7 червня 2021 року до Верховної Ради України надійшов проєкт закону про захист персональних даних № 5628 (далі – законопроєкт). Як зазначено в пояснювальній записці до законопроєкту, головна проблема у сфері захисту персональних даних в Україні полягає у відсутності законодавчих актів, які б забезпечували належний рівень захисту персональних даних в Україні у відповідності до оновлених міжнародних стандартів у цій сфері, насамперед стандартів, які передбачаються оновленою Конвенцією Ради Європи про захист фізичних осіб у зв’язку з автоматизованою обробкою персональних даних та Регламентом Європейського союзу  2016/679.

 

 

Але чи дійсно можна вважати зазначений законопроєкт таким, що зможе якісно захистити права суб’єктів персональних даних?

 

Які цілі ставили перед собою автори законопроєкту?

Завданням проєкту Закону є приведення нормативного регулювання України в сфері захисту персональних даних у відповідність до нових міжнародних стандартів в цій сфері, які передбачені Конвенцією 108+ та Загальним регламентом про захист персональних даних, а також врегулювання правових відносин, пов’язаних з обробкою персональних даних, які не врегульовані чинним законом.

Отже, автори законопроєкту відмітили як позитивні наробки наступні аспекти:

• приведення термінології сфери захисту персональних даних у відповідність до нових міжнародних стандартів;
• деталізацію та більш зрозуміле формулювання принципів обробки персональних даних;
• більш чітке формулювання підстав обробки персональних даних;
• деталізовані та прозорі вимоги до згоди на обробку персональних даних, які дозволять уникнути зловживань та маніпуляцій; 
• розширення прав суб’єктів персональних даних та механізм їх реалізації; 
• чітке визначення обов’язків контролера і оператора персональних даних; 
• порядок повідомлення про витік персональних даних;
• інститут відповідальної особи з питань захисту персональних даних, її функціональні обов’язки, вимоги та порядок призначення;
• врегулювання передачі персональних даних на територію іноземних держав та міжнародних організацій;
• фінансову відповідальність, адміністративно-господарські санкції, що застосовуються до контролера та/або оператора за порушення права на захист персональних даних, які дозволять забезпечити дієвість закону та виконання його вимог.

Дійсно, в цілому можна відзначити, що запропонований законопроєкт є більш деталізованим, порівняно з діючим законом: 

•  враховує специфіку збору та обробки персональних даних за допомогою письмової форми і з застосуванням засобів електронної комунікації;
•  підіймає питання про врегулювання обробки біометричних та генетичних даних;
• зазначає про порядок здійснення відеоспостереження та обробки персональних даних, зібраних засобами відеоспостереження.

 Однак, є окремі положення законопроєкту, які потенційно можуть становити загрозу для належного захисту персональних даних.

 1) Питання щодо збереження таємниці приватного спілкування.

Законопроєкт містить положення, які стосуються таємниці приватного спілкування. Також автори Законопроєкту наводять визначення терміну «спілкування».

Отже, спілкуванням є передання інформації у будь-якій формі від однієї особи до іншої безпосередньо або за допомогою засобів зв’язку будь-якого типу, у тому числі інформації системами електронних комунікацій. Спілкування є приватним, якщо інформація передається та зберігається за таких фізичних чи юридичних умов, при яких учасники спілкування можуть розраховувати на захист інформації від втручання інших осіб (ч. 2 ст. 59 законопроєкту).

Проте в тексті самого законопроекту не визначено, які саме мають бути фізичні та юридичні умови, при наявності яких учасники можуть розраховувати на захист інформації. Відсутність чітких критеріїв чи хоча б загальних рамок зводить нанівець можливість визначити наявність чи відсутність необхідних умов. Більш того, сприйняття ситуації кожним з учасників приватного спілкування може бути різним, тому за відсутності певних критеріїв не можливо встановити на що можуть розраховувати учасники спілкування. У своїй сукупності все це може призвести до того, що захист персональних даних, мова про які буде йти під час спілкування, не буде ефективним. 

Зауважу також, що частина 6 статті 59 законопроєкту передбачає особливості здійснення запису приватного спілкування та пов’язаних з ним даних під час здійснення підприємницької діяльності. Зокрема, законопроєкт дозволяє здійснювати запис в цілях надання доказів здійсненої оплати або спілкування за умови, що учасники спілкування завчасно повідомлені про запис, його цілі та період зберігання даних.

