Захист персональних даних: ризики і загрози нових правил

У сучасному цифровому світі захист персональних даних є важливим аспектом забезпечення приватності та безпеки громадян. Україна на шляху до ЄС теж має адаптувати національне законодавство у сфері захисту персональних даних до стандартів GDPR. Процес із просування нового законопроєкту вже запущено. Наприкінці травня новий закон буде представлено на перше читання. Одначе його формування відбулося у дуже непрозорій формі, з маніпуляціями, міфами та нерозумінням суспільством реального значення і загроз від прийняття нових правил. Чому законопроєкт із GDPR в Україні потребує суттєвого доопрацювання, з’ясовували експерти YouControl.

Що таке GDPR і чи є він в Україні?

Загальна еволюція в системі захисту персональних даних викликана насамперед стрімким зростанням обсягу інформації у світі, необхідністю її зберігання, обробки та захисту. Це зумовило ухвалення у 1981 році Конвенції 108 про захист осіб у зв’язку з автоматизованою обробкою персональних даних (пізніше оновлена як Convention 108+). Подальшим кроком у цьому напрямку стало прийняття Директиви 95/46/ЄС. А далі з метою забезпечення захисту прав громадян у сфері обробки їх персональних даних та вільного пересування такої інформації між країнами цю Директиву у 2018 році було замінено Регламентом 2016/679 про захист даних (GDPR).

Отже, GDPR, або Загальний регламент з захисту даних, – це нормативний акт Європейського Союзу, що регулює обробку особистих даних громадян ЄС та є ключовим регулятивним документом у цій сфері.

Своєю чергою, в Україні з 2012 року діє Закон «Про захист персональних даних», який також регулює обробку особистих даних, але з деякими відмінностями від GDPR. Український закон не містить таких жорстких вимог щодо обов’язковості заздалегідь отриманої згоди на обробку особистих даних, як GDPR. В Україні також існують відмінності у термінології та органах, що відповідають за здійснення контролю та нагляду за дотриманням правил обробки особистих даних. Водночас з огляду на те, що Україна не перебуває в юрисдикції Європейського Союзу, GDPR може застосовуватись до українських компаній в частині, що стосується обробки даних громадян ЄС.

У той самий час Україна взяла на себе зобов’язання адаптувати законодавство ЄС у сфері захисту персональних даних відповідно до статті 15 Угоди про асоціацію між Україною з одного боку та Європейським Союзом, Європейським співтовариством атомної енергії та їх державами-членами з іншого боку, ратифікованої ще у 2014 році. Це передбачає удосконалення законодавства про захист персональних даних з метою приведення його у відповідність до GDPR. Станом на сьогодні адаптація просувається на рівні окремих законодавчих ініціатив. І тут є важливі нюанси.

Адаптація законодавства ЄС у сфері захисту персональних даних по-українськи

Розробка законопроєкту, що мав би наблизити національне законодавство у сфері захисту персональних даних до стандартів ЄС, почалася в Комітеті ВР з питань цифрової трансформації. Ця ініціатива законодавців зіткнулися із значною критикою з боку бізнес-асоціацій та громадськості. Адже розробка проєкту відбувалась у непрозорому форматі, без залучення представників бізнесу та інститутів громадянського суспільства (окрім наближених до розробників).

Експертні висновки Комітету з питань бюджету і Головного науково-експертного управління Верховної Ради вказали на невідповідність приписам Конституції і законодавства України та необхідність залучення значних додаткових фінансових витрат із держбюджету для їх реалізації. А висновок антикорупційної експертизи Національного агентства з питань запобігання корупції – про наявність корупціогенних факторів.

Зрештою, 16.08.2022 голосування щодо проєкту провалилося. Не голосували 58 депутатів провладної фракції. Жодного голосу також не надали фракції “Голос, “ЄС” і “Батьківщина”. Примітно, що поряд із цим свої голоси додали такі депутатські групи: «Партія «За майбутнє», «ДОВІРА», а також «Відновлення України» і «Платформа за життя та мир», які створені нардепами забороненої ОПЗЖ (остання надала 16 із 25 своїх голосів).

