Захист персональних даних у сфері місцевого самоврядування: досвід міста Брістоль, Великобританія

Размещено на http://www.allbest.ru/

Інститут економіки промисловості НАН України

ЗАХИСТ ПЕРСОНАЛЬНИХ ДАНИХ У СФЕРІ МІСЦЕВОГО САМОВРЯДУВАННЯ: ДОСВІД МІСТА БРІСТОЛЬ, ВЕЛИКОБРИТАНІЯ

Радченко К.В. магістр міжнародних

економічних відносин та права, аспірант

Право на захист персональних даних (ПД) є складовою фундаментального права на приватність, що визначається статтею 8 Європейської Конвенції про Захист Прав Людини і Основоположних Свобод. [9] Статтею 2 Конвенції 108 Ради Європи про захист осіб у зв'язку з автоматизованою обробкою персональних даних 1981 р. визначено термін «персональні дані», як будь-яку інформацію, що стосується конкретно визначеної особи або особи, що може бути конкретно визначеною. [3] У Резолюції ПАРЄ 1653 (2009) [5], органи місцевого самоврядування розглядаються, як ключові актори ініціювання, впровадження та тестування процедур захисту ПД. Діджиталізація, концепція електронної демократії, смарт трансформація міст та регіонів призводять до зростання кількості та масштабу викликів для місцевих та регіональних влад, зокрема у сфері захисту ПД, що потребує вивчення та систематизації кращих практик, пошуку нових рішень та стратегій. Згідно з дослідженням 2017 року, органи місцевого врядування Великобританії (ВБ) зазнали 98 мільйонів кібератак протягом п'яти років, а щомісяця існує близько 37 спроб деструктивних впливів. У той же час завдяки оперативній протидії таким загрозам, ВБ досягла максимального 100% результату станом на 2019-2020 роки у рейтингу «кібер-успішності» країн світу. [7] Підходи міста Брістоль є особливо цікавими, адже його визнано лідером серед «розумних» та відкритих міст ВБ (smart city). [1] Однак, це не означає відсутність недоліків та слабких місць системи захисту ПД міста, що також еволюціонує та не є досконалою.

Рис. 1 Структура Регулювання ПД у місті Брістоль (складено автором)

Система правового регулювання ПД Брістолю включає: 1) загальнонаціональний рівень; 2) акти локальної дії, а також проектні ініціативи; 3) міжнародні договори, акти м'якого права Ради Європи, право ЄС (прийняте до 31 січня 2020 року та яке не втрачає чинності внаслідок Брекзіту).

Загальний регламент про захист персональних даних (GDPR), до якого на той час Великобританія приєдналася як країна-член ЄС, було відображено у Законі із Захисту Даних 2018 (Data Protection Act 2018) [8]. На момент написання матеріалу та аналізу змін після Брекзіту, GDPR та “добрекзітне законодавство” у сфері ПД не втратило сили. GDPR передбачає значні штрафи за невиконання положень регламенту з боку Офісу уповноваженого з інформації. Заходи із забезпечення належного рівня безпеки в процесі обробки ПД міською радою Брістоля включають, але не обмежуються наступними: (a) контроль входу, (b) захищені офісні столи, шафи, тощо з сейфами чи шухлядами, що замикаються, (c) способи утилізації, (d) обладнання, (e) посібник з інформаційної безпеки, (f) навчання та тренінги. Для Брістоля характерною є координація зусиль державних та приватних акторів. Доцільно виділити п'ять основних одночасних кроків, що були здійснені для приведення діяльності міської ради Брістоля до стандартів GDPR: 1) призначення Офіцера із захисту даних (DPO) в структурі міської адміністрації; 2) впровадження комплексної системи обробки ПД з урахуванням трьох факторів: мети, аналізу альтернативних сценаріїв, невідворотності обробки; 3) інтенціональна конфіденційність та конфіденційність за замовчуванням (основні принципи: спеціалізація мети, обмеження збору, мінімізація даних); 4) відомчий аналіз; 5) забезпечення надійності постачальників.

