Україна повинна впровадити європейські норми із захисту персональних даних, який критикує частина експертів і бізнес. Як працюватиме нове законодавство, яке ще мають проголосувати у Верховній Раді — роз’яснили в матеріалі MediaSapiens.

В Україні питання захисту персональних даних регулюється законом, прийнятим у 2010 році, який постійно оновлюють. За цей час з’явилося чимало державних і комерційних реєстрів, баз даних та онлайн-сервісів, які можуть накопичувати та зберігати дані людей, тому потреба в сучасному підході до їхнього врегулювання здається очевидною.

У Верховній Раді очікують розгляду два законопроєкти: «Про захист персональних даних» №8153 та «Про національну комісію з питань захисту персональних даних» №6177. Обидва були розроблені в рамках Угоди про асоціацію між Україною та Європейським Союзом і адаптують законодавство до стандартів GDPR — Загального регламенту про захист даних в ЄС. Попри те, що ці законопроєкти багато в чому просто дублюють європейські акти, не обійшлося без критики.

Переваги та недоліки GDPR дослідили журналісти MediaSapiens.

Що таке GDPR і чому Україна має його впровадити

Перший міжнародний договір про необхідність захисту персональних даних був ухвалений у Страсбурзі 28 січня 1981 року — це Конвенція Ради Європи про захист осіб у зв’язку з автоматизованою обробкою персональних даних, також відома як «Конвенція 108». Цей договір став основою для створення першої директиви Європейського Союзу про захист даних, прийнятої у 1995 році. У 2018-му договір модернізували, тепер він має назву «Конвенція 108+», а директиву замінили на Загальний регламент про захист даних, тобто на GDPR.

Згідно з цим регламентом, персональними даними може бути будь-яка інформація про людину, за якою прямо чи опосередковано можна її ідентифікувати. Це може бути ім’я, ідентифікаційний номер, геолокація, онлайн-ідентифікатор або фактори, що є «визначальними для фізичної, фізіологічної, генетичної, розумової, економічної, культурної чи соціальної сутності такої фізичної особи». Простіше кажучи, дані із соцмереж теж є персональними.

У цей регламент входить 99 статей, які здебільшого стосуються компаній та організацій, чия робота може бути пов’язана зі збиранням персональних даних на території Євросоюзу. GDPR передбачає конфіденційність цих даних, прозорість їхнього зберігання, опрацювання тощо.

Що ж до України, то Верховна Рада ратифікувала «Конвенцію 108» та прийняла Закон про захист персональних даних у 2010 році, а у 2014-му підписала Угоду про асоціацію з ЄС, чим, згідно зі статтею 15 Угоди, зобов’язалася налагодити сферу захисту персональних даних. Упровадження GDPR, по суті, є наступним кроком у цьому напрямку. Поки що відповідальним за захист персональних даних є Уповноважений із прав людини, але з прийняттям нових законів цим займатиметься Нацкомісія із захисту персональних даних.

Експертка проєкту Ради Європи «Підтримка впровадження європейських стандартів прав людини в Україні» з питань приведення політики захисту даних, законодавчої бази та практики до європейських стандартів і «Конвенції Ради Європи 108+», а також співавторка законопроєктів №6177 та №8153 Лілія Олексюк каже, що перед прийняттям закону 2010 року теж були критика і побоювання.

У ЄС країни мусили привести своє законодавство у відповідність до GDPR з 2016 по 2018 роки, тоді воно стало синхронізованим і єдиним європейським, крім певних норм, які залишають регулювання на національному рівні.

Які саме зміни передбачає законопроєкт «Про захист персональних даних»

Зміни стосуватимуться тих даних, поширення яких не має суспільної необхідності. Наприклад, адреса і телефон дрібних підприємців. Ці люди зможуть вимагати, щоб інформацію про них не включали до відкритих реєстрів.

Звісно, є компанії, для яких цей закон дуже ускладнить ведення бізнесу. Особливо підприємствам, які продають товари чи послуги та мають дисконтні картки. Деякі з них збирають інформацію про людей, а потім продають її іншим рекламним і маркетинговим компаніям, іноді навіть без відома цієї людини.

Один із принципів GDPR полягає в тому, щоб використовувати інформацію лише для того, для чого вона була зібрана. Наприклад, дані для реєстру виборців потрібні тільки для проведення виборів і не можуть бути використані для чогось іншого.

Загалом в Україні налічується не менше 350 реєстрів, і держава повинна приймати закон про функціонування кожного з них. При тому, що GDPR забороняє використовувати дані одного реєстру для інтересів іншого, — це можливо тільки для розслідування злочину та лише в дуже крайніх випадках. Також передбачені доволі жорсткі правила щодо доступу до інформації про людину для правоохоронних органів. 

За результатами дослідження організації Freerights, під час повномасштабної війни була виявлена низка порушень персональних даних, зокрема в розподілі гуманітарної допомоги та в реєстрах, — держава не забезпечила захист даних і все опинилося у росіян. Під час наступу вони мали всю інформацію про людей, знали адреси активістів, військовослужбовців, працівників СБУ та поліціянтів.

