В законе Таджикистана «О защите персональных данных» не предусмотрен механизм привлечения к ответственности за нарушения в области защиты персональных данных, отмечает Хуршед Курбоншоев, юрист-правозащитник, специалист по цифровому праву. Закон, по мнению Курбоншоева, требует пересмотра и внесения необходимых поправок.
Персональные данные — это любая информация, которая позволяет идентифицировать (определить) конкретного человека. Согласно международным нормам, таким как Общий регламент защиты персональных данных Европейского Союза (GDPR) и другим подобным нормам, персональные данные включают в себя информацию, которая может быть использована для определения личности, такую как имя, адрес, адрес электронной почты, номер телефона, фотографии, биометрические данные, медицинская информация, информация о местоположении и многое другое.
Законодательство Таджикистана также определяет персональные данные как сведения о фактах, событиях и обстоятельствах жизни субъекта персональных данных, позволяющие идентифицировать его личность.
Субъектом персональных данных является физическое лицо, к которому относятся соответствующие персональные данные.
Эти нормы устанавливают правила и ограничения на сбор, хранение, обработку и передачу персональных данных, обязывая организации и компании соблюдать строгие правила конфиденциальности и защиты данных, а также предоставлять пользователям контроль над их персональными данными.
Сегодня, несмотря на принятые правовые нормы и попытки обеспечения их защиты, персональные данные находятся под угрозой утечки, злоупотреблений и уязвимы к кибератакам.
Согласно данным экспертно–аналитического центра InfoWatch число утечек в мире выросло в 3,5 раза. Статистика утечки данных показывает, что средняя стоимость утечки данных увеличилась на 2,6% до 4,35 миллиона долларов в 2022 году с 4,24 миллиона долларов в 2021 году. Важность защиты личной информации выходит на первый план в контексте обеспечения доверия пользователей к цифровым услугам и сохранения их личной сферы.
Общая информация о защите персональных данных
Защита персональных данных — это совокупность мер, направленных на обеспечение конфиденциальности, целостности и доступности личной информации. Это означает, что данные, идентифицирующие конкретного человека (такие как имя, адрес, номера телефонов, данные банковских карт и медицинские записи), должны быть защищены от неправомерного доступа, использования или раскрытия.
В данном контексте важно понять разницу между конфиденциальностью и приватностью, которую, как показывает практика, часто путают.
Доступ и контроль: — люди, чьи данные собираются, должны иметь доступ к своей информации и возможность управлять ее использованием.
Защита личных данных является не только правовым требованием, но и важным аспектом построения доверия между организациями и их клиентами. Когда люди знают, что их данные надежно защищены, это способствует сохранению их конфиденциальности и повышает уровень доверия к компаниям и сервисам.
Краткий обзор законодательства Таджикистана в этой области
Основной закон «О защите персональных данных» был принят в Таджикистане в 2018 году. Помимо этого, закона существуют дополнительные нормативные акты и регламенты, определяющие особенности обработки данных в конкретных сферах, таких как здравоохранение, финансы, образование.
В частности, закон «О защите персональных данных» устанавливает основные принципы и механизмы защиты персональных данных в стране. В нем определены права субъектов данных и обязанности операторов (лиц, которые собирают и обрабатывают личные данные), включая: — сбор и обработку данных только с согласия субъекта данных; — гарантии конфиденциальности и безопасности персональных данных; — право субъектов данных на доступ к своим своих персональным данным; — запрет передачи личных данных за пределы Таджикистана без согласия субъекта данных, за исключением случаев, предусмотренных законом.
Закон «О защите персональных данных» гарантирует государственную защиту персональных данных от утечек, хищений и других неправомерных действий. Сбор и обработка персональных данных разрешены только при наличии сертификата уполномоченного органа. Этим органом, в данном случае, является Служба связи при Правительстве Республике Таджикистан.
Персональные данные делятся на общедоступные и данные ограниченного доступа. Общедоступные данные не требуют соблюдения режима секретности, за исключением случаев, предусмотренных законодательством, таких как выполнение государственными органами своих функций и защита конституционных прав и свобод человека и гражданина.
