close

Publications

Key contacts
5 June 2020

Scandal! Numeral? Action… (In Ukrainian)

Source: Yuridichna gazeta

Нещодавно в українському сегменті мережі Інтернет прогримів гучний скандал навколо Telegram-бота, який продавав дані водійських посвідчень, які нібито потрапили туди з програми державних послуг – мобільного додатку «Дія». Нацполіція майже одразу спростувала причетність «Дії» до витоку, але інцидент викликав низку питань. Зокрема, наскільки ми взагалі захищені в цьому сенсі з позиції права? Хто і як контролює сферу захисту персональних даних? Кого штрафують за «злив» персональних даних в Україні? Що робити тому, хто знайшов свої персональні дані у Telegram-боті, скандал довкола якого вилився у кримінальну справу і зачепив додаток «Дія»?

Згідно з даними аналітичного центру InfoWatch, за минулі 13 років у всьому світі з комерційних компаній і державного сектора витекло приблизно 44 мільярдів записів персональних даних, з них близько 14 мільярдів записів тільки за останній рік. Тобто тема захисту особистої інформації громадян набуває не просто великої, але виняткової важливості в умовах цифровізації.

Ми вже всі чули про плани щодо «держави у смартфоні» від української влади. Однак, напевно, Міністерству цифрової трансформації (Мінцифри), перш ніж оголошувати про нові й нові додатки та швидке об’єднання всіх реєстрів в один ресурс, необхідно ознайомитися з деякими цифрами.

Спочатку пропонуємо зіграти у просту гру під назвою «Вгадайте»

Завдання перше. Невідомі хакери опублікували базу даних з повними іменами, домашніми адресами, датами народження, ідентифікаційними номерами та номерами мобільних телефонів майже всіх громадян однієї пострадянської країни. Де це сталося? Якщо ви відповісте, що в Україні, то помилитеся, тому що правильна відповідь – у Грузії (28.03.2019 р.). Витік даних виявили фахівці центру моніторингу компанії Under the Breach.

Завдання друге. Орган, який покликаний стежити за дотриманням всіх нюансів захисту персональних даних, а також надавати всім рекомендації щодо дотримання законодавства в цій сфері, настільки невправно використовував свій сайт (залучили до роботи студентів), що став джерелом «витоку» даних. Ваша відповідь – Україна? Ви знову помилилися. Адже йдеться про сайт GDPR.EU, який надає усім європейським компаніям рекомендації щодо дотримання вимог Єдиного регламенту захисту даних (GDPR).

Про це минулого тижня написали в Threat Post. Дослідники безпеки Вангеліс Стікас (Vangelis Stykas) і Джо Дурбін (Joe Durbin) з компанії Pen Test Partners виявили в мережі папку формату .git, в якій знаходилися паролі та інша внутрішня інформація ресурсу GDPR.EU. За словами фахівців, папка виявилася у відкритому доступі через неправильні налаштування сайту. Така проблема конфігурації спіткає неуважних користувачів вже багато років. Зокрема, у 2018 році вона була виявлена ​​у 390 тисяч вебресурсів. Що це означає? Лише одне – проблема витоку персональних даних (ПД) є глобальною і стосується кожного з нас, незалежно від країни, в якій ми живемо.

Куди витікають реєстри?

Згідно з даними аналітичного центру InfoWatch, за минулі 13 років у всьому світі з комерційних компаній і державного сектора витекло приблизно 44 мільярдів записів персональних даних, з них близько 14 млрд записів тільки за останній рік. Тобто тема захисту особистої інформації громадян набуває не просто великої, але виняткової важливості в умовах цифровізації, коли величезні масиви даних зберігаються та обробляються в електронному вигляді.

