Експертна дискусія «Законопроєкт № 5628 „Про захист персональних даних“». Частина 2. Ексклюзив

Початок тут.

Ведучий: Пані Віто, дякую Вам за таке роз’яснення. У мене є прохання до Вас, дещо уточнити. Зараз ми тут обговорюємо, як експерти в сфері прав людини, загалом, в сфері цифрових даних, якщо переводити на мову побуту, умовно кажучи, теперішня ситуація проблеми з захистом персональних даних для повсякденного життя в чому виливається в проблему?

Ми говорили про те, що незрозуміло, як відбувається обробка персональних даних, хто за неї відповідає і які права, і тому подібне. З іншого боку, Ви сказали, що є дуже багато звернень до омбудсмена, так? Але це, грубо кажучи, більшість населення не знає — про що мова — і не знає абсолютно однозначно, якщо під’єднується, умовно кажучи, до якогось серверу з мобільного телефону, що далі, куди інформація ця іде? Розкажіть, будь ласка, на прикладах, де можуть виникнути проблеми і в кого? Умовно кажучи, якщо буде зберігатися поточна ситуація.

Віта Володовська: Дякую за питання. Насправді дуже складно, коли ми говоримо про права людини: тобто є якісь такі порушення, які легше виміряти. Тобто, умовно кажучи, коли ми говоримо про катування або якісь інші порушення, об’єктивно всі розуміють, що це неправильно, це проблема. З персональними даними складніше, тому що насправді ми з цим стикаємося постійно, і це більше створює якийсь дискомфорт, от, як я вже згадувала, наприклад, навіть не дискомфорт — у випадку з колекторською діяльністю, чому якраз було багато звернень. Тому що люди відчувають реально на них тиск, погрози і все інше, коли їхні персональні дані передаються колекторам, які починають телефонувати, наприклад, не тільки їм, а й насправді і родичам, і друзям, і всім іншим, і поширювати інформацію про вас. І так само тиснути на родичів друзів, і це так само: їхні персональні дані тут задіюються. Ця ситуація очевидна, і тому так багато порушень. Тому що це створює явний дискомфорт. Причому серйозний.

В інших випадках, наприклад, коли ми заповнюємо картки якісь в магазинах — картки лояльності, для того щоб отримувати бонуси і знижки — нам здається, ніби, що тут такого, ми ж за це теж ніби щось отримуємо. Але насправді в контексті можливих потенційних наступних наслідків потім ми можемо отримувати якісь повідомлення про спам, які до нас починають надходити. Нам незручно, але ми не думаємо про те, що це може бути порушення нашого права.

Так само ми не думаємо, ну, і важко говорити про якісь конкретні наслідки от саме в цьому моменті, це швидше незручність, так? Поки не доходить до чогось серйознішого. Якщо ми вийдемо на рівень, наприклад, тих же соціальних мереж і всього іншого, особливо під час виборів чи обговорення якихось інших гострих соціальних питань. Наші персональні дані починають використовуватися для того, щоб маніпулювати нашою думкою. То по суті для нас, за нас, будуть формувати той інформаційний простір, який буде сприятливий для когось. І коли ми будемо гортати свою новинну стрічку і зустрічати там якісь повідомлення, ми не усвідомлюємо про те, що чому ми саме бачимо ці повідомлення.

В Україні немає таких досліджень, не проводилися, немає таких яскравих прикладів, але насправді такі дослідження проводилися в Штатах, особливо після скандалу з Кембридж Аналітик багато з цього приводу було досліджень. І ось там навіть показують про те, як повідомлення — як політтехнологи тестують одне й те саме повідомлення, просто загорнуте в різні упаковки, на різні категорії людей, для того щоб зрозуміти, як і де воно краще заходить. Тобто, умовно кажучи, це може бути якесь повідомлення про, якщо ми говоримо простіше, республіканці — демократи, так? І необхідно схилити. Але, наприклад, якщо ми говоримо про таргетування якогось месенджа на жінок, які доглядають дітей, не працюють, наприклад, а ведуть просто домогосподарство. Для них можуть бути повідомлення більше спрямовані на якісь шкільні справи і щось інше, або які будуть бити на емоції, пов’язані з дітьми. Наприклад, коли… наприклад… ну, от зараз дуже важко, на жаль, я не підготувалась, не подивилась ці приклади. Якщо я встигну знайти до кінця дискусії, я вам покажу.

