Почему данные украинских пользователей постоянно сливают

Оксана Духовная
К.ю.н., адвокат, партнер INPRAXI LAW

С мая украинский рынок инфобезопасности качает от постоянных новостей об утечке персональных данных.

Май — появляется несколько Telegram-ботов, распространяющих персональные данные миллионов украинцев от паролей соцсетей до паспортных данных, водительских удостоверений и данных банковских карточек.

Июль — утечка базы данных сервиса CloudFlare: 3 млн сайтов, среди них 45 записей с доменом gov.ua и более 6,5 тыс. с доменом ua. Часть обнародованных ресурсов принадлежит объектам критической инфраструктуры.

Telegram Logo

В том же месяце был выявлен чат-бот, который распространял персональные данные украинских военных: ФИО, номера воинских частей, даты самовольного оставления воинских частей по 6907 военнослужащим.

Август — Франция начала расследование против TikTok из-за незаконного сбора сетью конфиденциальных данных пользователей (информация о контактах, процессорах, серийных номерах устройства и IP, а также данные об установленных программах и точках Wi-Fi) и слежения за ними.

Google News Logo Подписывайтесь на нас в Google News!

При чем здесь Украина? Все просто: по данным агентства Wideworks, которое с июня 2020 года является официальным партнером TikTok в Украине, в TikTok зарегистрировано почти 3,2 — 3,4 млн украинцев.

И хотя пока никаких жалоб со стороны украинских пользователей не зафиксировано, мы уверены, что это лишь вопрос времени и уровня осведомленности украинцев о своих правах относительно сохранности персональных данных.

25 октября 2017 года Украина в лице Кабинета министров самостоятельно определила для себя задачу имплементировать Общий регламент по защите персональных данных (GDPR) в национальное законодательство до официального вступления его в силу, а именно до 25 мая 2018 года.

Тогда украинский бизнес мысленно нервно подсчитывал возможные многомиллионные штрафные санкции (10 — 20 млн евро) за нарушение Регламента и надеялся, что все обойдется.

И все обходится. По крайней мере, на сегодня нет ни одного известного прецедента о наложении штрафа за несоблюдение GDPR украинскими компаниями.

Если брать во внимание последние данные Privace Affairs относительно общего количества предназначенных штрафов за нарушение Регламента с момента его вступления в силу, а это 340 штрафов на общую сумму 158,13 тыс. евро, то возникает логичный вопрос: все ли украинские компании четко придерживаются Регламента? Возможно, украинцы не знают своих прав?

Сейчас сбор, обработка, распространение в Украине персональных данных происходит фактически бесконтрольно, без привлечения к ответственности виновных лиц и применения к ним штрафных санкций, с одной стороны, и из-за халатности самих пользователей — с другой.

И если на решение первой проблемы украинцы повлиять почти не в состоянии из-за отсутствия специального регуляторного органа, который бы осуществлял надзор за соблюдением законодательства в сфере защиты персональных данных и привлекал к ответственности лиц, виновных в их «сливе», то небрежность или даже слабую осведомленность украинских пользователей преодолеть возможно.

Прежде всего, помните, что, вовлекаясь в любую онлайн-активность — от пользования социальными сетями, мессенджерами до онлайн-покупок, онлайн-марафонов и тренингов, пользователи добровольно предоставляют массу своих персональных данных.

И если вы пользуетесь программами или приложениями компаний, работающих на территории ЕС, у вас есть следующие права:

  • право знать, кто и зачем обрабатывает ваши личные данные;
  • право доступа к своей персональной информации;
  • право на исправление персональных данных;
  • право на очистку данных, или «право быть забытым»;
  • право на ограничение или блокирование обработки данных;
  • право переноса персональных данных из одного сервиса в другой;
  • право возражать против обработки данных;
  • право лично влиять на автоматизированные системы сбора и профилирования.

Кроме того, вы можете послать бесплатный запрос об использовании своих данных и обязательно получить ответ в течение одного — трех месяцев.

В случае неполучения ответа по истечении трех месяцев пользователь имеет право обратиться в региональный или европейский орган, контролирующий соблюдение норм GDPR.

Кроме того, компании, участвующие в GDPR, помимо разработки и внедрения внутренних политик обработки персональных данных, на обязательной основе вводят в действие процедуру по реагированию и расследованию инцидентов, связанных с персональными данными.

Ведь нарушение требования в части сообщения об инциденте в течение 72 часов обращается на практике для компаний более жестким в денежном эквиваленте наказанием (штрафом).

Кроме того, такие компании принимают следующие меры по защите персональных данных, которые они обрабатывают, с использованием множества доступных сейчас компьютерных технологий. В частности, речь идет о таких мерах, как:

  • шифрование и псевдонимизация персональных данных;
  • обеспечение конфиденциальности и целостности системы обработки данных;
  • своевременное восстановление доступа как самих субъектов персональных данных, так и уполномоченных лиц к ним в случае какого-то инцидента (атака, утечка данных и т.д.).

Также в компаниях обязательно назначаются ответственные за защиту персональных данных (контроллер, процессор, Data Protection Officer) — именно они ведут учет, обработку персональных данных и первыми реагируют на их утечку.

Поэтому помните о своих правах и не медлите напоминать о них компаниям-нарушителям.

The Page Logo
У вас есть интересная колонка для The Page?
Пишите нам: [email protected]

Warning icon Ошибка в тексте? Выделите её мышкой и нажмите: Ctrl + Enter

Редакция не несет ответственности за содержание материала и может не разделять мнение его автора

Комментарии

Все новости