Зазначена частина вбачається такою, що потребує подальшого уточнення, оскільки викликає ряд запитань. Наприклад, чому такий запис можна дозволяється лише під час здійснення підприємницької діяльності? Чому не можна робити такий запис, якщо, уявімо, одна особа в приватному порядку позичає гроші іншій особі? Куди та у якому вигляді буде передаватися зазначений запис в цілях надання доказів? Хто та за яких умов може оприлюднити такий запис? Де він має зберігатися? Хто відповідальний за його збереження? Отже, за відсутності відповідей на зазначені запитання можливі ускладнення її реалізації.

 2) Які виклики є небажаними, а які – зловмисними?

Також ряд питань викликають положення статей 66 та 67 Законопроєкту, які стосуються небажаних і зловмисних викликів та повідомлень абоненту.

Законопроєктом передбачено, що здійснення небажаних викликів або направлення повідомлень забороняється. Також  передбачена можливість подання письмового запиту постачальнику електронних комунікаційних мереж та/або послуг для відстеження зловмисних або небажаних викликів.

Вбачається, що поняття «зловмисний» та «небажаний» є оціночними. Отже, для того, щоб визначити чи є повідомлення або виклик зловмисним або небажаним, потрібно зазначити ознаки, які будуть свідчити про певний характер викликів/повідомлень. Все це потрібно для того, щоб не порушувати права запитувача та права інших осіб, оскільки положення вказаних статей передбачає можливість оператора записувати та зберігати походження всіх викликів до кінцевого термінального обладнання абонента чи кінцевих пунктів мережі, включаючи ті, для яких існує вимога не ідентифікації лінії виклику.

Більш того, законопроєкт пропонує закріпити право абонента звернутись до постачальника електронних комунікаційних мереж та/або послуг із запитом про встановлення контактних даних іншого абонента, який здійснює небажані виклики та повідомлення.

У разі задоволення запиту постачальник електронних комунікаційних мереж та/або послуг повинен надати абоненту, який подав запит, інформацію про номер кінцевого (термінального) обладнання та ім’я (назву) абонента, який здійснює небажані виклики чи повідомлення, у разі наявності адресу реєстрації місця проживання та/або адресу реєстрації юридичної особи.

Отже, відсутність чіткого визначення, що відноситься до зловмисних або небажаних викликів і повідомлень може призвести до порушення прав обох абонентів, що є недопустимим.

 3) Обробка персональних даних для цілей журналістської чи творчої діяльності.

Викликають занепокоєння положення статті 15 законопроєкту, які стосуються можливості обробки персональних даних для цілей журналістської та творчої діяльності. Так, вказана стаття (як і в цілому законопроєкт) не містить визначення, що є журналістською чи творчою діяльністю, а зазначає, що для цілей цієї статті поняття журналістська діяльність підлягає тлумаченню з урахуванням практики Європейського суду з прав людини.

Вбачається, що таке формулювання є недопустимим. Закон має містити чіткі визначення та відповідати певним критеріям, щоб кожна особа, яка ознайомиться з конкретною нормою, могла передбачити до яких наслідків можуть призвести її дії. Виходячи з логіки авторів, кожен, хто хоче визначити, що є журналістською діяльністю, має ознайомитися та розтлумачити практику ЄСПЛ, що є недопустимим.

Також викликають запитання певні обмеження, які не можуть бути застосовані у випадку обробки персональних даних для цілей журналістської чи творчої діяльності. Так, Законопроєктом передбачено, що при обробці персональних даних для цілей журналістської та творчої діяльності не може не застосовуються положення ряд пунктыв та статей зазначеного Законопроєкту, серед яких стаття 26. Зазначена стаття передбачає, що суб’єкт персональних даних має право звернутись із скаргою на порушення його прав, передбачених цим Законом або  порушення будь-яких положень цього Закону до контролюючого органу або до суду.

Отже, навіть за наявності порушення права суб’єкта персональних даних, але якщо воно було зроблено для цілей журналістської чи творчої діяльності, потерпіла особа не зможе захистити свої  права. Це є недопустимим. Тож вбачається, що зазначена стаття 15 потребує доопрацювання для внесення відповідних доповнень.

 

Таким чином, в цілому запропонований законопроєкт є прогресивним та перспективним. Проте він потребує доопрацювання та усунення окремих недоліків, які можуть чинити перешкоди для його повної реалізації. Крім того, потрібно приділити більше уваги питанням недопущення порушення прав суб’єктів персональних даних та механізмам відновлення у випадку їх порушення.

Автор: Ольга Семенюк, юристка та правозахисниця.