Верховна Рада хоче захистити персональні дані «як у Європі». Чи ускладнить це роботу медіа?

Автори законопроєкту не визначили, хто такий журналіст і що таке журналістська діяльність, тому він не буде дієвим, вважають експерти. Самі автори законопроєкту вважають, що новий закон необхідний, оскільки попередній застарів.

Проєкт закону «Про захист персональних даних» №5628 зареєстрований у Верховній Раді 7 червня 2021 року. Його мета — привести законодавство України про захист персональних даних у відповідність до актів Ради Європи та Європейського Союзу. Проєкт запроваджує нові підходи до обробки та зберігання даних, вводить поняття «чутливих даних» тощо. Однак експерти кажуть, що він має слабке місце — частину, яка стосується можливості обробляти персональні дані людей, про яких пишуть журналісти. В законі не визначено, що таке «журналістська діяльність» і «суспільний інтерес», який виправдовує поширення персональних даних.

— Стаття 15 передбачає, що низка вимог законопроекту щодо обробки даних не застосовуються, якщо їх обробляють «для цілей журналістської та творчої діяльності», — каже експерт Харківської правозахисної групи Денис Волоха. — Наприклад, журналіст, збираючи персональні дані, не повинен повідомляти суб’єкта цих даних про мету обробки, роз’яснювати права тощо. Журналіст не зобов’язаний забезпечувати право на виправлення чи право на забуття, тобто виправляти неточності чи видаляти всі дані про когось на його вимогу. Він не повинен вести реєстр обробки даних, повідомляти про витоки даних, надавати контролеру доступ до своїх приміщень чи обладнання. Однак важливо, що ця індульгенція діє, лише якщо журналіст «обґрунтовано вважатиме», що оприлюднення персональних даних слугуватиме суспільному інтересу, і цей інтерес переважатиме шкоду від оприлюднення.

Водночас, за словами Дениса Волохи, законопроєкт не тільки не дає визначення журналіста (хоча воно є в інших законах, наприклад, «Про державну підтримку засобів масової інформації та соціальний захист журналістів»), журналістської та творчої діяльності, а й не визначає критеріїв суспільного інтересу.

— Стаття 15 цього проєкту дозволяє обробляти персональні дані в журналістських цілях. Але вона виписана так, що фактично є недієвою, — коментує виконавчий директор Української Гельсінської спілки з прав людини Олександр Павліченко. — Там немає визначення журналістської діяльності, натомість є відсилка на практику Європейського суду з прав людини (ЄСПЛ). Це створює розмиту норму, що не дає відповіді на питання: хто вважається тим, що обробляє персональні дані в журналістських цілях?

Зокрема блогер або будь-який пересічний громадянин, який, наприклад, пише дописи в соцмережі, може сказати, що отримав і опублікував інформацію в журналістських цілях.

Олександр Павліченко пояснює, що практику ЄСПЛ використовують учасники судових процесів — судді, адвокати, прокурори. Людина — чи то журналіст, чи блогер, чи пересічний громадянин, збираючи персональні дані, обробляючи їх і використовуючи в оприлюднених матеріалах, — скоріш за все, зробити цього не зможе. А отже буде неспроможна з’ясувати, чи має більші можливості захисту від переслідування через незаконну обробку цих даних.

Закон не визначає, хто — яка посадова особа чи орган — має контролювати дотримання закону «Про захист персональних даних». Але в будь-якому разі людина чи орган, не наділені суддівськими повноваженнями та можливістю розгляду питання у змагальному судовому процесі, не зможуть прийняти рішення, спираючись на практику ЄСПЛ. Таке рішення, каже Олександр Павліченко, «буде, безсумнівно, свавільним і оскаржуватиметься як незаконне».