Ми вже всі чули про плани «держави у смартфоні» від української влади. Однак, напевно, Міністерству цифрової трансформації (Мінцифри), перш ніж оголошувати про нові й нові додатки та швидке об’єднання всіх реєстрів в один ресурс, необхідно ознайомитися з деякими цифрами. Близько 75 % всіх випадків витоку конфіденційної інформації у світі за 2019 рік припали на персональні дані. Це більше ніж роком раніше, коли на ПД довелося 70 % всіх зареєстрованих витоків. Близько 48 % витоків персональних даних минулого року були спровоковані діями зовнішніх зловмисників, а 45 % зробили рядові співробітники (навмисно або випадково). При цьому близько 70 % витоків ПД з вини співробітників мають випадковий характер, тобто викликані різними помилками та недбалістю персоналу. Найчастіше персональні дані витікають з таких сфер як охорона здоров’я (понад 22 % всіх випадків за останній рік), хайтек (близько 19 %) і державні організації (12 %).

До речі, скандал з «Дією» не єдиний і не найгучніший у світі у 2020 році. В середині березня дослідник безпеки Боб Дьяченко (Bob Diachenko) виявив відкритий сервер Elasticsearch, на якому знайшлася справжня «скарбниця» персональних даних – близько 5 мільярдів записів. З’ясувалося, що сховище належить британській компанії Keepnet Labs, яка працює на ринку інвестиційних паперів. Цікаво, що скомпрометована база, як і український Telegram-бот, була банальною компіляцією даних з різних витоків, що трапилися в період 2012-2019 роках. Записи містили таку інформацію як паролі (хеш-дані та у вигляді простого тексту), тип хешування, дати витоку, адреси та домени електронної пошти, а також джерело витоку (Adobe, Last.fm, Twitter, LinkedIn, Tumblr, VK тощо).

Великим хакерським «уловом» у першій чверті року стала крадіжка даних з китайського сервісу мікроблогів Weibo. Зловмисник викрав записи 538 мільйонів передплатників, включаючи таку інформацію як імена передплатників, їхні ID-номери, відомості про гендерну приналежність і місцезнаходження. Всі дані були виставлені на продаж у Даркнеті.

Також гігант на ринку косметики компанія Estee Lauder в лютому випадково розкрила свою базу даних. В ній виявилося більше ніж 440 мільйонів записів, а трохи раніше «відзначилася» корпорація Microsoft. Вивчаючи мережеві ресурси, експерти з безпеки натрапили одразу на п’ять незахищених серверів з інформацією служби техпідтримки софтверної компанії. Витекла історія звернення клієнтів за 14 років.

Всі ці випадки наскільки гучні, настільки ж і показові. Адже, по-перше, кожна держава чи компанія, де стався витік ПД, одразу намагається владнати ситуацію, виплатити компенсацію постраждалим, а винних притягнути до відповідальності (див. Інфографіку №1). По-друге, у світі чітко знають, що робити й куди звертатися, якщо стався витік ПД. В Україні, на жаль, все трохи інакше.

Захисту немає?

Після скандалу з «Дією» кіберполіція України оперативно заблокувала анонімний Telegram-бот. Головне слідче управління Нацполіції України відкрило кримінальне провадження за ознаками кримінального правопорушення, передбаченого ст. 361 Кримінального кодексу України (несанкціоноване втручання в роботу електронно-обчислювальних машин, комп’ютерних мереж чи мереж електрозв’язку). Мінцифри також не залишилося в стороні – в розділі новин минулого тижня з’явилися повідомлення: «Безпека мобільного додатку «Дія», «Нацполіція розпочала кримінальне провадження за фактом витоку інформації про персональні дані громадян», «Як захистити свої дані в інтернеті», «Стоп-фейк: «Дія» не зливає дані». Все заради того, щоб повідомити, що Міністерство не винне. Водночас вже через кілька днів і поліція не змогла виявити винних, зауваживши про відсутність фактів кібератак на державний мобільний додаток «Дія». Чесно кажучи, сподівань на те, що в ДБР, які теж зареєстрували кримінальне провадження за фактом «зливу» ПД, віднайдуть винних, також немає.

Річ у тім, що важко говорити про захищеність персональних даних українських громадян, оскільки в Україні досі відсутній регуляторний орган, який наглядав би за дотриманням законодавства щодо захисту персональних даних. Закон України «Про захист персональних даних» від 2010 року достатньо прогресивний, але через відсутність того, хто контролює його виконання, ефективність цього закону залишається низькою, а притягнути до відповідальності того, хто «зливає» бази персональних даних, дуже важко. До того ж, у порівнянні з Європою та США, захист персональних даних в Україні зводиться до одиничних скарг і судових позовів.

