"Великий брат" під контролем: як в Україні захищають персональні дані

Інформація про нас зберігається в національних, регіональних і муніципальних реєстрах та базах даних. І чим більше ви взаємодієте з державою, різними інституціями чи установами, тим гостріше постає питання: хто має доступ до цих даних, і як ми як громадяни можемо контролювати їх використання. Далі читайте в ексклюзивній колонці для 24 Каналу.

Зауважте "Ілюзія вибору": користувачі звинувачують ChatGPT у прихованій цензурі

В Європейському Союзі відповіддю на це стало впровадження General Data Protection Regulation (GDPR) – Загального регламенту захисту даних, який ухвалили ще у 2018 році. Його головна мета зрозуміла – захист персональних даних громадян ЄС та контроль за тим, як компанії та організації їх обробляють. 

Якщо коротко, ідея проста – людина має право контролювати та використовувати свої дані. За дотриманням цих правил в Естонії відповідає Andmekaitse Inspektsioon (AKI – Естонська Інспекція з охорони даних). 

Регламент закріплює кілька ключових принципів: громадянин має знати, які його дані обробляються і з якою метою, може отримати доступ до власних даних і перевірити, хто ними користується, а у разі зловживань – вимагати виправлення або видалення даних. GDPR встановлює базові правила, але самі закони не гарантують, що ці права впроваджуються у щоденному житті. Для цього потрібні практичні інструменти.

Зараз Україна робить великий крок у цьому напрямі. Нещодавно уряд ухвалив постанову, яка запускає підсистему моніторингу доступу до даних (ПМДПД), щоб українці бачили, хто і з якою метою переглядає їхні дані в державних реєстрах, а сповіщення про це надходитимуть в Дію. З 2021 року Україна працює над розробкою підсистеми в рамках проєктів Європейського Союзу EU4DigitalUA та DT4UA, що впроваджує Академія електронного управління.

В Естонії таким інструментом став Data Tracker. Це державний електронний сервіс, який дає кожному громадянину можливість бачити, хто, коли і з якою ціллю переглядав його персональні дані у державних реєстрах. 

Сервіс доступний на порталі eesti.ee і підключений до 18 основних державних реєстрів та систем. Серед них – Реєстр адрес, Центральна система охорони здоров'я, податкові органи тощо. Ці реєстри підключені до платформи X-Road, що забезпечує безпечний обмін даними між різними державними установами. Так, кожен громадянин Естонії може увійти до свого кабінету на порталі та побачити журнал доступів.

Як Україна впроваджуватиме досвід Естонії?

ПМДПД впроваджують у системі безпечного обміну даними Трембіта, яка є аналогом естонської X-Road. Принципи системи подібні до естонського Data Tracker – кожен доступ до інформації буде фіксуватися, а громадяни зможуть бачити, хто, коли і з якою метою переглядав їхні дані. 

Сотні державних організацій вже готуються до впровадження підсистеми. Аналогічно з естонським досвідом, очікується, що ПМДПД зробить взаємодію громадян із державою прозорішою, а також наблизить українські стандарти захисту даних до європейських. 

Це підвищить підзвітність і довіру до інституцій, а також дасть можливість українцям контролювати свої персональні дані.

Працюватиме все досить просто. Уявіть, що комунальне підприємство раптово цікавиться вашим майном. У цей момент ви заходите в систему і бачите запис: "Комунальне підприємство ХХ переглянуло дані про вашу квартиру". При цьому жодних заяв ви не писали, показники лічильника не подавали, то чому тоді відкрили вашу картку? 

Це сигнал для вас: поставити запитання і зрозуміти підстави. Або ж, наприклад, працівник поліції перевіряє, кому належить автомобіль, і ця дія також фіксується в системі. 

У будь-який момент людина може перевірити, хто переглядав інформацію про неї. До того ж планується, що Дія надсилатиме сповіщення щодо критичних сервісів, які прямо впливають на фінанси, власність чи правовий статус громадянина, коли певний державний орган чи установа робили запит на отримання таких персональних даних.

Як контроль персональних даних формує нову культуру довіри?

Можливість побачити, хто і коли дивився ваші дані, створює прозорість і довіру між громадянами і державою, а також дисциплінує державні органи. Коли чиновник знає, що будь-який доступ до персональних даних буде зафіксований і його може перевірити громадянин, зловживати стає значно складніше. Тобто це не лише фактичний, а й превентивний механізм, який запобігає порушенням ще до того, як вони стануться.

Читайте також Розлучитися можна буде швидко й онлайн, але не всім: що відомо про нову послугу у Дії

Зараз ми бачимо, як правильний підхід до захисту персональних даних в Естонії змінює ставлення громадян до держави й поведінку чиновників. Люди отримали реальний інструмент контролю: доступ до даних більше не є невидимим. Якщо виникає підозра у зловживанні, можна одразу звернутися за роз'ясненням до організації або особи, яка переглянула ваші дані, а після цього за потреби подати скаргу.

Статистика говорить сама за себе: у 2024 році громадяни загалом подали понад 900 офіційних скарг до Естонської Інспекції з охорони даних, зробили понад 1700 інформаційних запитів і близько 1500 дзвінків на гарячу лінію. І це в країні де живе майже втричі менше людей ніж в Києві. 

Data Tracker працює у форматі логів доступу, які автоматично створюються при кожному зверненні до бази. Це можуть бути як дії конкретного лікаря чи чиновника, так і технічні автоматичні запити систем. Тому естонська модель не передбачає push-сповіщень, щоб не дратувати користувачів сотнями повідомлень щодня. Адже ми навіть не уявляємо наскільки часто наші дані задіяні в різних ситуаціях: від отримання виплат до перетину кордону.  

Майже всі запити відбуваються законно й офіційно, але кейси запитів з цікавості залишаються актуальними. 

Наприклад, ще до появи цифрових інструментів для моніторингу у Таллінні був випадок, коли працівник міської адміністрації за місяць зробив понад 2 тисячі переглядів реєстру населення. Не у службових цілях, а просто, щоб скласти власне родинне дерево. Такі дії визнали порушенням, і співробітника притягнули до відповідальності.

Маємо кейси, коли лікар переглядає дані сусіда, який не є його пацієнтом, а просто хотів задовольнити власну цікавість. У таких випадках перший крок для громадянина – звернутися безпосередньо до лікаря і дізнатися ціль перегляду даних. Якщо пояснення незадовільне, подати скаргу до органу захисту даних. Якщо запит був не правомірним, порушник має сплатити штраф в середньому до 100 євро. Сума невелика, але головним є усвідомлення того, що будь-яка дія фіксується і її можна перевірити, що стимулює працівників дотримуватися правил всіх правил роботи з даними. 

Звісно, не виключаємо людський фактор і технічні помилки, наприклад, неправильно введене ім'я або дублювання записів, але вони трапляються рідше.

Естонський досвід показує, що прозорість у доступі до даних реально змінює культуру взаємодії громадян і держави. Людина отримує конкретний інструмент контролю, а установи та інституції – чіткий сигнал, що будь-які його дії підзвітні й логуються в системі. Це дисциплінує і формує довіру, без якої сучасні цифрові послуги просто не можуть існувати.

Для України також важливо запустити підсистему моніторингу доступу до персональних даних. Це не просто технічне нововведення, а й важливий елемент інтеграції в європейський простір, де захист приватності та підзвітність є базовими цінностями. У перспективі така система посилить довіру до держави, зробить чиновників відповідальнішими, а громадян більш захищеними.