Адаптація – не клонування: як депутати хочуть витратити мільярди на захист персональних даних

У межах Угоди про асоціацію між Україною та ЄС сторони домовилися співпрацювати з метою забезпечення належного рівня захисту персональних даних відповідно до найвищих європейських і міжнародних стандартів. Перша спроба України врегулювати цю сферу на рівні законодавства була невдалою, і документ так і не було ухвалено. Незабаром Верховна Рада планує розглянути нові законодавчі акти щодо захисту персональних даних. Зазначені ініціативи проаналізував спеціально для Mind голова правління ГО «Асоціація відкритих даних» адвокат Данило Глоба.

Читайте також: GDPR працює: 7 принципів захисту даних інтернет-користувачів

Розробка законопроєкту про захист персональних даних №5628, що мав би наблизити національне законодавство у сфері захисту персональних даних до стандартів ЄС, почалася в Комітеті ВР з питань цифрової трансформації. Ініціатива з самого початку зіткнулися зі значною критикою з боку бізнес-асоціацій і громадськості. Зокрема, через те, що розробка проєкту відбувалася в непрозоро, без залучення представників бізнесу та інститутів громадянського суспільства (окрім наближених до розробників).

До того ж в експертних висновках Комітету з питань бюджету й Головного науково-експертного управління Верховної Ради вказано на невідповідність приписам Конституції та законодавства України й потребу залучення значних додаткових фінансових витрат із держбюджету для їх реалізації, а у висновку антикорупційної експертизи Національного агентства з питань запобігання корупції – на наявність корупціогенних факторів.

У 2022 році Верховна Рада очікувано провалила голосування цього проєкту.

Попри це депутати зважилися реанімувати спірний законопроєкт, до якого зареєстрували й інший, – про регулятора в цій сфері, додавши до його компетенції ще й доступ до публічної інформації та повноваження накладати драконівські штрафи до 150 млн грн.

Читайте також: Персональні дані по-європейськи: чим ризикує український бізнес при переїзді за кордон

Назва, номер і дата реєстрації: 

• № 8153 «Про захист персональних даних» від 25.10.2022 (за висновком Головного науково-експертного управління ВР це фактично клон попереднього проєкту); 
• № 6177 «Про Національну комісію з питань захисту персональних даних та доступу до публічної інформації» від 18.10.2021

Етап: за попередніми даними, обидва законопроєкти мають бути винесені на голосування вже влітку цього року.

Ціна питання. У пояснювальній записці до законопроєкту №6177 зазначено, що його прийняття потребує виділення додаткових 224,76 млн грн. Це видається дуже скромним розрахунком, оскільки, до прикладу, бюджетні витрати 2024 року на фінансування Мінінфраструктури (427 працівників), подібного за чисельністю до Національної комісії з питань захисту персональних даних та доступу до публічної інформації, становлять понад 2 млрд грн.

Що хочуть замінити: Сьогодні в Україні діє закон «Про захист персональних даних», який також регулює обробляння особистих даних, але з деякими відмінностями від Європейського Регламенту 2016/679 про захист даних (або GDPR).

На цей час контрольним органом виступає уповноважений Верховної Ради України з прав людини, що цілком логічно з огляду на спрямованість його повноважень.

Читайте також: Е-військовий: чого очікувати від закону про цифровізацію армії

Позиція юриста: 

