У сучасному цифровому світі захист персональних даних є важливим аспектом забезпечення приватності та безпеки громадян.
Україна на шляху до ЄС теж має адаптувати національне законодавство у сфері захисту персональних даних до стандартів GDPR. Процес з просування нового законопроекту вже запущено. В кінці травня новий закон буде представлено на перше читання. Одначе, його формування відбулося у дуже непрозорій формі, з маніпуляціями, міфами та нерозумінням суспільством реального значення і загроз від прийняття нових правил.
Чому законопроект з GDPR в Україні потребує суттєвого доопрацювання, з’ясовували експерти YouControl.
Що таке GDPR і чи є він в Україні?
Загальна еволюція в системі захисту персональних даних викликана насамперед стрімким зростанням обсягу інформації у світі, необхідністю її зберігання, обробки та захисту. Це зумовило ухвалення у 1981 році Конвенції 108 про захист осіб у зв’язку з автоматизованою обробкою персональних даних (пізніше оновлена як Convention 108+). Подальшим кроком у цьому напрямку стало прийняття Директиви 95/46/ЄС. А далі з метою забезпечення захисту прав громадян у сфері обробки їх персональних даних та вільного пересування такої інформації між країнами цю Директиву у 2018 році було замінено Регламентом 2016/679 про захист даних (GDPR).
Отже, GDPR, або Загальний регламент з захисту даних, – це нормативний акт Європейського Союзу, що регулює обробку особистих даних громадян ЄС та є ключовим регулятивним документом у цій сфері.
У свою чергу, в Україні з 2012 року діє закон “Про захист персональних даних”, який також регулює обробку особистих даних, але з деякими відмінностями від GDPR. Український закон не містить таких жорстких вимог щодо обов’язковості заздалегідь отриманої згоди на обробку особистих даних, як GDPR. В Україні також існують відмінності у термінології та органах, що відповідають за здійснення контролю та нагляду за дотриманням правил обробки особистих даних. При цьому, з огляду на те, що Україна не перебуває в юрисдикції Європейського Союзу, GDPR може застосовуватись до українських компаній в частині, що стосується обробки даних громадян ЄС.
У той самий час, Україна взяла на себе зобов’язання адаптувати законодавство ЄС у сфері захисту персональних даних відповідно до статті 15 Угоди про асоціацію між Україною, з одного боку, та Європейським Союзом, Європейським співтовариством атомної енергії та їх державами-членами, з іншого боку, ратифікованої ще у 2014 році. Це передбачає удосконалення законодавства про захист персональних даних з метою приведення його у відповідність до GDPR. Станом на сьогодні адаптація просувається на рівні окремих законодавчих ініціатив. І тут є важливі нюанси.
Адаптація законодавства ЄС у сфері захисту персональних даних по-українськи
Розробка законопроекту, що мав би наблизити національне законодавство у сфері захисту персональних даних до стандартів ЄС, почалася в Комітеті ВР з питань цифрової трансформації. Ця ініціатива законодавців зіткнулися із значною критикою з боку бізнес-асоціацій та громадськості. Адже розробка проекту відбувалась у непрозорому форматі, без залучення представників бізнесу та інститутів громадянського суспільства (окрім наближених до розробників).
Експертні висновки Комітету з питань бюджету і Головного науково-експертного управління Верховної Ради вказали на невідповідність приписам Конституції і законодавства України та необхідність залучення значних додаткових фінансових витрат із держбюджету для їх реалізації. А висновок антикорупційної експертизи Національного агентства з питань запобігання корупції – про наявність корупціогенних факторів.
Зрештою, 16.08.2022 голосування по проекту провалилося. Не голосували 58 депутатів провладної фракції. Жодного голосу також не надали фракції Голос, ЄС і Батьківщина. Примітно, що поряд із цим свої голоси додали такі депутатські групи: “Партія “За майбутнє”, “ДОВІРА”, а також “Відновлення України” і “Платформа за життя та мир”, які створені нардепами забороненої ОПЗЖ (остання надала 16 із 25 своїх голосів).
