Автори:

Юлія Поліковська

Законопроєкт від 22.10.2022 №8153 «Про захист персональних даних», який Верховна Рада прийняла сьогодні, 20 листопада, за основу, потребує правок та уточнень для ухвалення в цілому та реалізації реформування системи захисту персональних даних. Проєкт закону має на меті узгодити українське регулювання у цій сфері із Загальною директивою захисту персональних даних Євросоюзу (GDPR). Однак, як зазначив у коментарі «Детектору медіа» виконавчий директор «Української Гельсінської спілки» Олександр Павліченко, «те, що пропонується зробити, зовсім не відповідає тій усталеній практиці, яка напрацьована і функціонує в системах європейських держав із захисту персональних даних».

«Передовсім, Україна в сьогоднішніх умова не здатна забезпечити створення незалежного органу контролю, треба це визнати, — зазначив Олександр Павліченко — Я працював з цим законопроєктом, і законопроєктом про створення такого регулятора, ми виступали із їх критикою, і я вважаю, що має бути чітко спланований підхід з тим, щоб відбувався перехід з існуючого стану до системи GDPR».

За його словами, сьогоднішні українські реалії з існуючим рівнем корупції змушують сумніватися в можливості створення незалежного регулятора. До того ж створення держоргану потребує значних фінансових ресурсів.

Система майбутнього регулювання передбачає роботу офіцерів захисту персональних даних у компаніях та інституціях, які підпорядковуються регулятору. Поки що в Україні немає таких фахівців і системи їх підготовки, проте мали би почати працювати з набуттям чинності закону.

Юрособи мають створити та фінансувати посади таких офіцерів. Водночас систему високих штрафів пропонується запровадити одразу. Це може спонукати бізнес вдаватися до корупції, щоб уникати їх.

• Читайте також: Обов'язкове інформування, контроль та великі штрафи: як новий законопроєкт змінює правила захисту персональних даних

Не можна вважати, що сама ратифікація документа автоматично тягне за собою якесь піднесення на високий рівень системи захисту персональних даних, додав Олександр Павліченко.

«У цьому законопроєкті є така цікава норма, що якщо держави є учасницями GDPR або ж ратифікували конвенцію Ради Європи з питань автоматизованого захисту персональних даних, то слід вважати, що вони дотримуються належного рівня забезпечення контролю за передачею персональних даних, — розповів фахівець. — Я дуже сумніваюсь, що з усіх 46 держав-членів Ради Європи, до яких належить і Вірменія, і Азербайджан, і Грузія, і Молдова, всі вони на сто відсотків дотримуються цих стандартів.

У 2013 році конвенцію 108 ратифікувала Російська Федерація, так що їм можна передавати дані беззастережно, а якщо тільки це регуляторним органом не заборонено в якомусь списку. У нас нема цього регуляторного органу, а ми вже вважаємо, що вони, так би мовити, є тими, хто контролює належним чином забезпечення персональних даних».

Олександр Павліченко зазначив, що розцінює ухвалення законопроєкту як «політичний крок та намагання продемонструвати Євросоюзу, що ми рухаємося до гармонізації законодавства.

Тим часом експерт ГО «Центр громадянських свобод» Володимир Яворський у коментарі «Детектору медіа» зазначив, що в основному законопроєкт відповідає європейським стандартам.

«У 2023 році був зроблений аналіз Радою Європи цього законопроєкту, і був висновок, що в основному він відповідає європейським стандартам, єдине, що там потрібно багато уточнень вводити по тексту, тобто в нього є певні недоліки, і це якраз робота до другого читання», — сказав Володимир Яворський.

«Питання стоїть в тому, що або ми це імплементуємо, тобто прописуємо зараз в цьому законі карту набуття чинності різними нормами поетапно, і запускаємо програму змін, щоб через п’ять років мати повністю стандарти ЄС, і тоді це не буде заважати нам вступати, або якщо ми зараз це відкладаємо, то ми повертаємось до цього питання за три-чотири роки», — додав він.

За його словами, поетапність впровадження регулювання, як і штрафи, — те, що доцільно обговорювати до другого читання законопроєкту.

«У будь-якому разі українському бізнесу доведеться щонайменше втричі швидше опрацьовувати ці зміни, ніж європейському, тому що у нас стоїть коротке завдання вступити в ЄС», — додав Володимир Яворський.

• Читайте також: Захист персональних даних ціною в мільярди гривень. Ризики і загрози нових правил

Підтримує ідею доопрацювання до другого читання законопроєкту і старша юристка «Лабораторії цифрової безпеки» Тетяна Авдєєва.

«Історія затягування процесу реформування цієї сфери триває роками, і це шкідливо не лише для прав людини, а і в цілому для держави в період, коли кожна євроінтеграційна реформа може стати вирішальною в процесі прийняття України в ЄС», — зазначила вона в коментарі «Детектору медіа».

За її словами, слід враховувати, що йдеться не тільки про Загальний регламент про захист даних. Ця реформа має стати першим кроком для імплементації багатьох інших регуляцій.

«Без неї неможливо впровадити ані комплексне регулювання платформ, якого неодноразово вимагали в українському парламенті, ні регулювання нашумілого штучного інтелекту, ні правила щодо захищеності кіберінфраструктури», — пояснила фахівчиня.

Юристка «Лабораторії цифрової безпеки» також зупинилася на положеннях, які викликали найбільшу критику:

• «можливість видалення суспільно важливої інформації» в рамках права на забуття: по-перше, це дослівно перекладена стаття Загального регламенту про захист даних. По-друге, кожен інтернет-посередник, до якого звертаються з подібним запитом, має право відмовити у видаленні інформації, і такі справи розглядатимуться в судовому порядку. Більше того, практика Суду справедливості ЄС вказує, що при розгляді справ суди зважають на те, чи досі є суспільний інтерес у такій інформації, перед тим, як гарантувати право на видалення;
• щодо визначення персональних даних та корупційних ризиків: визначення у Загальному регламенті про захист даних є ідентичним пропонованому в законопроєкті. Якщо це створює корупційні ризики, постає питання, чи не лобіюють критики думку «а чи настільки нам потрібен той ЄС?». Не дуже хороша в чинних реаліях позиція, на думку Тетяни Авдєєвої, і вона не радила б її підтримувати;
• обмеження щодо відкритих даних: по-перше, відкриті дані за європейським законодавством і не мають містити персональних даних. Про це говорить не лише Загальний регламент про захист даних, а й інші акти (як-от Директива про відкриті дані);
• штрафи: Тетяна Авдєєва радить переглянути граничні суми штрафів у Загальному регламенті про захист даних. Вони далеко не такі демократичні, як пропонує український законопроєкт. Просто в Україні існують «традиційні цінності безвідповідальності» у сфері захисту персональних даних, коли за порушення накладаються штрафи в 1500 гривень. Це не відповідає європейським цінностям.

Фото: ілюстративне / Getty Images