Чому нічого схожого на Дію немає у країнах розвинутої демократії

Річ у тому, що у Європейському Союзі існує загальний стандарт (регламент) щодо захисту персональних даних під назвою GDPR (вимовляється "джі-ді-пі-ар"), і кожна країна-член зобов’язана імплементувати (запровадити) цей стандарт у своє національне законодавство. І це також є у вимогах щодо асоціації України з ЄС.

Я постараюся суперстисло донести основні ідеї GDPR (з прямими цитатами), а ви порівняйте все це з тим, що є сумною реальністю в сучасній Україні.

І спочатку важливий момент: вітчизняні цифровізатори дуже люблять повторювати: "Дія не зберігає персональних даних", - що, на їх думку, знімає з них відповідальність за можливі витоки.

І це звучить по-дитячому, тому що у GDPR є поняття "Опрацювання" (або "обробка" в українському законодавстві) і воно включає, цитата: "будь-яку операцію або низку операцій з персональними даними або наборами персональних даних з використанням автоматизованих засобів або без них, такі як збирання, реєстрація, організація, структурування, зберігання, адаптація чи зміна, пошук, ознайомлення, використання, розкриття через передавання, розповсюдження чи надання іншим чином, упорядкування чи комбінування, обмеження, стирання чи знищення" (стаття 4 GDPR).

Читайте також: Хто в Україні керує диджиталізацією

Тобто "зберігання" перебуває десь у середині списку з 18 способів опрацювання персональних даних. І витік може статись у разі неправильного використання кожного (!) з них. Особисто мені відомо багато випадків, коли Дія здійснювала майже усі з вищевказаних видів "опрацювання" ПД, але любить заявляти лише про "незберігання".

У статті 5 GDPR йдеться (серед іншого), "зобов’язання "опрацьовувати у спосіб, що забезпечує належну безпеку персональних даних".

Якби в Україні існував би незалежний професійний регулятор ЗПД, то за інцидент у січні 2022, коли витекла уся база даних Дії на міністерство наклали б кількамільйонний штраф, а посадових осіб Дії притягли б до відповідальності. А сам проєкт закрили б як такий, що порушує права людини.

А тепер коротко про ключові положення GDPR.

"Контролер несе відповідальність за дотримання параграфа 1 (забезпечення безпеки персональних даних – КК) і повинен бути здатним це довести ("підзвітність")." Повинен. Бути. Здатним. Довести. Безпеку персональних даних.

"Суб’єкт даних (тобто громадянин – КК) повинен мати право відкликати свою згоду (на опрацювання своїх персональних даних – КК) в будь-який момент" (стаття 7).

"Контролер (у тому числі орган державної влади, — авт.) не має права ухилятися від дій на запит суб’єкта даних щодо реалізації його прав" (стаття 12).

Читайте також: Чому функціонери Google не довіряють Дії?

"Контролер повинен, у момент отримання персональних даних, надати суб’єкту даних усю інформацію, а саме інформацію про: особу та контактні дані контролера…, контактні дані співробітника з питань захисту даних…, одержувачі чи категорії одержувачів персональних даних…, період зберігання персональних даних…, існування права на відкликання згоди в будь-який момент…, наявність автоматизованого вироблення й ухвалення рішень, у тому числі профайлінгу…" (стаття 13).

"Право (громадянина, – авт.) на виправлення персональних даних, яке повинен здійснити контролер без будь-якої необґрунтованої затримки" (стаття 16).

"Право бути забутим": суб’єкт даних повинен мати право на стирання своїх персональних даних, яке повинен здійснити контролер без будь-якої безпідставної затримки" (стаття 17).

Право на заперечення опрацювання персональних даних (стаття 21).

І ще багато іншого.

А тепер скажіть: чи мають користувачі застосунків "Дія" чи, скажімо, "Резерв+" вказані права та можливості, передбачені GDPR?

Відповідно, чи відповідають зазначені державні застосунки "європейським стандартам" щодо захисту персональних даних? Чи враховані ці стандарти при розробці та імплементації цих додатків?

Відповіді на ці питання також допоможуть зрозуміти чому нічого схожого на Дію немає у країнах розвинутої демократії та, зокрема, Європейського Союзу.

Куди ми так завзято прагнемо.

* Публікується зі збереженням стилю автора

Джерело

Про автора. Костянтин Корсун, експерт з кібербезпеки

Редакція не завжди поділяє думки, висловлені авторами блогів.