Ірина Коновець-Поплавська
Поправка 38 ч. 1 - здесь видео с картинками и с выражениями
Те, що діється в Україні з доступом до інформації - це катастрофа, інакше це не назвати. І
катастрофа ця у меншій мірі закладена в нечітко виписаних законах. Давайте подивимося правді в вічі: у
нас і прямі норми перекручують, то що вже говорити про ті, що виписані, м'яко кажучи. некоректно. Але саме дух законів
дозволяє переступити через неправильно поставлену кому, через абсурдне
визначення, через всі помилки, в тому числі і друкарські.
Отже, щоб зрозуміти рівень провалля, в якому ми всі знаходимося
в плані доступу до інформації, проаналізуємо спочатку, як це виглядає на заході.
Почнемо з того, що систематизуємо інформацію, як це
прийнято на заході, придивимося як це корелюється з українським законодавством,
і тоді все стане свої місця, як то має бути.
Західна практика
Як правило, інформація поділяється такі категорії.
Публічні дані знаходяться у вільному доступі для громадськості. Їх дозволено
використовувати на свій розсуд, в тому
числі повторно та розповсюджувати без будь-яких наслідків. Приклади: ім’я та прізвище, опис вакансій, прес -релізи
та багато чого іншого. В Україні діє закон
«Про доступ до публічної інформації» від 13 січня 2011 року № 2939-VI, згідно
якому публічна інформація - це відображена та
задокументована будь-якими засобами та на будь-яких носіях інформація, що була
отримана або створена в процесі виконання суб'єктами владних повноважень своїх
обов'язків, передбачених чинним законодавством, або яка знаходиться у володінні
суб'єктів владних повноважень, інших розпорядників публічної інформації,
визначених цим Законом.
Публічна інформація є відкритою, крім випадків,
встановлених законом.
Право на інформацію – це одно з фундаментальних прав
людини. Стаття 34 Конституції встановлює,
що кожному
гарантується право на свободу думки і слова, на вільне вираження своїх поглядів
і переконань. Кожен має право вільно
збирати, зберігати, використовувати і поширювати інформацію усно, письмово або
в інший спосіб - на свій вибір. І це – справедливо, бо інакше суспільство не в
змозі розвиватися. Чим прозоріше суспільство, тим доступніша
інформація, тим швидше розв’язуються болісні питання, і тим краще рівень життя.
В Договорі
про функціонування Європейського Союзу відзначається, що будь -який громадянин
Союзу, будь-яка фізична чи юридична особа, що проживає або має зареєстрований
офіс у державі-учасниці, має право доступу до документів установ, організацій,
офісів та агентств Союзу, на якому б носії вони не розміщувалися. Це право закріплено і у статті 42 Хартії основних прав ЄС.
Але будь-яка
свобода десь обмежується. Так і з інформацією. На заході така інформація називається часто класифікованою.
Класифікувати - це значить, встановити рівень доступу до інформації в залежності від її чутливості,
вразливості. Чутливість - це міра цінності інформації, ступінь її важливості, ступінь її цінності.
І в Україні всі ці обмеження логічно теж встановлені законом «Про доступ до публічної інформації» під назвою «інформація з обмеженим доступом».
Отже, світова практика за ступенем цінності і
важливості розділяє інформацію на такі категорії.
1.
Конфіденційна
інформація (Confidential data) - це інформація, недоступна для широкого
загалу. Запам'ятаємо і усвідомимо головну її ознаку - це таємниця у межах певного кола осіб, тобто вона не призначена для загальної публіки. Це може бути особиста інформація (на відміну
від узагальнених даних, як-от статистичних), яка вважається приватною за своєю
природою, приміром інформація про стан здоров’я, адреса, попередній досвід
роботи та фінансові дані. В США відповідно до федерального законодавства та
закону штату (залежно від штату) підприємства зобов’язані впроваджувати та
застосовувати політику та процедури, призначені для захисту від несанкціонованого
вилучення приватної інформації на підставі юридичної відповідальності. Конфіденційні
дані в США розділяються на три категорії:
1) інформація про
співробітників - адреса (будинок та електронну пошту), номери
соціального страхування та інформацію про стан здоров’я;
2) управлінська інформація - дисциплінарне
покарання працівника, скорочення штату, причина звільнення, розслідування злочинної поведінки працівників
3) інформація про
бізнес - прогнозований прибуток/заробіток, бюджет /звіти про витрати,
виробничу та експлуатаційну інфраструктуру та перелік персоналу.
