Як персональні дані переселенців опинилися у колекторській компанії?

Гість ефіру — керівник секретаріату Уповноваженого з прав людини Богдан Крикливенко.

Михайло Кукін: В соціальних мережах з’явилася інформація, що деяким переселенцям телефонують невідомі особи і уточнюють персональні дані. Як з’ясували громадські організації, мова йде про операторів кол-центрів, які самі себе називають представниками групи компаній «Delta M».

Богдан Крикливенко: Нам довелося проводити ціле розслідування порушення прав людини. В жовтні державним підприємством, яке підпорядковане міністерству фінансів України, було оголошено тендер на закупівлю послуг телефонної верифікації на проведення телефонного опитування вартістю 2 мільйони гривень. В результаті торгів ця сума зменшилася до 999 099 гривень. Переможцем цих торгів було визнано ТОВ «Delta M — Ukraine». Ми відвідали це підприємство, взяли копії документів. Нам їх відкрито надали.

В договорі визначено, що ТОВ повинно на підставі переданої бази даних з цинічною припискою «з дотриманням захисту персональних даних» зробити перевірку бази по вихідних дзвінках на 150 тисяч записів.

Які дані має бути верифіковано? Ті, на підставі яких надано соціальні виплати, тощо. Перелік навіть не закритий.

На якій підставі приватному підприємству надано інформацію? Простежується ланцюжок неправомірної передачі персональних даних щодо 150 тисяч записів. Ми не знаємо, чи це 150 тисяч осіб, чи 150 тисяч сімей.

Державне підприємство Головний проектно-виробничий і сервісний центр комп’ютерних фінансових технологій Міністерства фінансів України, яке оголосило цей тендер, мало передати виконавцю базу персональних даних на 150 тисяч.

Аналіз законодавства чітко вказує на те, що ніяке державне підприємство не мало права доступу до цієї зведеної бази даних. Навіть міністерство фінансів на сьогоднішній день не має таких повноважень для того, щоб збирати, передавати своєму державному підприємству і третій особі ці дані.

Наразі до офісу Уповноваженого з прав людини надійшло декілька звернень.

Згідно з договором ця процедура відбувається з 15 жовтня. Термін надання послуг завершується 30 листопада, тобто завтра останній день. Які подальші кроки? Ми не знаємо.

Проблема верифікації не нова. На сьогодні законодавче поле не дає підстав з дотриманням вимог законодавства про захист персональних даних, міжнародних зобов’язань України у цій сфері мати доступ до цієї інформації, до якої фактично має доступ міністерство фінансів. Сьогодні було зроблено відкрите звернення Уповноваженого з прав людини Валерії Лутковської. Ми також надіслали свій виклад щодо стану розслідування на ім’я прем’єр-міністра, до Генеральної прокуратури та до СБУ.

Тут можна знайти два типи кваліфікації згідно з Кримінальним кодексом. Це або стаття 182 (втручання в приватне життя) або 362 з позначкою 2 (несанкціоноване втручання в автоматизовані системи обробки даних).

Міністерство фінансів кілька місяців тому внесло досить абстрактні норми в Бюджетний кодекс України. Вони вважають, що на їх підставі вони мають право доступу до всієї інформації про людину, яка так чи інакше звертається за державними коштами. Ця стаття жодним чином не дає відповіді на питання. Формулювання таке: «Якщо особа дала згоду на обробку своїх персональних даних». Але наразі такого документу не вимагається.

Законодавство не вимагає згоди на обробку персональних даних внутрішньо переміщеної особи, яка звертається за виплатою до тих чи інших органів соціального захисту.

Михайло Кукін: Люди вирішили, що це колектори. І їх ніхто не переконував у протилежному.

Богдан Крикливенко: Якщо ви зайдете на сайт цього ТОВ, то побачите, що одним з пунктів їх діяльності є управління заборгованістю. Але для нас є цікавим не так кінцевий виконавець, як джерело поширення інформації. Наразі все зводиться до того, що це міністерство фінансів, хоча воно не має у своєму розпорядженні таких баз. Очевидно, воно десь їх взяло і поширило.

Є два блоки проблеми. По-перше, було зібрано надзвичайно великий масив персональної інформації про людину і передано без законодавчого підґрунтя. По-друге, невідоме подальше використання і його наслідки для людей.

Михайло Кукін: Яка відповідальність за це загрожує?

Богдан Крикливенко: Безпідставна обробка, поширення персональних даних у вигляді адміністративної відповідальності. Це стаття 188 (прим. 39) Кодексу України про адміністративні правопорушення. Вона передбачає штраф.

Звісно, ми будемо відстежувати реагування і СБУ, і Генпрокуратури. Їх компетенція — питання кримінальної відповідальності за тими статтями Кримінального кодексу, які я назвав. Якщо йдеться про 182 статтю, то це підслідність Національної поліції.

У випадках безпідставного поширення ваших персональних даних потрібно звертатися із заявою в органи поліції і вимагати внесення в Єдиний реєстр досудових розслідувань і проведення розслідування.