Проблемы защиты персональных данных
Законодательство о защите персональных данных породило привычку подписывать не читая многочисленные согласия на обработку персональных данных и положило дополнительное бремя на добросовестный бизнес в виде обязательного сбора письменных согласий на обработку персональных данных, что, вместе с тем, практически не помогает защитить персональные данные от незаконной обработки. Есть признаки того, что по сравнению с периодом до принятия этого законодательства, защищенность персональных данных снизилась, в том числе, в результате простимулированной новыми нормами укорененной привычки нажимать на «соглашаюсь». Вместе с этим, не чувствуется уменьшения активности тех, кто, используя персональные данные обычных граждан, пытается добраться до их кошельков и сердец.
Как бороться с «утечками информации» из баз данных?
Еще с 2011 года действует Закон Украины «О защите персональных данных». В пояснительной записке к его проекту было указано, что законом должно быть конкретизировано право на неприкосновенность личной жизни (в т.ч. касательно сбора информации о лице), которое гарантировано согласно ст. 32 Конституции Украины, и установлены технологии его выполнения. Разработчики законопроекта указывали, что немало физических и юридических лиц формируют базы персональных данных о своих клиентах, а «утечки информации» из этих баз данных наносят значительный ущерб и требуют законодательного урегулирования. Что же в конце концов получилось?
Закон Украины «О защите персональных данных» пестрит терминологией о распорядителях и владельцах, субъектах и объектах персональных данных, различает сбор, накопление и хранение персональных данных, их обработку и использование. Вместе с тем, «защита» персональных данных согласно закону ограничивается нормой-декларацией («владельцы, распорядители персональных данных и третьи лица обязаны обеспечить защиту этих данных от случайных потери или уничтожения, от незаконной обработки, в том числе, незаконного уничтожения или доступа к персональным данным» – ч. 1 ст. 24 Закона Украины «О защите персональных данных»). При этом, у владельцев баз персональных данных нет обязанности уведомлять регулятор о фактах утечки данных, а доказывание вины (в т.ч. в форме неосторожности) владельца в утечке данных может быть проблематичным.
Дело «Новой почты». Весной 2018 года была распространена информация об утечке баз данных (в т.ч. скриншоты таблиц с якобы паспортными данными клиентов). Внеплановая проверка регулятора (Уполномоченного Верховной Рады по правам человека) не смогла подтвердить информацию об утечке данных, поскольку не нашла в базах службы доставки информацию о заявителях, по которым вроде бы была утечка данных. Исходя из публично доступной информации, регулятор не поднимал вопрос, является ли пропорциональным объем персональных данных, которые собирает и использует сервис доставки «Новая почта» (в частности, паспортные данные отправителя и получателя), в то время как все большее распространение получают сервисы доставки, в которых получателю не нужно демонстрировать свой паспорт или предоставлять его для сканирования и хранения в клиентских базах. Достаточно сообщить телефон, на который приходит номер и код доступа к ближайшему ящику самообслуживания (почтомату), где можно получить свой заказ. Также не удалось найти информацию о других действиях, совершенных регулятором для установления и привлечения к ответственности лиц, виновных в утечке персональных данных.
Обработка персональных данных: согласие без согласия
Предоставление субъектом персональных данных письменного согласия на сбор, обработку, использование таких данных, которое было введено согласно Закону Украины «О защите персональных данных», на первый взгляд является логичным шагом, когда лицо само решает, кто, когда и в каком объеме сможет обрабатывать его персональные данные. Однако текущая практика ставит вопрос целесообразности применения такого согласия (по крайней мере, в том формате, который предусмотрен действующим законодательством) и поисках более оптимальных механизмов. Далее приводим основные замечания к практике применения согласия на обработку персональных данных.
• Безальтернативность согласия
У лица обычно нет возможности изменить текст «согласия на обработку персональных данных», например, ограничив возможность передачи информации третьим лицам или определив время, после которого персональные данные должны быть удалены. Кроме этого, в большинстве случаев нет возможности воспользоваться соответствующей услугой, так сказать, «анонимно», вообще без предоставления согласия на обработку персональных данных.
• Непропорциональность объема персональных данных и полномочий на их обработку
Компаниям, которые собирают и ведут базы персональных данных своих клиентов, удобно просить дать согласие «сразу на все», чтобы в случае реорганизации или изменений в бизнес-процессах (например, передача функций по ведению клиентской базы на аутсорсинг), работа с базами данных оставалась формально санкционированной.
