Законопроєкт «Про захист персональних даних» пройшов перше читання
Законопроєкт «Про захист персональних даних» пройшов перше читання
Верховна Рада сьогодні, 20 листопада, прийняла в першому читанні законопроєкт від 22.10.2022 №8153 «Про захист персональних даних». За основу законопроєкт підтримали 272 нардепи. Про це повідомила народна депутатка Ірина Геращенко.
Напередодні аналітики компанії YouControl публічно заявили, що положення законопроєкту викликають занепокоєння в громадського сектору, бізнесу та медіа, адже несуть ризики збільшення тиску на бізнес, звуження сфери доступу до публічної інформації, розширення можливостей для корупційних зловживань і до надмірних бюджетних витрат.
«На жаль, сьогодні Верховна Рада ухвалила його у першому читанні.
Результати голосування ви можете побачити на скриншоті. Примітно, що документ не отримав жодного голосу "проти". Єдиною політичною партією, яка не підтримала законопроект, стала "Європейська солідарність".
Наразі команда YouControl, за участі наших професійних юристів, активно готує правки до законопроєкту. Ми сподіваємося, що ці пропозиції будуть враховані», — йдеться в повідомленні команди YouControl на фейсбуці.
Серед основних ризиків законопроєкту в YouControl напередодні назвали:
- Надзвичайно високі штрафи. На фізичних осіб — до 20 млн грн, на юридичних осіб — до 150 млн грн, або до 8% загального річного обороту (зараз максимальний штраф становить 34 тис. грн).
- Знищення даних, навіть із суспільним значенням. Президент-утікач Янукович, до прикладу, може вимагати не називати його злочинцем, посилаючись на давність вироку. Суд може прийняти його сторону, спираючись на «право на забуття», визначене статтею 21 нового закону.
- Довільне трактування. Абстрактне визначення «персональних даних» у законопроєкті дає органам контролю можливість інтерпретувати це поняття на власний розсуд, що відкриває шлях до корупційних зловживань.
- Обмеження використання відкритих даних. Закладені положення загрожують прозорості, підзвітності держави та боротьбі з корупцією. Бізнес, журналісти-розслідувачі та банки втратять можливість повноцінної перевірки.
- Крім того, наступним планується розгляд законопроєкту про створення нового регулятора — наглядово-карального органу, утримання якого обійдеться країні в понад 2 млрд грн. Імовірно, цей орган перевірятиме кожне підприємство, адже часу на адаптацію та впровадження нових правил для бізнесу просто не передбачено.
«Прийняття законопроєкту дещо наближує до європейського співтовариства, з одного боку, а з іншого боку в законопроєкті “Про захист персональних даних” закладені дуже серйозні ризики: корупційні, ризики для бізнесу, ризики для громадян, для журналістів у доступі до даних для розслідувань та для державного бюджету, тому що проєкт передбачає функціонування спеціального органу-контролера, і за висновком Єврокомісії законопроєкт має прийматися в пакеті з проєктом про такий регуляторний орган», — зазначив у коментарі «Детектору медіа» заступник директора YouControl з правових питань, голова правління «Асоціації відкритих даних України» Данило Глоба.
Відповідний законопроєкт №6177 «Про національну комісію з питань захисту персональних даних та доступу до публічної інформації» уже розроблений та внесений у парламент, і за словами фахівця, скоро можна очікувати і його розгляду.
«Цей проєкт регулює не лише сферу захисту персональних даних, а також і публічної інформації, тобто всі відкриті дані. Контрольні повноваження органу передбачають можливість застосування штрафів за порушення, і вони величезні: стосовно фізичних осіб — до 20 млн грн, а юридичних — до 150 млн грн, або до 8% загально річного обороту», — сказав Данило Глоба.
За його словами, законопроєкт про захист персональних даних не передбачає перехідного періоду впровадження, як це було в Європейському Союзі під час прийняття Загального регламенту захисту даних, що, зокрема, створює додатковий тиск на бізнес: потрібно буде вводити та фінансувати посаду з контролю за персональними даними. Такий працівник має відстежувати дотримання законодавства, щоб підприємство не наражалося на штрафи регулятора.
Данило Глоба звернув увагу на те, що датою набуття чинності законопроєкту вказане 1 січня 2024 року.
Водночас, за оцінкою аналітика, формулювання «персональних даних» у проєкті є розмитим — це будь-яка інформація стосовно фізичної особи, яка може бути ідентифікована й на практиці може вести до зловживань.
