот, у кого ее быть не должно.
К сожалению, кража денег со счетов и подлог — далеко не единственные способы отравить человеку жизнь, некорректно использовав его личные данные. Порой нарушители права на приватность это делают даже без материальных выгод. К примеру, в начале первой волны пандемии во многих странах находились энтузиасты, публиковавшие в социальных сетях имена и адреса тех, кто получил положительный результат при тестировании на COVID-19. Зачастую это вызывало очень агрессивную реакцию соседей. К слову, у многих фигурировавших в этих списках людей диагноз в итоге не подтвердился, повторное тестирование дало отрицательный результат.
Появление в Украине закона, гарантирующего право на забвение, — вопрос времени. В какой-то мере его можно реализовать и сейчас, ссылаясь на закон "О защите персональных данных"
Разглашение информации, которая должна была остаться конфиденциальной, нанесло очевидный ущерб, во многих случаях не только моральный, но и материальный. У специалистов по инфобезопасности есть термин sensitive data ("чувствительные данные"). Если объяснять очень упрощенно — это информация, используя которую, можно нам навредить, умышленно или нет. Понятие гибкое, потому что набор sensitive data у каждого свой, он зависит от образа жизни, рода деятельности, отношений с окружающими и, конечно, от степени публичности. "Определение чувствительности данных — вещь индивидуальная, — подчеркивает Дэвид Якоби, ведущий аналитик департамента информационной безопасности компании Kaspersky. — Для одного появление интимных фотографий в социальных сетях или других открытых источниках станет трагедией, другому вообще все равно. Но, если вы сами знаете, что некая информация лично для вас чувствительна, чем меньше людей и электронных систем имеют к ней доступ, тем лучше, в идеале хорошо бы вообще не пользоваться ею онлайн и никому не пересылать. В интернете обеспечить неприкосновенность данных крайне сложно. Я часто делаю покупки онлайн, но предпочитаю не вводить номер своей карты на сайте продавца, а получать инвойсы".
Европейский регламент
Часто предоставление sensitive data происходит помимо нашего желания и/или является частью какой-то обязательной процедуры. В странах ЕС в подобных ситуациях полагаются на нормы Общего регламента по защите данных (General data protection regulation — GDPR). Это комплекс наднациональных норм, вступивший в силу в 2018 году. В документе впервые сформулировано понятие "субъект данных" — физическое лицо, которого касается информация и за которым закреплены определенные права, даже если оно не владелец данных (т. е. они были легально собраны кем-то другим, обработаны на законных основаниях и кому-то принадлежат).
Одно из таких прав почти сразу после принятия GDPR стало объектом жарких споров среди IT-специалистов, медийщиков, юристов, борцов с коррупцией и правозащитников. Речь о "праве на забвение" — праве требовать удаления своих персональных данных, когда доступ посторонних к этой информации может повредить субъекту. Право на забвение касается устаревших, неуместных, неполных, неточных или избыточных данных, а самое интересное — относится к тем случаям, когда законные основания на хранение информации исчезли.
Если, к примеру, вы пользовались каким-то сервисом и поэтому дали провайдеру письменное согласие на сбор, обработку и хранение личных данных, по GDPR согласие можно отозвать и требовать удаления информации. Изначально о праве на забвение говорили в основном в связи с открытыми данными, которые можно получить по поисковому запросу в Сети. Собственно, о нем заговорили еще до принятия GDPR в 2014 году, когда Европейский суд рассмотрел дело испанца Марио Костеха Гонсалеса, предъявившего претензии Google. В конце 1990-х газета La Vanguardia написала о том, что дом Гонсалеса был выставлен на аукцион за долги. Продажа так и не состоялась, владелец успел погасить задолженности, но заметка сохранилась в онлайн-архиве издания, и ссылки на нее всплывали в поиске Google. Истец добился того, что эта информация перестала индексироваться поисковым механизмом.
В день, когда Европейский суд вынес такое решение, компания Google получила еще 12 тыс. обращений по поводу удаления персональных данных из поисковика. Пришлось даже специальный сервис для этого создавать.
Сроки годности
В сегодняшней европейской судебной практике обычным делом стали иски об удалении не только публичной, а вообще всей информации об истце, хранящейся у ответчика. "Некоторые данные не могут быть удалены, потому что их хранение предписано другими законами, — так, наниматель обязан хранить личные дела сотрудников, даже бывших, а больница — истории болезни пациентов после выписки, — говорит Дмитрий Корчинский, сооснователь общественной организации Privacy Hub. — Одна из основ GDPR — принцип спроектированной приватности, который помимо прочего предполагает, что любая структура, хранящая или обрабатывающая личные данные, обязана выстроить систему хранения так, чтобы она не допускала несанкционированного доступа. К тому же объем и срок хранения ограничены необходимым минимумом. По моему опыту, многие украинские компании собирают вообще всю информацию, которая через них проходит, и хранят бесконечно долго, даже если необходимости в ней давно нет".