Законодательство и рекомендации регулятора указывают на то, что согласие на обработку персональных данных должно быть пропорциональным цели обработки; и даже если лицо предоставило согласие на обработку персональных данных, часть из которых по своей сути не нужна для достижения поставленной цели обработки, то такая обработка будет рассматриваться как непропорциональная и составит нарушение законодательства о защите персональных данных (например, см. Разъяснения Уполномоченного Верховной Рады Украины по правам человека к Типовому порядку обработки персональных данных от 08.01.2014 года). Вместе с тем, учитывая, что суды часто склоняются к формализму, будет трудно доказать незаконность обработки чрезмерного объема персональных данных в условиях, когда лицо добровольно предоставило свое согласие, подписав соответствующий бланк.
• Избыточность и невозможность отследить предоставленные согласия
Заказывая товары и услуги, обычное лицо вынуждено регулярно подписывать бланки согласия на обработку своих персональных данных. В результате, практически каждый оказывается в ситуации, когда его рукой подписаны сотни «согласий на обработку персональных данных», часто с чрезмерным объемом полномочий по их обработке и использованию, однако нет никакой возможности вспомнить и установить всех субъектов, которым такое согласие было дано.
• Бумажная бюрократия
Многие компании добросовестно тратят время и ресурсы на разработку бланков, оформление и хранение заявлений о предоставлении согласия на обработку персональных данных и пытаются вести собственные персональные базы данных в соответствии с требованиями законодательства. Однако, с учетом предыдущих пунктов, соответствующие расходы бизнеса не являются оправданными и не усиливают защиту персональных данных.
• Персональные данные остаются незащищенными
Существование требования закона о подписании согласия на обработку персональных данных не мешает недобросовестному распространению персональных данных. В публичном доступе беспрепятственно циркулируют так называемые «телефонные справочники», в которых можно найти полное имя, адрес, телефон и дату рождения практически любого гражданина Украины. Остается актуальной проблемой рассылка нежелательных уведомлений (через SMS-сообщения, электронную почту).
Следует обратить внимание, что часто в отношениях касательно предоставления согласия на обработку персональных данных выступают неравные по экономической силе субъекты (например, отдельный гражданин с одной стороны, и популярная социальная сеть – с другой). В таких случаях задачей законодательства является установить условия и предохранители злоупотреблениям со стороны более экономически сильной стороны, аналогично тому, как предусмотрены условия договоров с субъектами природных монополий, регулируемые цены и т. п.
Что касается защиты персональных данных, то целесообразно законодательно определить критерии пропорциональности между содержанием согласия на обработку персональных данных и целью их обработки (при отсутствии соблюдения которых согласие на обработку персональных данных не будет считаться действительным), предусмотреть допустимые направления использования персональных данных, установить стандарты доказывания вины и методики определения причиненного ущерба в случаях «утечки информации» или другого незаконного использования персональных данных.
Иначе в сегодняшних условиях «добровольное согласие на обработку персональных данных» является иллюзорным. К сожалению, нам не известны специализированные исследования касательно того, какой процент граждан сознательно прекратили пользование популярными сервисами из-за отказа дать согласие на обработку персональных данных и/или несогласия с правилами их использования, однако, вероятно, что таких было очень немного. Так в чем смысл «добровольного согласия», которое на самом деле не защищает неприкосновенность личной жизни?
Практика применения законодательства о защите персональных данных
Судебных решений по предметному рассмотрению дел об утечках информации из баз персональных данных, о несанкционированном сборе и использовании персональных данных, об обжаловании непропорциональности и избыточности существующих баз персональных данных крайне мало. В то же время, практика применения законодательства о защите персональных данных иногда впечатляет изобретательностью заявителей. Ниже приводим некоторые примеры.
• Защита персональных данных как основание для обжалования действия и исполнения хозяйственных договоров
По делу № 760/27582/17 определением Соломенского районного суда города Киева от 15.12.2017 года в качестве обеспечения иска Игоря Коломойского было запрещено ПАО КБ «ПриватБанк», Министерству финансов Украины, их консультантам и юридическим советникам выполнять условия договоров между ними, которые прямо или косвенно касаются интересов И. Коломойского. Решение было мотивировано тем, что продолжение исполнения таких договоров «может привести к дальнейшей обработке и использованию персональных данных истца без его согласия, а значит, существует риск затруднения и невозможности исполнения решения суда по данному делу». Сейчас постановлением Верховного Суда от 29.05.2019 года применение мер обеспечения иска было отменено, с учетом несоизмеримости выбранного способа обеспечения иска исковым требованиям. Тем не менее, рассмотрение дела по сути продолжается.
