«Держава не може гарантувати захист персональних даних»

Звістка про колапс доступу до державних реєстрів минулого тижня спричинила цілий ряд публікацій, зокрема журналістських розслідувань щодо обставин діяльності попереднього менеджменту державного підприємства «Інформаційний центр» і подробиці появи нового. У підсумку можна сказати, що є дві основні версії: Колишні називають події на Держінформ’юсті «рейдерством», Нинішні — «аудитом». Правда, мабуть, як завжди, десь посередині. Аудит із ознаками рейдерства?

Тим часом у коментарі «Дню» минулої п’ятниці колишній заступник міністра юстиції, а нині медіа-юрист Дмитро Котляр нагадав про дуже суттєву річ: невдовзі всі бази даних, зокрема Міністерства юстиції, стануть частиною єдиного масштабного банку даних — Єдиного державного демографічного реєстру (ЄДДР). І хоча на своєму сайті Держінформ’юст хизується, що «Мін’юст є єдиним органом, бази даних якого ніколи не перебували в продажу на Петрівці» (так і пишуть), не факт, що Єдиний державний демографічний реєстр буде достатньо захищеним.

Демреєстр, який, згідно з планами Кабміну, має з’явитися до 2016 року за майже 800 млн гривень, створює цілий ряд небезпек, кажуть експерти й правозахисники. Зокрема загрозу недоторканності життя кожного з нас — бо порушує право на приватність. Щоправда, треба визнати, — поки що приватність, вочевидь, є цінністю далеко не для всіх громадян. Але є значно більш конкретні загрози — з огляду на ненадійність роботи правоохоронних органів, за набором інформації, що міститиме демреєстр, їхні працівники цілком можуть здійснювати «кастинг» винних у скоєнні тих чи інших злочинів. Потужний банк даних є потенційно небезпечним також для активістів і опозиції, для бізнесу (адже спрощує життя рейдерам). Окрім іншого, ЄДДР міститиме реєстр виборців. І це (хоча не тільки це) відкриває дорогу до виборчих маніпуляцій.

Водночас міністр юстиції Олена Лукаш, думкою якої нам вдалося поцікавитися минулого тижня, не вбачає загрози приватності в створенні ЄДДР. «Особисто я вважаю, що Україні потрібен реєстр. На сьогодні я і як користувач, і як приватна особа відчуваю брак взаємодії між реєстрами. А в цьому реєстрі відбиваються всі етапи життя людини. І навіть якщо людина втратить усі документи, можна дуже швидко знайти номера її карток, як вона лікувалася, що замовляла. Сьогодні реєстри не пов’язані: реєстр виборців, соціальні та пенсійні реєстри, триває постійне оновлення. Спроба створити систему електронної взаємодії між органами влади стикається з тим, що існують різні бази даних: у СБУ — своя, в податкової — своя, в соцстраху — своя. І вам незручно, й нам незручно. Незручно нікому. Тому як до ідеї я ставлюся дуже позитивно. На запитання, а як, власне, захищатиметься цей банк даних, пані Лукаш відповідає: «Це запитання радше — до спеціального центрального органу виконавчої влади, який цим питанням опікується. Як буде реалізовано цю ідею (ЄДДР. — Ред.) та захищено — я переконана, що проблем щодо цього немає. У нас є дуже потужні бази даних. Завдяки ним ми отримуємо пенсії, бюлетені на виборах. Вони жодного разу не постраждали і дуже надійно захищені. За бази я не хвилююсь».

Міністр юстиції не хвилюється, а от у середовищі експертному та правозахисному побоювань не бракує. Щоправда, ситуація зі змінами до закону, згідно з яким має бути створено ЄДДР, ускладнюється тим, що цей документ в іншій своїй частині вирішує дуже важливе «євроінтеграційне» питання, — запровадження біопаспортів. Отже, громадянське суспільство підтримує одну частину закону (щодо біометричних паспортів), а іншу (положення щодо ЄДДР) вимагає скасувати.

Тим часом з наступного року сфера захисту персональних даних переходить до компетенції Омбудсмана. Наразі ж головним органом у системі центральних органів виконавчої влади у сфері захисту персональних даних є Державна служба України з питань захисту персональних даних. Саме до неї нам порадила звернутися пані Лукаш. Що ми й зробили. До вашої уваги — розмова із заступником голови Держслужби з питань захисту персональних даних Володимиром КОЗАКОМ.