Але насправді це нам здається, ніби це не впливає. Цей вплив, скажімо, вищого рівня побудови оцього інформаційного простору, але тільки через те, що ми цього зараз не відчуваємо, не означає, що ми маємо так легко ставитися до своїх персональних даних, тому що технології розвиваються, і, випустивши ці персональні дані, назад ти їх уже не повернеш. І тому те, як вони можуть бути використані у майбутньому, спрогнозувати сьогодні важко, але тенденції не дуже хороші. Тому от якось так.

Ведучий: Зрозуміло. Дякую. Пані Віто, якраз наявний приклад, яскравий, точніше, приклад в сенсі використання персональних даних — це нещодавні повідомлення. Був масовий злив, втрата, витік персональних даних, здається, 53 тисячі користувачів чи щось таке. Так що ми ніколи не знаємо насправді, де може винирнути ця проблема, і ми сподіваємося кожного разу, що інформація захищена, а насправді, скажімо, не завжди. І так, дякую Вам.

Євгене Юхимовичу, Ви хотіли щось додати в цьому контексті, будь ласка.

Євген Захаров: Так.

Ведучий: Дякую, що почекали

Євген Захаров: Я згадую, що десь 22 роки тому, коли я задумав ввести в ужиток слово приватність, як переклад англійського privacy, якого не було — я тоді радився з деякими своїми старшими знайомими: Дзюбою, Сверстюком. Сверстюк мені тоді написав, що він це цілком підтримує, бо поляки так само зробили. Написав що privacy польською це prywatność, і сказав, що у нас це проблема, бо у суспільній свідомості це мозоль. От я думаю, що цей мозоль лишився з того 1999-го року і до сьогодні і суттєвих змін на краще в цьому сенсі не сталося. В нас немає розуміння того, що таке персональні дані в суспільстві у основної маси людей, нема поваги до персональних даних. Нема такої поваги, власне кажучи, в бізнесі; нема такої поваги у держави, у нас — можу навести купу прикладів у всіх сферах: це і продаж (CD) бази податкових номерів.

Ведучий: База контактів. Так.

Євген Захаров — Це було завжди. Вже ввели відповідальність, дають суми нереальні за це, але це можна піти і придбати. Це і зливи паролів до банківських карт, і багато чого іншого. Це і знання всіма, хто працює з великими масивами споживачів і їхніх персональних даних. Якщо ти відкриєш рахунок в банку, не встигнеш цього зробити — в той же день можеш отримати запрошення відкрити рахунок. Ні. Не так. Я не те хотів сказати. Коли ти відкриєш номер ідентифікаційний, в той же день прийде запрошення відкрити рахунок саме в такому банку. Тобто це вже буде відомо в тому банку, що в тебе такий номер, і тебе будуть запрошувати. Не кажу вже про рекламу, настійливі пропозиції щось придбати і так далі, і так далі.

Ну, і відомо, що такі гіганти, як Фейсбук, Гугл, інші — вони уважно слідкують за нашими транзакціями в інтернеті і прогнозують, чого ми захочемо, і пропонують нам те саме, чого ми маємо бажати, за їхніми урахуваннями. Тобто насправді на сьогодні навіть поза державою персональні дані абсолютно не захищені. Фактично в нашій країні. Та й в інших країнах також. Ну, я це так добре не знаю, як слід, але виглядає, що це всюди так. Сьогодні щось втаємничити із приватного життя дуже важко. Особливо публічній особі. Якщо говорити про державу, то так само те, що робить держава — вона не дбає про захист персональних даних, і про це свідчать скандали, які вже виникали з Дією, з цим додатком «Дія». З підписами під петиціями людей, які жодним чином не могли їх підписувати: скажімо, президент Сполучених Штатів в одній петиції з’явився, як відомо, був скандал з цього приводу. Я вже не кажу про роботу органів розслідування, у яких насправді серйозних обмежень щодо персональних даних у відповідних галузевих законах майже немає. І вони на це не звертають ніякої уваги, вони з цим обходяться як вважають за потрібне.

