Право на забвение. Что изменится в Украине от внедрения европейских норм защиты персональных данных

В 2018 году в странах Евросоюза вступил в силу Общий регламент по защите данных (GDPR). Одна из главных его норм касается права требовать удаления своих персональных данных, когда доступ посторонних к этой информации может повредить субъекту. Фокус разбирался, что может измениться в Украине после имплементации европейских правил 

Они знают, где и с кем мы живем, что едим и пьем, какие покупки делаем, чем болеем. От них не спрячешься — они знают номера наших телефонов, адреса электронной почты и вообще все контакты. Им не нужно пускать по следу ищеек, чтобы следить за нами, достаточно знать коды — идентификаторы наших мобильных гаджетов. Еще у них есть наши паспортные данные, налоговые номера, данные водительских удостоверений и реквизиты банковских карт. Так что они могут позариться на наше имущество, а могут "подставить" вместо реальных виновников ДТП или каких-нибудь правонарушений: в деле, о котором мы сейчас даже не знаем, будут фигурировать наши документы. Речь не о персонажах шпионских фильмов или конспирологических книжек, а о вполне реальных покупателях баз данных.

Зоны уязвимости

Недавний скандал, разгоревшийся вокруг чат-бота, торговавшего личными данными украинцев через Telegram, привлек внимание масс к проблеме, которая существовала давно и системно не решалась, — к информационной беззащитности. Слишком много частных и государственных организаций на вполне законных основаниях собирают и обрабатывают личные данные. Слишком сложно проследить за тем, как их хранят, кто получает к ним доступ. Еще сложнее выявить и привлечь к ответственности виновника утечки, которая уже произошла, когда информацию получил тот, у кого ее быть не должно.

К сожалению, кража денег со счетов и подлог — далеко не единственные способы отравить человеку жизнь, некорректно использовав его личные данные. Порой нарушители права на приватность это делают даже без материальных выгод. К примеру, в начале первой волны пандемии во многих странах находились энтузиасты, публиковавшие в социальных сетях имена и адреса тех, кто получил положительный результат при тестировании на COVID-19. Зачастую это вызывало очень агрессивную реакцию соседей. К слову, у многих фигурировавших в этих списках людей диагноз в итоге не подтвердился, повторное тестирование дало отрицательный результат.

Появление в Украине закона, гарантирующего право на забвение, — вопрос времени. В какой-то мере его можно реализовать и сейчас, ссылаясь на закон "О защите персональных данных"

Разглашение информации, которая должна была остаться конфиденциальной, нанесло очевидный ущерб, во многих случаях не только моральный, но и материальный. У специалистов по инфобезопасности есть термин sensitive data ("чувствительные данные"). Если объяснять очень упрощенно — это информация, используя которую, можно нам навредить, умышленно или нет. Понятие гибкое, потому что набор sensitive data у каждого свой, он зависит от образа жизни, рода деятельности, отношений с окружающими и, конечно, от степени публичности. "Определение чувствительности данных — вещь индивидуальная, — подчеркивает Дэвид Якоби, ведущий аналитик департамента информационной безопасности компании Kaspersky. — Для одного появление интимных фотографий в социальных сетях или других открытых источниках станет трагедией, другому вообще все равно. Но, если вы сами знаете, что некая информация лично для вас чувствительна, чем меньше людей и электронных систем имеют к ней доступ, тем лучше, в идеале хорошо бы вообще не пользоваться ею онлайн и никому не пересылать. В интернете обеспечить неприкосновенность данных крайне сложно. Я часто делаю покупки онлайн, но предпочитаю не вводить номер своей карты на сайте продавца, а получать инвойсы".

Европейский регламент

Часто предоставление sensitive data происходит помимо нашего желания и/или является частью какой-то обязательной процедуры. В странах ЕС в подобных ситуациях полагаются на нормы Общего регламента по защите данных (General data protection regulation — GDPR). Это комплекс наднациональных норм, вступивший в силу в 2018 году. В документе впервые сформулировано понятие "субъект данных" — физическое лицо, которого касается информация и за которым закреплены определенные права, даже если оно не владелец данных (т. е. они были легально собраны кем-то другим, обработаны на законных основаниях и кому-то принадлежат).

