Захист персональних даних в Україні: європейські стандарти чи нові ризики для суспільства?
В сучасному інформаційному суспільстві захист персональних даних стає все більш важливим аспектом забезпечення приватності та безпеки громадян. Україна, прагнучи до членства в Європейському Союзі, також має адаптувати своє законодавство у цій сфері до стандартів GDPR.
General Data Protection Regulation, GDPR; Regulation (EU) 2016/679) — загальний регламент в межах законодавства Європейського Союзу щодо захисту персональних даних усіх осіб у межах ЄС та Європейської економічної зони. Він також стосується експорту персональних даних за межі ЄС і ЄЕЗ. GDPR покликаний, насамперед, надати громадянам та резидентам ЄС контроль за їхніми персональними даними та спростити регуляторне середовище для міжнародного бізнесу шляхом уніфікації регулювання в межах ЄС.
У свою чергу, в Україні з 2012 року діє закон "Про захист персональних даних", який також регулює обробку особистих даних, але з деякими відмінностями від GDPR. Український закон не містить таких жорстких вимог щодо обов'язковості заздалегідь отриманої згоди на обробку особистих даних, як GDPR. В Україні існують відмінності у термінології та органах, що відповідають за здійснення контролю та нагляду за дотриманням правил обробки особистих даних. При цьому, з огляду на те, що Україна не перебуває в юрисдикції Європейського Союзу, GDPR може застосовуватись до українських компаній в частині, що стосується обробки даних громадян ЄС.
У той самий час, як дехто вважає, Україна взяла на себе зобов'язання адаптувати законодавство ЄС у сфері захисту персональних даних. Насправді ж, як зазначено у статті 15 Угоди, Сторони домовились співробітничати з метою забезпечення належного рівня захисту персональних даних відповідно до найвищих європейських та міжнародних стандартів.
Погодьтесь, зобовʼязання із адаптації та домовленість про співпрацю - це різні речі. Станом на сьогодні удосконалення національного законодавства просувається на рівні окремих законодавчих ініціатив.
Що стосується процесу розробки та просування нового законопроекту "Про захист персональних даних" то він супроводжується значною критикою з боку експертів, бізнес-спільноти та громадськості ось уже протягом останніх двох років.
Згідно з висновком Національного Агенства з питань запобігання корупції (далі, НАЗК) та проведеної антикорупційної експертизи проєкту Закону України "Про захист персональних даних" № 5628 від 07.06.2021, розробленого на виконання Регламенту Європейського Парламенту і Ради (ЄС) 2016/679 від 27.04.2016 про захист фізичних осіб у зв’язку з опрацюванням персональних даних і про вільний рух таких даних та про скасування Директиви 95/46/ЄС ідентифікувало у законопроєкті корупційні фактори ризику.
Основним корупціогенним фактором проєкту Закону є надмірна кількість правових конструкцій оціночного характеру та правових невизначеностей, які можуть спричинити упереджену оцінку посадовими особами контролюючого органу (Національної комісії з питань захисту персональних даних та доступу до публічної інформації) виконання/невиконання вимог законопроєкту контролерами та операторами персональних даних.
Також проєкт Закону містить низку положень, які можуть на практиці призвести до обмеження свободи журналістської діяльності, яка є важливою передумовою розбудови громадянського суспільства та складовою загальнодержавної антикорупційної інфраструктури.
В свою чергу,
Запровадження правового регулювання, що надасть змогу уникати кримінальної, адміністративної, дисциплінарної, цивільно-правової відповідальності.
Проєктом Закону пропонується створити новий центральний орган виконавчої влади зі спеціальним статусом, який забезпечує формування та реалізує державну політику у сфері захисту персональних даних та доступу до публічної інформації, а також здійснює державний контроль за дотриманням законодавства про захист персональних даних та/або доступ до публічної інформації.
Суперечність між різними положеннями одного й того ж нормативно-правового акта або між положеннями різних нормативно-правових актів однакової юридичної сили у вирішенні одного й того ж питання, що допускає різне тлумачення норм.
Встановлення або розширення дискреційних повноважень органу державної влади чи органу місцевого самоврядування, особи, уповноваженої на виконання функцій держави або місцевого самоврядування, за відсутності визначення вичерпних випадків, підстав, форм, строків, порядку здійснення таких повноважень, контролю за їх здійсненням та відповідальності за можливі зловживання під час їх здійснення,
Звуження змісту чи обсягу існуючих повноважень спеціально уповноважених суб’єктів у сфері протидії корупції,
ставить під сумнів будь-яке просування українського суспільства в напрямку доброчесності, підзвітності та прозорості.
