С мая украинский рынок инфобезопасности качает от постоянных новостей об утечке персональных данных.
Май — появляется несколько Telegram-ботов, распространяющих персональные данные миллионов украинцев от паролей соцсетей до паспортных данных, водительских удостоверений и данных банковских карточек.
Июль — утечка базы данных сервиса CloudFlare: 3 млн сайтов, среди них 45 записей с доменом gov.ua и более 6,5 тыс. с доменом ua. Часть обнародованных ресурсов принадлежит объектам критической инфраструктуры.
В том же месяце был выявлен чат-бот, который распространял персональные данные украинских военных: ФИО, номера воинских частей, даты самовольного оставления воинских частей по 6907 военнослужащим.
Август — Франция начала расследование против TikTok из-за незаконного сбора сетью конфиденциальных данных пользователей (информация о контактах, процессорах, серийных номерах устройства и IP, а также данные об установленных программах и точках Wi-Fi) и слежения за ними.
При чем здесь Украина? Все просто: по данным агентства Wideworks, которое с июня 2020 года является официальным партнером TikTok в Украине, в TikTok зарегистрировано почти 3,2 — 3,4 млн украинцев.
И хотя пока никаких жалоб со стороны украинских пользователей не зафиксировано, мы уверены, что это лишь вопрос времени и уровня осведомленности украинцев о своих правах относительно сохранности персональных данных.
25 октября 2017 года Украина в лице Кабинета министров самостоятельно определила для себя задачу имплементировать Общий регламент по защите персональных данных (GDPR) в национальное законодательство до официального вступления его в силу, а именно до 25 мая 2018 года.
Тогда украинский бизнес мысленно нервно подсчитывал возможные многомиллионные штрафные санкции (10 — 20 млн евро) за нарушение Регламента и надеялся, что все обойдется.
И все обходится. По крайней мере, на сегодня нет ни одного известного прецедента о наложении штрафа за несоблюдение GDPR украинскими компаниями.
Если брать во внимание последние данные Privace Affairs относительно общего количества предназначенных штрафов за нарушение Регламента с момента его вступления в силу, а это 340 штрафов на общую сумму 158,13 тыс. евро, то возникает логичный вопрос: все ли украинские компании четко придерживаются Регламента? Возможно, украинцы не знают своих прав?
Сейчас сбор, обработка, распространение в Украине персональных данных происходит фактически бесконтрольно, без привлечения к ответственности виновных лиц и применения к ним штрафных санкций, с одной стороны, и из-за халатности самих пользователей — с другой.
И если на решение первой проблемы украинцы повлиять почти не в состоянии из-за отсутствия специального регуляторного органа, который бы осуществлял надзор за соблюдением законодательства в сфере защиты персональных данных и привлекал к ответственности лиц, виновных в их «сливе», то небрежность или даже слабую осведомленность украинских пользователей преодолеть возможно.
Прежде всего, помните, что, вовлекаясь в любую онлайн-активность — от пользования социальными сетями, мессенджерами до онлайн-покупок, онлайн-марафонов и тренингов, пользователи добровольно предоставляют массу своих персональных данных.
И если вы пользуетесь программами или приложениями компаний, работающих на территории ЕС, у вас есть следующие права:
- право знать, кто и зачем обрабатывает ваши личные данные;
- право доступа к своей персональной информации;
- право на исправление персональных данных;
- право на очистку данных, или «право быть забытым»;
- право на ограничение или блокирование обработки данных;
- право переноса персональных данных из одного сервиса в другой;
- право возражать против обработки данных;
- право лично влиять на автоматизированные системы сбора и профилирования.
Кроме того, вы можете послать бесплатный запрос об использовании своих данных и обязательно получить ответ в течение одного — трех месяцев.
В случае неполучения ответа по истечении трех месяцев пользователь имеет право обратиться в региональный или европейский орган, контролирующий соблюдение норм GDPR.
Кроме того, компании, участвующие в GDPR, помимо разработки и внедрения внутренних политик обработки персональных данных, на обязательной основе вводят в действие процедуру по реагированию и расследованию инцидентов, связанных с персональными данными.
Ведь нарушение требования в части сообщения об инциденте в течение 72 часов обращается на практике для компаний более жестким в денежном эквиваленте наказанием (штрафом).
Кроме того, такие компании принимают следующие меры по защите персональных данных, которые они обрабатывают, с использованием множества доступных сейчас компьютерных технологий. В частности, речь идет о таких мерах, как:
- шифрование и псевдонимизация персональных данных;
- обеспечение конфиденциальности и целостности системы обработки данных;
- своевременное восстановление доступа как самих субъектов персональных данных, так и уполномоченных лиц к ним в случае какого-то инцидента (атака, утечка данных и т.д.).
Также в компаниях обязательно назначаются ответственные за защиту персональных данных (контроллер, процессор, Data Protection Officer) — именно они ведут учет, обработку персональных данных и первыми реагируют на их утечку.
Поэтому помните о своих правах и не медлите напоминать о них компаниям-нарушителям.
Редакция не несет ответственности за содержание материала и может не разделять мнение его автора