1 января 2011 года вступил в силу Закон Украины «О защите персональных данных» (Закон), направленный на введение в национальное законодательство механизма использования и защиты персональных данных. Необходимость применения таких норм была вызвана ратификацией Верховной Радой Украины Конвенции о защите лиц в связи с автоматизированной обработкой данных личного характера № 108 от 28 января 1981 года и Дополнительного протокола к Конвенции о защите лиц в связи с автоматизированной обработкой персональных данных относительно органов надзора и трансграничных потоков данных от 8 ноября 2001 года.

Этап развития

С этого момента начался этап развития института урегулирования правоотношений в сфере использования персональных данных, однако и сейчас есть множество неурегулированных вопросов, пробелов как со стороны законодательства, так и со стороны непосредственного внедрения указанных норм в жизнь.

Большинство граждан нашей страны в целом не понимают значения данных норм, еще часть из тех, кто понимает, не придают этому никакого значения. А те, кто столкнулся с проблемой нарушения их прав на защиту персональных данных и принял решение отстаивать свои права (надо заметить, что таких в нашем государстве единицы), столкнулись с несовершенством системы их охраны. Так, согласно статистическим данным, в 2017 году на рассмотрение Уполномоченного Верховной Рады Украины по правам человека поступило 834 сообщения о нарушении прав на свободу от вмешательства в личную и семейную жизнь (статья 32 Конституции Украины), что составляет 2,34 % от общего количества обращений за указанный период. При этом за 2017 год представителями Уполномоченного и должностными лицами Секретариата Уполномоченного Верховной Рады Украины по правам человека было составлено всего 32 протокола о совершении административных правонарушений по статье 188³⁹ Кодекса Украины об административных правонарушениях (нарушение законодательства в сфере защиты персональных данных). Что касается уголовной ответственности, то эти показатели еще ниже.

Исходя из статистических данных, становится ясно, что необходимо принимать меры, вносить изменения в существующие нормы, анализировать опыт других государств, которые достигли определенных успехов в этой сфере, проводить так называемую работу над ошибками.

Давайте проведем анализ сложившейся ситуации относительно персональных данных в Украине и за ее пределами.

Плюсы, минусы, пробелы

Изучая исторический аспект развития Украины, можно сделать вывод, что на протяжении веков не угасала любовь властей к введению прогрессивных законов «наполовину». Не было исключением и принятие Закона Украины «О защите персональных данных». Так, нормы были задекларированы, но даже государственные структуры не сразу разобрались в их содержании и смысловой нагрузке. Как оказалось, основным минусом Закона стала его неоднозначность, расплывчатость норм и понятий, возможность каждого трактовать его на свое усмотрение. Очень скоро стало понятно, что Закон требует доработки, внесения изменений и дополнений, а внедрение его в реальную жизнь — достаточно сложный и затратный процесс.

К положительным сторонам принятия Закона можно отнести следующее:

— первые шаги к урегулированию правоотношений в сфере сбора, хранения и использования персональных данных;

— приближение к европейскому уровню защиты персональных данных;

— создание легального рынка сбора и обработки персональных данных;

— создание организаций, на которые возложена обязанность проведения контроля за выполнением положений Закона (при этом, в отличие от других государств, в нашей стране эти органы входят в систему органов исполнительной власти, что является значительным минусом и дает возможность влиять на принятые ими решения со стороны чиновников);

— принятие Закона является еще одним шагом к евроинтеграции государства.

При всех плюсах минусов тоже хватает. Частично мы их уже перечислили, но на этом проблемы не закончились. И в первую очередь надо отметить сложность системы защиты нарушенных прав граждан в разрезе использования персональных данных, в связи с чем суть Закон сводится к всего лишь красивым словам, но не более. Невозможность защитить свои права приводит к тому, что многие не видят практического смысла в существовании таких прав.

Мировая практика

Поскольку период развития института защиты персональных данных в Украине еще небольшой, надо учиться у соседей, которые на данный момент достигли определенных стандартов.

