Внимание! Вы используете устаревшую версию браузера.
Для корректного отображения сайта настоятельно рекомендуем Вам установить более современную версию одного из браузеров, представленных справа. Это бесплатно и займет всего несколько минут.
Попробовать Оформить подписку
Попробовать Оформить подписку
Электронная идентификация защитит персональные данные украинцев
Татьяна Соловьева, cтарший юрист практики налогового права, Juscutum

Важные векторы деятельности нашего государства – политическая и экономическая интеграция Украины с ЕС. Мы можем также наблюдать стремительное проникновение во все сферы жизни информационных технологий, внедрение цифрового общества и экономики.

В данной сфере важное место занимает вопрос электронной идентификации. В Украине процессы электронной идентификации находятся еще на этапе развития, в частности по причине того, что в информационных системах используются средства электронной идентификации пользователей, которые в полной мере не обеспечивают безопасность, защиту персональных данных, достоверность идентификации, интероперабельность и комфортность использования. В принятой Европейской Комиссией еще 26 августа 2013 г. "Цифровой повестке дня Европы" определено, что фрагментация цифрового рынка, отсутствие совместимости и рост киберпреступности являются основными препятствиями на пути эффективного развития цифровой экономики.

В Украине на данный момент самым распространенным и законодательно урегулированным является такое средство электронной идентификации, как электронная цифровая подпись (ЭЦП). ЭЦП используется, как правило, для решения такой основной задачи, как представление субъектами предпринимательства электронной отчетности в фискальные органы.

При этом другие сферы, где нужна надлежащая идентификация лица, – электронная торговля, взаимодействие с государственными органами, например, по вопросам получения документов или установления трансграничных связей с другими государствами, – пока еще на этапе становления и развития.

Банковский сектор, учитывая важность администрируемой информации идентификации, а также риски, связанные с мошеннической деятельностью по краже и использованию чужих идентификационных данных, применяет основательный подход к установлению электронной идентификации и использованию механизмов аутентификации. Обязательным при налаживании взаимоотношений с банком является установление личности при личном визите. Однако процедура аутентификации может быть разной: от использования пары "логин – пароль" до средств криптографии.

Закон о доверительных услугах для электронной идентификации

Последним знаковым событием в развитии цифровой экономики и общества можно назвать принятие Закона "Об электронных доверительных услугах" (далее – Закон). Он был принят в октябре этого года и полностью вступит в силу в ноябре 2018 г. Предпосылкой к принятию данного Закона фактически является вступление в силу Регламента (ЕС) № 910/2014 Европейского Парламента и Совета от 23 июля 2014 года об электронной идентификации и доверительных услугах для электронных транзакций, в пределах внутреннего рынка (далее – Директива).

Сам Закон позаимствовал достаточно много определений и положений из Директивы. Отечественный нормативный акт дает определение термину "электронная идентификация" – процедура использования идентификационных данных лица в электронной форме, которые однозначно определяют физическое, юридическое лицо или представителя юридического лица. При этом идентификационные данные лица – это уникальный набор данных, который позволяет однозначно установить физическое, юридическое лицо или представителя юридического лица. А сама процедура идентификации лица представляет собой использование идентификационных данных лица из документов, созданных на материальных носителях, и/или электронных данных, в результате выполнения которой обеспечивается однозначное установление физического, юридического лица или представителя юридического лица.

Есть большие надежды, что принятие Закона поспособствует построению более эффективной системы электронной идентификации. Для получения многих услуг или реализации своих прав и обязанностей путем использования информационно-телекоммуникационных систем очень важно определить и установить физическое или юридическое лицо, которое является участником е-транзакции.

Конечно, одного принятия нормативного документа недостаточно, требуется также комплекс мер по реализации положений такого документа. Само принятие документа можно расценивать как движущую силу, с помощью которой можно достигнуть комплексного результата по улучшению механизмов электронной идентификации.

Внедрение в Украине вышеуказанных мер и установление надлежащего механизма электронной идентификации позволит осуществлять транзакции более оперативно; такие транзакции будут более надежными и более экономными в денежном выражении. Предполагается упрощение взаимодействия с органами государственной власти, уменьшение коррупционной составляющей в стране, всеми нелюбимой бюрократии, а также снижение бумажного документооборота. Системы электронного управления, электронной медицины, предоставление административных услуг в электронной форме, электронная торговля станут доступнее и безопаснее. Взаимно признаваемые схемы идентификации позволят принять участие в трансграничных взаимодействиях с правительством и представителями бизнеса из других стран. В аспекте международного сотрудничества у украинских резидентов появится возможность коммуницировать с иностранными субъектами в рамках единого правового цифрового поля.

Надежные идентификационные решения должны уменьшить потери, связанные с мошенничеством и киберпреступностью, создать более высокий уровень конфиденциальности и безопасности при передаче данных и информации между участниками электронного пространства.

Идентификационные данные лица: правовой статус и механизм защиты

Понятие "лицо" может иметь отношение как к физическим, так и юридическим лицам. При этом статус идентификационных данных указанных лиц несколько отличается.