Проте, незважаючи на провал, депутати не полишили ідеї щодо просування сумнівного проєкту. Натомість вони взялися до розробки проєкту Закону «Про Національну комісію з питань захисту персональних даних та доступу до публічної інформації» від 18.10.2021 № 6177 (передбачається, що контрольно-наглядові функції цього органу охоплюватимуть також і відкриті дані). А потім зареєстрували оновлений проєкт Закону «Про захист персональних даних» від 25.10.2022 № 8153, який, за висновком Головного науково-експертного управління ВР, фактично є клоном попереднього. І що прикро, за попередніми даними, влітку цього року обидва законопроекти мають бути винесені на голосування.

Ризики, пов’язані з прийняття нового законодавства у сфері захисту персональних даних, або чому новий закон потребує значного доопрацювання

1. Квапливе запровадження стандартів GDPR призведе до істотного збільшення витрат бізнесу. GDPR в ЄС розроблявся і узгоджувався близько десяти років, потім був наданий дворічний період для набрання чинності. Цей час компанії могли використати для адаптації до нових правил. В Україні цього не передбачається. Часу для адаптації немає.

Надто швидке запровадження нових правил у сучасний кризовий період призведе до істотного збільшення витрат бізнесу щодо його впровадження, зокрема оплати відповідальних осіб з питань захисту персональних даних, запуску нових систем безпеки, ПЗ тощо. А також містить серйозні ризики від перевірок та штрафних санкцій. Це стосується всього українського бізнес-середовища, як до приватного, так і до державного сектору економіки. Витрати останнього неминуче відіб’ються на держбюджеті і на платниках податків.

2. Обмеження прав користувачів відкритих даних. Відповідно до статті 22 Конституції України конституційні права і свободи гарантуються і не можуть бути скасовані або звужені під час прийняття нових законів або внесення змін до чинних законів. Чинне законодавство передбачає гарантії того, що публічна інформація у формі відкритих даних (у тому числі – дані фізичних осіб у складі цієї інформації) є дозволеною для її подальшого вільного використання та поширення із будь-якою законною метою. Законопроєктні ж норми істотно звужують обсяг прав, оскільки передбачають, що використання персональних даних, отриманих із цих джерел, можливе лише в певних межах (згода, суспільний інтерес тощо). При цьому розробники стверджують, що ці правила діють по всьому ЄС, що не є правдою. Зокрема, в Швеції, Данії та Нідерландах дозволено повторне використання персональних даних з реєстрів незалежно від їхньої цілі за відсутності обмежень в законодавстві.
3. Маніпуляції на тлі розмитості понять та нечіткості правил. Відображений в проєкті підхід до визначення персональних даних є дуже розмитим: «персональні дані» – інформація про фізичну особу, яка ідентифікована або може бути ідентифікована… Такий підхід не дає вичерпної відповіді на питання, чи належать ті або інші дані до категорії персональних, чи ні. Таким чином, будь-який суб’єкт у сфері використання персональних даних свідомо стає заручником ситуації, коли нечітке визначення може бути підставою для юридичної відповідальності, і не тільки фінансової, а й кримінальної. Чітких правил, якими можна буде оперувати в разі перевірок, законопроект також не містить.
4. Значні витрати бюджету на утримання. Створення в Україні окремого професійного органу, навчання і комплектація штату та інші подібні питання вимагають часу і значних ресурсів. Згідно із законопроєктом про Національну комісію з питань захисту персональних даних та доступу до публічної інформації штат регулятора становитиме 400 осіб. Це перевищує штатну чисельність більшості центральних органів виконавчої влади, в тому числі: Мінцифри (261) Міносвіти (339), Міністерство охорони здоров’я (238), Мінсоцполітики (294), Пенсійний фонд (302) та ін.