Основною
причиною, чому таку інформацію треба захистити від розголошення - це шахрайство та крадіжки особистих даних, що може
спричинити недовіру, невпевненість та
невдоволення персоналу, тобто мова йде про захист від несанкціонованого витоку
інформації. Це дуже важливо розуміти.
І звичайно,
що саме закони диктують регуляторну політику та процедури захисту
конфіденційних даних, таких як особисті дані, медичні документи, подробиці логістики компанії тощо. Тобто, конфіденційні дані охороняються законами
або юридичними документами. Наприклад Закон про медичне страхування,
доступності медичних послуг та підзвітності (HIPAA), Стандарт безпеки даних в галузі платіжних карток PCI DSS (Payment Card
Industry Data Security Standard) і таке інше.
Багато законів та правил
містять вимоги, які заохочують
організації класифікувати дані. Найбільш поширені з них:
• Закон про медичне страхування,
доступності медичних послуг та підзвітності (HIPAA). Там
йдеться про те, що інформація про охорону здоров'я (PHI), тобто інформація про особисте
здоров'я, - це демографічна інформація,
історії хвороби, результати аналізів та
лабораторних досліджень, стан психічного здоров'я, інформація про страхування
та інші дані, які збирає медичний персонал для ідентифікації особи. Такі дані відносяться
до інформації високого ризику. Правило
безпеки HIPAA вимагають, щоб усі причетні суб’єкти господарювання та ділові
партнери впроваджували адміністративні гарантії, які б забезпечили конфіденційність,
цілісність та недоступність PHI. Крім того, Правило конфіденційності HIPAA
обмежує використання та розкриття інформації про PHI, змушуючи причетних суб’єктів господарювання та ділових партнерів
встановлювати однакові процедури класифікації даних, які вони збирають, використовують,
зберігають та передають.
• Стандарт
безпеки даних в галузі платіжних карток PCI DSS (Payment Card Industry Data Security
Standard) забезпечує стандарти для процесів та систем, які
продавці та постачальники використовують для захисту інформації. Ця інформація
включає: дані власника картки, такі як ім’я власника картки, номер основного
рахунку, дату закінчення терміну дії картки та її безпеку.
Тобто, ми
вже потихеньку починаємо розуміти, що для того, щоб інформація з публічної
раптом стала конфіденційною, потрібні окремі закони, або якийсь документи
(юридичні (або які ґрунтуються на
юридичних) чи законодавстві, відповідно до яких хтось має їх туди віднести в залежності від ступеню їх
важливості. Зрозуміло, що це не просто кур'єр або навіть юрист або секретар на
рівні блаблабла вирішують, що таке конфіденційна інформація на рівну «вам туди не можна і туди не можна, бо
інформація конфіденційна, ми тут з водієм за чаркою чаю так вирішили».
Комерційна таємниця - це формула,
практика, процес, дизайн, інструмент, візерунок або компіляція інформації, тобто
дані, які не є загальновідомими, і за
допомогою якої бізнес може отримати економічну перевагу над конкурентами або
клієнтами. Про термінологію. У деяких юрисдикціях така таємниця називається
"конфіденційною інформацією", але зазвичай не відноситься до "classified інформації" як Сполучених Штатах, оскільки classified стосується урядової таємниці, що охороняється
різними законами та практиками.
2. Службова інформація (Internal-only) призначена виключно для внутрішнього персоналу компанії або її
працівників, яким надається до них спеціальний доступ. Це може бути службова записка або інші засоби комунікацій,
бізнес-плани тощо.
3. Секретна
інформація (Secret//Restricted Data) - це дані,
які урядова установа вважає, що її необхідно захистити від людського ока.
Доступ до секретної інформації
обмежується законом або нормативно -правовими актами. Лише певні групи людей мають необхідний дозвіл до
цієї інформації, а неправильне поводження з нею може призвести до кримінального покарання. Сюди відноситься найнайсекретніша інформація,
якими в основному володіють стратегічні галузі - ядерна, енергетична та ін.
Приміром є Настанова з експлуатації національної програми заходів
задля запобігання витоку державної секретної інформації, що знаходиться в
розпорядженні промисловості (NISPOM) і таке інше. Різниця між секретними і конфіденційними
даними полягає в тому, що секретні
застосовуються в рамках дозволенного,
в допустимих межах (limited within
bounds), тоді як конфіденційна, як
ми пам’ятаємо призначена зберігатися в
таємниці серед певного кола осіб.