— Володимире Федоровичу, СБУ не встановила витоку інформації з персональними даними громадян внаслідок несанкціонованого втручання в роботу комп’ютерів, автоматизованих систем і комп’ютерних мереж Міністерства юстиції. Водночас були заяви правозахисників щодо загальної незахищеності персональних даних у країні. Яка ваша оцінка ситуації? Чи була загроза витоку персональних даних?

— Тут є певна розбіжність понять. Коли ми говоримо про захист персональних даних, ми говоримо про право людини щодо невтручання в її приватність. Коли говорять про вкрадені записи, наприклад, про власність, то питання приватності, тобто втручання в приватне життя, стоять не настільки гостро, як можливі варіанти щодо власності, яка може бути неправильно куплена чи продана. Само собою, що втручання в приватність є в будь-яких подібних інцидентах. Але тут виникає проблема безпеки інформаційних технологій. Звісно, використання будь-яких інформаційних технологій, які мають значні обсяги відомостей, зокрема відомостей про особу, несуть ризики — в разі, якщо буде порушено їхню цілісність чи доступність. У цьому сумнівів немає, але є світові технології, є українські технології, які дозволяють ці питання вирішувати й суттєво знижувати ці ризики.

— Ризик завжди існує, але питання також у тому, наскільки держава докладає адекватних і достатньо зусиль, щоб цю інформацію захистити й від внутрішнього зловживання, й від зовнішнього, що в умовах корумпованості дуже складно.

— Це дуже складна тема. Вона вимагає професійної розмови. У нашій країні є законодавство, яке чітко встановлює порядок захисту як інформаційних технологій, так і персональних даних. Щодо захисту персональних даних — це не стільки захист інформаційних технологій, скільки цілий ряд питань, що стосуються законності збору та обробки персональних даних чи наявності підстав для збору та обробки. Це питання прав, які отримують усі фізичні особи у зв’язку із законом про захист персональних даних, щодо доступу до своїх даних; щодо права знати, де їх обробляють, куди їх передають; щодо права оскаржувати сам факт обробки персональних даних тощо. Тобто під терміном «захист персональних даних» розуміється дещо інше.

Що стосується конкретно інформреєстрів, з преси мені відомо, що ведеться слідство, й воно дасть свої висновки відносно того, що відбулося насправді. Так чи інакше, конфліктна ситуація пов’язана не з втручанням невідомих осіб, а із господарюючими суб’єктами, які мали різні погляди на те, що відбувається.

ЗАХИСТ ПЕРСОНАЛЬНИХ ДАНИХ — ЦЕ ПИТАННЯ ДО ВСЬОГО СУСПІЛЬСТВА

— Яка ваша оцінка щодо того, чи є в Україні гарантії захисту персональних даних?

— Колись був у нас такий літературний співвітчизник — Остап Бендер. Він говорив: «Полную гарантию дает только страховой полис». Усього-на-всього три роки тому Україна приєдналася до Конвенції Ради Європи (ідеться про Конвенцію про захист осіб у зв’язку з автоматизованою обробкою персональних даних. — Ред.), яка вже має 30-річну історію. Звісно, три роки — це не такий великий термін. Зараз ми маємо цю Конвенцію як частину законодавства, ми маємо закон (ідеться про Закон України «Про захист персональних даних». — Ред.), є можливість подавати до суду та захищати свої права. Є багато невідповідності вимогам законодавства на різних рівнях. Але це процес. І я б не сказав, що в нас ситуація гірша, ніж в Угорщині чи в Польщі. Там також є дуже багато різних проблем. Це питання всього суспільства. Держава не може гарантувати захист персональних даних. Хоча б тому, що не всі персональні дані обробляє держава. Є приватні банки, є бізнес... Держава, тобто суспільство через Верховну Раду, приймає закони та встановлює правила. Наскільки ці правила працюють — це питання і до державних органів, і до суспільства, і до журналістів, які не завжди намагаються розібратися в суті справ у гонитві за скандалом. Суспільство повинно до цього йти, і дуже довго, люди мають знати свої права, ті, хто виробляє дані, мають знати свої обов’язки, державні органи — дотримуватися законодавства.

