Швидкий технологічний розвиток викликав стрімке зростання обсягу інформації у світі та необхідність забезпечити її належне зберігання, обробку та захист. Це стало передумовою для ухвалення у 1981 році Конвенції 108 про захист осіб у зв’язку з автоматизованою обробкою персональних даних (пізніше оновлена як Convention 108+).
 |
Маєте Телеграм? Два кліки - і ви не пропустите жодної важливої юридичної новини. Нічого зайвого, лише #самасуть. З турботою про ваш час! |
Надалі питання захисту персональних даних у межах ЄС регулювалося Директивою 95/46/ЄС. Згодом у зв’язку зі стрімким розвитком Інтернету, поширенням е-комерції та транскордонної передачі даних виникла необхідність оновити законодавство у сфері обробки персональних даних. Директиву у 2018 році було замінено Регламентом 2016/679 (більш відомим як GDPR).
З того часу GDPR вважається основним ключовим регулятивним документом, що регулює обробку особистих даних громадян ЄС та має екстериторіальну дію.
Україна ж дещо відстає в цьому питані. Єдиний Закон, що регулює захист персональних даних в Україні, був прийнятий ще у 2010 році для імплементації Директиви 95/46, яка на сьогодні втратила актуальність. З того часу він істотно не переглядався та дещо відстає від тенденцій в цій сфері, містить відмінності в термінології та органах, що відповідають за здійснення контролю та нагляду за дотриманням правил обробки особистих даних та не містить таких жорстких вимог щодо обов'язковості заздалегідь отриманої згоди на обробку особистих даних, як GDPR.
Після отримання Україною статусу кандидата на членство в ЄС питання в оновленні законодавства у сфері захисту персональних даних та адаптації його до європейських стандартів постало більш гостро.
На сьогодні у Верховній Раді зареєстровано два законопроєкти №8153 і №6177. Якщо законопроєкт №6177 деталізує створення та роботу незалежного контролюючого органу з питань захисту персональних даних, то законопроєкти №8153 пропонує нову редакцію Закону «Про захист персональних даних».
Він, зокрема, передбачає приведення термінології сфери захисту персональних даних у відповідність до міжнародних стандартів; деталізацію та більш зрозуміле формулювання принципів обробки персональних даних; чіткіше формулювання підстав обробки даних; вводить деталізовані та прозорі вимоги до згоди на обробку персональних даних, які дозволять уникнути зловживань та маніпуляцій.
Також суттєво розширюються права суб’єктів персональних даних та механізми їх реалізації, включаючи право на забуття (вилучення, знищення), право на заперечення (зміни), право на обмеження обробки, право на мобільність даних (вимога надати дані, зібрані в мережі Інтернет) та інші. Більш чітко визначаються обов’язки контролера та оператора персональних даних та прописується порядок повідомлення про витік персональних даних. На контролерів та операторів покладається додатковий обов’язок - впроваджувати технічні та організаційні заходи для гарантування захисту даних, а у разі виникнення загроз - повідомляти як громадян, так і контролюючий орган. Вводиться інститут відповідальної особи з питань захисту персональних даних, її функціональні обов'язки, вимоги та порядок призначення. Врегульовується порядок передачі персональних даних на територію іноземних держав та міжнародних організацій. Суттєво збільшуються штрафи за порушення законодавства у сфері захисту персональних даних.
Також законопроєктом визначаються особливі вимоги до обробки чутливих персональних даних; обробки персональних даних, пов’язаних із притягненням до кримінальної відповідальності; обробки біометричних даних суб’єктами владних повноважень та обробки персональних даних з метою прямого маркетингу, передвиборчої агітації та політичної реклами.
І хоча спроба увідповіднювати законодавство зі стандартами ЄС вітається, але самі законопроєкти піддаються нищівній критиці.
Зокрема, законопроєкт критикують за надмірну кількість правових конструкцій оцінювального характеру та правових невизначеностей, які в сукупності з широким колом дискреційних повноважень контролюючого органу та із суттєвим зростанням системи штрафів може призвести до неконтрольованого зловживання владою. Якщо країни ЄС звикли покладати функцію «правового тлумачення» оцінювальних норм на свої органи, то в Україні таке «довільне» тлумачення в тандемі з відсутністю контролю за реалізацією таких функцій може призвести до свавільного тлумачення і стати черговим інструментом для тиску на бізнес. Будь-який суб’єкт у сфері використання персональних даних свідомо стає заручником ситуації, коли нечітке визначення може бути підставою для юридичної відповідальності (не лише фінансової, а й кримінальної).
Існує ризик, що нові правила захисту персональних даних можуть бути використані для цензури та утисків свободи слова, що потягне за собою також обмеження свободи журналістської діяльності, яка є важливою передумовою розбудови громадянського суспільства та складником загальнодержавної антикорупційної інфраструктури.
Обмеження використання відкритих даних, закладені в новому проєкті, матимуть наслідком звуження наявних гарантій у Законі України «Про доступ до публічної інформації», що однозначно погіршить ситуацію в боротьбі з корупцією та підзвітністю.
Критикують і поспішність введення змін без належного часу на адаптацію, що потягне за собою значні витрати для бізнесу на впровадження нових систем безпеки, програмного забезпечення, оплати фахівців. Це негативно вплине на конкурентоспроможність українських підприємств, особливо малого та середнього бізнесу.
Законопроєкт потягне і значні витрати з бюджету на його запровадження та утримання, особливо на профільний орган, створення якого передбачається, а актуальність таких витрат в умовах жорсткого дефіциту бюджету під великим питанням.
Висновки
Якщо підсумувати, то законопроєкт із захисту персональних даних в Україні потребує суттєвого доопрацювання з урахуванням думок та зауважень експертів, бізнес-спільноти та громадськості, щоб він максимально відповідав потребам українського суспільства та міжнародним стандартам. Зараз це виглядає як дещо бездумне, відірване від реалій українського сьогодення, копіювання GDPR, яке по факту може викликати більше нових проблем, ніж розв'язати поточні.
Наближення національного законодавства до європейських стандартів не повинно відбуватися шляхом впровадження надшироких контрольних і штрафних повноважень профільного органу, адже так він швидше перетвориться на черговий інструменти тиску на бізнес та інші сфери діяльності, ніж на дієвий механізм захисту персональних даних.
Також в умовах суворого бюджетного дефіциту хотілося б бачити раціональніший підхід до законотворчості та запровадження регулювальних інстанцій, без необхідності витрачати мільярди на створення й утримання нової контролюючої структури.