1. Поспішне запровадження нових правил. GDPR у ЄС розроблявся й узгоджувався приблизно десять років, потім був наданий дворічний період для набрання чинності. Цей час компанії могли використати для адаптації до нових правил. В Україні цього не передбачається. Часу для адаптації немає.
   Поспішне ухвалення нових норм у сучасний кризовий період призведе до істотного збільшення витрат бізнесу щодо його впровадження, зокрема – на оплату роботи відповідальних осіб з питань захисту персональних даних, запуску нових систем безпеки, ПЗ тощо. А також нестиме серйозні ризики від перевірок і штрафних санкцій. Це стосується всього українського бізнес-середовища, як приватного, так і державного сектору економіки. Витрати останнього неминуче відіб'ються на держбюджеті та платниках податків.
2. Обмеження прав користувачів відкритих даних. Стаття 22 Конституції України передбачає, що конституційні права і свободи гарантуються і не можуть бути скасовані або звужені при прийнятті нових законів. Чинне законодавство передбачає гарантії того, що публічна інформація у формі відкритих даних (у тому числі – дані фізичних осіб у складі цієї інформації) є дозволеною для її подальшого вільного використання та поширення з будь-якою законною метою.
   Законопроєктні ж норми істотно звужують обсяг прав, оскільки передбачають, що використання персональних даних, отриманих із цих джерел, можливо лише в певних межах (згода, суспільний інтерес тощо). При цьому твердження розробників, що ці правила діють у всьому ЄС – неправда. Зокрема, у Швеції, Данії та Нідерландах дозволено повторне використання персональних даних із реєстрів незалежно від мети за відсутності обмежень у законодавстві.
3. Маніпуляції на тлі розмитості понять і нечіткості правил. У проєкті підхід до визначення персональних даних є дуже розмитим: «персональні дані – інформація про фізичну особу, яка ідентифікована або може бути ідентифікована...». Такий підхід не дає вичерпної відповіді на запитання, чи належать ті, чи інші дані до категорії персональних, чи ні. Тому будь-який суб'єкт у сфері використання персональних даних свідомо стає заручником ситуації, коли нечітке визначення може бути підставою для юридичної відповідальності, і не тільки фінансової, а й кримінальної. Чітких правил, якими можна буде оперувати в разі перевірок, законопроєкт також не містить.
4. Значні витрати бюджету на утримання. Створення в Україні окремого професійного органу, навчання і комплектація штату та інші подібні питання вимагають часу та значних ресурсів. Згідно із законопроєктом про Національну комісію з питань захисту персональних даних та доступу до публічної інформації, штат регулятора становитиме 400 осіб. Це перевищує штатну чисельність більшості центральних органів виконавчої влади, у тому числі Мінцифри (261), Міносвіти (339), Міністерства охорони здоров’я (238), Мінсоцполітики (294), Пенсійного фонду (302) та ін.
   У пояснювальній записці до законопроєкту зазначено, що його прийняття потребує виділення додаткових коштів державного бюджету в обсязі 224,76 млн грн. Це здається дуже скромним розрахунком, оскільки, до прикладу, бюджетні витрати 2024 року на фінансування подібного за чисельністю Мінінфраструктури (427 працівників) становлять 2 млрд грн. Тому тут питання до коректності розрахунків і того, скільки насправді коштуватиме державі утримання нового органу.
5. Контрольно-наглядовий орган. Пропонується наділення нового органу повноваженнями щодо проведення перевірок без будь-якого спеціального рішення на їх проведення, лише за умови пред'явлення службового посвідчення, з можливістю накладення штрафів фантастичного розміру: на фізичних осіб – до 20 млн грн, на юридичних осіб – до 150 млн грн, або до 8% загального річного обороту (зараз максимальний штраф становить 34 тис. грн).
   За таких умов важко повірити в те, що основна роль цього органу полягатиме в «навчанні та роз’ясненні», а не в перетворенні на свавільного контролера, схожого за своїми повноваженнями на «роскомнадзор» держави-агресора.
6. Гарантії прозорості, підзвітності держави та боротьби з корупцією під загрозою. Можливість вільного використання відкритих даних, як це гарантовано зараз, сприяє процесам прозорості ведення бізнесу, розвитку громадянського суспільства (важлива інформація стає доступнішою людям), боротьби з корупцією (проведення журналістських, антикорупційних розслідувань) та інших позитивних змін у країні.
   Запропоновані обмеження використання відкритих даних призведуть до звуження чинних гарантій, однозначно погіршивши ситуацію з прозорістю та підзвітністю публічної влади, протидією корупції.
7. Відсутні професіонали та процедура їх підготовки. В Україні сьогодні відсутні ресурси для забезпечення легкого переходу на новий режим у разі його прийняття. Українська система освіти не передбачає можливостей навчання / підвищення кваліфікації десятків тисяч фахівців у цій сфері. Відсутні навчальні програми, плани, бюджет на такі цілі. Навіть якщо впровадити це прямо зараз, для підготовки перших фахівців треба мінімум три роки. Тобто перші випускники змогли б з’явитися тільки 2028 року, тоді як країна потребувала б їх значно раніше.
8. Неактуальність питання в порівнянні з нагальними проблемами суспільства. З огляду на проблему корупції, безпеки бізнесу та виявлення російських агентів, у суспільстві зараз є значний запит на використання відкритих даних без будь-яких обмежень, як це гарантовано чинним законодавством.

Висновки. Адаптація європейських норм – це не клонування. Зважаючи на наведені недоліки, законопроєкти потребують суттєвого доопрацювання і не можуть бути прийняті в первісному вигляді.

В умовах суворого бюджетного дефіциту мільярдні витрати на створення й утримання нової структури контролю доцільніше спрямовувати на інші пріоритети воєнного часу.

Неможливість повноцінної перевірки контрагентів через обмеження використання й аналізу інформації про їхніх учасників, керівників, КБВ та інших пов'язаних фізичних осіб автоматизованими програмами відсуне бізнес, банківський сектор, журналістів-розслідувачів у кам'яний вік, де їм доведеться робити все «вручну». А використання «сірих» баз є неприйнятним. Закриття доступу до суспільно важливої інформації у стилі держави-агресора аж ніяк не наблизить нас до Європи. Водночас міжнародні партнери пильно спостерігають, чи зможе Україна перемогти корупцію та вибороти можливість не бути схожою на росію.

Це не означає, що суспільство не потребує захисту особистої інформації, це означає лише те, що відповідні ініціативи мають бути переглянуті з урахуванням вимог закону та на принципах обґрунтованості, пропорційності, добросовісності й розсудливості. А також неодмінно з урахуванням прав бізнесу та громадськості на участь у процесі ухвалення таких рішень.