Застосунок «Дія» та європейські стандарти

Костянтин Корсун

Сьогодні розкажу, чому з «першими у світі» рішеннями типу додатку Дія Україну ще нескоро приймуть до Євросоюзу.

Справа у тому, що у Європейському Союзі існує загальний стандарт (регламент) щодо захисту персональних даних (ЗПД) під назвою GDPR (вимовляється «джі-ді-пі-ар»), і кожна країна-член зобов’язана імплементувати (спровадити) цей стандарт у своє національне законодавство. І це також у є вимогах щодо асоціації України з ЄС.

Я постараюся суперстисло донести основні ідеї GDPR (з прямими цитатами), а ви порівняйте все це з тим, що є сумною реальністю в сучасній Україні.

І спочатку важливий момент, вітчизняні цифровізатори дуже люблять повторювати «Дія не зберігає персональних даних», що, на їх думку, знімає з них відповідальність за можливі витоки.

І це звучить по-дитячому, тому що у GDPR є поняття «Опрацювання» (або «обробка» в українському законодавстві) і воно включає, цитата:

«будь-яку операцію або низку операцій з персональними даними або наборами персональних даних з використанням автоматизованих засобів або без них, такі як збирання, реєстрація, організація, структурування, зберігання, адаптація чи зміна, пошук, ознайомлення, використання, розкриття через передавання, розповсюдження чи надання іншим чином, упорядкування чи комбінування, обмеження, стирання чи знищення;» (стаття 4 GDPR).

Тобто «зберігання» знаходиться десь у середині списку з 18 способів опрацювання персональних даних. І витік може статися у разі неправильного використання кожного (!) з них. Особисто мені відомо багато випадків, коли Дія здійснювала майже усі з вищевказаних видів «опрацювання» ПД, але любить заявляти лише про «незберігання».

У статті 5 GDPR йдеться (серед іншого):

«зобов’язання “опрацьовувати в спосіб, що забезпечує належну безпеку персональних даних”».

Якби в Україні існував би незалежний професійний регулятор ЗПД, то за інцидент у січні 2022, коли витекла вся база даних Дії, на міністерство наклали б кількамільйонний штраф, а посадових осіб Дії притягли б до відповідальності. А сам проєкт закрили б як такий, що порушує права людини.

А тепер коротко про ключові положення GDPR.

«Контролер несе відповідальність за дотримання параграфа 1 (забезпечення безпеки персональних даних – КК) і повинен бути здатним це довести (“підзвітність”)». Повинен. Бути. Здатним. Довести. Безпеку персональних даних.

«Суб’єкт даних (тобто громадянин – КК) повинен мати право відкликати свою згоду (на опрацювання своїх персональних даних – КК) в будь-який момент» (стаття 7).

«Контролер (у тому числі орган державної влади -КК) не має права ухилятися від дій на запит суб’єкта даних щодо реалізації його прав» (стаття 12).

«Контролер повинен, у момент отримання персональних даних, надати суб’єкту даних усю інформацію, а саме інформацію про: особу та контактні дані контролера…, контактні дані співробітника з питань захисту даних…, одержувачі чи категорії одержувачів персональних даних…, період зберігання персональних даних…, існування права на відкликання згоди в будь-який момент…, наявність автоматизованого вироблення й ухвалення рішень, у тому числі профайлінгу…» (стаття 13).

«Право (громадянина – КК) на виправлення персональних даних, яке повинен здійснити контролер без будь-якої необґрунтованої затримки» (стаття16).

«Право бути забутим»: суб’єкт даних повинен мати право на стирання своїх персональних даних, яке повинен здійснити контролер без будь-якої безпідставної затримки (стаття 17).

«Право на заперечення опрацювання персональних даних» (стаття 21).

І ще багато іншого.

А тепер скажіть, чи мають користувачі додатків Дія чи, скажімо, Резерв+ вищевказані права та можливості, передбачені GDPR?

Відповідно, чи відповідають зазначені державні додатки «європейським стандартам» щодо захисту персональних даних?

Чи враховані ці стандарти при розробці та імплементації цих додатків?

Відповіді на ці питання також допоможуть зрозуміти, чому нічого схожого на Дію немає у країнах розвинутої демократії та, зокрема, Європейського Союзу. Куди ми так завзято прагнемо.

Повний текст офіційного перекладу GDPR українською.

Автор