"Большой брат" под контролем: как в Украине защищают персональные данные

Информация о нас хранится в национальных, региональных и муниципальных реестрах и базах данных. И чем больше вы взаимодействуете с государством, различными институтами или учреждениями, тем острее встает вопрос: кто имеет доступ к этим данным, и как мы как граждане можем контролировать их использование. Далее читайте в эксклюзивной колонке для 24 Канала.

Обратите внимание "Иллюзия выбора": пользователи обвиняют ChatGPT в скрытой цензуре

В Европейском Союзе ответом на это стало внедрение General Data Protection Regulation (GDPR) – Общего регламента защиты данных, который приняли еще в 2018 году. Его главная цель понятна – защита персональных данных граждан ЕС и контроль за тем, как компании и организации их обрабатывают.

Если коротко, идея проста – человек имеет право контролировать и использовать свои данные. За соблюдением этих правил в Эстонии отвечает Andmekaitse Inspektsioon (AKI – Эстонская Инспекция по охране данных).

Регламент закрепляет несколько ключевых принципов: гражданин должен знать, какие его данные обрабатываются и с какой целью, может получить доступ к собственным данным и проверить, кто ими пользуется, а в случае злоупотреблений – требовать исправления или удаления данных. GDPR устанавливает базовые правила, но сами законы не гарантируют, что эти права внедряются в повседневной жизни. Для этого нужны практические инструменты.

Сейчас Украина делает большой шаг в этом направлении. Недавно правительство приняло постановление, которое запускает подсистему мониторинга доступа к данным (ПМДПД), чтобы украинцы видели, кто и с какой целью просматривает их данные в государственных реестрах, а уведомления об этом будут поступать в Дию. С 2021 года Украина работает над разработкой подсистемы в рамках проектов Европейского Союза EU4DigitalUA и DT4UA, что внедряет Академия электронного управления.

В Эстонии таким инструментом стал Data Tracker. Это государственный электронный сервис, который дает каждому гражданину возможность видеть, кто, когда и с какой целью просматривал его персональные данные в государственных реестрах.

Сервис доступен на портале eesti.ee и подключен к 18 основным государственным реестрам и системам. Среди них – Реестр адресов, Центральная система здравоохранения, налоговые органы и тому подобное. Эти реестры подключены к платформе X-Road, что обеспечивает безопасный обмен данными между различными государственными учреждениями. Так, каждый гражданин Эстонии может войти в свой кабинет на портале и увидеть журнал доступов.

Как Украина будет внедрять опыт Эстонии?

ПМДПД внедряют в системе безопасного обмена данными Трембита, которая является аналогом эстонской X-Road. Принципы системы подобны эстонскому Data Tracker – каждый доступ к информации будет фиксироваться, а граждане смогут видеть, кто, когда и с какой целью просматривал их данные.

Сотни государственных организаций уже готовятся к внедрению подсистемы. Аналогично с эстонским опытом, ожидается, что ПМДПД сделает взаимодействие граждан с государством более прозрачным, а также приблизит украинские стандарты защиты данных к европейским.

Это повысит подотчетность и доверие к институтам, а также даст возможность украинцам контролировать свои персональные данные.

Работать все будет достаточно просто. Представьте, что коммунальное предприятие внезапно интересуется вашим имуществом. В этот момент вы заходите в систему и видите запись: "Коммунальное предприятие ХХ просмотрело данные о вашей квартире". При этом никаких заявлений вы не писали, показатели счетчика не подавали, то почему тогда открыли вашу карточку?

Это сигнал для вас: задать вопрос и понять основания. Или же, например, работник полиции проверяет, кому принадлежит автомобиль, и это действие также фиксируется в системе.

В любой момент человек может проверить, кто просматривал информацию о нем. К тому же планируется, что Дия будет присылать уведомления о критических сервисов, которые прямо влияют на финансы, собственность или правовой статус гражданина, когда определенный государственный орган или учреждение делали запрос на получение таких персональных данных.

Как контроль персональных данных формирует новую культуру доверия?

Возможность увидеть, кто и когда смотрел ваши данные, создает прозрачность и доверие между гражданами и государством, а также дисциплинирует государственные органы. Когда чиновник знает, что любой доступ к персональным данным будет зафиксирован и его может проверить гражданин, злоупотреблять становится значительно сложнее. То есть это не только фактический, но и превентивный механизм, который предотвращает нарушения еще до того, как они произойдут.

Читайте также Развестись можно будет быстро и онлайн, но не всем: что известно о новой услуге в Дие

Сейчас мы видим, как правильный подход к защите персональных данных в Эстонии меняет отношение граждан к государству и поведение чиновников. Люди получили реальный инструмент контроля: доступ к данным больше не является невидимым. Если возникает подозрение в злоупотреблении, можно сразу обратиться за разъяснением в организацию, которая просмотрела ваши данные, а после этого при необходимости подать жалобу.

Статистика говорит сама за себя: в 2024 году граждане в целом подали более 900 официальных жалоб в Эстонскую Инспекцию по охране данных, сделали более 1700 информационных запросов и около 1500 звонков на горячую линию. И это в стране, где живет почти втрое меньше людей чем в Киеве.

Data Tracker работает в формате логов доступа, которые автоматически создаются при каждом обращении к базе. Это могут быть как действия конкретного врача или чиновника, так и технические автоматические запросы систем. Поэтому эстонская модель не предусматривает push-уведомлений, чтобы не раздражать пользователей сотнями сообщений ежедневно. Ведь мы даже не представляем насколько часто наши данные задействованы в различных ситуациях: от получения выплат до пересечения границы.

Почти все запросы происходят законно и официально, но кейсы запросов из любопытства остаются актуальными.

Например, еще до появления цифровых инструментов для мониторинга в Таллинне был случай, когда работник городской администрации за месяц сделал более 2 тысяч просмотров реестра населения. Не в служебных целях, а просто, чтобы составить собственное семейное дерево. Такие действия признали нарушением, и сотрудника привлекли к ответственности.

Есть кейсы, когда врач просматривает данные соседа, который не является его пациентом, а просто хотел удовлетворить собственное любопытство. В таких случаях первый шаг для гражданина – обратиться непосредственно к врачу и узнать цель просмотра данных. Если объяснение неудовлетворительное, подать жалобу в орган защиты данных. Если запрос был не правомерным, нарушитель должен оплатить штраф в среднем до 100 евро. Сумма небольшая, но главным является осознание того, что любое действие фиксируется и ее можно проверить, что стимулирует работников соблюдать правила всех правил работы с данными.

Конечно, не исключаем человеческий фактор и технические ошибки, например, неправильно введенное имя или дублирование записей, но они случаются реже.

Эстонский опыт показывает, что прозрачность в доступе к данным реально меняет культуру взаимодействия граждан и государства. Человек получает конкретный инструмент контроля, а учреждения и институты – четкий сигнал, что любые его действия подотчетны и логируются в системе. Это дисциплинирует и формирует доверие, без которого современные цифровые услуги просто не могут существовать.

Для Украины также важно запустить подсистему мониторинга доступа к персональным данным. Это не просто техническое нововведение, но и важный элемент интеграции в европейское пространство, где защита приватности и подотчетность являются базовыми ценностями. В перспективе такая система усилит доверие к государству, сделает чиновников ответственными, а граждан более защищенными.