• Защита персональных данных как основание для отмены или остановки действия регуляторных актов
Постановлением Шестого апелляционного административного суда от 12.02.2019 года по делу № 826/17804/18 было признано, что выполнение отдельных пунктов Положения о возложении специальных обязанностей на субъектов рынка природного газа для обеспечения общественных интересов в процессе функционирования рынка природного газа (постановление Кабинета Министров Украины от 19.10.2018 года, № 867), будет нарушать порядок сбора, хранения, использования и распространения конфиденциальной информации о лице без его согласия. Несмотря на понятный мотив регулятора установить механизм контроля за объемами и целевым назначением поставки газа, поставщикам удалось (по крайней мере, на сегодня, пока дело еще рассматривается в Верховном Суде) избежать необходимости раскрытия информации, ссылаясь на необходимость защиты персональных данных бытовых потребителей.
• На необходимость защиты персональных данных нередко ссылаются госслужащие, пытаясь избежать исполнения обязанности разглашения информации и обнародования документов
Согласно Постановлению Верховного Суда от 08.02.2019 года № 855/17/19; № А/9901/15/19, судами было отказано в удовлетворении иска кандидата на пост Президента Украины Гриценко А.С. к Центральной избирательной комиссии о признании противоправными действий касательно предоставления электронной копии базы данных Реестра с возможностью доступа только в помещении и с оборудованием Центральной избирательной комиссии, а также действий Центральной избирательной комиссии касательно обязательства кандидата на пост Президента Украины Гриценко А.С. проверять полноту и достоверность персональных данных Реестра исключительно в помещении и с оборудованием Комиссии, обязательства Центральной избирательной комиссии предоставить кандидату на пост Президента Украины Гриценко А.С. электронную копию базы данных Реестра с возможностью доступа к такой с его оборудованием в любом месте (помещении). Суд пришел к заключению, что предоставление истцу электронной копии базы данных Реестра вместе с программным обеспечением для просмотра этой копии в неконтролируемом и незащищенном пространстве, за пределами помещения Комиссии, сделает невозможным обеспечение ею как распорядителем Реестра законности и приоритета прав человека, а также защищенности его сведений, а следовательно, приведет к нарушению требований Конституции Украины, законов о защите информации, а также международных договоров в этой сфере.
В другом деле согласно Постановлению Киевского апелляционного административного суда от 26.04.2018 года, дело № 826/15225/17, были признаны правомерными действия Администрации Президента Украины, отказавшейся предоставить Указ Президента Украины об утрате гражданства Украины (вероятно, речь идет о Михеиле Саакашвили), ссылаясь на необходимость защиты персональных данных. Суд установил, что по состоянию на момент направления истцом запроса на получение публичной информации (июль 2017 года), лицо, о котором шла речь в запросе, не занимало должность, связанную с выполнением функций государства или органов местного самоуправления; информация о согласии лица на обнародование его персональных данных отсутствует. Также суд учел, что ограничению доступа подлежит информация, а не документ (то есть, если документ содержит информацию с ограниченным доступом, для ознакомления предоставляется информация, доступ к которой неограничен). Вместе с тем, было отмечено, что в Указах Президента Украины о принятии в гражданство Украины или прекращении гражданства Украины за вычетом персональных данных о лицах, которых они касаются, не остается другой публичной информации, которая могла бы быть обнародована.
* * *
При отсутствии реального контроля и неотвратимой ответственности за «утечки информации» из баз персональных данных, случаи незаконного доступа и распространения персональных данных продолжаются. В этих условиях установленный законом механизм предоставления «согласия на обработку персональных данных» не достигает запланированной цели ограничить вмешательство в частную жизнь лица, вместо этого, наоборот создает дополнительные проблемы, возлагая лишние обязанности на бизнес и санкционируя (при формальном согласии самого лица) в целом неопределенный круг субъектов на самые широкие полномочия по сбору и обработке персональных данных.
Обращаем Ваше внимание на то, что приведенный выше комментарий не является консультацией и предлагается в информационных целях. В конкретных ситуациях рекомендуется получение полной профессиональной консультации.
С уважением,
МАТЕРИАЛЫ ПО ТЕМЕ
Представительство юридических лиц: что позволяет недобросовестным контрагентам уклоняться от исполнения обязательств?
Новое административно-территориальное устройство: государство реформирует, а бизнес разгребает
Запрет пластиковых пакетов: разбираем закон
Новая доверительная собственность: прошел год, а ничего не изменилось
Юридические лица должны будут обновить информацию о конечных бенефициарных владельцах
Новый старый процесс
Последние изменения в административном судопроизводстве
Лицензия на хранение топлива – упорядочение рынка или новые коррупционные риски?
Пользоваться реестром недвижимости станет проще
С конца 2018 года любая поправка в реестре компании требует предоставления информации о бенефициарах
Электронная подпись на обычной флешке: to be, or not to be