— Абсолютної гарантії немає — це зрозуміло, але чи захищені, на ваш погляд, персональні дані, умовно кажучи, конфіденційна сфера, від політичної кон’юнктури?

— Ідеться не лише про персональні дані. Коли ми говоримо про так звані системи електронного урядування, то маємо розуміти, що держава спілкується не тільки з громадянином і збирає інформацію не тільки про громадянина, а й про бізнес. Державні органи також між собою співпрацюють. Є різні системи в рамках електронного урядування. У них є плюси та мінуси. Про гарантії я говорити не хочу. Є система, є законодавcтво, є структура правил, дотримання яких може убезпечити від інцидентів. А те, що різні господарюючі суб’єкти мають конфлікти, — то так завжди було й буде. А от наскільки ці конфлікти цивілізовано вирішуються, і чи вони вирішуються в суді, чи за допомогою якихось можливостей впливати на роботу системи — це залежить від суспільства в цілому. І злочинці завжди будуть.

— Тобто все ж таки політичний вплив є?

— Звичайно. Він може бути, тому що він може бути по своїй природі.

ЗАКОН ПРО ДЕМРЕЄСТР ТРЕБА УДОСКОНАЛЮВАТИ

— Тепер кілька запитань щодо Єдиного державного демографічного реєстру. Як відомо, Кабмін затвердив план запровадження електронних паспортів та виділив на його реалізацію до 2016 року майже 800 млн гривень — на виконання Закону України «Про Єдиний державний демографічний реєстр та документи, що підтверджують громадянство України, посвідчують особу чи її спеціальний статус». Чи вбачаєте ви в цьому законі загрозу приватності, про що неодноразово заявляли правозахисники та експерти?

— Україна — не перша країна, яка створює різного роду реєстри чи індивідуальні картки. Щодо української ситуації, перш за все, у правозахисників було багато запитань до самих формулювань закону. Ну що ж, закон треба удосконалювати. Є абсолютно зрозумілі правила, які можуть дозволити обробляти персональні дані, в тому числі виготовляти паспорти з чіпом, з відбитками пальців, іншою ідентифікуючою інформацією, і, таким чином, спрощувати перетин кордону. Це цивілізована норма. Питання в тому, як ми її в Україні реалізуємо. Але те, що законодавство треба удосконалювати — це само собою.

— Тобто ви погоджуєтеся із тим, що закон — не бездоганний?

— Бездоганних законів не буває.

— Так, але ми говоримо не про абстрактну бездоганність, а про конкретний закон...

— Норми закону вимагають професійної дискусії, а не агітації й не політичної боротьби. Само собою, що закон удосконалювати потрібно. Він вимагає професійних експертних оцінок і рекомендацій.

— Щодо професійної дискусії... Я не є фахівцем, але дуже слушним, на мій погляд, є зауваження, яке висловлюють експерти відносно того, що в законі перелік даних про осіб, які входитимуть до реєстру, — відкритий. Тобто він може бути нескінченним. Які саме додаткові дані можуть внести до реєстру?

— Є рекомендації Ради Європи щодо того, як мають створюватися будь-які реєстри в будь-якій країні, що підписала Конвенцію про захист осіб у зв’язку з автоматизованою обробкою персональних даних. Необхідно чітко визначити всі категорії персональних даних та мету їх обробки. Там є багато моментів щодо закону, які треба обговорювати. Найбільша загроза під час створення систем електронного урядування, яку вбачають європейські фахівці, — потенційна можливість держави контролювати своїх громадян, тобто величезна кількість інформації про громадян, що об’єднана в одному місці.

— Якраз демреєстр акумулюватиме безпрецедентну кількість інформації, і саме в цьому полягає його загроза...

