Реєструючись на новому сайті, завантажуючи додаток у смартфон чи заповнюючи чергову згоду на обробку персональних даних, ми навіть не замислюємося над тим, що не просто добровільно надаємо особисті дані, а й допомагаємо достатньо непогано на цьому заробити. Персональні дані перетворюються в один з найбільш цінних і запитуваних «товарів».

5ecd0977f227a.jpg


Але що ми знаємо про цей товар? Кому ми надаємо наші дані? Та скільки вони коштують?

Часто ми віддаємо наші дані в обмін на щось. Наприклад, ви хочете стати учасником дисконтної програми магазину, але для цього вас попросять заповнити анкету. Часто в такій анкеті просять надати певну інформацію:

При цьому ви ставите галочку — що даєте згоду на обробку даних.

Для чого збираються ці дані, куди вони йдуть надалі та як зберігаються — вам невідомо, оскільки ви навіть не поцікавилися політиками конфіденційності чи обробки персональних даних.

Так само, коли ви надаєте свої дані державі чи банку, у вас є право знати:

Але чомусь ми не користуємося цими правами, бо завжди ставимо питання: а кому потрібні наші дані?

Наприклад, коли ми реєструємось у соціальних мережах, то погоджуємося з політиками конфіденційності та надаємо наші персональні дані соціальній мережі абсолютно безкоштовно.

Проте чи знаєте ви, який відсоток доходу Facebook становить монетизація особистих даних користувачів? 100% доходу. Зауважу, що дохід цієї соціальної мережі у 2019 році становив 70,7 мільярдів доларів США. Сьогодні застосунками компанії Facebook (Facebook Messenger, Instagram, WhatsApp) користується 3 млрд людей. Ця корпорація отримує, зберігає та використовує дані людей з усього світу. Але люди мають розпоряджатися своїми даними як власністю — це їхнє право.

На українському «ринку» з продажу даних із бази, де є 327 мільйонів записів про людей та 4,5 мільярдів логінів та паролів, вартість одного запиту коливається від 1 до 5 доларів.


5ecd0a081fc56.jpg

СкріншотTelegram-каналуUA Baza bot (видалений акаунт)

Тобто всього за $1, знаючи, наприклад, прізвище та ім'я людини, можна дізнатися місце її прописки (реєстрації), дату народження, мобільний телефон, електронну адресу та пароль до неї, ідентифікаційний номер, паспортні та банківські дані.


Чому дані постійно витікають?

Як ви вже зрозуміли, дані — товар з неабияким попитом. А за законами економіки, якщо є попит, то буде і пропозиція.

Розгляньмо приклад з «витоком даних» із державних баз.

Нещодавно соціальні мережі майоріли повідомленнями про те, що у певному чат-боті можна переглянути «досьє» на будь-кого. Багато хто писав, що відбувся злив даних додатку «Дія». На думку Олександра Кардакова, експерта з кібербезпеки, цей застосунок є суто інтерфейсом, тобто єдиним способом доступу. Дані користувачів зберігаються в створених раніше реєстрах і базах. Власних агрегованих даних «Дія» не зберігає.

Андрій Баранович, спікер Українського кіберальянсу, пояснює: «Був цього разу витік саме з „Дії“? А чорт його знає. Можливо, потекло із самих реєстрів шляхом старого-доброго підкупу. Що б там не говорила Мінцифра, в серверної частини „Дії“ є прямий доступ до реєстрів, і вже неважливо, зберігається щось на серверах чи ні. Наявність або відсутність у „Дії“ бази нічого принципово не змінює».

Дані з реєстрів є у відкритому доступі, продаються в телеграм-каналах та DarkNet.

Наприклад, розробники чат-ботів зазначають, що всі дані отримано з відкритих джерел, та пояснюють от що:

5ecd0a8f1aaab.jpg

Скріншотз Telegram-каналу UA Baza bot (видалений акаунт)


Чому дані витікають у мережу Інтернет?

В Україні є 350 реєстрів, і понад 200 з них містять персональну інформацію, проте лише чверть реєстрів має відповідний сертифікат захисту.

На мою думку, дані потрапляють у відкритий доступ через такі проблеми:

  1. Немає ефективної системи забезпечення захисту даних в органах державної влади, органах місцевого самоврядування, а також у володільців чи розпорядників персональних даних, що здійснюють обробку персональних даних. Часто доступ до реєстрів має необмежене коло осіб[1].
  2. Неналежне матеріально-технічне забезпечення осіб, які працюють із базами даних. Це означає, що дані легко перекопіювати на інші носії інформації, держава часто не забезпечує комп'ютерами своїх працівників, ноутбуками з даними користуються не лише на робочих місцях, але й у закладах громадського харчування чи вдома.
  3. Низький рівень кваліфікації та низька оплата праці у працівників, які відповідають за кібербезпеку в державних установах, організаціях та підприємствах, органах місцевого самоврядування. Працівників «легко купити», а це означає, що за певну винагороду вони можуть викласти інформацію у відкритий доступ. Також помилково викласти дані у відкритий доступ вони можуть через некомпетентність.
  4. Немає культури поваги до права на приватність та захисту персональних даних.
  5. В українців часто немає навичок цифрової гігієни.
  6. Немає ефективної системи державного контролю за захистом персональних даних.
  7. Держава не здійснює аудитів баз даних та інше.

Що робити, якщо побачили свої персональні дані у відкритому доступі?

Ви маєте право звернутися до Кіберполіції (підрозділу Національної поліції України) з відповідною заявою.

Також рекомендую скаржитися на акаунти чи сайти, які незаконно поширюють ваші персональні дані, а також долучатися до їхнього блокування.

Зверніть увагу, що контроль за додержанням законодавства про захист персональних даних у межах повноважень, передбачених законом, здійснюють такі органи:

1) Уповноважений Верховної Ради України з прав людини;

2) суди.

Ця публікація має виключно інформаційний характер. На мою думку, якщо ми з вами проінформовані про те, що відбувається в Україні з нашими даними, то зможемо більше дбати про захист своїх даних та відстоювати право бути власником своїх даних.

Пам'ятайте, що особисті немайнові права на персональні дані, які має кожна фізична особа, є невід'ємними і непорушними.

Анастасія Апетик,
юристка, експертка з інформаційних прав та безпеки
Експертного центру з прав людини
спеціально для JustTalk



[1] Відповідно до статті 24Закону України «Про захист персональних даних», володільці, розпорядники персональних даних та треті особи зобов'язані забезпечити захист цих даних від випадкових втрати або знищення, від незаконної обробки, у тому числі незаконного знищення чи доступу до персональних даних. В органах державної влади, органах місцевого самоврядування, а також у володільців чи розпорядників персональних даних, що здійснюють обробку персональних даних, яка підлягає повідомленню відповідно до цього Закону, створюється (визначається) структурний підрозділ або відповідальна особа, що організовує роботу, пов'язану із захистом персональних даних при їхній обробці.