Уникальный набор данных, который позволяет однозначно установить физическое или юридическое лицо, представляет собой идентификационные данные. С помощью таких данных и осуществляется идентификация лиц.

Идентификационные данные физического лица подпадают под определение персональных данных. Правовой статус персональных данных устанавливает Закон Украины "Об информации" и специальный Закон Украины "О защите персональных данных". Законодательное определение персональных данных звучит таким образом: это сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано. В аспекте персональных данных устанавливаются специальные правила по отношению к их использованию. Для их обработки должны быть законные основания. В частности, таким основанием является согласие физического лица на указанную обработку. Не допускаются сбор, хранение, использование и распространение конфиденциальной информации о лице без его согласия, кроме случаев, определенных законом, и только в интересах национальной безопасности, экономического благосостояния и прав человека. К конфиденциальной информации о физическом лице относятся, в частности, данные о его национальности, образовании, семейном положении, религиозные убеждения, состояние здоровья, а также адрес, дата и место рождения.

В Украине достаточно слабо защищается использование персональных данных, в отличие от других европейских стран. Например, в Великобритании компании, использующие персональные данные, должны зарегистрироваться в специальном реестре. За несоблюдение правил Information Commisioner's Office – органом, уполномоченным защищать права в области передачи информации, могут быть наложены серьезные санкции: от внушительных штрафов до уголовной ответственности. Поэтому предприятия тщательно и взвешенно подходят к вопросу использования персональной информации.

В Украине же не наблюдается строгости в соблюдении законодательства о защите персональных данных. Не исключен тот факт, что такая ситуация сложилась из-за отсутствия надлежащего государственного контроля в этой сфере, действенных мер по выявлению нарушений и привлечению к ответственности.

На официальном сайте Уполномоченного по правам человека опубликована информация о результатах проверок соблюдения законодательства о защите персональных данных. В 2015 году было проверено всего 62 субъекта, среди которых это 11 владельцев персональных данных, осуществляющих свою хозяйственную деятельность в сфере предоставления телекоммуникационных и других потребительских услуг.

По состоянию на 1 октября 2015 г. по официальным данным Главного управления статистики в Украине зарегистрировано 227732 юридических лица. То есть проверено только 0,02 % от общего количества предприятий.

Ранее в Украине была установлена обязательная регистрация баз персональной данных. Это привнесло много сумбура в бизнес-деятельность предприятий, так как нужно было регистрировать каждую базу данных, которой пользуется предприятие, и было много неясностей, связанных с такой регистрацией. Тогда предприятия были обеспокоены персональными данными, ведь никто не хотел получить предписание о выплате штрафа.

Что касается данных юридических лиц, то здесь ситуация выглядит иначе. Специального закона, который бы предусматривал регулирование использования данных о юридических лицах, нет.

Если данные о физическом лице по умолчанию являются конфиденциальной информацией, то идентификационные данные о юридическом лице открыты и доступны. В Украине любой желающий может ознакомиться с общедоступной информацией о предприятии, посетив единый государственный реестр, который доступен в онлайн-режиме. Если, конечно, докажет, что не является роботом.

Предприятия могут только ограничивать доступ к ценной и секретной информации путем принятия соответствующих локальных актов, подписания договоров о конфиденциальной информации, в которых определяется объем информации, не подлежащей разглашению. Но такие данные не являются идентификационными данными, а относятся к деятельности компании: сведения об уникальных бизнес-процессах, о процессе создания и производства продукции, стратегии развития и пр. По сути, идентификационными данными может быть идентификационный код юридического лица, который присваивается с момента государственной регистрации предприятия. Например, в целях финансового мониторинга идентификационными данными юридического лица будут считаться даже данные бенефициаров такой компании.

Можно выделить следующие основные аспекты, реализация которых поспособствует улучшению механизма защиты данных:

1) субъекты, которые получают идентификационные данные, провайдеры услуг электронной идентификации и электронных услуг должны внедрять комплекс организационных, технических и инженерно-технических мер и/или программных и технических средств для защиты персональных данных и предоставлять соответствующий уровень гарантий безопасности в отношении рисков потери, несанкционированного доступа или злоупотребления, уничтожения, изменения, непреднамеренного или преднамеренного разглашения персональных данных, предотвращения утечки, уничтожения и блокирования информации, нарушения целостности и режима доступа к ней;

2) персональные и идентификационные данные должны использоваться исключительно с целью, указанной в сообщении о цели обработки данных;

3) усовершенствование работы уполномоченных органов по контролю за соблюдением законодательства о защите персональных данных и защиты информации в информационных сетях;

4) повышение информационной культуры и культуры безопасности в информационной среде;

5) при взаимодействии участников в электронной среде должна быть обеспечена возможность предоставления только тех данных, которые нужны для осуществления конкретной онлайн-транзакции или получения электронной услуги.

Получить полный доступ ко всем номерам и статьям издания Вы сможете оформив подписку на электронное издание ЮРИСТ&ЗАКОН
Контакты редакции:
uz@ligazakon.ua