Законодательством определены данные, которые нужны обладателям (гос.орган или юр.лицо, имеющее право на владение и использование базы данных), операторам (гос.орган или юридическое лицо законно осуществляющие обработку и защиту персональных данных) и другим лицам для осуществления их деятельности:
— имя и фамилия; — дополнительное имя в Интернете; — адрес электронной почты (без указания имени); — должность и место работы (без личных данных).
Информация с ограниченным доступом регулируется другими законами. Биометрические данные (определяющие физиологические и биологические особенности) обрабатываются только с разрешения субъекта, без согласия субъекта могут обрабатываться в связи с осуществлением уголовного преследования и правосудия, исполнением судебных актов, а также в случаях, предусмотренных законодательством Республики Таджикистан.
При использовании данных для статистики, исследователи должны их анонимизировать, с целью исключения возможности определить личность субъекта персональных данных.
Если данные передаются третьим лицам, они должны уведомить субъект в течение трех дней, также получатели обязуются сообщать субъекту о получении его персональных данных.
Субъект персональных имеет право на доступ к информации, касающейся сбора и обработки его персональных данных в том числе на: — подтверждение факта сбора и обработки; — цели сбора и обработки; — способы сбора и обработки; — наименование и место нахождения обладателя, оператора и третьего лица, сведения о лицах, имеющих доступ к персональным данным, или которым могут быть раскрыты персональные данные; — сроки сбора и обработки, в том числе сроки их хранения; — информацию о трансграничной передаче данных. Обладатель, оператор и третье лицо обязаны принимать необходимые меры по защите персональных данных, обеспечивающие решение следующих задач: — предотвращение несанкционированного доступа к персональным данным; — своевременное обнаружение фактов несанкционированного доступа к персональным данным; — минимизацию неблагоприятных последствий несанкционированного доступа к персональным данным. Обязанности обладателя, оператора и третьего лица по защите персональных данных возникают с момента сбора персональных данных и действуют до момента их уничтожения либо обезличивания.
Обезличивание персональных данных — действия, в результате которых становится невозможным без использования дополнительной информации определить принадлежность персональных данных конкретному субъекту персональных данных. Простой пример, это использование инициалов в том или ином документе.
Недостатки в законодательстве и его применении В Таджикистан предприняты первые шаги для обеспечения защиты персональных данных в виде принятия отраслевого закона по защите персональных данных, но как показывает практика, с учётом бурного развития информационных технологий и новых цифровых правоотношений, этого недостаточно.
Кроме двух принятых подзаконных актов со стороны Службы связи при Правительстве РТ, все еще не предприняты эффективные меры для исполнения требований норм соответствующего закона. Несмотря на то, что Закон во многом соответствует международным стандартам, в свете возникновения новых правоотношений, он требует пересмотра и внесения необходимых поправок.
Необходимо отметить, что в Законе не предусмотрен механизм привлечения к ответственности за нарушения в области защиты персональных данных, хотя косвенно можно применять нормы законодательства, которые фрагментарно могут регулировать указанную сферу. Например, по Уголовному кодексу РТ (статья 144, незаконный сбор и распространение информации о частной жизни, статья 145, разглашение врачебной тайны), по Кодексу об административных правонарушениях РТ (статья 521, нарушения правил хранения информации) по Гражданскому кодексу РТ (частично статьи из главы 16. Личные неимущественные права) можно привлечь нарушителей к ответственности. Однако, из открытых источников не удалось найти информацию об использовании вышеуказанных норм на практике.
Проблему усугубляет недостаточная осведомленность граждан о своих правах на защиту персональных данных в современном цифровом обществе. Большинство населения не полностью осознают, какие личные данные они предоставляют при использовании онлайн-сервисов, а также не понимают, как эти данные могут быть использованы. Невысокая осведомленность часто приводит к тому, что граждане становятся уязвимыми перед возможными нарушениями и утечками их личной информации. Самым безобидным примером можно считать получения рекламы в виде СМС сообщения от разных компаний, с которыми клиент никогда не сталкивался. Есть примеры, когда граждане, оставляя свои данные на разных онлайн платформах становились жертвами мошенников.
Угрозы кибербезопасности и их влияние на защиту персональных данных
Угроза кибербезопасности — это преднамеренная попытка получить доступ к системе человека или организации.