У пояснювальній записці до законопроєкту зазначено, що його прийняття потребує виділення додаткових коштів державного бюджету в обсязі 224,76 млн грн. Це видається дуже скромним розрахунком, оскільки, до прикладу, бюджетні витрати 2024 року на фінансування подібного за чисельністю Мінінфраструктури (427 працівників) становлять два мільярди гривень. Тому тут питання до коректності розрахунків і того, скільки насправді коштуватиме державі утримання нового “органу”.

5. Контрольно-наглядовий орган. Пропонується наділення нового органу повноваженнями щодо проведення перевірок без будь-якого спеціального рішення на їх проведення, лише за умови пред’явлення службового посвідчення. Із можливістю накладення штрафів фантастичного розміру: на фізичних осіб – до 20 млн грн, на юридичних осіб – до 150 млн грн, або до 8% загального річного обороту (зараз максимальний штраф становить34 тис. грн). За таких умов важко повірити в те, що основна роль цього органу полягатиме в «навчанні і роз’ясненні», а не в перетворенні на свавільного контролера, схожого за своїми повноваженнями на роскомнагляд у країні-агресорці.
6. Гарантії прозорості, підзвітності держави та боротьби з корупцією під загрозою. Можливість вільного використання відкритих даних, як це гарантовано Законом України «Про доступ до публічної інформації», сприяє процесам прозорості ведення бізнесу, розвитку громадянського суспільства (важлива інформація стає доступнішою людям), боротьби з корупцією (проведення журналістських, антикорупційних розслідувань) та інших позитивних змін у країні. Обмеження використання відкритих даних, закладені в новому проєкті, призведуть до звуження наявних гарантій, однозначно погіршивши ситуацію.
7. Відсутні професіонали і процедура їх підготовки. В Україні сьогодні відсутні ресурси для забезпечення легкого переходу на новий режим у разі його прийняття. Українська система освіти не передбачає можливості навчання/підвищення кваліфікації десятків тисяч фахівців у цій сфері. Відсутні навчальні програми, плани, бюджет для цього. Крім того, навіть якщо впровадити це просто зараз, для підготовки перших фахівців треба мінімум три роки. Тобто перші випускники змогли б з’явитися тільки в 2024/25 роках, тимчасом як країна потребувала б їх на кілька років раніше.
8. Неактуальність питання порівняно з нагальними проблемами суспільства. З огляду на проблему корупції, безпеки бізнесу та виявлення російських агентів у суспільстві зараз є значний запит на використання відкритих даних без будь-яких обмежень, як це гарантовано чинним законом.

Висновки

Законопроєкт із GDPR в Україні потребує суттєвого доопрацювання. Наближення національного законодавства до європейських стандартів не може відбуватися шляхом впровадження надшироких контрольних і штрафних повноважень Національної комісії. Адже так вона перетвориться на інструменти тиску на бізнес та інші сфери діяльності. В умовах суворого бюджетного дефіциту мільярдні витрати на створення й утримання нової контролювальної структури доцільніше спрямовувати на інші пріоритети воєнного часу.

Неможливість повноцінної перевірки контрагентів через обмеження використання і аналізу інформації про їх учасників, керівників, КБВ та інших пов’язаних фізичних осіб автоматизованими програмами відсуне бізнес, банківський сектор, журналістів-розслідувачів у кам’яну добу, де їм доведеться робити все “вручну”. А використання “сірих” баз є неприйнятним. Закриття доступу до суспільно важливої інформації в стилі російської федерації аж ніяк не наблизить нас до Європи. Міжнародні партнери пильно спостерігають за тим, чи зможе Україна перемогти корупцію і вибороти можливість не бути схожою на росію.

Це не означає, що суспільство не потребує захисту особистої інформації, а лише те, що відповідні ініціативи мають бути переглянуті з урахуванням вимог закону та на принципах обґрунтованості, пропорційності, добросовісності і розсудливості. А також неодмінно з урахуванням прав бізнесу і громадськості на участь у процесі прийняття таких рішень.