Загрози чи порушення в сфері ПД повністю виключити неможливо. У критичних ситуаціях постає питання раціонального реагування міською адміністрацією на виклики, зокрема, наприклад, повідомлення суб'єкта ПД про будь-які ризики і наслідки обробки його даних. Проблемними питаннями є також соціальний моніторинг громадян (citizen scoring), алгоритмізація прийняття рішень. У контексті звернень до ЄСПЛ (зокрема, справа Big Brother Watch and Others v. the United Kingdom), Конгрес місцевих та регіональних влад Ради Європи висловив занепокоєння та акцентував увагу на необхідності пошуку нових шляхів захисту ПД. [2] Окрім того, використання камер cctv, що набуває все більшого поширення з огляду на вуличну безпеку, також стосується опрацювання великого масиву ПД та потребує особливих заходів безпеки. Щодо цього місцева адміністрація розробила окремий детальний посібник з безпеки ПД, отриманих з камер. [1] Тобто, відбувається диверсифікація підходів щодо опрацювання даних, отриманих з різних джерел, у рамках уточнення GDPR та розробки специфічних рекомендацій.

У якості висновків, для систематизації результатів дослідження, автором було проведено SWOT-аналіз системи обробки та захисту персональних даних. Було виявлено особливості, що представлені у таблиці 1. Загалом, перевірка надійності процесів обробки ПД, впроваджена на всіх рівнях, дозволяє міській раді Брістоля суттєво мінімізувати потенційні ризики зовнішнього середовища, у тому числі, ризик перманентних кіберзагроз. Комплексний характер вживаних заходів безпеки дозволяє зробити висновок також про системність, інклюзивність та ефективність їхнього впровадження.

Табл. 1

SWOT-Аналіз Системи Регулювання Захисту ПД у Брістолі (Складено автором)

право персональний дані брістоль

Питання спостереження та витоку даних є суттєвим викликом, що може призводити до зниження довіри, тому автором рекомендовано створення департаменту з ризик менеджменту та протидії кіберзагрозам в структурі міської ради Брістоля, що дозволило б більш ефективно координувати заходи щодо ПД вжиті іншими департаментами. Як смарт місто, Брістоль може виступати площиною апробації різноманітних стратегій та підходів з захисту ПД. Доречно також розширити фокус цього дослідження у порівняльно-правовому аспекті, порівнявши підходи Брістоля з підходами інших міст ВБ для глибшого розуміння особливостей локального рівня системи правового захисту ПД та адаптації загальнонаціональних орієнтирів.

Список використаних джерел

1. Bristol City Council website. [Електронний ресурс] / Bristol City Council - Режим доступу: https://www.bristol.gov.uk.

2. Congress of Local and Regional Authorities of the Council of Europe. Debates in the Chamber of Local Authorities 37th SESSION Strasbourg, 29-31 October 2019 CPL37(2019)03 [Електронний ресурс] - Режим доступу: https://search.coe.int/congress/Pages/result_details. aspx?ObjectId=0900001680986119.

3. Convention for the Protection of Individuals with regard to Automatic Processing of Personal Data Amendment to ^^ention ETS No. 108 allowing the European Communities to accede. - Strasbourg, 28.1.1981. - (Article 5 - Quality of data). - Режим доступу: http://www.convention. coe.int/treaty/ en/Treaties/Html/108.htm

4. Guidelines on the protection of personal data processed by mobile applications provided by European Union institutions, 7 November 2016.

5. Parliamentary Assembly. Resolution 1653 (2009) Electronic Democracy [Електронний ресурс] / Parliamentary Assembly - Режим доступу до ресурсу: http://assembly.coe.int/nw/xml/XRef/Xref-XML2HTML- en.asp?fileid=17715&lang=en.

6. The UK Data Protection Act 2018 [Електронний ресурс] - Режим доступу до ресурсу: http://www.legislation.gov.uk/ukpga/2018/12/contents/enacted.

7. UK National Cybersecurity Index [Електронний ресурс] - Режим доступу до ресурсу: https://ncsi.ega.ee/country/gb/?pdfReport=1.

8. Регламент Європейського Парламенту і Ради (ЄС) 2016/679 про захист фізичних осіб у зв'язку з опрацюванням персональних даних і про вільний рух таких даних (Загальний регламент про захист даних) [Електронний ресурс] // 2016 - Режим доступу до ресурсу: https://zakon. rada.gov.ua/laws/file/text/63/f474904n8.pdf

9. Конвенция о защите прав человека и основных свобод [Електронний ресурс]. - 1950. - Режим доступу до ресурсу: https://www.coe.int/ru/ web/conventions/fuU-list/-/conventions/treaty/005.

Размещено на Allbest.ru