Цифровая приватность

Материал из Ландшафт цифровых свобода
(разн.) ← Предыдущая | Текущая версия (разн.) | Следующая → (разн.)
Перейти к навигации Перейти к поиску

Защита персональных данных

Персональные данные принято определять как любую информацию об определенном или поддающемся определению физическом лице (субъекте данных)[1]. В контексте прав человека защита персональных данных рассматривается в качестве гарантии права на неприкосновенность частной жизни (права на приватность) при автоматизированной обработке информации. Оборот персональных данных становится отдельным вопросом публичной политики в 60-е годы прошлого столетия, когда с развитием электронных вычислительных систем у государства появилась возможность автоматизированной обработки беспрецедентных объемов информации о гражданах. Помимо преимуществ для государственного управления, которые давало использование централизованных баз данных населения, возникали существенные риски, связанные с чрезмерным вмешательством в приватность человека. Опыт тоталитарных режимов также показал, что концентрация персональной информации в руках государства может быть использована для создания более эффективных инструментов подавления и контроля личности или групп людей.

Международные стандарты и подходы к защите персональных данных

Обязательства государства создать адекватный режим регулирования и защиты персональных данных вытекают из права на приватность, закрепленную на универсальном уровне ст. 12 Всеобщей декларации о правах человека и ст. 17 Международного пакта о гражданских и политических правах, а также признаваемую всеми региональными механизмами защиты прав человека. При этом, тексты документов, разрабатывавшихся в середине ХХ века, прямо не упоминают персональные данные в качестве отдельного объекта защиты. Первое поколение норм, защищающих права человека в связи с автоматизированной обработкой данных (70-80-е), было направлено не только на ограничение полномочий государства в этой сфере, но и установление принципов и правил обращения с персональными данными для всех участников отношений. В 90-е с распространением электронных технологий во всех сферах жизни понадобилось более детальное регулирование, основанное на тех же принципах. Особое внимание уделялось правам субъектов при обработке данных бизнесом и вопросам трансграничной передачи информации. Развитие глобальной цифровой экономики и технологий привело к появлению новых вызовов, таких как биометрия, облачные вычисления, Интернет вещей, массовое профилирование пользователей, поведенческая аналитика, социальные сети, большие данные, обучаемые алгоритмы и т.д. Сейчас мы не только наблюдаем и участвуем в модернизации современной системы защиты персональных данных, но и вынуждены переосмысливать само понятие и границы приватности. Основные международные стандарты в сфере защиты персональных данных:

  • Рекомендательные принципы ОЭСР, принятые в 1980 году
  • Конвенция Совета Европы о защите частных лиц в отношении автоматизированной обработки данных личного характера 1981 г.
  • Директива Европейского Союза о защите персональных данных 1995 г.
  • Общий регламент о защите персональных данных 2016 (2018)

В настоящее время законы о персональных данных приняты в 124 странах (по сост. на 2018)[2].

Национальное законодательство и контекст

Конституция Республики Казахстан 1995 года закрепила право на неприкосновенность частной жизни, личной и семейной тайны, право контролировать распространение информации о себе (ст.18). Затем в Законе Республики Казахстан «Об информатизации» (от 11.01.2007 года No 217-III) появилось понятие «персональные данные». В Главе 5 Трудового Кодекса (15.05.2007 года No 251-III) был закреплен термин «персональные данные работника. Комплексное регулирование оборота персональных данных и прав субъектов началось с Закона Республики Казахстан «О персональных данных и их защите» (далее – «Закон о персональных данных») и «О внесении изменений и дополнений в некоторые законодательные акты Республики Казахстан по вопросам персональных данных и их защиты» от 21.05.2013 года. В дальнейшем в Закон о персональных данных вносились изменения и дополнения в 2015 и 2017. Таким образом, в Казахстане создана правовая база для комплексного регулирования общественных отношений по поводу оборота персональных данных. Регулирование схоже с подходом Конвенции №108 Совета Европы, однако не в полной мере следует европейским стандартам. Законодательство о персональных данных в Казахстане имеет ряд особенностей:

  • отсутствует независимый уполномоченный орган по защите прав субъектов данных. Функцию надзора за исполнением закона выполняет прокуратура. Работа прокуратуры в этой сфере характеризуется непрозрачностью и малой эффективностью. Практически отсутствуют публичные расследования об утечках и злоупотреблениях данными. Не формируется правоприменительная и судебная практика. (проверить статистику по решениям судов, результатам проверок)
  • принципы защиты персональных данных схожи, но не повторяют закрепленные в Конвенции №108 Совета Европы.
  • нет категории специальных (чувствительных) персональных данных
  • отсутствует четкое разграничение персональных данных ограниченного доступа и общедоступных
  • недостаток системы подзаконных актов и разъяснений регулятора, которые создавали бы четкие процедуры для государственных органов и правовую определенность для бизнеса.
  • отсутствие обязанности операторов уведомлять уполномоченный орган и субъекта данных о нарушении конфиденциальности данных (утечках)

Эксперты также отмечают разрозненность норм и недостаточно четкие процедуры реализации прав субъектов. В частности, из-за противоречивых формулировок на практике трудно реализовать право на исправление неверных данных или уничтожение данных, собранных незаконно и необоснованно. Кодекс об административных правонарушениях (ст. 79) устанавливает ответственность за незаконные действия с персональными данными (часть 1); несоблюдение собственником, оператором или третьим лицом мер по защите персональных данных и эти же деяния, но повлекшие утерю, незаконный сбор и/или обработку персональных данных (части 2 и 3 ст. 79); неосуществление или ненадлежащее осуществление собственником или владельцем информационных систем, содержащих персональные данные, мер по их защите (часть 1 ст. 641). Уголовная ответственность наступает за причинение существенного вреда правам и законным интересам лица в результате незаконных сбора и/или обработки персональных данных (ст. 147).

Практика

В законодательстве предусмотрены меры воздействия, но правоприменительная практика не сформировалась. Отсутствие практики свидетельствует о недостаточной работе надзорного органа. Как правило, нарушения законодательства со стороны бизнеса и государственных органов носят латентный характер и могут быть выявлены только в процессе проверки компетентными специалистами, в том числе по жалобам субъектов. Приведенные выше особенности законодательства и практики позволяют сделать вывод, что систему защиты персональных данных в Казахстане нельзя назвать эффективной. Закон используется для ограничения доступа к информации и препятствования журналистской деятельности. Неудачная формулировка в законе и нет понятия публичного лица и общественного интереса.

Примеры нарушения законодательства о защите персональных данных

В июле 2019 года произошла одна из крупнейших утечек персональных данных: база Центрального избирательного комитета с полной информацией об 11 миллионах человек – это все совершеннолетнее население страны – находилась в общем доступе сети Интернет. Точный период нахождения информации в общем доступе пока неизвестен, однако все ее содержимое уже успело проиндексироваться поисковыми системами Google и Yandex.[3] В течение недели после этого случая появились сообщения о массовой утечке данных пациентов медицинской системы Damumed. [4]

В обоих случаях утечка была устранена, но никто не понес ответственность за инциденты.

Появлялись сообщения о том, что страховые фирмы имеют доступ к данным страховки и используют в маркетинговых целях, обзванивая чужих клиентов, когда их страховка заканчивается[5].

В базе судебных решений в открытом доступе можно узнать о судебных делах со всеми персональными данными, кроме отдельных категорий. Из некоторых судебных решений не убирают персональные данные, в этом отношении существует разная практика.

Также достаточно знать ИИН человека, чтобы через telegram-бот «Штрафы и налоги» узнать информацию по категориям:

  1. Правонарушения: штрафы
  2. Налоги: задолженность
  3. Реестр должников: задолженность
  4. Ограничение на выезд из РК
  5. Наличие ИП
  6. Статус первого руководителя
  7. Реестр налогоплательщиков
  8. Лицензии
  9. Участие в гос. закупках
  10. Розыск
  11. Судебные акты
  12. Реестр педофилов
  13. Возможные соц. сети

В Казахстане имеется неоднозначная практика штрафов журналистам за распространение персональных данных. Например, случай журналистки ratel.kz Джамили Маричевой, которая опубликовала фотографии из социальной сети жены руководителя управления физкультуры и спорта Павлодарской области, [6][7].

Источник — https://digitalrightslandscape.info/index.php?title=Цифровая_приватность&oldid=111