Чи ТЦК будуть стежити за банківськими рахунками українців. Розмова з експертом із кібербезпеки Костянтином Корсуном

Розмова відбулась у рамках програми "Коментар" на ютуб-каналі Еспресо.

Нещодавно президент Зеленський підписав зміни до закону про реєстр призовників, військовозобов'язаних і резервістів "Оберіг". Тепер нова редакція документа дозволяє ЦВК, податковим і міграційним службам передавати особисті дані українців віком від 17 до 60 років до бази даних реєстру "Оберіг". Чи можете ви пояснити, для чого необхідно надавати такі дані з податкової та міграційної служби?

Насправді у мене немає конкретної відповіді на це питання. Я розумію вашу стурбованість, і я сам не до кінця розумію цю ситуацію. Очевидно, що в Україні проблема з конфіденційністю даних та розумінням важливості їх захисту. Суть захисту персональних даних полягає в тому, що чим менше таких даних передається державним органам, тим краще для громадян. На жаль, у нас в країні законодавство часто створюється таким чином, щоб органи контролю мали важіль впливу на громадян. Це робить ведення бізнесу та просто життя складнішими.

У Європейському Союзі вже багато років діє закон про захист персональних даних – GDPR. Кожна країна-член його зобов'язана імплементувати, інтегрувати з місцевим законодавством і так далі. І це законодавство досить жорстке, чітке та зрозуміле, тобто його можна виконати, адже там є вимоги та критерії. В Україні ж, на жаль, такого захисту персональних даних фактично не існує. Він існує лише на папері.

Фото: колаж Еспресо TV

Які саме особисті дані військовозобов'язаних українців можуть опинитися у розпорядженні військкоматів після цих змін?

Згідно з пресою, це можуть бути ім'я, прізвище, по батькові, наявність банківського рахунку, дата народження та інші ідентифікаційні дані. Проте я не зовсім розумію, як ця інформація допоможе військкоматам, якщо, наприклад, стан рахунку не буде повідомлятися. Сам стан рахунку — це інформація, яку можна передавати комусь лише за рішенням суду. Банк  мусить дотримуватися і не розголошувати її. Якщо факт наявності рахунку також є банківською таємницею, це може видаватися лише за рішенням суду. В іншому випадку ми рухаємося в бік авторитаризму та порушення прав людини. Стан війни тут не має значення. Ми боремося за права людини, свободу, демократію та цінності. 

Законодавство США, до прикладу, побудовано навколо прав громадянина. Кожен громадянин США є центром усієї системи права, і вся система спрямована на захист його інтересів. В Україні ж законодавство часто працює на державні органи влади, і права людини залишаються на другому плані.

Чи це не стане поштовхом до корупції, адже тепер буде відомо, хто з військовозобов'язаних має скільки грошей чи який фінансовий обіг?

Наскільки я чув заяви посадовців, вони категорично стверджують, що інформація про стан рахунку не буде повідомлятися. Проте особисто я неодноразово ловив посадовців на брехні, коли вони заявляли одне, а реальність виявлялася зовсім іншою. Треба уважно читати текст самого законопроєкту.

Теоретично, якщо людина ухиляється від мобілізації, то необхідно зібрати інформацію про її рахунки, щоб штрафувати. Наприклад, штрафи в розмірі близько 20 тисяч гривень можуть почати діяти вже через два тижні. Якщо ТЦК ініціює адміністративне провадження за ухилення від мобілізації, то вони мають запити про стан рахунків через суд. Суд надає дозвіл усім банкам повідомити про стан рахунку. ТЦК має знати, в яких банках є рахунки цієї людини, щоб звернутися до суду. Ось така логіка є.

Я читала зміни, які схвалив Зеленський, і справді там немає лінії про доступ до перевірки наявності коштів на банківських рахунках. Проте немає і фрази про те, що такого не буде.

Чи збережеться у нас поняття захисту даних?

Захист персональних даних був і збережеться. Посадовці продовжать заявляти про його важливість, адже ми рухаємося до Європейського Союзу. У Європейському Союзі надзвичайно уважно ставляться до питань захисту персональних даних, передбачаючи колосальні штрафи за порушення. У нас із персональним захистом персональних даних просто якесь Сомалі. В Україні це все формально і не працює на практиці. Багато років я публічно заявляю, що в нас немає реального захисту персональних даних, лише фікція.

Що станеться, якщо реєстр військовозобов'язаних буде зламаний?

У разі найгіршого сценарію військовозобов'язані не матимуть можливості самостійно захистити свої дані. В Україні держава монополізувала контроль над персональними даними, і громадянин не має жодної можливості впливати на те, як і де циркулюють його дані. Громадянин може лише довіряти уряду або не довіряти. Як професіонал з понад двадцятирічним стажем, я не довіряю, адже бачу, що система захисту персональних даних не працює, а кібербезпеки в нашій країні не існує. Громадяни можуть лише вимагати від уряду професійно займатися захистом персональних даних і кібербезпекою, але змінити щось власноруч не можуть.

Можливо, моє питання прозвучить трохи утопічно, але чи може військовозобов'язаний українець за рішенням суду заборонити поширення своїх персональних даних, наприклад, рахунків у банку, в будь-якій системі, як-от у реєстрі "Оберіг"?

Чи може громадянин звернутися до суду і заборонити публікацію своїх даних?

Навіть якщо уявити, що український суд ухвалить рішення про заборону обробки персональних даних громадянина, наприклад, у реєстрі "Оберіг", контролювати виконання цього рішення буде практично неможливо. Дані, які циркулюють у державних мережах, не підлягають повному контролю. З одного боку, громадянин має право на захист своїх даних, але з іншого – він має обов'язки, які без обробки цих даних не можуть бути реалізовані, тому ця ситуація утопічна двічі – по-перше, щоб суд ухвалив подібне рішення, по-друге, щоб державні органи виконали подібне судове рішення.

Фото ілюстративне: bug.org.ua

Чи можуть військовозобов'язані українські чоловіки зберегти свої дані?

Проблема полягає в тому, що ми змушені довіряти свої дані людям, які можуть не виконувати свої обов'язки належним чином. Навіть фахівці з величезним досвідом не мають механізмів впливу на процеси обробки даних. Єдиний спосіб – це не передавати свої дані нікому, але це практично неможливо, оскільки для отримання державних послуг необхідно ідентифікувати себе. 

Пункт дозволу на обробку своїх персональних даних є практично всюди, де б ти не реєструвався, навіть на якесь банальне навчання від громадської організації. всюди потрібно її натискати. Для чого мені на якесь навчання підтверджувати це використання своїх особистих даних?

В абсолютній більшості випадків без цієї галочки ви не отримаєте бажаного: форма реєстрації не пропустить вас далі. Без її активації користувач не може отримати доступ до послуги. У Європі за таку практику штрафують, оскільки користувач повинен мати опцію відмовитися. В Україні це явище настільки масове, що коли я бачу винятки, то ледь не плачу від щастя. 

Наприклад, якщо я передаю свої персональні дані, ніхто не надає тексту угоди про їхню обробку, де написано, кому далі, яким рекламодавцям, яким магазинам може бути передана моя особиста інформація. Держава жодним чином не впливає на всі ці процеси не регулює не захищає інтереси громадян навіть у державних застосунках, таких як «Дія» чи «Резерв+», хоча вона повинна забезпечити належний захист даних своїх громадян, адже без цього ми залишаємося беззахисними перед можливими зловживаннями.