Чому важливо звертати увагу на ризики, які можуть виникнути в результаті прийняття "оновленого" закону "Про персональні дані" (голосування за який в першому читанні має пройти уже влітку 2024 року)?
1. Непрозорість та спірні моменти законопроекту:
Розробка законопроекту відбувалася у непрозорому форматі, без належного залучення представників бізнесу та громадськості.
Експертні висновки та антикорупційна експертиза вказують на невідповідність проекту Конституції України та наявності корупціогенних факторів.
Законопроект передбачає надмірні контрольні та штрафні повноваження нового органу з питань захисту персональних даних, що може призвести до тиску на бізнес та інших суб'єктів.
2. Збільшення витрат для бізнесу:
Поспішне впровадження стандартів GDPR без належного часу на адаптацію призведе до значних витрат для бізнесу на впровадження нових систем безпеки, програмного забезпечення, оплату фахівців, що негативно вплине на конкурентоспроможність українських підприємств, особливо малого та середнього бізнесу.
3. Обмеження прав користувачів відкритих даних:
Законопроект звужує обсяг прав користувачів відкритих даних, обмежуючи можливості вільного використання та поширення інформації, що містить персональні дані. Це в свою чергу впливає на прозорість ведення бізнесу, розвиток громадянського суспільства, боротьбу з корупцією та інші важливі сфери.
4. Недоліки та неактуальність законопроекту:
Законопроект не містить чітких визначень та правил, що може призвести до невизначеності та свавілля з боку контролюючих органів. В Україні відсутні ресурси та фахівці для забезпечення ефективного впровадження нових правил захисту персональних даних. Законопроект не враховує актуальні проблеми суспільства, такі як корупція, безпека бізнесу та виявлення російських агентів.
5. Загроза свободі слова:
Існує ризик, що нові правила захисту персональних даних можуть бути використані для цензури та утисків свободи слова. Це може призвести до самоцензури з боку журналістів та громадських активістів.
Законопроект "Про захист персональних даних" потребує суттєвого доопрацювання з урахуванням думок та зауважень експертів, бізнес-спільноти та громадськості, щоб він максимально відповідав потребам українського суспільства та міжнародним стандартам.
Необхідно забезпечити чіткий та прозорий процес впровадження нового законодавства та створити ефективні механізми контролю за дотриманням вимог законодавства.
Наближення до європейських стандартів не повинно відбуватися ціною обмеження прав та свобод громадян, збільшення витрат для бізнесу та створення нових бюрократичних структур.
Насамкінець хочеться зауважити, що, розробляючи такий вагомий законопроєкт, варто ретельно оцінювати ризики, пов’язані з обмеженням свободи слова та стримуванням економічної активності. У багатьох нормах попередній законопроєкт №5628 від 07.05.2021 р. по суті копіює GDPR Європейського Союзу, причому чимало норм в українському проєкті є навіть жорсткішими за європейські, незважаючи на те, що європейський регламент вважається найбільш вимогливим щодо поводження з даними. Законопроєкт, до того ж, сам по собі є доволі об’ємним і складним. І якщо ретельно вивчити та імплементувати його положення є доцільним для великих компаній чи державних структур, то для малого бізнесу це може стати непосильним тягарем, що погіршить конкуренцію на ринку і просто економічну ситуацію в країні.
Довідка:
З 25.10.2022 р. зареєстровано новий проект Закону України "Про захист персональних даних" № 8153 який враховує деякі зауваження експертів та громадськості.
Станом на 28.05.2024 р. проект Закону № 8153 знаходиться на стадії розгляду Комітетом Верховної Ради з питань цифрової трансформації.
При написанні статті використані матеріали:
Вікіпедія. Загальний регламент про захист даних https://bit.ly/3V0vKGF
Захист персональних даних ціною в мільярди гривень. Ризики і загрози нових правил https://bit.ly/4aFLzbL
Висновок антикорупційної експертизи проєкту Закону України «Про захист персональних даних» https://nazk.gov.ua/uk/documents/vysnovok-antykoruptsijnoyi-ekspertyzy-proyektu-zakonu-ukrayiny-pro-zahyst-personalnyh-danyh/
Висновок антикорупційної експертизи проєкту Закону України «Про Національну комісію з питань захисту персональних даних та доступу до публічної інформації» https://nazk.gov.ua/uk/documents/vysnovok-antykoruptsijnoyi-ekspertyzy-proyektu-zakonu-ukrayiny-pro-natsionalnu-komisiyu-z-pytan-zahystu-personalnyh-danyh-ta-dostupu-do-publichnoyi-informatsiyi/
Аналіз проєкту Закону України “Про захист персональних даних" N 5628, підготовленого за підтримки Європейського Союзу та Міжнародного Фонду «Відродження» в рамках спільної ініціативи «EU4USociety».