Наразі в Україні захистом ПД опікується лише Уповноважений Верховної Ради з прав людини та кіберполіція. Уповноважений може скласти адміністративний протокол на державний орган чи установу, якщо вони порушують право людини на захист персональних даних, а кіберполіція розслідує кримінальні правопорушення, зокрема, пов’язані з «витоком» даних з держреєстрів. Відповідно до інформації з Єдиного порталу судових рішень, у 2019 році налічується лише 15 реальних вироків за такими справами. За минулі роки таких справ ще менше.

Як зазначається у щорічному звіті за 2019 року, омбудсман загалом розглянув 1061 повідомлення про порушення права на захист персональних даних. Однак при цьому складено і направлено до суду лише 10 протоколів про адміністративне правопорушення за ч. 4 ст. 188-39 КпАПУ (порушення законодавства у сфері захисту персональних даних). Найбільше такі порушення фіксувалися у сферах фінансових і банківських послуг, страхування, житлово-комунальних послуг, охорони здоров’я, соціального захисту, освіти, а також у процесі обробки персональних даних під час здійснення відеоспостереження, обліку адміністративних та кримінальних правопорушень.

Наявність 10 протоколів означає одне – для повноцінного захисту персональних даних громадян України можливостей омбудсмана зовсім недостатньо, адже у відділі перевірок працює лише 4 особи, а загалом відповідний департамент налічує 17 працівників. Цього недостатньо для належного контролю. На додачу існує ще й законодавча обмеженість – омбудсман не може самостійно притягнути винних осіб до відповідальності, тільки через суд.

З покаранням не склалося…

В Україні налічується понад 10 нормативно-правових актів, що регулюють питання у сфері захисту персональних даних, але немає чіткого й дієвого механізму контролю несанкціонованого та нецільового поширення персональних даних. Відсутність практики невідворотної відповідальності також впливає на виникнення нових випадків незаконного розпорядження персональними даними («злив», продаж баз ПД тощо).

Таким чином, ми підійшли до головного питання: «Хто і як саме відповідатиме за поширення персональних даних? Які важелі мають правоохоронці для викриття осіб, причетних до такого злочину?». Для кваліфікації неправомірних дій щодо витоку ПД варто звернутися до гл. XVI Кримінального кодексу України «Злочини у сфері використання електронно-обчислювальних машин (комп’ютерів), систем та комп’ютерних мереж і мереж електрозв’язку». Тут може бути два види «винних».

Перший – відповідальність того, чия база персональних даних була злита. Безперечно, розпорядник персональних даних повинен нести відповідальність за витік інформації. Якщо ми говоримо про кримінальну відповідальність, тут важливо знайти конкретного винного, зрозуміти форму умислу і мету втручання (копіювання) інформації. Від цього залежить кваліфікація злочину. У разі прямого умислу та з метою несанкціонованого збуту або поширення інформації з обмеженим доступом мова йде про відповідальність за ст. 361-2 КК України. Санкція статті передбачає штраф від 500 до 1000 неоподатковуваних мінімумів доходів громадян або позбавлення волі на строк до 2 років (ч. 1); позбавлення волі на строк від 2 до 5 років (ч. 2). Якщо мета на збут і поширення інформації відсутня, то можна говорити про ст. 362 КК України – несанкціоноване перехоплення або копіювання інформації, якщо це призвело до її витоку, вчинене особою, яка має право доступу до такої інформації; ст. 363 КК України – порушення правил експлуатації електронно-обчислювальних машин (комп’ютерів), автоматизованих систем, комп’ютерних мереж або мереж електрозв’язку, якщо це заподіяло істотну шкоду, вчинене особою, яка відповідає за їх експлуатацію.

Другий варіант – відповідальність того, хто займається поширенням персональних даних. Тут мова йде про відповідальність за ст. 361-2 КК України, яка буде йти в тандемі зі ст. 361 КК України – несанкціоноване втручання в роботу електронно-обчислювальних машин (комп’ютерів), автоматизованих систем, комп’ютерних мереж або мереж електрозв’язку. Можливо, правоохоронці знайдуть зв’язок між особою, яка мала доступ до інформації та незаконно її скопіювала, та особою, яка поширила дані.