«Включення цієї норми у текст законопроєкту є неправовим підходом: посилатися на практику ЄСПЛ через відсилочну норму є просто нонсенсом, — каже експерт. — Коли йдеться про журналістську діяльність, ми говоримо про конфлікт 8 і 10 статей Європейської конвенції з прав людини, що забезпечують, відповідно, право на приватність і право на свободу вираження поглядів, і ці статті часто конкурують при розгляді справ Європейським судом із прав людини». Аби прийняти рішення, потрібно знати про цю конкуренцію правових норм і враховувати, як саме Європейський суд з прав людини інтерпретує її в кожному конкретному випадку.

За його словами, схожа ситуація пов’язана з чинною нормою пункту 2 статті 6 закону «Про доступ до публічної інформації». «Так званий трискладовий тест, який має провести розпорядник інформації, аби визначити, чи буде завдана істотна шкода, якщо дані будуть надані, — пояснює експерт. — Ця шкода на момент надання інформації є гіпотетичною. Розпорядник інформації також повинен визначити, чи шкода від оприлюднення такої інформації переважає суспільний інтерес в її отриманні. Але навіть суддя, який розглядатиме обставини справи, може оцінити це лише після того, як шкода була завдана. Оцінити розмір потенційної шкоди і зіставити її із задоволенням суспільного інтересу звичайний чиновник просто не може».

Олександр Павліченко називає відсилку до практики ЄСПЛ у статті 15 «красивим малюнком, але в жодному разі не дієвою нормою». Адже вона не відповідає необхідним критеріям норми закону: бути чітко визначною, конкретною й мати передбачувані наслідки. На думку експерта, якщо закон не встановить чітко регламентованого порядку оприлюднення персональних даних та санкцій за порушення цього порядку, будь-яке рішення, ухвалене на підставі цього закону, можуть успішно оскаржити в суді.

Навіщо взагалі окрема норма для журналістів? «Журналісти, взагалі-то, не мають більше прав на свободу слова, ніж будь-хто інший: Європейська конвенція гарантує це право для кожного, — каже Денис Волоха. — Але оскільки журналісти застосовують це право частіше за пересічних людей, суворі вимоги щодо поводження з персональними даними можуть стримувати їхню роботу». Визначення «журналістської діяльності», за словами експерта, має бути достатньо широким, аби не стримувати свободу слова, та водночас не давати змоги називати журналістською діяльністю будь-що. На його думку, законотворцям також варто було врахувати різницю між публічними особами та всіма іншими людьми. Адже, наприклад, висвітлювати приватне життя міністра чи популярного співака можна досить широко: що публічніша людина, то вужчі межі реалізації її права на приватність.

Один з ініціаторів законопроєкту, народний депутат від «Слуги народу» Єгор Чернєв вважає, що термін «журналістська діяльність» має бути визначений в іншому законі, що регулює питання роботи ЗМІ, й тому не потребує додаткового уточнення у проєкті закону про захист персональних даних. «Наш законопроєкт регулює відносини, пов'язані з обробкою та захистом персональних даних, тому визначати термін журналістської діяльності в ньому недоречно. До того ж, він окреслює ширше коло питань, ніж безпосередньо робота ЗМІ, оскільки з розвитком технологій, появою соцмереж і великим обсягом користувацького контенту стає все складніше визначити, що підпадає під визначення журналістської діяльності, а що ні. Тому, щоб уникнути невиправданого звуження меж “журналістської діяльності”, ми запропонували таку “м'яку” норму», — каже Чернєв.

Він додає, що положення майбутнього закону не можуть ускладнити роботу журналістів: «У законопроєкті немає жодних положень, які би заважали проводити журналістські розслідування та збирати необхідну для цього інформацію. Права журналістів у нас є недоторканними, особливо коли вони висвітлюють інформацію, що має значне суспільне значення та інтерес. Разом із тим, кожен громадянин має право на захист персональних даних. Тому законопроєкт впроваджує баланс між приватними та суспільними інтересами: оприлюднення інформації, яка містить персональні дані, можливе, якщо це в інтересах суспільства, а шкода від оприлюднення такої інформації не переважає суспільний інтерес в її отриманні. Іншими словами, що більш відомими є політик чи бізнесмен та що більший суспільний інтерес до його діяльності, то менша вірогідність, що до журналістів можуть бути претензії. Цей законопроєкт спрямований на захист звичайних громадян».