Проте, незважаючи на провал, депутати не покинули ідеї щодо просування сумнівного проекту. Натомість вони взялися до розробки проекту Закону «Про Національну комісію з питань захисту персональних даних та доступу до публічної інформації» від 18.10.2021 № 6177 (передбачається, що контрольно-наглядові функції цього органу охоплюватимуть також і відкриті дані). А потім зареєстрували оновлений проект Закону «Про захист персональних даних» від 25.10.2022 № 8153, який за висновком Головного науково-експертного управління ВР фактично є клоном попереднього. І що прикро, за попередніми даними, влітку цього року обидва законопроекти мають бути винесені на голосування.
Ризики, пов’язані з прийняття нового законодавства в сфері захисту персональних даних, або чому новий закон потребує значного доопрацювання
1. Поспішне запровадження стандартів GDPR призведе до істотного збільшення витрат бізнесу. GDPR в ЄС розроблявся і узгоджувався близько десяти років, потім був наданий дворічний період для набрання чинності. Цей час компанії могли використати для адаптації до нових правил. В Україні цього не передбачається. Часу для адаптації немає.
Поспішне запровадження нових правил у сучасний кризовий період призведе до істотного збільшення витрат бізнесу щодо його впровадження, зокрема – оплати відповідальних осіб з питань захисту персональних даних, запуску нових систем безпеки, ПЗ тощо. А також містить серйозні ризики від перевірок та штрафних санкцій. Це відноситься до всього українського бізнес-середовища, як до приватного, так і до державного сектору економіки. Витрати останнього неминуче відіб’ються на держбюджеті і на платниках податків.
2. Обмеження прав користувачів відкритих даних. Відповідно до статті 22 Конституції України, конституційні права і свободи гарантуються і не можуть бути скасовані або звужені при прийнятті нових законів або внесенні змін до чинних законів. Чинне законодавство передбачає гарантії того, що публічна інформація у формі відкритих даних (у тому числі – дані фізичних осіб у складі цієї інформації) є дозволеною для її подальшого вільного використання та поширення із будь-якою законною метою. Законопроектні ж норми істотно звужують обсяг прав, оскільки передбачають, що використання персональних даних, отриманих із цих джерел, можливо лише в певних межах (згода, суспільний інтерес тощо). При цьому, розробники стверджують, що ці правила діють по всьому ЄС, що не є правдою. Зокрема, в Швеції, Данії та Нідерландах дозволено повторне використання персональних даних з реєстрів незалежно від їхньої цілі за відсутності обмежень в законодавстві.
3. Маніпуляції на фоні розмитості понять та нечіткості правил. Відображений в проекті підхід до визначення персональних даних є дуже розмитим: «персональні дані» – інформація про фізичну особу, яка ідентифікована або може бути ідентифікована … Такий підхід не дає вичерпної відповіді на питання, чи належать ті, чи інші дані до категорії персональних, чи ні. Таким чином, будь-який суб’єкт у сфері використання персональних даних свідомо стає заручником ситуації, коли нечітке визначення може бути підставою для юридичної відповідальності, і не тільки фінансової, а й кримінальної. Чітких правил, якими можна буде оперувати в разі перевірок, законопроект також не містить.
4. Значні витрати бюджету на утримання. Створення в Україні окремого професійного органу, навчання і комплектація штату та інші подібні питання вимагають часу і значних ресурсів. Згідно законопроекту про Національну комісію з питань захисту персональних даних та доступу до публічної інформації штат регулятора становитиме 400 осіб. Це перевищує штатну чисельність більшості центральних органів виконавчої влади, в тому числі: Мінцифри (261) Міносвіти (339), Міністерство охорони здоров’я (238), Мінсоцполітики (294), Пенсійний фонд (302) та ін.