«Таке розмите формулювання дає можливість до будь-якої інформації про фізичну особу вказати, що це — персональні дані і застосувати якісь обмеження в доступі або штрафи», — зазначив юрист.
«У нас наразі дозволено все, що не заборонено, це конституційний принцип, а в законопроєкті передбачено, що дозволено лише те, що визначено законом, це зовсім інший принцип, так фактично відбувається звуження прав громадян на доступ до інформації, прав користувачів відкритих даних, — сказав Данило Глоба. — Персональні дані в реєстрі можуть розміщуватись, але щоб використати їх для дослідження, в тому числі журналістського, буде потрібна визначена підстава». Він додав, що в таких умовах збір інформації журналістами-розслідувачами значно ускладниться.
«І до цього законопроєкту, і до законопроєкту про регулятора є висновки і Національного агентства з питань запобігання корупції про наявність прямих корупційних ризиків, так є і численні листи і від Американської торговельної палати, Європейської бізнес-асоціації, Союзу українських підприємців і ще багатьох об'єднань підприємств про те, що це шкодить бізнесу, і від інститутів громадянського суспільства, медіа, від Національної асоціації адвокатів та численні аналітичні статті з цього приводу», — сказав Данило Глоба.
Ухвалення законопроєкту без врахування зауважень до другого читання, за його словами, створить «інструмент для того, щоб придушувати відкритість».
Реагуючи на заяву YouControl, робоча група з розробки законодавства у сфері захисту персональних даних представила порівняльну таблицю норм ухваленого у першому читанні законопроєкта №8153 та GDPR:
«Що ж, коментуючи ризики законопроєкта і передруковані не перевірені дані багатьма медіа, вимушені від робочої групи розробників проекту дати коментар по кожному пункту щодо ризиків проектів закону 8153 та 6177.
Далі ви бачите таблицю, де без зайвих слів (посилання на першоджерело теж є) по кожному пункту є надійна норма чинного в ЄС вже 6 років GDPR, який виконують усі країни ЄС, а також схожі норми мають усі поважні юрисдикції, особливо ті, що мають величезні ринки ІКТ послуг — Тайвань, Китай.
Тепер щодо обурення громадськості та ризиків для відкритих даних. Сфера відкритих даних в ЄС, куди ми йдемо, повністю залежна від GDPR. Ось список актів ЄС, які регулюють обмін даними. Можете самі пошукати і подивитись, скільки в цих документах посилань на GDPR, який має бути вже імплементований для відкриття даних:
- Digital content Directive (EU) 2019/770
- European Data Act (Regulation) 2022/0047(COD)
- European Health Data Space (Regulation) 2022/0140(COD)
- Regulation on the free flow of non-personal data (EU) 2018/1807
- Open Data Directive (PSI) (EU) 2019/1024
- Data Governance Act (DGA Regulation) (EU) 2022/868
Тепер, у 2024 році, ми маємо звіт Єврокомісії, в якому чітко написано — до кінця 2025 року ухвалити проект закону, який вже є в ВРУ, і є ще одна непублічна вимога — до 2027 року створити незалежний наглядовий орган, тобто розбудувати систему захисту персональних даних, яка є умовою для вступу в ЄС.
Тому, якщо хтось виступає проти цієї реформи, фактично, це противники євроінтеграції, бо, зараз вони отримують певні вигоди, які закінчаться (або зменшаться) зі вступом», — повідомила від імені робочої групи координаторка, кандидат наук з деожавного управління Лілія Олексюк.