Нарешті слід сказати про те, що фактично в Україні створений єдиний універсальний код — податковий номер, який ми всі маємо, за яким збирається вся інформація всіма органами, і немає ніяких перепон в тому, щоб мати досьє на людину, а вона про це нічого і знати не буде. Отже, я б сказав би, що ситуація з повагою до персональних даних і всіх записів в Україні геть погана, і звідси випливає два висновки: перший — що ніякий, як би добре не був зроблений — закон насправді персональні дані захистити не зможе. За великим рахунком, для того щоб він це зробив, треба приборкати ту стихію ставлення до персональних даних, яка сьогодні існує — приборкати і ввести в якесь русло, бо сьогодні цього нема абсолютно, а закон сам по собі цього не зробить. Навіть сумлінна практика такого доброго закону це також не зробить, відповідно, закон все ж таки треба робити безперечно добрим, але він має містити в собі абсолютно чіткі механізми, які зрозуміло як застосовувати, щоби це було всім зрозуміло: і користувачам закону, і його виконавцям; як це працює; як це буде працювати і якщо це буде працювати.

Ті ідеї, які є в законопроєкті, на кшталт дуже великих штрафів — не буде працювати. Абсолютно. Тут має бути дещо інше.

А друге — не менш ніж гарний закон, значно навіть більше цього має значення велика інформаційна кампанія захисту персональних даних для того, щоб було краще розуміння тих речей і щоб виховувати повагу до privacy загалом, до персональних даних, оскільки — я закінчу тим, з чого почав — що тут у нас була і залишилася мозоль у суспільному середовищі.

От те, що я хотів додати. Дякую.

Ведучий: Дякую, Євгене Юхимовичу, я хотів, щоб ми з Вами обговорили, як же має виглядати стандарт, до якого ми прагнемо, але по суті ми це обговорили в контексті того, як воно в нас є і як би мало бути в цілому, нам би хотілося в Україні. Тут ще Олександр Миколайович хотів доповнити, потім вподобав думку Євгена Юхимовича, і потім зникла ця ситуація.

Олександре Миколайовичу!

Олександр Павліченко: Да, я дуже коротко хотів би доповнити ще про одну небезпеку, про яку ми сьогодні маємо зазначити, говорячи про захист персональних даних. Це намагання держави створити надмірні бази персональних даних. Це те, до чого, власне, рухається кожна авторитарна, автократична держава, якій зручно мати все під контролем і отак, як там, скажімо, Російська Федерація чи Білорусь на сьогоднішній день використовують персональні дані для того, щоби швидко і, на їхню думку, ефективно боротися з тими, хто не погоджується з їхніми режимами. Відповідно, це становить величезну загрозу для будь-якого демократичного суспільства.

В Україні такі намагання, прагнення відбувалися і продовжують відбуватися: або очно, коли йдеться про ухвалення окремих законопроєктів щодо створення великих баз даних. Або ж через окремі ініціативи, коли намагаються створити або поєднати бази даних, які потім у нас фактично підв’язуються під ідентифікатори, які дозволяють встановити дуже багато інформації про особу без того, щоб ця особа знала, що така інформація про неї є в розпорядженні дуже різних державних структур. І це є великою небезпекою. І це має стати так само об’єктом і регулювання, і контролю з боку суспільства, для того щоб з цим не було зловживань. Я хотів наголосити на цьому. І ще, коли говорили про конкретні приклади — питання було до Віти — можу назвати конкретні приклади, як це б’є прямо по кишені. Коли трапився витік баз даних з, наприклад, банків Федеративної Республіки Німеччини і клієнти просто отримали інформацію про те, що з їхніх рахунків познімалися кошти в різних державах: в Латинській Америці десь купували різні товари і таке інше, зовсім не знаючи про те, що відбуваються такі транзакції. Тобто це показник, коли працює система незахищеності в світі цифрових технологій, де хтось на крок може вийти вперед і використати цей крок для зловживання цими технологіями. Ті ж самі хакери. Це один із елементів, тобто це кримінальне використання. Інше використання — це коли держава сама створює таку ситуацію, про що я вже сказав перед цим: коли є абсолютні підстави для того, щоби навіть з благою метою зібрана інформація могла працювати на шкоду людині, тому що вона порушує принципи обробки персональних даних, і це є бази з надмірним обсягом. Дякую.

Продовження тут.