Законопроєкт №5628 “Про захист персональних даних” — всі "за" і "проти" - Українська Гельсінська спілка з прав людини
Повернутись назад

Законопроєкт №5628 “Про захист персональних даних” — всі “за” і “проти”

Новина

Ініціатива УГСПЛ #експертиЗА була створена для обговорення різних проблем у сфері прав людини, пояснення громадськості суті явищ і пропонування варіантів вирішення проблемних ситуацій, які постали перед громадянським суспільством і державою у конкретний період. Нове обговорення присвячене питанню захисту персональних даних і законодавчій ініціативі у цій сфері. Пропонуємо вашій увазі другу частину із експертного обговорення.

Максим Петров: Зараз накопичуються різні бази даних і це викликає проблеми у контексті захисту персональних даних. Але, з іншого боку, в тому числі правозахисна спільнота говорить про те, що інформації в Україні не вистачає. Як корелювати ось ці два сегменти?

Олександр Павліченко, виконавчий директор УГСПЛ

Олександр Павліченко: Справа в тім, що будь-яка база даних, яка створюється, має передбачати свою конкретну мету – це обробка персональних даних, яка не повинна виходити за межі операції, необхідної для отримання даних. Як правило, цей принцип і ця вимога порушуються. Другий момент – це доступ до інформації з реєстрів з боку інших суб’єктів і можливість контролювати чи не контролювати цю інформацію. В таких надмірних базах даних здійснюється фактично неконтрольований доступ з боку різних державних суб’єктів, які не повинні не порушувати законодавство. Але, разом з тим, сам цей доступ (наприклад, згода на обробку була дана тільки для того, щоб виготовити паспортні документи) спричиняє поширення інформації по інших базах і використання її іншими суб’єктами без належного повідомлення навіть тієї особи, яка дала згоду на обробку таких персональних даних. Це – підстава для зловживань, які можуть суттєво зашкодити правам цієї особи.

Що робити? Треба щоб суспільство слідкувало, щоб такі бази: по-перше, не створювалися; по-друге – щоб був належний контроль за їх функціонуванням і дотриманням всіх вимог до конкретної бази даних.

Максим Петров: Повертаємося до законодавчих ініціатив. Пане Денисе, яку оцінку Ви б дали законопроєкту “Про захист персональних даних”?

Денис Волоха: Європейський GDPR (Java Data Protection Regulation of the European Union) і український законопроєкт “Про захист даних” –дуже схожі. Більшість норм скопійовані з деякими уточненнями. Але, як не дивно, деякі норми в українському проєкті навіть більше жорсткі, ніж у GDPR, хоча GDPR вважається і визнається одним із найжорсткіших регулюючих актів у сфері захисту персональних даних.

Під «жорсткістю» я маю на увазі регулювання вимог щодо контролерів, операторів персональних даних. По суті GDPR виписаний так, що стосується будь-кого взагалі, хто обробляє так чи інакше інформацію або володіє нею, зберігає. В тій же Америці немає такого акту, і навряд чи він з’явиться, хоча є спроби там зробити щось таке в окремих штатах, зокрема в Каліфорнії – California Consumer Protection Act. Він навіть не спрямований на захист безпосередньо даних.

З одного боку, добре, що наше законодавство буде узгоджено з нормами Європейського Союзу, тому що і бізнесу зокрема буде простіше підігнати свої стандарти захисту персональних даних під якісь універсальні вимоги, які будуть однаковими і в Україні, і в Європейському Союзі.

З іншого боку, тут, як говорить часто Євген Захаров, якраз «головне – не переплутати скальпель із сокирою». Тобто, якщо ми хочемо захистити дані, передусім варто поставити питання: від кого ми хочемо захистити їх? Тому що цей суб’єкт потенційно буде найбільшим порушником у цього права на приватність у сфері захисту персональних даних. Якщо брати вимоги GDPR, який стосується взагалі кожного – з одного боку, і українські реалії, де цей стандарт застосовуватиметься – з іншого – це може стати механізмом, який погіршить економічну конкуренцію. Тому що провадити складні доволі вимоги, просто осягнути весь цей проєкт і підігнати свої стандарти під його вимоги для малого бізнесу буде значно складніше, ніж для великих компаній або державних структур.

І тут у мене немає відповіді взагалі, чи потрібно розписувати GDPR взагалі на всіх, чи потрібно обмежитися лише окремими «великими гравцями» – державою і великим бізнесом.

Денис Волоха, експерт УГСПЛ, автор аналізу законопроєкту

Добре також, що законопроєкт дає більш чіткі визначення, спирається на практику Європейського суду з прав людини (далі ЄСПЛ), але дані стандартів якраз ЄСПЛ полягають в балансі між свободою слова і правом на приватність. І свобода слова передусім пов’язується з журналістською діяльністю. Тобто, якщо мова йде про державних службовців і про журналістів, тут менший рівень приватності і більший рівень свободи слова зазвичай.