У пояснювальній записці до законопроекту зазначено, що його прийняття потребує виділення додаткових коштів державного бюджету в обсязі 224,76 млн грн. Це видається дуже скромним розрахунком, оскільки, до прикладу, бюджетні витрати 2024 року на фінансування подібного за чисельністю Мінінфраструктури (427 працівників) складають два мільярди гривень. Тому тут питання до коректності розрахунків і того, скільки насправді коштуватиме державі утримання нового “органу”.
5. Контрольно-наглядовий орган. Пропонується наділення нового органу повноваженнями щодо проведення перевірок без будь-якого спеціального рішення на їх проведення, лише за умови пред’явлення службового посвідчення. Із можливістю накладення штрафів фантастичного розміру: на фізичних осіб – до 20 млн грн, на юридичних осіб – до 150 млн грн, або до 8% загального річного обороту (зараз максимальний штраф становить 34 тис. грн). За таких умов важко повірити в те, що основна роль цього органу полягатиме в «навчанні і роз’ясненні», а не в перетворенні на свавільного контролера схожого за своїми повноваженнями на Роскомнагляд в країні-агресорці.
6. Гарантії прозорості, підзвітності держави та боротьби з корупцією під загрозою. Можливість вільного використання відкритих даних, як це гарантовано Законом України «Про доступ до публічної інформації», сприяє процесам прозорості ведення бізнесу, розвитку громадянського суспільства (важлива інформація стає доступнішою людям), боротьби з корупцією (проведення журналістських, антикорупційних розслідувань) та інших позитивних змін в країні. Обмеження використання відкритих даних, закладені в новому проекті, призведуть до звуження існуючих гарантій, однозначно погіршивши ситуацію.
7. Відсутні професіонали і процедура їх підготовки. В Україні сьогодні відсутні ресурси для забезпечити легкого переходу на новий режим, в разі його прийняття. Українська система освіти не передбачає можливості навчання/підвищення кваліфікації десятків тисяч фахівців в даній сфері. Відсутні навчальні програми, плани, бюджет на ці цілі. Крім того, навіть якщо впровадити це прямо зараз, для підготовки перших фахівців треба мінімум три роки. Тобто, перші випускники змогли б з’явитися тільки в 2024/25, в той час, як країна потребувала б їх на кілька років раніше.
8. Неактуальність питання в порівнянні з нагальними проблемами суспільства. З огляду на проблему корупції, безпеки бізнесу та виявлення російських агентів, у суспільстві зараз є значний запит на використання відкритих даних без будь-яких обмежень, як це гарантовано чинним законом.
Висновки YouControl:
Законопроект з GDPR в Україні потребує суттєвого доопрацювання. Наближення національного законодавства до європейських стандартів не може відбуватися шляхом впровадження надшироких контрольних і штрафних повноважень Національної комісії. Адже так вона перетвориться в інструменти тиску на бізнес та інші сфери діяльності. В умовах суворого бюджетного дефіциту мільярдні витрати на створення і утримання нової контролюючої структури доцільніше спрямовувати на інші пріоритети воєнного часу.
Неможливість повноцінної перевірки контрагентів через обмеження використання і аналізу інформації про їх учасників, керівників, КБВ та інших пов’язаних фізичних осіб автоматизованими програмами відсуне бізнес, банківський сектор, журналістів-розслідувачів у кам’яний вік, де їм доведеться робити все “вручну”. А використання “сірих баз” є неприйнятним. Закриття доступу до суспільно важливої інформації, в стилі Російської Федерації, аж ніяк не наблизить нас до Європи. Міжнародні партнери пильно спостерігають “чи зможе Україна перемогти корупцію і вибороти можливість не бути схожою на Росію”.
Це не означає, що суспільство не потребує захисту особистої інформації, — лише те, що відповідні ініціативи мають бути переглянуті з урахуванням вимог закону та на принципах обґрунтованості, пропорційності, добросовісності і розсудливості. А також неодмінно з урахуванням прав бізнесу і громадськості на участь у процесі прийняття таких рішень.