Одно из таких прав почти сразу после принятия GDPR стало объектом жарких споров среди IT-специалистов, медийщиков, юристов, борцов с коррупцией и правозащитников. Речь о "праве на забвение" — праве требовать удаления своих персональных данных, когда доступ посторонних к этой информации может повредить субъекту. Право на забвение касается устаревших, неуместных, неполных, неточных или избыточных данных, а самое интересное — относится к тем случаям, когда законные основания на хранение информации исчезли.

Если, к примеру, вы пользовались каким-то сервисом и по­этому дали провайдеру письменное согласие на сбор, обработку и хранение личных данных, по GDPR согласие можно отозвать и требовать удаления информации. Изначально о праве на забвение говорили в основном в связи с открытыми данными, которые можно получить по поисковому запросу в Сети. Собственно, о нем заговорили еще до принятия GDPR в 2014 году, когда Европейский суд рассмотрел дело испанца Марио Костеха Гонсалеса, предъявившего претензии Google. В конце 1990-х газета La Vanguardia написала о том, что дом Гонсалеса был выставлен на аукцион за долги. Продажа так и не состоялась, владелец успел погасить задолженности, но заметка сохранилась в онлайн-архиве издания, и ссылки на нее всплывали в поиске Google. Истец добился того, что эта информация перестала индексироваться поисковым механизмом.

В день, когда Европейский суд вынес такое решение, компания Google получила еще 12 тыс. обращений по поводу удаления персональных данных из поисковика. Пришлось даже специальный сервис для этого создавать.

Сроки годности

Важно
Глаз да глаз. Как правительства мира следят за гражданами ради борьбы с коронавирусом
Глаз да глаз. Как правительства мира следят за гражданами ради  борьбы с коронавирусом

В сегодняшней европейской судебной практике обычным делом стали иски об удалении не только публичной, а вообще всей информации об истце, хранящейся у ответчика. "Некоторые данные не могут быть удалены, потому что их хранение предписано другими законами, — так, наниматель обязан хранить личные дела сотрудников, даже бывших, а больница — истории болезни пациентов после выписки, — говорит Дмитрий Корчинский, сооснователь общественной организации Privacy Hub. — Одна из основ GDPR — принцип спроектированной приватности, который помимо прочего предполагает, что любая структура, хранящая или обрабатывающая личные данные, обязана выстроить систему хранения так, чтобы она не допускала несанкционированного доступа. К тому же объем и срок хранения ограничены необходимым минимумом. По моему опыту, многие украинские компании собирают вообще всю информацию, которая через них проходит, и хранят бесконечно долго, даже если необходимости в ней давно нет".

фото, инфографика как государство хранит наши личные данные

(Инфографика: Оксана Грозная)

По словам Гульсаны Мамедиевой, генерального директора директората по евроинтеграции Министерства цифровой трансформации, появление в Украине закона, гарантирующего право на забвение, — вопрос времени. В какой-то мере его можно реализовать и сейчас, ссылаясь на Закон "О защите персональных данных". Статья 8 позволяет требовать удаления данных, если они недостоверны или порочат честь, достоинство и деловую репутацию. "На практике, чтобы сведения признали порочащими, нужно доказать в суде их недостоверность, а если они правдивы, но вредят, добиться их удаления практически невозможно", — говорит Мамедиева.