Однак проблема у тому, що журналістська діяльність у цьому законопроєкті ніяк не визначена, там так і написано, що вона визначається з урахуванням практики ЄСПЛ. Відповідно, журналіст у такому випадку має осягнути всю практику ЄСПЛ, щоб визначити просто, коли він здійснює журналістську діяльність, а коли ні. Має бути якесь більш-менш чітке визначення. Хоч із урахуванням практики, але вже встановленому в основному законі.

Друге, на що я хотів би звернути увагу – це контролюючі органи. Тобто без контролюючого органу ці всі норми не будуть працювати. Вони, зрештою, і з ним можуть не працювати, про що говорив Євген Захаров: якщо закон не відповідає уявленню суспільства, то він не буде працювати. І дійсно: маю побоювання, що з цим проєктом і в майбутньому законом, що приймуть, може бути саме така історія.

Але ті речі, які прописані контролюючим органам, мені здаються потенційно небезпечними. По-перше, законопроєкт не має якоїсь окремої статті про цей орган, невизначена взагалі його структура, яким він має бути. Однак написано, що він може, наприклад, відвідувати приміщення контролерів, отримувати доступ до їхніх комунікаційних систем на його запит; оператори-провайдери, по суті, повинні надавати інформацію про розташування своїх абонентів, що доволі дивно. Ми можемо просто виростити такого «монстра», який сам стане не лише порушником права на приватність, а й інших прав.

Наскільки я знаю, якийсь законопроєкт уже готують окремо про контролюючі органи. Його потрібно або приймати одночасно із цим законопроєктом, або краще взагалі об’єднати в якийсь один акт. Бо приймати окремо – це, без визначення повноважень чітких контролюючих органів, мені здається абсолютно неправильно.

Максим Петров: Я би хотів запропонувати поговорити про загрозу чи недоліки цього законопроєкту пані Віті.

Віта Володовська: Я би все-таки хотіла зробити одразу таку ремарку, перш ніж перейду до якихось недоліків, і сказати, що, на мою думку, порівняно з тим, що в нас є зараз, цей законопроєкт є швидше кроком вперед. Багато норм, які там імплементуються в плані чіткості прописання прав суб’єктів персональних даних, в плані чіткості визначення принципів, на яких має ґрунтуватися обробка персональних даних – насправді йдуть далі, ніж те законодавство, яке є в нас зараз. Зокрема окремі норми, які присвячені питанню профілювання або таргетингу і можливості – там чітко прописана можливість громадян відмовитися чи відкликати згоду – це безумовно позитивні моменти. І не можна це не відзначити – робота, яку зробили колеги, насправді є колосальною, єдино що, коли ми говоримо про сам законопроєкт, тут критика буде стотсуватися тексту.

Підхід зрозумілий, в основу ми берем GDPR і ті норми, які вже показали певну свою ефективність у Євросоюзі, але питання в тексті. Є багато моментів, але один з них – це нечіткість окремих формулювань. Зокрема, дуже часто використовується паралельно із поняттям «легітимної цілі» термін «легітимні інтереси», які, може, сформульовані досить широко. Наприклад, це можуть бути якісь фінансові інтереси. Тобто автори виходять за рамки легітимних обмежень, які передбачені міжнародними договорами в сфері прав людини, і це очевидно потрібно виправляти.

Крім цього, є багато питань: про те ж відеоспостереження. Передбачається, що питання відеоспостереження визначається законодавством – не законом, а законодавством. Тобто це може передбачати набагато ширші підстави, які можуть визначатись навіть якимись підзаконними актами, і це теж не зовсім зрозуміло.

Безумовно, питання про журналістську діяльність, про яке згадував Денис, теж викликає, занепокоєння, тому що хто буде доводити? Виходить, що кожного разу потрібно буде доводити, що ви здійснюєте журналістську діяльність, а в нас з тим є проблеми. І це може звести – ну, окей, якщо є посвідчення журналіста і, умовно кажучи, потрібно буде, швидше за все, показувати редакційне завдання. Там закладена задумка про те, щоб це стосувалося і громадських журналістів, але так, як воно сформульовано, воно працювати у нас не буде. Тобто потрібно якось переформулювати.

Звичайно, є питання відповідальності. Крім тих дуже високих штрафів, про які ми говорили, в мене з’явилося ще одне важливе питання: як відповідають державні органи, коли вони порушують законодавство у сфері захисту персональних даних? На сьогодні норма сформульована таким чином, що відповідальність несуть контролери, а до контролерів у тому числі відносяться суб’єкти владних повноважень. Тому в мене питання: чи ми плануємо мільйонні штрафи стягувати державним органом з державного органу?