.
Ступінь
важливості чи цінності даних з роками знижується, і вона підлягає декласифікації або переходу до статусу
публічної.
Так в США є така Постанова
уряду про розсекречення (Declassification and Executive Order 13142), яка
встановлює, що розсекречення не має бути автоматичним, "в результаті
несанкціонованого розкриття ідентичної чи подібної інформації". Однак, за
винятком особливих обставин, інформація повинна бути автоматично розсекреченою через 10 років.
Ці конкретні обставини включають ситуації, в яких розголошення інформації
загрожує національній безпеці, а також випадки, коли автоматичне розсекречення
може порушити законодавчий статут. Наприклад у 1999 випустили поправки 12958 який передбачав розсекречення старшої за 25
років інформації, якщо вона має
історичну цінність. Якщо раніше Постанова уряду передбачала розсекречення протягом п’яти років, то Постанова
13142 подовжила цей період на 18
місяців. Як повідомляла Washington Times у грудні 1999 р., ця зміна розлютила
американський легіон та інші групи ветеранів, які бажали знайти записи з часів В’єтнаму для отримання
інформації про військовополонених та
інших осіб, які пропали без вісті (МВС).
Тепер підкреслимо різницю в поняттях конфіденційності і приватності.
Confidentiality
Дані вважаються конфіденційними, якщо доступ до
них та розкриття обмежені певною
кількістю осіб чи організацій. Приклади можуть включати дані, призначені лише
для персоналу компанії, а також бізнес -плани, інтелектуальну власність,
внутрішні прейскуранти та інші види конфіденційної фінансової інформації. Шифрування
є важливим елементом управління для захисту конфіденційності під час передачі.
Мережа та брандмауер разом із суворим контролем доступу можуть бути
використані для захисту інформації, що обробляється або зберігається у
комп’ютерних системах.
Privacy
Принцип приватності
стосується збору, використання, зберігання, розкриття та розпорядження
персональною інформацією системою.
Інформація, що ідентифікує особу, відноситься до параметрів, за якими
можна ідентифікувати особу (наприклад, прізвище, адресу, номер соціального
страхування). Деякі особисті дані, що стосуються здоров'я, раси, сексуальності
та релігії, також вважаються чутливими і, як правило, вимагають додаткового
рівня захисту. Необхідно встановити засоби контролю, щоб захистити всі особисті
дані від несанкціонованого доступу.
І тут ми підійшли до закону, який
стоїть окремо від того, що ми розглянули вище. В Європі це REGULATION (EU) 2016/679 OF THE EUROPEAN
PARLIAMENT AND OF THE COUNCIL of 27 April 2016 on the protection of natural
persons with regard to the processing of personal data and on the free movement
of such data, and repealing Directive 95/46/EC (General
Data Protection Regulation). В Україні
це Закон «Про захист персональних даних»
який вступив в силу 01.01.2011 року.
General
Data Protection Regulation – Загальний регламент щодо захисту даних (GDPR) стосуються
лише випадків обробки даних, коли
вони збираються в бази чи картотеки. А
цим займаються практично всі організації. Мета захисту персональних даних є не що інше, як захист
фундаментальних прав та свобод осіб, які
пов’язані з цими даними. Наприклад, некоректна обробка персональних даних може
спричинити ситуацію, коли людина може проґавити посаду або, що ще гірше, втратити
її. Недотримання правил захисту
персональних даних може призвести до ще більш жорстких ситуацій, коли хтось витягне всі гроші з банківського рахунку особи
або навіть зумовить загрозу життю, маніпулюючи інформацією про стан її
здоров’я. Правила захисту персональних даних мають бути такими, щоб особисті дані не можна було вільно продати, що
означає, що мусить бути контроль над тим, хто робить пропозиції, щоб придбати бази
і якого штибу ці пропозиції. Якщо
особисті дані просочуються, це може завдати компаніям значної шкоди їх
репутації, а також призвести до штрафних
санкцій, тому важливо дотримуватись правил захисту персональних даних.
Зрозуміла
ідея? Це означає, що якщо кому-то потрібна інформація, а житті є усілякі випадки, то вам не можуть відмовити
автоматично з посиланням на цей закон. Може й відмовлять, але з інших причин.
GDPR також
використовує поняття чутливої інформації.
“sensitive” categories .