Тепер родзинка на торті. На думку Дениса Овчарова, партнера ЮК «Legal House», всі ті, хто використовував Telegram-бот, теоретично також можуть очікувати на візит правоохоронців з обшуком. Звичайно, тут все залежить від стратегії, яку обере слідство. Проте 1,5 року тому в кейсі з розповсюдження персональної інформації колишнім начальником одного з департаментів Національної поліції України до осіб, які використовували його «послуги», прийшли з подібним візитом. Якщо прийдуть правоохоронці, то їх буде цікавити виключно техніка – смартфон і ноутбук, комп’ютер, на якому встановлений Telegram.

Додатково українським законодавством передбачена інша відповідальність за порушення прав людини на захист персональних даних: адміністративна (якщо відбувся незаконний доступ до даних, можливий штраф у розмірі від 1700 до 8500 гривень; якщо це відбулося з вини посадової особи, то штраф від 5100 до 17000 гривень); дисциплінарна (догана чи звільнення працівника, який допустив таке порушення); цивільно-правова (особа, чиї права на захист персональних даних були порушені, може звернутися з вимогою або позовом до суду про відшкодування майнової та/або моральної шкоди, завданої порушенням).

Використали не за призначенням

Судових рішень щодо предметного розгляду справ про витоки інформації з баз ПД вкрай мало. Наприклад, до штрафу в 17000 гривень засудили раніше неодноразово судиму українку, яка через месенджер Telegram продавала «базу мешканців України». Базу, яка містила ПІБ, адреси, паспортні дані, ІПН та іншу інформацію, жінка оцінила в 12000 гривень. З вироком Заводського районного суду м. Дніпродзержинська Дніпропетровської області можна ознайомитися за посиланням.

Також минулого року один з депутатів Черкаської міської ради VIII скликання за депутатським запитом отримав від Черкаської міської ради Будівельний паспорт одного з об’єктів будівництва певної громадянки, який містив її персональні дані, та виклав його у вільному доступі на вебсторінці в соціальній мережі Facebook. Це призвело до незаконного доступу до них невстановленого кола осіб та безпідставного втручання у її приватне життя. Постановою Соснівського районного суду м. Черкаси від 04.07.2019 року. порушника було притягнуто до адміністративної відповідальності та стягнуто штраф у розмірі 3400 грн. Проте питання про видалення цієї інформації не вирішувалося і не могло бути вирішеним у межах провадження у справах про адміністративні правопорушення.

Водночас практика застосування законодавства про захист ПД інколи вражає винахідливістю заявників. Наприклад, захист персональних даних як підстава для оскарження чинності господарських договорів (так звана справа «Коломойського проти ПриватБанку»); захист персональних даних як підстава для скасування (зупинення дії) регуляторних актів (справа щодо «функціонування ринку природного газу»); на необхідність захисту персональних даних нерідко посилаються держслужбовці, намагаючись уникнути виконання обов’язку оприлюднення документів (позов А. Гриценка до ЦВК).

Дещо цікавішою є практика ЄСПЛ щодо порушення права на захист персональних даних роботодавцем. У рішенні «Суріков проти України» (2017 рік) Суд зазначив про те, що роботодавець заявника довільно збирав, зберігав та використовував дані стосовно його психічного здоров’я у зв’язку із заявою останнього про підвищення, а також відкрив ці дані колегам заявника та суду під час відкритого розгляду справи. ЄСПЛ вказав, що це непропорційне втручання у право заявника, що не було необхідним у демократичному суспільстві, тому вважається порушенням.

Що буде далі?

В Парламенті була створена робоча група з напрацювання змін до Закону України «Про захист персональних даних» для створення окремого органу із захисту даних. Щоб цей орган діяв незалежно, його потрібно вивести з-під контролю виконавчої гілки влади, щоб він міг перевіряти, надавати приписи, штрафувати тощо. В ЗМІ цю інформацію вже підтвердив співголова робочої групи, депутат фракції «Слуга народу» Тарас Тарасенко.