Чи зберігається, умовно кажучи, адміністративна відповідальність, і, відповідно, чи буде складатися протокол? І тоді виникає досить-таки суттєва різниця в штрафах, тому що на сьогодні, наприклад, адмінштрафи набагато нижчі: 1700 грн, умовно кажучи, проти мінімум 10 000, а то і 30 000 тисяч грн з фізичної особи, яка інакше порушує.  Питання, насправді, не стільки в розмірах, але і в самому механізмі, і в тому, як та яких ми суб’єктів охоплюємо, в чіткості визначення порушень.

Віта Володовська, керівниця юридичного відділу громадської організації “Лабораторія цифрової безпеки”

Плюс, є така абсолютно прекрасна норма, що якщо інші порушення цього закону, які не перелічені у документі вище, то за них застосовуються штрафи у розмірі 30% від штрафів, передбачених частиною першою і третьою цієї статті, де розміри штрафів різні. То 30% від яких штрафів будуть рахуватися і в яких випадках?

Максим Петров: Те, про що Ви зараз сказали, оця неузгодженість – це, я так розумію, потенційно судові позови?

Віта Володовська: З одного боку, по-перше, я не розумію, як саме контролюючий орган буде застосовувати цю норму. Або він її не буде застосовувати взагалі, або, якщо він її спробує якось застосувати, то тут будуть очевидні підстави для оскарження, тому що вона абсолютно нечітка, абсолютно незрозуміла, дозволяє дуже багато зловживань, і так, дійсно, це пряма дорога до суду і до успішної справи.

Олександр Павліченко: Закон має бути чітким, передбачуваним і виконуваним. У мене є великі сумніви щодо цих трьох критеріїв. Чому це так? Чому розмиті норми? Тут навіть не бланкетні норми – посилання, що дивитися в якісь там законодавчі акти. Тут є норми, які в принципі мають, скажімо так, таку широку дискрецію, що можна їх тлумачити в різний бік. Наприклад, те, що становить суспільний інтерес. Вибачте, хто це буде визначати і в який спосіб, і як це можна буде довести в адміністративному порядку чи в адміністративному органі? Я розумію, коли ЄСПЛ розглядає справу. Наскільки дотримується вимога суспільного інтересу, проводиться трискладовий тест за частиною другої, десятої чи восьмої статті. Відповідно зважується ціла низка чинників, зокрема того, наскільки завдана шкода була пропорційна необхідності оприлюдненню інформації, чи навпаки, закриттю інформації.

В даному випадку чиновник або той, хто буде здійснювати контроль, контролер за обробку персональних даних, жодним чином не уповноважений на такі дії і не має ні компетенції, ні знань. І навіть на етапі, коли не відбулася шкода, вирахувати потенційну шкоду неможливо. Тобто фактично це, будемо говорити, закладена «нікчемна» норма, яка не працюватиме і жодним чином не може бути зреалізованою. І таких норм є тут не одна, не дві, і це розмиває законопроєкт, робить його нечітким.

До речі, ми працювали над текстом законопроєкту у 2012 році, коли відбувалася передача повноважень від держслужби, опрацьовувалися конкретні норми і формулювання. Можу сказати, що намагання було, щоб законопроєкт був максимально зрозумілим. Даний законопроєкт на 120-ти сторінках не відповідає цій вимозі.

Треба буде навчати спеціалістів – це буде окрема процедура, і це займе час і досить довго триватиме – досить гарно для того, щоби розвести цілу кампанію, але по факту на захист персональних даних це матиме практично нульовий вплив. Тобто ось у чому є проблема. Наскільки це спрацює безпосередньо на саму ситуацію з конкретним захистом персональних даних?

Ще один компонент і аспект, який би я хотів зауважити – це те, що законопроєкт повинен бути недискримінаційним. Коли ми мали ситуацію на рівні 2012-2013 років – просто вихоплювали декілька із організацій, які допускали порушення через те, що ніхто не знав, як потрібно здійснювати цей захист персональних даних. Знала тільки державна служба, яка тлумачила закон по-своєму. Відповідно, накладалося адміністративне стягнення на декілька організацій, які вважалися порушниками.

У ситуації з новим законопроєктом ми матимемо те ж питання: де ця точка, коли на всіх покладається однакова відповідальність і не буде оцього дискримінаційного підходу?

Перша частина дискусії доступна тут.

Матеріал підготовлено за підтримки Європейського Союзу та Міжнародного Фонду «Відродження» в рамках спільної ініціативи «EU4USociety». Матеріал відображає позицію авторів і не обов’язково відображає позицію Міжнародного фонду «Відродження» та Європейського Союзу».