1 / 15

Відділ досліджень інформаційного суспільства та інформаційних стратегій

Відділ досліджень інформаційного суспільства та інформаційних стратегій. Аналітична доповідь: ОСОБЛИВОСТІ ЗАХИСТУ ПЕРСОНАЛЬНИХ ДАНИХ В СУЧАСНОМУ КІБЕРПРОСТОРІ: ПРАВОВІ ТА ТЕХНІКО-ТЕХНОЛОГІЧНІ АСПЕКТИ. Гнатюк С.Л., головний консультант відділу досліджень інформаційного суспільства та

vinnie
Download Presentation

Відділ досліджень інформаційного суспільства та інформаційних стратегій

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Відділ досліджень інформаційного суспільства та інформаційних стратегій Аналітична доповідь: ОСОБЛИВОСТІ ЗАХИСТУ ПЕРСОНАЛЬНИХ ДАНИХ В СУЧАСНОМУ КІБЕРПРОСТОРІ: ПРАВОВІ ТА ТЕХНІКО-ТЕХНОЛОГІЧНІ АСПЕКТИ Гнатюк С.Л., головний консультант відділу досліджень інформаційного суспільства та інформаційних стратегій, к. і. н.

  2. 1. Кожна людина має право на повагу до її особистого і сімейного життя, житла і таємниці листування. 2. Держава не може втручатися у здійснення цього права інакше ніж згідно із законом та у випадках, необхідних в демократичному суспільстві в інтересах національної і громадської безпеки або економічного добробуту країни, з метою запобігання заворушенням і злочинам, для захисту здоров'я або моралі чи з метою захисту прав і свобод інших людей Європейська Конвенція з прав людини, Стаття 8

  3. Правові норми, що регулюють захист персональних даних: • пріоритетним є право особи розпоряджатися своїми персональними даними; їх використання без дозволу володільця карається згідно з законодавством; • для будь-кого, хто здійснює користування персональними даними фізичних осіб, з їх дозволу, встановлено відповідальність у разі умисного розголошування цих даних третім особам (якщо тільки фізична особа не дала дозвіл на таке розголошування). • Відтак, • суб'єкт персональних даних має право знати: • хто і де обробляє його ПД; • кому передаються його ПД; • де зберігаються його ПД; • як реалізувати право на доступ до своїх ПД; • механізми обробки його ПД (у разі їх автоматичної обробки).

  4. Принципи обробки персональних даних. ПД повинні: • Оброблятися сумлінно і законно, причому тільки за наявності підстав та з дотриманням вимог (принцип законності). • Отримуватися із конкретними законними цілями та не оброблятися у способи, несумісні із цими цілями (принцип конкретності цілей). • Бути адекватними, не надлишковими, відповідати цілям обробки (принцип пропорційності). • Бути точними та своєчасно оновлюватися (принцип якості даних). • Не зберігатися довше, ніж це необхідно (принцип обмеження терміну обробки). • Оброблятися з дотриманням прав фізичної особи, включаючи право на доступ до даних та заперечення щодо їх обробки (принцип прозорості та опозиції). • Оброблятися з дотриманням технічних вимог щодо захисту даних (принцип захисту даних). • Не передаватись за межі країни без відповідного захисту (принцип обмеження передачі іноземним суб’єктам).

  5. Мінімальні відомості, принципово доступні третій стороні під час (і після) сеансу виходу користувача в Інтернет: • веб-адреса сторінки, що переглядається (URL); • веб-адреса сторінки, що посилається на першу; • унікальна IP-aдреса, найменування провайдера, країна реєстрації, місцезнаходження пристрою; • параметри браузера (тип, версія, мова, налаштування, підтримка додатків) та комп’ютера (основні апаратні можливості, операційна система, роздільна здатність екрану тощо); • дані проксі-сервера; • дані про підтримку cookie і Java; • часовий пояс.