Які загрози можуть бути?

Програмний директор Української Гельсінської спілки з прав людини Максим Щербатюк говорить, що до законопроєкту «Про захист персональних даних» значно менше питань, у порівнянні з проєктом про комісію, адже він майже повністю дублює європейський регламент, напрацьований іншими країнами.

— Право на приватність і відкритість даних — це протилежні сторони однієї медалі. Тому не дивно, що найбільша критика йде саме від експертів, які спеціалізуються на доступі до відкритих даних. Навіть якщо ми завтра приймемо цей закон, для того, щоб це все почало працювати, потрібно щонайменше три-чотири роки. Певні речі за п’ять років запустяться. Але якщо не стартувати зараз, можна ще дуже довго жити у вразливому становищі, — каже Щербатюк.

За його спостереженнями, кількість загроз у захисті персональних даних усе більша, зокрема щодо даних військових і використання штучного інтелекту, а ситуація щодо механізмів і гарантій захисту даних не покращується. Тому сенс у зауваженнях до законопроєкту є, але це не зменшує потребу в регулюванні.

За словами експертів YouControl, відображений у проєкті закону підхід до визначення персональних даних є дуже розмитим. Водночас, за словами Максима Щербатюка, в чинному законі про захист персональних даних, визначення те саме.

— Складність у тому, що положення закону “Про захист персональних даних” фактично не використовується. Уповноважений хоч і дає якісь описи, але в нього немає практичних інструментів для впливу на ситуацію. А ті три нещасних протоколи, які вони складають за рік, це взагалі ні про що. Є визначення, складніші й питання практики використання тих чи тих положень в судах. Але знову ж, якщо ми будемо використовувати GDPR, це нам дозволить повноцінно використовувати термінологію і положення, які там є.

Що відомо про створення Національної комісії з питань захисту персональних даних

Якщо законопроєкт про захист персональних даних спочатку провалився і його майже ідентичну версію винесуть на розгляд вдруге, то за законопроєкт про комісію ще не голосували й він досі є у тій самій редакції. Саме тому він може викликати більше питань і сумнівів.

— По-перше, створення комісії потребує певних бюджетних витрат, адже це ще одна інституція, яка за обсягом фінансування подібна до Уповноваженого Верховної Ради з прав людини. Зараз підхід такий, щоб впроваджувати зміни поступово, не одразу весь обсяг. У будь-якому випадку потрібно доволі багато бюджетних коштів, щоб це зреалізувати. З іншого боку, ситуація щодо захисту персональних даних зараз плачевна. Наявний механізм парламентського контролю через Уповноваженого фактично мертвий, кримінальна стаття теж, — говорить Максим Щербатюк.

По-друге, є проблема у створенні самого органу, який має поєднати різних експертів: 

— У законопроєкті про комісію намагаються поєднати й захист персональних даних, і доступ до інформації, тобто зібрати різнопланових експертів у одному органі. Тільки декілька європейських країн мають успішні приклади поєднання їх в одній інституції, — каже Щербатюк.

Згідно з проєктом закону, склад Нацкомісії має налічувати до 400 осіб. Лілія Олексюк каже, що це прописане обмеження, аби не створювати орган із півтори тисячі членів. 

Зараз у висновках Головного науково-експертного управління до першого читання законопроєкту про створення комісії з захисту персональних даних майже 30 пунктів зауважень, серед яких — питання щодо майбутньої роботи комісії, формування її складу та загалом її відповідність Конституції, адже повноваження цього органу «ставлять його на вищий щабель щодо інших центральних органів виконавчої влади, хоча такий конституційно-правовий статус має лише Уряд». Також є зауваження щодо перевірок із «власної ініціативи», які може робити комісія.

— Ще є питання щодо незалежності органу, — сказав Щербатюк. — Зараз є намагання створити цю комісію за прообразом НАЗК, але є купа речей, які можуть впливати на її незалежність. Усе одно буде певний центральний орган виконавчої влади, хоч і з особливим статусом. У теорії це мала би бути взагалі незалежна інституція, але за Конституцією такого органу немає. Відповідно, щоб такий орган запрацював, необхідні зміни в Конституції, що неможливо в умовах воєнного стану.

За словами Максима Щербатюка, Україна наразі є однією з країн, де персональні дані максимально відкриті. Це дуже зручно для журналістів, але значно шкодить захисту цих даних. 

— Якщо ми плануємо певне посилення механізму захисту персональних даних, очевидно, що це вплине на можливість доступу до певної інформації, яка на сьогодні є у більш відкритому доступі. Є права, які кореспондують один одному і пошук цього балансу — це якраз основна місія суспільства і держави. Зараз цей баланс зміщений далеко в бік відкритості даних, — каже експерт.

Чому депутати не підтримали першу версію законопроєкту, як GDPR вплине на медіа, зокрема на журналістів-розслідувачів, та які ще є нюанси — читайте в повному матеріалі MediaSapiens.

---