Єгор Чернєв каже, що цей законопроєкт впроваджує в українське законодавство норми Конвенції 108+ та GDPR, адаптовані до українських реалій правозастосування. І його головна мета — забезпечити в Україні максимальний захист персональних даних громадян: не нижчий, ніж у ЄС. Для цього в законопроєкті передбачені визначення термінів та чіткі вимоги до принципів обробки інформації про громадян, відстеження дій користувачів у мережі інтернет, застосування систем відеоспостереження, використання автоматизованих рішень тощо. Крім того, закон посилить відповідальність за порушення прав громадян. Контроль за виконанням цього закону, на думку депутата, має бути покладений на створений орган із відповідними повноваженнями. Для цього розроблений та зараз реєструється в парламенті ще один проєкт закону — «Про Національну комісію з питань захисту персональних даних та доступу до публічної інформації».

Співавтор законопроєкту про захист персональних даних, народний депутат від «Слуги народу» Тарас Тарасенко також вважає, що чинний закон застарів. До того ж, за його словами, Україна ще у 2017 році (за умовами угоди про Асоціацію. — «ДМ») взяла на себе зобов’язання привести власне законодавство у відповідність до європейського. У майбутньому неузгодженість законів ускладнить, наприклад, транскордонні передачі персональних даних: можуть виникнути проблеми з роумінгом. Тарасенко також вважає, що вводити в дію новий закон потрібно буде поступово.

«Зараз ми будемо проводити цілу серію заходів для обговорення та роз’яснювання як законопроєкту, так і самого терміна “персональні дані” для представників різних сфер, яких стосуються в першу чергу зміни в законодавстві щодо персональних даних. Це і банківська сфера та мікрокредитні установи, і провайдери, і оператори мобільного зв’язку, і правоохоронні органи. За порушення норм закону передбачені великі штрафи, тому перший рік після початку своєї роботи новий контролюючий орган теж має проводити роз’яснювальну роботу — це відповідає і європейській практиці». При цьому, додає Тарасенко, в аналогічних комісій у Євросоюзі доволі широкі повноваження, якими так само буде наділений і український орган. Він має бути незалежним від органів влади та могти перевіряти компанії, фізичних осіб і державні органи влади, які обробляють персональні дані.

Тарас Тарасенко в цілому погодився з критикою законопроєкту з боку експертів щодо браку визначення поняття журналістської діяльності. Він вважає, що цей пункт може бути вилученим із фінальної версії закону. «Є іншій закон, який визначає журналістську діяльність, і журналісти просто будуть повинні враховувати у своїй роботі певні положення закону про захист персональних даних», — каже нардеп. Він вважає, що цей закон не змінить роботу журналістів суттєво — лише спростить непублічним людям захист від надмірного втручання в їхнє життя з боку представників ЗМІ.

«У нашому законопроєкті є положення про принцип прозорості обробки персональних даних, — коментує Тарас Тарасенко. — Фактично журналіст буде мати можливості прозорої обробки персональних даних. Але виникає й аналогічне зобов’язання: поширювати ці дані журналіст може, враховуючи баланс суспільного інтересу та шкоди, яка може бути завдана конкретній людині. Зараз люди не захищені від поширення їхніх персональних даних журналістами. І моральну шкоду, завдану такими діями журналістів, дуже важко довести в суді. Я можу навести приклад: публікація про депутата Іллю Киву, який щось чухав. Це можна публікувати щодо публічного діяча. Але потім журналісти опублікували персональні дані тієї дівчини, з якою він переписувався. На моє переконання, поширення її даних, — а вона не є публічною особою, — не принесло користі суспільству, але лише завдало шкоди їй». Тарас Тарасенко вважає, що окремим завданням законотворців буде переклад та роз’яснення практики Європейського суду з прав людини та європейських комісарів із захисту персональних даних, аби громадяни та зокрема журналісти розуміли принципи дії подібних законів у Європі.