  6. Онлайн-сектори, де обертається найбільша кількість персональних даних: • електронний бізнес, банкінг та шопінг; • цілий спектр інших онлайн-послуг; • комунікативні сервіси: електронна пошта, ІР-телефонія, Skype, ICQ; • середовище Web 2.0: блоги, wiki, соціальні медіа, різноманітні мережні спільноти, інтерактивні служби та інші веб-сервіси другого покоління; • технології хмарних обчислень і пов’язані з ними послуги. Аудиторія соціальних мереж у 2012 році склала більше 60% світової Інтернет-аудиторії (1,5 млрд. осіб) і продовжує зростати Вже у 2015 році до 60 % всіх даних людства зберігатиметься у “хмарах”

  7. Хмарні сервіси: низький рівень безпеки ПД випливає з самої архітектури «хмари» як техніко-технологічного рішення: • На даний момент хмари нездатні гарантувати зберігання та обробку даних згідно з законом; • Проблемою є фізичне розміщення ПД та їх транскордонна передача, оскільки і те і інше пов’язане з конфліктом юрисдикцій, технічними труднощами і може бути небезпечним для користувача; • Сумнівним є доступ користувача до своїх ПД, оскільки за технологією об’єктивно не він контролює цей доступ; • В умовах формування ринку і бурхливого зростання індустрії, значна кількість провайдерів не забезпечує достатнього рівня захищеності споживачів та їх ПД.

  8. Інтернет стає всюдисущим, загальнодоступним і життєво необхідним • Зараз більше третини населення Землі користується Інтернетом, а у 2015 році, за прогнозами, ним буде користуватися половина людства; • Охоплення Інтернетом населення і систем забезпечення його життєдіяльності вже зараз набуло таких масштабів, що подальший розвиток всіх основних інфраструктур та видів діяльності людства стають неможливими без нього; • Практично все населення Земної кулі (96,2 %) користується нині стільниковими телефонами, які найближчим часом змінять смартфони та інші мобільні пристрої, спеціально оптимізовані для перебування онлайн; • Абсолютна більшість користувачів буде спілкуватися у соціальних мережах та інших сервісах онлайн-комунікації, причому здебільшого з мобільних пристроїв. • Відтак, практично вся зафіксована людиною інформація, включаючи персональні дані, надалі обертатиметься та зберігатиметься у Всесвітній Павутині.

  9. Стандарти захисту персональних даних Євросоюзу • (European Data Protection Regulation) • (проект Європейської Комісії) • Оптимізований для ефективного захисту ПД у кіберпросторі. • В основному – за рахунок розширення прав осіб-суб'єктів персональних даних при одночасному посиленні контрольованості та відповідальності операторів ПД • Єдиний нормативно-правовий акт для всіх країн-членів ЄС. • Розширення сфери дії Стандартів. • Скасування норм “доцифрової” доби, зокрема – реєстрації баз ПД • Уведення актуальних норм – наприклад, “права бути забутим”. • Гарантування вільного доступу до власних персональних даних в будь-яких базах даних. • Значне збільшення штрафів за порушення Стандартів.

  10. Розширення прав суб'єктів персональних даних та посилення їх захисту: «Право на вільне перенесення персональних даних» - спрощена процедура передачі своїх ПД від одного постачальника послуг до іншого (мобільність даних). «Право бути забутим», тобто полегшення для громадян процедур знищення своїх персональних даних в базах даних із забороною їх подальшого використання, якщо немає законних підстав для їх збереження. Право на добровільне і відкрите волевиявлення власника персональних данихщодо певних типів їх обробки. Розширення повноважень національних контролюючих органів із захисту персональних даних. В якості санкцій недобросовісному операторові персональних даних може бути накладений штраф аж до 1 млн євро або до 2% від загальносвітового річного обігу компанії у разі нанесення збитку суб'єктам персональних даних.