Все б нічого, але дивує така заява: «Наразі юридична спільнота дискутує, чи потрібні зміни до Конституції, чи достатньо внести зміни підзаконними актами… Однак більшість схиляється до думки, що для створення окремого органу для повноцінного захисту персональних даних все-таки потрібні зміни до Конституції. Щоб цей орган міг проводити розслідування, накладати штрафи тощо», – зазначив Тарасенко.

Зміни до Конституції заради такого простого питання, на нашу думку, це надмірні заходи, схожі на виправдання, якщо не вдасться довести справу до кінця. До того ж його колега в цій групі, депутат від «Слуги народу» Єгор Чернєв, зазначив, що наразі невідомо, планується персональний чи колегіальний орган: «Розглядаються різні варіанти. Можливо, це буде інформаційний комісар чи комісія, чи комітет… Існує різна практика Європейського Союзу».

Тому наш прогноз – з інформаційним комісаром в нашій державі навряд чи складеться, а от щодо нової редакції Закону «Про захист персональних даних», в якій буде врахований європейський GDPR, юристам вже зараз варто замислитися. Інакше цифрового колапсу не уникнути. Тоді від хакерів не врятує ні Мінцифри, ні Уповноважений ВР, ні суди.

Компетенція омбудсмена щодо скарг, пов’язаних з порушеннями у сфері GDPR

Згідно з положеннями ст. 4 Закону України «Про Уповноваженого Верховної Ради України з прав людини», діяльність Уповноваженого доповнює наявні засоби захисту конституційних прав і свобод людини, не скасовує їх, не вимагає перегляду компетенції державних органів, які забезпечують захист та поновлення порушених прав і свобод.

Відповідно до ч. 1 ст. 17 Закону України «Про Уповноваженого Верховної Ради України з прав людини», Уповноважений приймає та розглядає звернення громадян України, іноземців, осіб без громадянства або осіб, які діють в їхніх інтересах, згідно із Законом України «Про звернення громадян», ст. 12 якого визначено, що його дія не поширюється на порядок розгляду заяв і скарг громадян, встановлений кримінальним процесуальним, цивільно-процесуальним, трудовим законодавством, Кодексом адміністративного судочинства України тощо. Тобто звернення до Уповноваженого щодо вчинених порушень у сфері захисту персональних даних має бути обґрунтованим і ґрунтуватися на фактичних обставинах, які повинні бути документально підтвердженими. Адже на Уповноваженого не покладаються слідчі чи розшукові функції, а також обов’язок з пошуку і фіксації фактичних даних про протиправні діяння окремих осіб.

Підставою для проведення позапланових перевірок суб’єктів, що здійснюють обробку ПД, зокрема, є обґрунтовані звернення фізичних та юридичних осіб з повідомленням про порушення вимог законодавства про захист персональних даних (п. 2 ч. 1 ст. 23 Закону, п. 4.1 Порядку здійснення Уповноваженим Верховної Ради України з прав людини контролю за додержанням законодавства про захист персональних даних, затвердженого наказом Уповноваженого від 08.01.2014 р. №1/02-14).

Окрім того, Уповноважений не може втручатися в перебіг досудового слідства та/або судовий процес між третіми особами, в тому числі за умови, що слідство/судовий процес безпосередньо пов’язані з порушеннями у сфері захисту персональних даних.

Уповноважений не зможе допомогти, якщо заявник насправді перебував/перебуває у правовідносинах з особою, що обробляє персональні дані, на підставі чинного правочину (його окремих положень) — отримав та не повернув кредит/позику або має непогашену заборгованість за будь-які інші отримані роботи/послуги (тобто, якщо персональні дані заявника обробляються на законних підставах).

Також необхідно розуміти, що факт відкликання заявником згоди на обробку його персональних даних не матиме правового навантаження, якщо для обробки таких персональних даних існуватимуть інші законні підстави. Наприклад, відкликання згоди на обробку ПД не звільняє особу від виконання своїх зобов’язань за договором позики та не позбавляє кредитора права обробки ПД з метою стягнення заборгованості за таким договором.

Натомість Уповноважений зможе належним чином виконати свої функції у сфері захисту персональних даних за умови надання суб’єктом звернення належного обґрунтування своїх порушених прав разом з достатньою кількістю підтверджувальних матеріалів (доказів).