В конце прошлого года в Украине сразу несколько рабочих групп трудились над проектами законов, адаптирующих требования GDPR к нашим реалиям. Сегодня осталась одна, и ее участники настроены оптимистично, хотя у проекта много критиков. "Риски очевидны, — утверждает Даниил Глоба, заместитель директора по правовым вопросам компании YouControl. — В Украине уже есть право на забвение в отношении недостоверной информации и той, что обрабатывается незаконно. Зато нет "срока годности" для публичной информации в форме открытых данных, среди которых могут быть и персональные. Его внедрение сузит существующие гарантии доступа к информации. Это неконституционно. К тому же реализация такой законодательной инициативы связана с серьезными дополнительными расходами для бизнеса — внедрение GDPR-практик, систем безопасности, программного обеспечения; потребуется специальный сотрудник, отвечающий за защиту персональных данных. Добавьте к этому дополнительные ведомственные проверки. Кстати, в государственном секторе экономики затраты тоже возрастут, что неизбежно отразится на госбюджете и налогоплательщиках".

Новый регулятор

Гульсана Мамедиева согласна с тем, что удаление информации о физических лицах может до некоторой степени затруднить борьбу с коррупцией и негативно отразиться на точности бизнес-аналитики. В странах ЕС противники GDPR изначально говорили о том, что он окажет "охлаждающее действие" на проявления свободы слова, если компании уровня Google и Facebook станут без разбора удалять информацию, опасаясь штрафов. "В основном спорят о балансе между правом на забвение и свободой выражения взглядов, — говорит Мамедиева. — В мире вообще не существует единого подхода к реализации этого права, даже в ЕС есть проблемы с имплементацией. В том числе из-за субъективности критериев определения данных, которые можно удалять по праву на забвение".

По словам Дмитрия Корчинского, процедуры предъявления требований об удалении личных данных, предписанные действующим украинским законодательством, давно морально устарели. Нужно, к примеру, отправить "бумажный" запрос в головной офис компании, располагающей sensitive data, и ждать ответа в течение 10 рабочих дней. Влад Некрутенко, другой сооснователь Privacy Hub и юрист по защите персональных данных Legal Nodes, считает, что в украинских реалиях ключевая защита субъекта данных — это заставить организацию, которая их хранит или обрабатывает, выполнить требования об удалении. Можно подать гражданский иск, но шансы на выигрыш невелики. Можно обратиться к омбудсмену, но офис уполномоченного Верховной Рады по правам человека и без того перегружен разными запросами. В 2019-м офис довел до суда только 10 протоколов о правонарушениях, связанных с некорректным использованием персональных данных, провели всего 36 проверок.

Есть термин sensitive data ("чувствительные данные") — это информация, используя которую, можно нам навредить, умышленно или нет

Ситуация может измениться после имплементации европейского подхода. Нормы GDPR — Регламента ЕС о защите данных — предписывают создание отдельного регулирующего органа, ответственного за защиту личных персональных данных. "Ведомство должно быть независимым и аполитичным. То, что сейчас его функции в Украине возложены на парламентский контроль, — само по себе некорректно, — подчеркивает Некрутенко. — Кроме того, тут действует простая кадровая арифметика. В Великобритании в штате регулятора по защите персональных данных насчитывается около 700 сотрудников, в Украине же в Департаменте по вопросам защиты персональных данных при Секретариате уполномоченного ВР по правам человека работают не более 20 человек".

Имплементация GDPR в Украине — дело будущего, но защищать свои личные персональные данные нужно уже сейчас. Если имеете дело с любой европейской организацией, помните, что она обязана придерживаться регламента в отношении персональной информации всех пользователей, вне зависимости от их гражданства и места жительства. Так что требуйте реализации права на забвение в полной мере. Если пользуетесь социальными сетями, которые собирают сведения о поведении и интересах пользователей, чтобы формировать рекламные профили, Некрутенко рекомендует со временем потребовать удаления вашего рекламного профиля. На ваш основной профиль это никак не повлияет, разве что реклама станет менее таргетированной.

Важно
Михаил Федоров: проведем альтернативное онлайн-голосование на президентских выборах в 2024 году
Михаил Федоров: проведем альтернативное онлайн-голосование на президентских выборах в 2024 году

Если у вас были кредиты, просроченные бюджетные или коммунальные платежи, любые другие долги, но вы их уже погасили, проследите, чтобы публичная информация об этом была удалена. Можно требовать удаления информации, потому что с ней связаны ваши репутационные риски. То же касается и погашенных судимостей.