— Але це проблема не одного лише демреєстру. У нас не вирішене питання з ідентифікаційним номером платника податку — адже цей номер використовується не тільки для сплати податку, а й у соціальній сфері, пенсійній реформі, закордонному паспорті. А це неправильно. Через це було дуже багато зауважень не тільки до України, а й до таких країн, як Естонія та Фінляндія. Треба вживати окремих заходів, а до того про них треба дискутувати. Поки що такої дискусії немає. Говорять тільки про демреєстр. А питання не в тому, потрібно це чи ні. Звісно, потрібно. Але правила необхідно встановлювати відповідно до законодавства — коли і що збирається і коли можливо поєднувати якусь інформацію.

Щодо демреєстру, то закон твердить, що можливий обмін інформацією з іншими реєстрами, а з якими саме і якою саме інформацією, — не встановлює. А це було б значно зручніше, якби все було прозоро та зрозуміло. Експерти мають із цим працювати.

— А хто і як має ініціювати обговорення положень закону, якщо закон уже ухвалено і позиція, наприклад, міністра юстиції щодо нього однозначно позитивна?

— Є встановлений порядок внесення змін до будь-якого закону. Але перш ніж вносити зміни, треба їх вивчати та обговорювати.

«ЗВИНУВАЧЕННЯ НА АДРЕСУ ДЕРЖСЛУЖБИ — ГОЛОСЛІВНІ»

— Як мені відомо, з наступного року Державну службу з питань захисту персональних даних буде ліквідовано, а її функції візьме на себе Офіс Омбудсмана. Як ви гадаєте, це удосконалить систему захисту персональних даних?

— У кожній країні, яка підписала Конвенцію про захист осіб у зв’язку з автоматизованою обробкою персональних даних, має бути створено незалежний уповноважений орган із питань захисту персональних даних. Такий орган сьогодні — це Державна служба з питань захисту персональних даних, яка є органом виконавчої влади в структурі Кабінету Міністрів. Це не відповідає критеріям незалежності. І, звісно, те, що повноваження покладаються на орган незалежний, який не входить до системи виконавчої влади, — позитивно. З іншого боку, в омбудсмана має бути багато повноважень. Він має право звертатися до Конституційного Суду, до Кабінету Міністрів. Він має інші механізми впливу на ситуацію. У жодній європейській країні немає такої моделі, щоб омбудсман був відповідальним за захист персональних даних. Всюди створено окремі органи, на які покладено функції виключно захисту персональних даних. Але оскільки в Україні закон не дає можливості створити окремий орган, то те, що зроблено — це, звісно, позитив.

— Володимире Федоровичу, насамкінець не можу не надати вам можливості відповісти на звинувачення, яке звучало з боку експертного середовища до Держслужби щодо того, що замість того, щоб займатися питаннями захисту персональних даних, Держслужба займається компанією Google та «Українською правдою». Що ви можете на це сказати?

— Я жодного експерта в цьому середовищі не бачу. Це люди, які навіть не можуть поспілкуватися та посперечатися на цю тему. З компанією «Google Україна» у нас абсолютно нормальні прозорі стосунки. Питання більш складне, ніж здається. Адже Google може знати про українців значно більше, ніж Єдиний державний демографічний реєстр. Я би не став так зневажувати це питання. Ці звинувачення безпідставні. Я готовий до публічної дискусії.

ЦИТАТА «Дня»

Лариса СКОРИК, член Комісії при Президентові України у питаннях помилування (radiosvoboda.org):

— Є дві обов’язкові умови: людина має звертатися особисто, і людина має відбути бодай половину терміну. Той, хто просить помилування, має обов’язково визнати свою провину. Відтак звернення представників місії Європарламенту Пата Кокса та Александра Кваснєвського не є підставою для помилування Юлії Тимошенко. Хто такий Кваснєвський для Тимошенко, а вона — для нього? Близький член родини?

Арсеній ЯЦЕНЮК, голова Політради ВО «Батьківщина» та фракції «Батьківщина»:

— «Батьківщина» ініціює клопотання до Президента про підтримку заяви місії Ради Європи щодо помилування Юлії Тимошенко. Для того, щоб допомогти Віктору Федоровичу в цьому питанні, ми пропонуємо, щоб члени українського парламенту підписали клопотання про підтримку заяви місії Кокса-Кваснєвського, направленої до України, щодо помилування Юлії Володимирівни. Переконаний, що більшість народних депутатів хочуть підписати Угоду, і ми зберемо необхідні підписи.