Про ризики в роботі з персональними даними

28 січня – Міжнародний день захисту персональних даних. Оскільки держава є володільцем найбільшої кількості персональних даних (в особі державних органів та органів місцевого самоврядування), то вона і повинна стати прикладом найсуворішого їх збереження.

Надаючи свої дані, ми покладаємося на принцип “privacy by default” (конфіденційність за замовчуванням), тобто особам, чиї дані обробляються, не потрібно вживати жодних дій для захисту своєї конфіденційності, бо це має бути забезпечено за замовчуванням. Але, на жаль, не все так просто і ось чому:

Не завжди вдається забезпечити належний рівень захисту персональних даних. Зовнішньою загрозою витоку інформації може бути кібератака, адже оцифрування інформації в державному та приватному секторі підвищує ризик злому систем. Але є і внутрішня, коли працівники самі розповсюджують дані.

Відсутня внутрішня документація, яка регулює всі процедури роботи з даними. Ймовірно, однією із причин такого стану речей є недостатня обізнаність службовців з міжнародними нормами і стандартами захисту інформації.

І це ще не всі проблеми, що трапляються під час роботи з персональними даними. 

Звичайно, повністю убезпечити зібрану інформацію в умовах сучасного цифрового світу складно, але передбачити потенційні загрози, своєчасно виявляти, мінімізувати та певною мірою навіть управляти ними – цілком можливо.

За міжнародними стандартами всі суб’єкти, які збирають конфіденційну інформацію, повинні здійснювати систематичні заходи з оцінювання ризиків. Про такі вимоги зазначено і в європейському законодавстві, і в законодавстві інших країн світу. Тобто, варто говорити про впровадження в практичну діяльність інструмента для виявлення та реагування на загрози для людини під час роботи з її даними. Глибокий аудит дозволяє зрозуміти, як функціонує інформація в установі та що треба зробити, щоб покращити цей процес для дотримання цифрового законодавства. 

Хорошою підказкою для руху у такому напрямку є посібник “Аналіз ризиків під час обробки персональних даних” авторства Уляни Шадської. 

За його допомогою посадові особи ОМС зможуть отримати базові знання про порядок, цілі та принципи оцінювання ризиків під час обробки персональних даних. Посібник не містить єдиного шаблону, проте, зрозумівши загальні підходи, можна сформувати власний сценарій аналізу ризиків, щоб надалі розвивати таку практику.

Повага до приватного життя – це важливе право, закріплене на рівні міжнародних угод та національного законодавства. І органам місцевого самоврядування слід підвищувати свої компетенції щодо захисту персональних даних та здійснювати систематичні заходи з оцінювання ризиків.