Современные угрозы кибербезопасности оказывают серьезное влияние на защиту персональных данных, создавая значительные риски для частных лиц и организаций. Киберпреступники все чаще совершают атаки на цифровые системы, стремясь получить доступ к чувствительной информации, включая персональные данные граждан. Атаки могут варьироваться от хищения личных данных с целью мошенничества, до целенаправленного вторжения с целью шпионажа или вымогательства.
В результате угроз кибербезопасности, становится критически важным внедрение эффективных мер безопасности для защиты персональных данных. Это включает в себя установку современных средств защиты, регулярное обновление программного обеспечения, а также повышение уровня осведомленности пользователей о методах профилактики и предотвращения угроз и атак. С учетом динамичного характера киберугроз требуется постоянное развитие и совершенствование мер безопасности для эффективного противостояния киберпреступникам и обеспечения надежной защиты персональных данных.
Перспективы развития защиты персональных данных в Таджикистане
Согласно данным Глобального индекса кибербезопасности, Таджикистан находится на 138 строчке рейтинга стран.
Развитие и совершенствование законодательства, касающегося защиты персональных данных, может быть важным шагом. Внедрение новых норм и правил, соответствующих современным технологическим вызовам и международным стандартам, способствует более эффективной защите личной информации.
Повышение уровня осведомленности граждан о важности защиты своих персональных данных и о методах предотвращения киберугроз может сыграть ключевую роль. Совместные образовательные программы и кампании по распространению информации в партнерстве соответствующих государственных органов с представителями гражданского общества могут создать более безопасное цифровое окружение. Инвестиции, в том числе и со стороны местных компаний, в современные технологии, развитие инфраструктуры и внедрение средств шифрования могут усилить безопасность цифровых систем. Государство должно продвигать и поощрять защиту прав субъекта персональных данных и укреплять функции надзорных органов, обеспечивая их независимость и полномочия для мониторинга, рассмотрения жалоб и наложения административных штрафов.
Обеспечение эффективных средств правовой защиты и наказания, включая адекватные административные штрафы, право на компенсацию ущерба, обжалование решений надзорных органов и обязательное информирование субъектов данных о процессах смогут улучшить ситуацию в области защиты персональных данных.
Роль международных организаций в поддержке защиты персональных данных в Таджикистане
Важно отметить также о сотрудничестве с представителями международных институтов и принятии передовых практик из других стран, которые могут способствовать повышению эффективности защиты персональных данных.
Международные организации могут играть важную роль в поддержке защиты персональных данных в Таджикистане, предоставляя техническую помощь, экспертные знания и рекомендации, основанные на мировых стандартах и лучших практиках.
Хорошим примером является сотрудничество между местными неправительственными организациями и международной организации, результатом, который стал составленный Рейтинг Цифровых Прав в странах ЦА (RDR).
Исследование показало, что крупные частные компании в этих странах не особо заинтересованы в обеспечении конфиденциальности данных. Но, после ознакомления с результатами исследования, представители некоторых компании начали предпринять шаги для устранения существующих недостатков в области защиты прав потребителей.
Поэтому, такое партнерство позволяет Таджикистану использовать мировой опыт и ресурсы для улучшения системы защиты персональных данных и кибербезопасности.
Что нужно сделать? Вопрос защиты персональных данных в Таджикистане до сих пор остаётся актуальной проблемой и требует немало усилий для ее решения. Возможно, реализация нескольких нижеприведенных рекомендаций станут причиной улучшения ситуации в сфере обеспечения защиты персональных данных:
— анализировать и пересмотреть нормы Закона РТ «О защите персональных данных» с учётом нынешних реалий и привлечения представителей гражданского общества, учитывая передовую практику соседних стран;
— предусмотреть в законодательстве прямую ответственность за преднамеренную или несанкционированную утечку, копирования, хищения, потери, изменения (подделки), разглашения или уничтожения персональных данных;
— разработать порядок выдачи сертификата соответствия обладателям и операторам персональных данных;
— разработать другие подзаконные акты согласно Закону, для усиления механизма реализации норм Закона РТ «О защите персональных данных»;
— разработать и реализовать программу повышения осведомленности населения о защите персональных данных, посредством СМИ и Интернета;
— расширить партнерские отношения с бизнес сектором и некоммерческими организациями в области защиты персональных данных.