Порівняльна таблиця з ризиками, вказаними YouControl, та чинними нормами GDPR:
|
Надзвичайно високі штрафи. На фізичних осіб — до 20 млн грн, на юридичних осіб — до 150 млн грн, або до 8% загального річного обороту (зараз максимальний штраф становить 34 тис. грн). |
На порушення таких положень, згідно з параграфом 2, поширюється застосування адміністративних штрафів сумою до 10 млн євро або, у випадку підприємства, до 2% від загального глобального річного обігу за попередній фінансовий рік, залежно від того, яка сума є вищою На порушення таких положень, згідно з параграфом 2, поширюється застосування адміністративних штрафів сумою до 20 млн євро або, у випадку підприємства, до 4% від загального глобального річного обігу за попередній фінансовий рік, залежно від того, яка сума є вищою На невідповідність постанові наглядового органу, як вказано в статті 58(2), згідно з параграфом 2 цієї статті, поширюється застосування адміністративних штрафів сумою до 20млн євро або, у випадку підприємства, до 4% від загального глобального річного обігу за попередній фінансовий рік, залежно від того, яка сума є вищою. |
|
Знищення даних, навіть із суспільним значенням. Президент-втікач Янукович, до прикладу, може вимагати не називати його злочинцем, посилаючись на давність вироку. Суд може прийняти його сторону, спираючись на «право на забуття», визначене статтею 21 нового закону. |
Стаття 17 Право на стирання («право бути забутим») 1. Суб'єкт даних повинен мати право на стирання своїх персональних даних, яке повинен здійснити контролер без будь-якої безпідставної затримки, також контролер повинен бути зобов'язаним стерти персональні дані без будь-якої необґрунтованої затримки у разі виникнення однієї наведених нижче підстав: (a) немає більше потреби в персональних даних для цілей, для яких їх збирали чи іншим чином опрацьовували; (b) суб'єкт даних відкликає згоду, на якій ґрунтується опрацювання, згідно з пунктом (a) статті 6(1) чи пунктом (a) статті 9(2), та якщо немає іншої законної підстави для опрацювання; (c) суб'єкт даних заперечує проти опрацювання згідно зі статтею 21(1), та немає жодних першочергових законних підстав для опрацювання, або суб'єкт даних заперечує проти опрацювання згідно зі статтею 21(2); (d) персональні дані опрацьовували незаконно; (e) персональні дані необхідно стерти для дотримання встановленого законом зобов'язання, закріпленого в законодавстві Союзу або держави-члена, яке поширюється на контролера; (f) персональні дані збирали в зв'язку з пропонуванням послуг інформаційного суспільства, вказаних у статті 8(1). 2. У разі, якщо контролер оприлюднив персональні дані та є зобов'язаним відповідно до параграфа 1 стерти персональні дані, контролер, з урахуванням наявних технологій та витрат на їхню реалізацію, повинен вжити відповідних заходів, у тому числі, технічних заходів, для інформування контролерів, які опрацьовують персональні дані, про те, що суб'єкт даних направив запит на стирання такими контролерами будь-яких посилань на такі персональні дані, їхні копії чи відтворення. 3. Параграфи 1 та 2 не застосовують залежно від ступеня необхідності в опрацюванні: (a) для реалізації права на свободу вияву поглядів та свободу інформації; (b) для дотримання встановленого законом зобов'язання, що вимагає опрацювання згідно з законодавством Союзу або держави-члена, яке поширюється на контролера, або для виконання завдання в суспільних інтересах або здійснення офіційних повноважень, покладених на контролера; (c) на підставах суспільного інтересу в сфері охорони суспільного здоров'я згідно з пунктами (h) та (i) статті 9(2), а також статтею 9(3); (d) для досягнення цілей суспільних інтересів, цілей наукового чи історичного дослідження або статистичних цілей, відповідно до статті 89(1), мірою, якою вказане в параграфі 1 ймовірно унеможливить або серйозно обмежить досягнення цілей такого опрацювання; або (e) для формування, здійснення або захисту правових претензій. |
|
Довільне трактування. Абстрактне визначення «персональних даних» у законопроекті дає органам контролю можливість інтерпретувати це поняття на власний розсуд, що відкриває шлях до корупційних зловживань. |
(1) «персональні дані» означає будь-яку інформацію, що стосується фізичної особи, яку ідентифіковано чи можна ідентифікувати («суб'єкт даних»); фізична особа, яку можна ідентифікувати, є такою особою, яку можна ідентифікувати, прямо чи опосередковано, зокрема, за такими ідентифікаторами як ім'я, ідентифікаційний номер, дані про місцеперебування, онлайн-ідентифікатор або за одним чи декількома факторами, що є визначальними для фізичної, фізіологічної, генетичної, розумової, економічної, культурної чи соціальної сутності такої фізичної особи; |
|
Обмеження використання відкритих даних. Закладені положення загрожують прозорості, підзвітності держави та боротьбі з корупцією. Бізнес, журналісти-розслідувачі та банки втратять можливість повноцінної перевірки. |