Коментар

Дарина Сидоренко, юрист Sayenko Kharenko

«Закон України «Про захист персональних даних» від 01.06.2010 р. наразі не містить жодної статті про необхідність повідомлення про витік персональних даних. Загалом, в українському законодавстві немає окремих положень, які регулювали б питання витоку даних. Цим дуже просто пояснити, чому персональні дані залишаються прогалиною українською законодавця. Їх захист так і не став пріоритетним питанням для вирішення. Спроби змінити та адаптувати наявний закон до стандартів Європейського Союзу почалися ще у 2018 році. Це частина законодавчих змін, які обіцяла прийняти Україна, підписавши Угоду про асоціацію між Україною та ЄС.

Однак не тільки закон є недосконалим в аспекті персональних даних. Статистика судової практики щодо справ про злочини у сфері використання електронно-обчислювальних машин (комп’ютерів), автоматизованих систем та комп’ютерних мереж і мереж електрозв’язку за 2018 році дуже низька. За ст. 182 взагалі немає жодного рішення. Загалом, у 2018 році було 7 засуджених за цю категорію злочинів. Адміністративне судочинство також не достатньо проактивне в напрямку розгляду справ про захист персональних даних.

Напевно, однією з найважливіших причин, чому зловмисники в Україні не бояться бути притягнутими до відповідальності, є низькі штрафи. Відповідно до ст. 188-39 Адміністративного Кодексу України, за недодержання встановленого законодавством порядку захисту персональних даних, що призвело до незаконного доступу до них або порушення прав суб’єкта персональних даних, тягне накладення штрафу на громадян від 100 до 500 неоподатковуваних мінімумів доходів громадян, а на посадових осіб, громадян-суб’єктів підприємницької діяльності – від 300 до 1000 неоподатковуваних мінімумів доходів громадян, що є еквівалентом штрафів у розмірі від 1700 до 17000 гривень.

Сьогодні можна сказати, що ситуація зовсім невтішна. Однак що ж робити на практиці, якщо ваші дані були викрадені та розповсюджені? Відповідальність за поширення персональних даних покладається на особу, яка опублікувала ці дані або іншим чином зробила їх загальнодоступними.

Особа, яка дізналася, що її дані були опубліковані, має звернутися до Уповноваженого Верховної Ради України з прав людини зі скаргою про те, що її дані були опубліковані та відбулося порушення права на приватність. На підставі цієї скарги відбудеться перевірка володільця персональних даних на факт порушення ним законодавства. Після перевірки відповідним секретаріатом Уповноваженого складається припис з вимогою усунення виявлених порушень. На цьому може бути кінець історії. Тільки у разі невиконання припису може бути складений протокол про адміністративне правопорушення. Тобто на практиці володілець даних має двічі порушити законодавство, для того щоб бути притягнутим до адміністративної відповідальності.

Що стосується кримінальної відповідальності, передбаченої ст. 182 Кримінального кодексу України, то тут початком розгляду порушення є заява суб’єкта персональних даних (потерпілого) щодо фактів незаконного збирання, зберігання, використання, знищення або зміни його персональних даних без відповідної згоди. Знову ж таки, заява не гарантує, що ваша справа потрапить на розгляд до суду. Питання відшкодування моральної шкоди також є не менш складним і вимагає від потерпілого довести той факт, що йому дійсно була нанесена моральна шкода, а це не завжди просто.

Отже, наразі особи, персональні дані яких стали публічно доступними, хоча й мають способи захисту свої прав, але процес є достатньо тривалим. До того ж не факт, що врешті-решт постраждала особа буде задоволена результатом. Без внесення змін до Закону України «Про захист персональних даних» неможливо говорити про справжню відповідальність для порушників у сфері персональних даних. Заклики про необхідність нового закону не раз лунали серед депутатів Верховної Ради. Ми очікуємо, що у найближчі два роки ми отримаємо новий закон, який дійсно захищатиме персональні дані та надасть можливість особам захистити свої права. Адже дані – це нова влада, тому їх потрібно оберігати».

Share:

More Publications
Show More