Правозахисна асоціація
“ФРІРАЙТС”

Органи місцевого самоврядування недостатньо піклуються про захист персональних даних – огляд проблем

        Ще до початку російського вторгнення в Україну в органах місцевого самоврядування (ОМС) була низка проблем, пов’язаних із організацією роботи по захисту персональних даних. Що вже й говорити про воєнний час, коли всі слабкі місця проявилися і неналежне відношення до зібраної інформації поставило під питання життя та безпеку українських громадян.

Лише уявіть, які обсяги інформації доводиться обробляти виконавчим органам сільських, селищних та міських рад, працюючи з питаннями житлово-комунального господарства, освіти, охорони здоров’я, соціального захисту населення, оборони, бюджету, забезпечення правопорядку та ін. Все це – великі бази персональних даних, якими так бажають заволодіти окупанти.

Пропонуємо огляд викликів, які постають перед ОМС у захисті персональних даних від початку військової агресії проти України. Аналіз базується на вибірковому опитуванні представників цих органів за допомогою телефонних інтерв’ю та письмових анкет.

Отже, проблеми, з якими стикаються ОМС у сфері захисту персональних даних у воєнний час:

1. Відсутність чітких та дієвих механізмів всередині ОМС, які б забезпечували належне зберігання та обробку персональних даних

До початку війни досить невелика кількість громад мали розроблені та запроваджені внутрішні розпорядчі документи (наприклад, політика приватності, положення про захист персональних даних тощо), які б забезпечували якісні та дієві процедури накопичення, зберігання та обробки персональних даних. Це, зі свого боку, призводило до безсистемності та низької ефективності зусиль ОМС у захисті права на захист персональних даних.
Акти реагування представників Уповноваженого ВРУ з прав людини ілюструють проблеми, з якими стикаються ОМС у захисті персональних даних:  https://www.ombudsman.gov.ua/uk/kontrol-za-doderzhannyam-vimog-zakonodavstva-zpd/rezultati-perevirok

Якщо такі документи і були прийняті, то вони частково копіювалися з положень законів і не відображали реальних процесів взаємодії між окремими структурними підрозділами органу.

З початком війни гострота та вагомість цієї проблеми збільшилася – у критичний момент та під загрозою окупації працівники ОМС, відповідальні за захист персональних даних, не мали чіткого розуміння та алгоритму дій, спрямованих на убезпечення витоків персональних даних та перешкоджання потраплянню таких даних до рук окупантів. Відповідно, не було можливості оцінити, які саме бази персональних даних є найбільш чутливими та які з них слід убезпечити або знищити в першу чергу.Така ситуація багато в чому погіршувалася через те, що у переважної більшості громад ніколи не проводився інформаційний аудит (узагальнення, щодо наявних у ОМС категорій інформації, баз персональних даних тощо).

2. Відсутність або недостатня підготовка посадових осіб, відповідальних за зберігання персональних даних

Незважаючи на вказівку закону (частина 2 статті 24 Закону України «Про захист персональних даних») у переважної більшості ОМС не призначена/не визначена посадова особа, відповідальна за захист персональних даних.

Навіть у тих ОМС, які призначили відповідальну особу, посадові інструкції таких працівників не містять деталізованого переліку обов’язків, обмежуючись лише загальними формулюваннями про забезпечення виконання вимог спеціального законодавства про захист персональних даних.

Практично не відомі випадки, коли б посадові інструкції відповідальних осіб чи інші внутрішні розпорядчі документи передбачали б вжиття заходів для убезпечення витоків персональних даних.

3. Неврегульованість питання зберігання  баз персональних даних

Переважна більшість ОМС ніяким чином не врегулювали у своїх розпорядчих документах алгоритм дій щодо матеріальних носіїв, на яких зберігалися бази персональних даних. У значної кількості ОМС такі носії зберігалися у кабінетах відповідних працівників, приймальнях керівників, відділах діловодства тощо. 

У момент початку збройної агресії відповідальні працівники не були проінструктовані про необхідність знищення або перенесені в безпечне сховище баз персональних даних, витоки яких могли зашкодити життю та безпеці мешканців громади. (Згадаємо про викрадення виборчої документації зі списками виборців 2019 року з Державного архіву Херсонської області: https://www.facebook.com/khersonpolice.official/posts/pfbid036WJ58D2cLBRZKtjK24HVVJyQVc1kFiUp7g9Jd66MTWpH5rQMvFJQ1yx1qwLCoYfEl).

4. Недостатність заходів з підвищення кваліфікації з питань захисту персональних даних

Питання недостатньої фахової підготовки посадових осіб, що забезпечують збір, обробку та зберігання баз персональних даних вказується як одна з головних причин недоліків у роботі ОМС у цій сфері. 

Переважно питання, пов’язані із персональними даними, віднесено до повноважень відділів діловодства ОМС, управлінь юридичного забезпечення або інформаційно-комп’ютерного підрозділу. Лише невелика кількість працівників таких підрозділів відвідувала спеціалізовані заходи із захисту персональних даних, що переважно стосується ОМС великих міст, де ресурсне забезпечення дозволяє визначення окремої особи, відповідальної за захист персональних даних.

5. Відсутність роботи з оцінки ризиків у сфері обробки персональних даних

Практично жоден ОМС не проводив роботи з оцінки ризиків у сфері обробки персональних даних. Ймовірно, можна було запобігти витоку інформації на окупованих територіях, якби це було зроблено. Тим більше, що такий процес не вимагає особливих ресурсів. 

Крім того, аналіз ризиків – це важлива частина зобов’язань щодо підзвітності діяльності ОМС, а також реагування на порушення законодавства у сфері захисту персональних даних. 

Такий глибокий аудит дозволяє зрозуміти, як функціонує інформація в установі від збору до видалення, розкриває повну картину всіх процесів та проявляє потенційні ризики (які пов’язані не лише із людським фактором). І вже розуміючи загрози та вразливі місця, можна налаштувати всі процеси роботи з даними таким чином, щоб мінімізувати негативні наслідки та не допустити помилок у майбутньому.

Для впровадження процедур оцінювання ризиків можна використовувати шаблони, які пропонують контролюючі органи або експерти. Але коли йдеться про обробку даних, що становлять особливий ризик, краще розробити індивідуальну методологію, яка буде відповідати конкретним потребам виконавчого органу, його підрозділу чи підпорядкованій установі.

Ми наголошуємо на тому, що системна та регулярна оцінка ризиків у сфері обробки персональних даних покликана гарантувати  швидке та злагоджене реагування працівників ОМС на загрози, в тому числі – пов’язані із витоком персональних даних, і є логічною основою для розробки відповідних внутрішніх розпорядчих актів, політик, процедур, посадових інструкцій тощо.

Більше дізнатися про порядок, цілі та принципи оцінювання ризиків під час обробки персональних даних можна із нашого посібника: https://umdpl.info/library/posibnyk-analiz-ryzykiv-pid-chas-obrobky-personalnyh-danyh/

Проєкт «Розбудова мережі відповідальних осіб за захист персональних даних в органах місцевого самоврядування» реалізується за підтримки Міжнародного Фонду «Відродження» та Європейського Союзу в рамках гуманітарної ініціативи «Людяність і взаємодопомога».

Поділитися

Інші новини