(Инфографика: Оксана Грозная)
По словам Гульсаны Мамедиевой, генерального директора директората по евроинтеграции Министерства цифровой трансформации, появление в Украине закона, гарантирующего право на забвение, — вопрос времени. В какой-то мере его можно реализовать и сейчас, ссылаясь на Закон "О защите персональных данных". Статья 8 позволяет требовать удаления данных, если они недостоверны или порочат честь, достоинство и деловую репутацию. "На практике, чтобы сведения признали порочащими, нужно доказать в суде их недостоверность, а если они правдивы, но вредят, добиться их удаления практически невозможно", — говорит Мамедиева.
В конце прошлого года в Украине сразу несколько рабочих групп трудились над проектами законов, адаптирующих требования GDPR к нашим реалиям. Сегодня осталась одна, и ее участники настроены оптимистично, хотя у проекта много критиков. "Риски очевидны, — утверждает Даниил Глоба, заместитель директора по правовым вопросам компании YouControl. — В Украине уже есть право на забвение в отношении недостоверной информации и той, что обрабатывается незаконно. Зато нет "срока годности" для публичной информации в форме открытых данных, среди которых могут быть и персональные. Его внедрение сузит существующие гарантии доступа к информации. Это неконституционно. К тому же реализация такой законодательной инициативы связана с серьезными дополнительными расходами для бизнеса — внедрение GDPR-практик, систем безопасности, программного обеспечения; потребуется специальный сотрудник, отвечающий за защиту персональных данных. Добавьте к этому дополнительные ведомственные проверки. Кстати, в государственном секторе экономики затраты тоже возрастут, что неизбежно отразится на госбюджете и налогоплательщиках".
Новый регулятор
Гульсана Мамедиева согласна с тем, что удаление информации о физических лицах может до некоторой степени затруднить борьбу с коррупцией и негативно отразиться на точности бизнес-аналитики. В странах ЕС противники GDPR изначально говорили о том, что он окажет "охлаждающее действие" на проявления свободы слова, если компании уровня Google и Facebook станут без разбора удалять информацию, опасаясь штрафов. "В основном спорят о балансе между правом на забвение и свободой выражения взглядов, — говорит Мамедиева. — В мире вообще не существует единого подхода к реализации этого права, даже в ЕС есть проблемы с имплементацией. В том числе из-за субъективности критериев определения данных, которые можно удалять по праву на забвение".
По словам Дмитрия Корчинского, процедуры предъявления требований об удалении личных данных, предписанные действующим украинским законодательством, давно морально устарели. Нужно, к примеру, отправить "бумажный" запрос в головной офис компании, располагающей sensitive data, и ждать ответа в течение 10 рабочих дней. Влад Некрутенко, другой сооснователь Privacy Hub и юрист по защите персональных данных Legal Nodes, считает, что в украинских реалиях ключевая защита субъекта данных — это заставить организацию, которая их хранит или обрабатывает, выполнить требования об удалении. Можно подать гражданский иск, но шансы на выигрыш невелики. Можно обратиться к омбудсмену, но офис уполномоченного Верховной Рады по правам человека и без того перегружен разными запросами. В 2019-м офис довел до суда только 10 протоколов о правонарушениях, связанных с некорректным использованием персональных данных, провели всего 36 проверок.
Есть термин sensitive data ("чувствительные данные") — это информация, используя которую, можно нам навредить, умышленно или нет
Ситуация может измениться после имплементации европейского подхода. Нормы GDPR — Регламента ЕС о защите данных — предписывают создание отдельного регулирующего органа, ответственного за защиту личных персональных данных. "Ведомство должно быть независимым и аполитичным. То, что сейчас его функции в Украине возложены на парламентский контроль, — само по себе некорректно, — подчеркивает Некрутенко. — Кроме того, тут действует простая кадровая арифметика. В Великобритании в штате регулятора по защите персональных данных насчитывается около 700 сотрудников, в Украине же в Департаменте по вопросам защиты персональных данных при Секретариате уполномоченного ВР по правам человека работают не более 20 человек".
Имплементация GDPR в Украине — дело будущего, но защищать свои личные персональные данные нужно уже сейчас. Если имеете дело с любой европейской организацией, помните, что она обязана придерживаться регламента в отношении персональной информации всех пользователей, вне зависимости от их гражданства и места жительства. Так что требуйте реализации права на забвение в полной мере. Если пользуетесь социальными сетями, которые собирают сведения о поведении и интересах пользователей, чтобы формировать рекламные профили, Некрутенко рекомендует со временем потребовать удаления вашего рекламного профиля. На ваш основной профиль это никак не повлияет, разве что реклама станет менее таргетированной.
Если у вас были кредиты, просроченные бюджетные или коммунальные платежи, любые другие долги, но вы их уже погасили, проследите, чтобы публичная информация об этом была удалена. Можно требовать удаления информации, потому что с ней связаны ваши репутационные риски. То же касается и погашенных судимостей.