Стаття 85 Опрацювання і свобода вияву поглядів та свобода інформації
Стаття 86 Опрацювання та доступ громадськості до офіційних документів Персональні дані в офіційних документах, що зберігаються публічним органом або приватним органом для виконання завдання в суспільних інтересах, може розкрити орган або організація відповідно до законодавства Союзу або держави-члена, яке поширюється на публічний орган або організацію, з метою узгодження публічного доступу до офіційних документів із правом на захист персональних даних відповідно до цього Регламенту. |
|
Крім того, наступним планується розгляд законопроєкту про створення нового регулятора — наглядово-карального органу, утримання якого обійдеться країні в понад 2 млрд грн. Імовірно, цей орган перевірятиме кожне підприємство, адже часу на адаптацію та впровадження нових правил для бізнесу просто не передбачено. |
Стаття 51 Наглядовий орган 1. Кожна держава-член покладає на один або декілька незалежних публічних органів відповідальність за моніторинг застосування цього Регламенту, для того, щоб захистити фундаментальні права та свободи фізичних осіб у сфері опрацювання та сприяти вільному руху персональних даних у межах Союзу («наглядовий орган»). 2. Кожний наглядовий орган сприяє послідовному застосуванню цього Регламенту в межах Союзу. З цією метою наглядові органи співпрацюють один з одним і з Комісією відповідно до глави VII. Завдання 1. Без обмеження інших завдань, встановлених згідно з цим Регламентом, кожний наглядовий орган на своїй території: (a) здійснює моніторинг і забезпечує застосування цього Регламенту; (b) сприяє обізнаності громадськості та її розумінню ризиків, правил, гарантій і прав у зв'язку з опрацюванням. Особливу увагу необхідно приділити опрацюванню, спрямованому безпосередньо на дітей; (c) консультує, згідно з законодавством держави-члена, національний парламент, уряд і інші установи та органи щодо законодавчих і адміністративних інструментів, що пов'язані з захистом прав і свобод фізичних осіб у зв'язку з опрацюванням; (d) сприяє обізнаності контролерів і операторів про їхні обов'язки за цим Регламентом; (e) на запит, надає інформацію будь-якому суб'єкту даних щодо реалізації їхніх прав за цим Регламентом і, за необхідності, з цією метою співпрацює з наглядовими органами в інших державах-членах; (f) розглядає скарги, подані суб'єктом даних, або органом, організацією чи асоціацією згідно зі статтею 80, і розслідує, наскільки це можливо, предмет скарги та повідомляє позивача про прогрес і наслідки розслідування в розумний строк, зокрема якщо існує необхідність подальшого розслідування чи координації з іншим наглядовим органом; (g) співпрацює, в тому числі, шляхом обміну інформацією та надання взаємної допомоги, з іншими наглядовими органами для забезпечення послідовності застосування та забезпечення виконання цього Регламенту; (h) проводить розслідування щодо застосування цього Регламенту, в тому числі, на підставі інформації, отриманої від іншого наглядового органу чи іншого публічного органу; (i) здійснює моніторинг відповідних тенденцій, доки вони впливають на захист персональних даних, зокрема, розроблення інформаційно-комунікаційних технологій і комерційної практики; (j) ухвалює стандартні договірні положення, вказані в статті 28(8) та пункті (d) статті 46(2); (k) започатковує і веде список у зв'язку з вимогами для оцінювання впливу на захист даних згідно зі статтею 35(4); (l) консультує щодо операцій опрацювання, вказаних у статті 36(2); (m) заохочує розроблення кодексів поведінки відповідно до статті 40(1), надає висновок і схвалює такі кодекси поведінки, що забезпечують достатні гарантії, відповідно до статті 40(5); (n) заохочує запровадження механізмів сертифікації захисту даних і штампів і знаків захисту даних згідно зі статтею 42(1), і схвалює критерії сертифікації згідно зі статтею 42(5); (o) за необхідності, здійснює періодичний перегляд сертифікацій, виданих згідно зі статтею 42(7); (p) розробляє і опубліковує критерії для акредитації органу для моніторингу кодексів поведінки згідно зі статтею 41 чи органу сертифікації згідно зі статтею 43; (q) проводить акредитацію органу для моніторингу кодексів поведінки згідно зі статтею 41 чи органу сертифікації згідно зі статтею 43; (r) надає дозвіл на договірні положення, вказані в статті 46(3); (s) ухвалює зобов'язальні корпоративні правила відповідно до статті 47; (t) сприяє діяльності Ради; (u) веде внутрішні записи порушень положень цього Регламенту та заходів, вжитих згідно зі статтею 58(2); і (v) виконує будь-які інші завдання, пов'язані з захистом персональних даних. |
Фото: результати голосування законопроєкту «Про захист персональних даних» у першому читанні у ВРУ / YouControl