В первую очередь мы заимствуем опыт у стран Европейского Союза, при этом очень часто слепо копируем их нормы, не учитывая внутренние потребности граждан и уровень правового воспитания в стране. Однако это лучше, чем ничего.

Давайте разберемся с тем, как решается данный вопрос у наших европейских соседей. Так, европейское законодательство в сфере защиты персональных данных развивается уже более двух десятилетий. При этом оно постоянно усовершенствуется, учитываются изменения в потребностях граждан, прогресс во всех его проявлениях, требования реалий жизни. Первоначально защита персональных данных была урегулирована Конвенцией о защите лиц в связи с автоматизированной обработкой данных личного характера № 108 от 28 января 1981 года и Дополнительным протоколом к Конвенции о защите лиц в связи с автоматизированной обработкой персональных данных относительно органов надзора и трансграничных потоков данных от 8 ноября 2001 года, которые были ратифицированы Верховной Радой Украины, о чем мы уже говорили выше. В мае 2018 года вступил в силу новый Регламент об общей защите персональных данных Европейского Союза, который внес значительные изменения в порядок сбора, хранения и использования персональных данных.

Кроме того, каждая страна Европейского Союза также имеет свою систему защиты персональных данных, которая развивалась десятилетиями и учитывает потребности юридических и физических лиц, а также особенности правовой культуры того или иного государства. Среди таких стран можно отметить Германию, где первый закон в этой сфере был принят еще в 1970 году, Францию, с ее многолетним опытом, пробами и ошибками, а также Великобританию, нормативная база регулирования использования персональных данных которой начала развиваться позже, чем в предыдущих странах, однако достигла высокого уровня.

При правильном заимствовании законодательной базы соседей и проведении анализа потребностей и возможностей у нашего государства есть все шансы достичь европейского уровня, а возможно, чему-то научить Европу.

Регламент ЕС: чего ждать

Как уже было указано выше, Регламент об общей защите персональных данных Европейского Союза (General Data Protection Regulation или GDPR), принятый Европейским парламентом 17 декабря 2015 года, вступил в силу 25 мая 2018 года.

Этот закон можно назвать радикально новым в разрезе законодательства о неприкосновенности личной жизни. Он затрагивает все компании, обрабатывающие информацию о гражданах ЕС, в том числе компании других стран, которые ведут бизнес на территории Европейского Союза.

Необходимо обратить внимание на следующие нововведения:

— запрет на сбор персональных данных государством и компаниями без разрешения физического лица;

— так называемое право на забвение — обязанность компаний удалить данные о физлице по первому требованию без каких-либо исключений;

— требование к компаниям проверять уровень защиты персональных данных в странах, куда такие данные передаются, при выявлении низкого уровня защиты запрещается передача данных;

— возраст, с которого лицо может дать разрешение на обработку персональных данных, повышен с 13 до 16 лет;

— на компании с европейскими представительствами наложен ряд ограничений, среди которых запрет на передачу данных властям других стран, а также ограничение обмена данными с другими подразделениями;

— согласно новому закону, каждый человек может обратиться в ведомство одной из стран ЕС, подконтрольное Европейскому комитету по защите персональных данных;

—повышена ответственность за нарушение законодательства о защите персональных данных. Так, наказание зависит от серьезности проступка. Среди прочего предусмотрен штраф в размере 4 % годового оборота.

С оригинальным текстом документа можно ознакомиться на сайте Европейского Союза.

Как этот закон повлияет на граждан Украины, пока что прогнозировать рано, однако украинским компаниям, работающим с ЕС, надо готовиться со всей серьезностью. В противном случае они могут потерять рынок сбыта, партнеров и клиентов, а как следствие — прибыль.

Механизм защиты персональных данных в Украине несовершенен и нуждается в изменениях и улучшении эффективности его действия. Однако, как показывает опыт других стран, это процесс длительный и может занять не одно десятилетие. Для начала необходимо постепенно устранять слабые места и адаптировать к новым условиям жизни, а также повышать осведомленность граждан, в том числе и правовую. Это ускорит процесс развития не только института защиты персональных данных, но и уровень государства в целом.

АРОНОВИЧ Феликс — партнер ЮФ SDM Partners, г. Киев