1) дані, що виявляють расове чи
етнічне походження;
2) дані, що розкривають політичні
погляди та релігійні чи інші переконання, у тому числі філософські;
3) дані, що свідчать про членство
в профспілці;
4) генетичні та біометричні дані;
5) дані про здоров'я, статеве
життя чи сексуальну орієнтацію;
6) дані про кримінальні
правопорушення та судимість.
Тепер подивимося, як Weber State University в США класифікував чутливу інформацію (Sensitive Information).
|
Чутлива інформація Приватну інформацію
чи чутливу інформацію можна поділити
на три категорії: High-Risk
(Ризик високого ступеню). Це інформація,
з якої можна викрасти персональні
дані чи за допомогою якої заподіяти шкоди особі, і для якої існують законодавчі
вимоги або галузеві стандарти, що забороняють або накладають фінансові
санкції за несанкціоноване розкриття інформації. До цього класу відносяться
дані, на яких розповсюджується
Закон Гремма-Ліча Блейлі
(GLBA, Закон про модернізацію фінансів
1999 року - федеральний закон у
Сполучених Штатах, який контролює роботу фінансових установ з
персональною інформацією фізичних
осіб) та Індустрією платіжних карток (PCI). Restricted.
Секретні дані це інформаційні активи, щодо яких існують законодавчі вимоги,
які забороняють або накладають
фінансові санкції за несанкціоноване розкриття. Секретні дані захищені федеральним та державним законодавством,
як-от Закон про освітні правах сім’ї
та невтручання в приватне життя (FERPA), який
надає батькам доступ до документів про освіту своєї дитини, можливість
вимагати внесення змін до цих записів,
а також здійснювати деякий контроль над розкриттям інформації з цих записів;
Закон про медичне страхування, доступності медичних послуг та підзвітності
(HIPAA), Закон про доступ до державних записів та управління ними (GRAMA) або
Закон про захист даних. Confidential.
Дані, визначені Університетом як конфіденційні, мають бути захищеними, оскільки вони можуть
завдати Університету шкоди у
випадку їх розкриття, але такі дані не
захищені федеральним чи державним законодавством. Наприклад, ID користувача у поєднанні з паролем. Захист
чутливої інформації. Університетські
коледжі та департаменти, які збирають та зберігають чутливу інформацію на комп’ютерних системах,
включаючи номери соціального страхування, відомості про посвідчення водія та
індивідуальну фінансову інформацію (номери кредитних карток, номери
банківських рахунків або фінансову звітність тощо), повинні вдатися до таких
засобів безпеки, щоб зберегти їх
цілісності та запобігти їх розголошенню. WSU має гарантувати безпеку та
захист чутливої інформації, що
знаходяться в депозитаріях Університету, будь то в електронній,
паперовій чи іншій формі. |
До речі про
FERPA. В цьому
законі є таке положення: «Школи
можуть розголошувати без згоди
«каталогову інформацію», як-то ім'я, адресу, номер телефону, дата та
місце народження, відзнаки та нагороди, а також дати відвідування студентів.
Однак школи мають повідомити батьків та
студентів про каталогову інформацію та надати батькам та студентам достатньо часу, щоб вони попросити школу не
відзначати інформацію про них у каталозі».
Тобто, дозволено, що не заборонено – на этом стоїть цивілізований світ.
Давайте
тепер навантажені знаннями, які ми розполичкували і впорядковували, прочитаємо деякі положення.
|
Article 6
of Convention 108. Personal data
revealing racial origin, political opinions, religious or other beliefs, and
information on an individual’s health or sex life, or on any criminal
convictions, cannot be automatically processed unless domestic law provides
for appropriate safeguards. Information falling within these categories, described
by the Court as “sensitive”, warrant a heightened degree of protection in its
view. Стаття 6
Конвенції 108. Персональні дані, що розкривають расове походження, політичні
погляди, релігійні чи інші переконання, а також інформацію про здоров’я чи
статеве життя особи або будь -які
судимості в кримінальному порядку, не можуть оброблятися автоматично, якщо
тільки внутрішнє законодавство не встановлює
відповідних гарантій. Інформація, що потрапляє до цих категорій,
названа Судом як “чутлива” і на його думку, вимагає підвищеного ступеня
захисту. GDPR Sensitive personal data should be held separately from other
personal data, preferably in a locked drawer or filing cabinet. Чутливі особисті дані слід
зберігати окремо від інших персональних даних, бажано у зачиненій шухляді або шафі для зберігання документів. |
Таким чином логіку і термінологію цивілізованих країн ми зрозуміли. Далі подивимося як це в Україні.
Немає коментарів:
Дописати коментар