Збереження всередині системи інформації про профілі, з яких відбувся доступ до персональних «досьє» громадян в електронній системі, є достатнім для забезпечення захисту персональних даних. Це випливає з виступу заступника голови Комітету Верховної Ради з питань цифрової трансформації Сергія Штепи, який з трибуни закликав колег підтримати законопроект Кабміну 11377 про Єдину інформаційну систему соціальної сфери.
Як раніше писала «Судово-юридична газета», у цій інформаційній системі буде формуватися повна картина про громадян, адже до неї будуть «стікатися» дані з різних реєстрів, від інформації про ситуацію з військовим обліком, перетином нею кордону – до сплати податків, наявності авто, квартир, землі, відкритих виконавчих проваджень, одруження, розлучення, народження дітей тощо.
Надавати персональні дані про особу, що містяться в Єдиній системі соціальної сфери, будуть за запитом «суб'єкта електронної інформаційної взаємодії, здійсненим його посадовою особою в межах електронної інформаційної взаємодії з метою здійснення повноважень, визначених законом».
Виходячи з визначення таких суб’єктів, йдеться про посадовців «власника (держателя) електронного інформаційного ресурсу, який уклав договір про приєднання до системи електронної взаємодії державних електронних інформаційних ресурсів і забезпечує електронну інформаційну взаємодію з іншими суб'єктами електронної інформаційної взаємодії або в інший спосіб здійснює обмін даними з Єдиною інформаційною системою соціальної сфери в електронній формі».
Тобто, досить широке коло суб’єктів матиме право робити електронні запити і отримувати відповідні персональні дані, які збиратимуть в єдиній системі.
Також закон передбачає, що відкриті дані Єдиної системи, передбачені статтею 15, можуть надаватися за запитом користувача Єдиної системи, іншої юридичної чи фізичної особи, ФОП, які надають соціальну підтримку. А у статті 15 вказано, що те, які саме дані є відкритими, буде визначати Кабмін.
Чи можна буде дізнатися, хто використав персональні дані
За словами доповідача, народного депутата Сергія Штепи, «доступ всіх працівників Єдиної інформаційної системи соціальної сфери буде здійснюватися виключно з використанням електронного цифрового підпису та електронного ключа, що унеможливлює доступ якихось інших осіб до запитуваної інформації».
Він вказав, що «буде зберігатися інформація про особу, яка здійснила такий доступ, проведені нею запити, витяги, час, дату, а також підстави перегляду або зміни інформації, яка була проглянута або змінена в рамках цієї інформаційної системи».
«Тобто кожен запит, який був зроблений до цієї системи, буде довічно зберігатись, і в будь-якому випадку можна буде переглянути, хто, що і коли дивився. Це дуже важливо, і саме це і сприятиме тому, щоб всі персональні дані громадян були збережені» – розповів з трибуни Сергій Штепа.
Однак, слід зауважити, що закон у редакції комітету у ч. 3 ст. 13 безпосередньо не зобов’язує інформувати осіб про те, хто і що саме робив з їх даними:
«Інформація про операції з персональними даними фізичних осіб підлягає реєстрації в Єдиній системі. У випадках та на підставах, передбачених законом, доступ до інформації про операції з персональними даними фізичних осіб в Єдиній системі надається державному органу з питань захисту персональних даних у межах реалізації його повноважень, визначених законом».
Тобто, виходячи з такого формулювання, запитувати про маніпуляції з даними зможе орган з питань захисту персональних даних, а не власник цих даних.
При цьому в законі у редакції комітету немає прямої норми, що людина може вимагати дані особи, яка переглядала чи оперувала її персональними даними:
«Заявники, отримувачі соціальної підтримки та їхні законні представники після проходження процесу автентифікації … отримують доступ до інформації Єдиної системи стосовно себе та осіб, законними представниками яких вони є, а також до інформації, що не містить персональних даних інших осіб чи інших сукупностей даних осіб, які можуть бути конкретно ідентифіковані в Єдиній системі».
Тобто, заявник може «взяти» інформацію лише про себе та підопічних, але, судячи з такого формулювання норми, не зможе бачити персональні дані (тобто, ПІБ) інших осіб, зокрема посадовців, які запитували його дані.
Чи будуть відокремлювати заявників від незаявників
З закону чітко не випливає, чи будуть збирати дані про громадян, яким ці соціальні послуги від держави взагалі не потрібні, і чи зможуть вони переглядатися за запитом неокресленого кола посадовців. З одного боку, закон начебто стосується лише заявників соціальної сфери, з іншого – відсутній чіткий механізм, як будуть відокремлювати заявників від «незаявників».