  11. «Вивільнення потенціалу хмарних обчислень в Європі» • ("Unleashing the potential of cloud computing in Europe") • Загальна Стратегія, запропонована Європейською Комісією у вересні 2012 р. • Як розробник документу, Європейська Комісія офіційно оголосила, що: • Сьогодні саме проблеми захисту персональних даних на ринку «хмарних» послуг є найбільш серйозним бар’єром для його подальшого розвитку. • Одним з ключових завдань, заявлених в Стратегії, є розробка особливої моделі «положень та умов» (terms and conditions) контрактів для сфер, які не регулюються Європейським законом про купівлю та продаж (Common European Sales Law). До таких належить і весь комплекс питань, пов’язаних із захистом персональних даних. Розробка адекватних юридичних рішень в цій сфері розглядається як «шлях до широкої популярності «хмарних» сервісів за рахунок зростання довіри користувачів»; • Положення та завдання Стратегії «дбайливо узгоджені» з вищезгаданими Стандартами захисту персональних даних Євросоюзу (European Data Protection Regulation). Заявлено, що в Стандартах закладений «добрий загальний базис» для майбутнього розвитку європейського ринку «хмарних» послуг. У зв’язку з цим констатується важливість прийняття цього документа Радою Міністрів ЄС та Європейським Парламентом вже у 2013 році.

  12. Статтею 32 Конституції України прямо заборонене втручання «в особисте і сімейне життя» людини, в тому числі «збирання, зберігання, використання та поширення конфіденційної інформації про особу без її згоди» крім випадків, передбачених Конституцією України та/чи визначених законом. 6 липня 2010 року Україна ратифікувала базові європейські стандарти у сфері захисту персональних даних, зокрема Конвенцію Ради Європи про захист осіб у зв'язку з автоматизованою обробкою персональних даних (Страсбург, 28 січня 1981 року, № 108) та Додатковий протокол до неї щодо органів нагляду та транскордонних потоків даних (ETS № 181). Крім того, нею було офіційно підтримано принципи Директиви 95/46/ЄС Європейського Парламенту і Ради ЄС «Про захист фізичних осіб при обробці персональних даних і про вільне переміщення таких даних» від 24 жовтня 1995 року. Таким чином, Україна взяла на себе зобов'язання адаптувати національне законодавство та систему захисту персональних даних доположень цих актів, наблизивши його таким чином до європейських стандартів.

  13. Державна служба захисту персональних даних України (ДСЗПД) здійснює міжнародну співпрацю по лініям: Євроюста; Європола (Європейський поліцейський офіс); OLAF (Європейське Бюро по боротьбі з шахрайством, англ. - European Anti-Fraud Office, зазвичай вживається скорочення від фр. - Office de Lutte Anti-Fraude); Групи керівників уповноважених органів з питань захисту персональних даних країн Центральної та Східної Європи; Є членом в Глобальній мережі усунення порушень в сфері приватності (GPEN – Global Privacy Enforcement Network), регулярний експертний обмін з Радою Європи; Бере участь у Міжнародній робочій групі з питань захисту персональних даних в сфері телекомунікацій (IWGDPT – International Working Group on Data Protection in Telecommunications).

  14. Наприкінці 2012 року Всеукраїнською громадською організацією «Українська асоціація захисту персональних даних» було ініційоване та проведене перше дослідження в рамках громадського моніторингу відкритості та прозорості обробки персональних даних в Інтернеті. За результатами дослідження зокрема виявилося, що лише близько третини веб-ресурсів національного сегменту Інтернет надають суспільству та користувачам мінімальні відомості про розпорядника персональних даних – найменування юридичної чи ім’я фізичної особи, яка і є, відповідно до законодавства, відповідальною за обробку персональних даних відвідувачів та за дотримання їх прав на невтручання в сімейне та приватне життя. Так само, приблизно третина веб-ресурсів повідомляють відвідувачів про їх права. Автори моніторингу констатують, що переважна частина національних веб-ресурсів, можливо більше трьох четвертей, не забезпечують відкритості і прозорості обробки персональних даних, ігнорують вимоги законодавства

  15. Для повноцінного захисту персональних даних у кіберпросторі Україна потребує щонайменше: а) адекватного правового забезпечення та ефективної національної системи регулювання та нагляду; б) розвиненого й диверсифікованого ринку юридичних послуг; в) грамотних і відповідальних контрагентів – провайдерів онлайн-послуг та їх споживачів, володільців персональних даних та їх розпорядників.

More Related