У новинах постійно з’являються історії про витік баз клієнтів банків, маркетплейсів, онлайн-сервісів. Для людини це означає дзвінки шахраїв, спам, ризик крадіжки грошей з картки й репутаційні втрати. Закон України «Про захист персональних даних» прямо забороняє незаконне збирання, використання та поширення інформації про особу й дає інструменти захисту, але ними потрібно вміти користуватися. Нижче — практичний алгоритм, як зрозуміти, що стався витік, як зафіксувати порушення й які кроки реально ведуть до компенсації.
Що вважається витоком персональних даних і чому це порушення
Персональні дані — це будь-які відомості, за якими людину можна ідентифікувати: ПІБ, телефон, e-mail, ІПН, адреса, банківські реквізити, історія операцій, IP-адреси тощо. Закон вимагає, щоб такі дані оброблялися лише з чітко визначеною метою, у необхідному обсязі та з належним технічним і організаційним захистом.
Витік у правовому сенсі — це не тільки «злам хакерами», а будь-яка ситуація, коли: дані стали доступні стороннім особам без законної підстави; їх поширили без згоди суб’єкта; стороння особа отримала до них доступ через неналежний захист (паролі «123456», відсутність двофакторної авторизації, відкриті бази тощо). Для банків це ще й потенційне порушення банківської таємниці, а для онлайн-сервісів — порушення власної політики конфіденційності, яка є частиною публічної оферти.
Типові сценарії витоку виглядають так:
- у вас з’являються дзвінки або повідомлення з точними даними, які ви давали лише одному банку/сервісу;
- у «злитих базах» у відкритому доступі ви знаходите свій номер, e-mail, адресу, ІПН;
- банк або сервіс офіційно повідомляють про інцидент безпеки, який стосується частини клієнтів;
- невідомі особи використовують ваші дані для оформлення кредитів, підключення послуг, реєстрації акаунтів.
У кожному з цих випадків можна ставити питання про незаконну обробку та/або неналежний захист персональних даних і вимагати від володільця (банку, компанії) пояснень і відшкодування.
Які права має клієнт за законом про захист персональних даних
Конституція й профільний закон дають суб’єкту персональних даних не тільки абстрактне «право на приватність», а й дуже конкретний набір процесуальних прав. Серед ключових: право знати, хто, які саме й з якою метою обробляє дані; право на доступ, виправлення, блокування та знищення неправомірно оброблюваних даних; право заперечити проти обробки; право на судовий захист та звернення до Уповноваженого Верховної Ради з прав людини.
На практиці це означає, що клієнт банку чи користувач сервісу може:
- подати письмовий запит до компанії з вимогою повідомити, які саме дані про нього зберігаються, звідки вони отримані, кому передаються, з якою метою обробляються;
- у разі підозри на витік — вимагати обмежити обробку, видалити зайві дані, змінити налаштування безпеки, припинити передачу третім сторонам;
- подати вмотивовану вимогу про заборону певних видів обробки (наприклад, передачу телефону партнерам для маркетингу) та зміну/видалення недостовірних або зайвих даних;
- у разі відмови або відсутності відповіді звернутися зі скаргою до Уповноваженого або безпосередньо до суду.
Володілець персональних даних зобов’язаний відповісти на вмотивовану вимогу й запит суб’єкта у встановлені законом строки та довести законність своїх дій. Якщо він цього не робить або формально «відписується», це вже окрема ознака порушення.
Як зафіксувати порушення й зібрати докази витоку
Щоб мати шанси на реальний захист і компенсацію, важливо не обмежуватися обуреним постом у соцмережах, а зібрати максимум доказів.
Насамперед варто:
- Зафіксувати факт і обсяг витоку:
- зберегти скриншоти «злитих» таблиць, особистих кабінетів, де видно ваші дані;
- зберегти SMS, e-mail, повідомлення в месенджерах із шахрайськими пропозиціями, де використано ваші реальні дані;
- запросити в банку/сервісі історію входів, логів операцій, офіційне повідомлення про інцидент безпеки (якщо воно було).
- Направити письмову вимогу володільцю персональних даних:
- описати, які саме обставини змушують вважати, що стався витік (посилання на базу, скриншоти, перші дзвінки, підозрілі операції);
- вимагати надати повну інформацію про обробку ваших даних, вказати правову підставу, перелік третіх осіб, заходи захисту;
- просити провести внутрішнє розслідування інциденту, надати результати в письмовому вигляді, а також вжити заходів для мінімізації ризиків (заміна карток, блокування акаунта тощо).
- Звернутися до Уповноваженого з прав людини:
- подати скаргу з копіями всіх доказів (скриншоти, листування з банком/сервісом, їхні відповіді або мовчання);
- попросити провести перевірку володільця персональних даних, перевірити дотримання закону та видати припис щодо усунення порушень.
Офіційні роз’яснення Уповноваженого прямо рекомендують фіксувати порушення (скріншотами, копіями вимог та відповідей) і за потреби звертатися як до самого Омбудсмана, так і до суду. Це важливо: рішення або подання Уповноваженого, результати перевірки, листи державних органів стануть потужними доказами в подальшому цивільному спорі з банком чи компанією.
Компенсація за витік даних: що реально можна стягнути в суді
Якщо внаслідок витоку ви зазнали збитків або суттєвих немайнових втрат (стрес, приниження, репутаційна шкода), шлях до компенсації лежить через цивільний позов. Українське законодавство передбачає відповідальність за порушення інформаційних прав, включно з обов’язком відшкодувати як матеріальну, так і моральну шкоду.
У типових позовах просять стягнути:
- матеріальну шкоду — незаконно списані кошти, витрати на перевипуск карток, зміну документів, послуги фахівців із кібербезпеки, адвокатів;
- моральну шкоду — переживання через можливу втрату грошей, репутаційні ризики, порушення відчуття безпеки та приватності;
- за потреби — зобов’язати відповідача припинити незаконну обробку, видалити певні дані, спростувати недостовірну інформацію, якщо її поширили публічно.
Ключове в таких справах — причинний зв’язок: потрібно показати, що саме відповідач не забезпечив належний захист або незаконно поширив ваші дані, а не те, що «десь у мережі загалом багато витоків». Тут допоможуть: результати перевірки Уповноваженого, відповіді банку чи сервісу, технічні висновки про інцидент, внутрішні документи компанії, публічні повідомлення про витік.
У реальній практиці суди більш охоче присуджують компенсацію, коли: є чіткий документальний слід інциденту (повідомлення банку або компанії, акт перевірки, службові записки); позивач обґрунтовано показує розмір збитків (виписки з рахунків, договори, чеки, довідки від психолога у випадку моральної шкоди); дії чи бездіяльність відповідача явно суперечать закону (відсутні належні заходи безпеки, ігноруються вимоги про припинення незаконної обробки).
Юристи «Центру Правової Допомоги» супроводжують клієнтів у спорах, пов’язаних із витоком персональних даних: допомагають зібрати та правильно оформити докази, підготувати вимоги до банку чи інтернет-сервісу, скласти скарги до Уповноваженого з прав людини, а також подати та вести цивільні позови про відшкодування матеріальної й моральної шкоди. Якщо ви підозрюєте, що ваші дані «злили» й це вже створює реальні ризики, зверніться до «Центру Правової Допомоги», щоб не залишатися сам на сам із проблемою та використати всі передбачені законом інструменти захисту.