До прикладу, законодавець зазначає, що «Єдина система забезпечує можливість функціонування механізму автоматичного визначення права особи на отримання соціальної підтримки та пропонування соціальної підтримки особі за наявності соціальної ознаки шляхом використання інформації, наявної в Єдиній системі чи отриманої з електронних інформаційних ресурсів, у порядку та відповідно до вимог, визначених Кабінетом Міністрів».
Тобто, внаслідок обробки даних можна буде пропонувати соціальну допомогу особі, яка поки про неї не замислювалася.
За логікою, це означає, що в системі соціальної сфери будуть дані не лише про заявників.
«Обробка в Єдиній системі персональних даних чи інших сукупностей даних осіб, які можуть бути конкретно ідентифіковані в Єдиній системі, заявників та отримувачів соціальної підтримки, інших користувачів Єдиної системи проводиться з метою забезпечення соціального захисту населення.
Якщо під час наповнення Єдиної системи використовується інформація або інші сукупності даних осіб, які не можуть бути конкретно ідентифіковані в Єдиній системі, з інших баз даних, до Єдиної системи вноситься інформація про особу без її особистої участі», йдеться у законі.
Чи можна буде видалити з системи власні персональні дані
Як випливає з редакції закону, яку пропонував Раді прийняти комітет (а під час пленарного засідання частина правок не була врахована), то людина зможе вимагати видалення даних із системи – однак її запит не обов’язково має бути задоволений:
«Суб'єкт персональних даних має право подати запит щодо джерел отримання його даних та вимагати видалення інформації, якщо її збирання було здійснено з порушенням законодавства».
У статті 11 будуть визначені права осіб, персональні дані яких внесено до Єдиної інформаційної системи соціальної сфери. А саме, кожна особа, персональні дані якої внесено до системи, має право на:
- безоплатне отримання у порядку, визначеному Кабміном, інформації про наявність у реєстрі чи базі даних, що є складовою Єдиної системи, записів стосовно неї, її статусів, у тому числі спеціальних та соціальних ознак, а також на отримання повідомлення про кожний випадок звернення щодо передання інформації про неї з Єдиної системи або надання інформації про неї третім особам у результаті електронної інформаційної взаємодії чи у відповідь на запит суб'єкта Єдиної системи, який не є органом виконавчої влади;
- вимогу щодо безоплатного поновлення, доповнення і виправлення інформації про неї в Єдиній системі;
- забезпечення захисту своїх прав, якщо її запит про отримання інформації чи документа, що містить реєстрову інформацію та реєстрові дані, або вимогу про виправлення її персональних даних не задоволено;
- безоплатне отримання витягу або іншого документа, сформованого засобами Єдиної системи відповідно до законодавства, що містить реєстрову інформацію та реєстрові дані про внесення інформації про неї до реєстру чи бази даних, що є складовою Єдиної системи, або відповідного витягу з такої складової Єдиної системи, що створюється автоматично з присвоєнням реєстрового номера, за допомогою якого здійснюється ідентифікація в Єдиній системі, та з нанесенням на такі документи унікального електронного ідентифікатора (QR-коду, штрих-коду, цифрового коду);
- видалення даних, які більше не використовуються для цілей, передбачених цим Законом, крім випадків, визначених законом;
- оскарження в судовому порядку дій або бездіяльності суб'єктів Єдиної системи, пов'язаних з обробкою її персональних даних, якщо особа вважає, що такі дії або бездіяльність порушують її права та свободи.
Яка відповідальність
Стосовно відповідальності тих, хто забажає використати такий нині вартісний «ресурс», як персональні дані, то закон лише містить посилання на «відповідні закони», навіть без вказівки на конкретну їх назву:
«За порушення положень цього Закону винні особи притягуються до відповідальності згідно із законом.
Посадові особи суб'єктів Єдиної системи, винні у вчиненні порушень … можуть бути позбавлені права доступу до Єдиної системи на строк від 6 місяців до одного року.
Особи, винні в недотриманні встановленого законодавством про захист персональних даних порядку захисту персональних даних чи інших сукупностей даних осіб, які можуть бути конкретно ідентифіковані в Єдиній системі, що призвело до незаконного доступу до них або до порушення прав субʼєкта персональних даних, підлягають притягненню до відповідальності, передбаченої законом».
Також Сергій Штепа вказав на те, що будь-яке розміщення інформації в хмарному середовищі фізично за межами території України буде здійснюватися тільки з узгодженням зі Службою безпеки України. «Виключно після погодження ця інформація може бути розміщена на іноземних серверах. Тому всі, абсолютно всі застереження, які звучали минулого разу щодо захисту персональних даних громадян, були враховані в цьому проекті закону», підкреслив він.
Автор: Наталя Мамченко
Підписуйтесь на наш Telegram-канал t.me/sudua та на Google Новини SUD.UA, а також на наш VIBER, сторінку у Facebook та в Instagram, щоб бути в курсі найважливіших подій.
