Якщо компанії треба побудувати цілу систему управління даними або сплатити штраф 850 гривень — що вона вибере?

В Україні питання захисту персональних даних регулюється законом, прийнятим у 2010 році, який постійно оновлюють. За цей час з’явилося чимало державних і комерційних реєстрів, баз даних та онлайн-сервісів, які можуть накопичувати та зберігати дані людей, тому потреба у сучасному підході до їхнього врегулювання здається очевидною.

Зараз у Верховній Раді очікують розгляду два законопроєкти: «Про захист персональних даних» №8153 та «Про національну комісію з питань захисту персональних даних» №6177. Обидва були розроблені в рамках Угоди про асоціацію між Україною та Європейським Союзом й адаптують законодавство до стандартів GDPR — Загального регламенту про захист даних в ЄС. Попри те, що ці законопроєкти багато в чому просто дублюють європейські акти, не обійшлося без критики — зокрема, експерти YouControl наполягають на необхідності їхнього суттєвого доопрацювання й усунення корупційних ризиків.

Детальніше про переваги та недоліки GDPR і його вплив на медіа — в матеріалі MediaSapiens.

Що таке GDPR і чому Україна має його впровадити

Перший міжнародний договір про необхідність захисту персональних даних був ухвалений у Страсбурзі 28 січня 1981 року — це Конвенція Ради Європи про захист осіб у зв’язку з автоматизованою обробкою персональних даних, також відома як «Конвенція 108». Цей договір став основою для створення першої директиви Європейського Союзу про захист даних, прийнятої у 1995 році. У 2018-му договір модернізували, тепер він має назву «Конвенція 108+», а директиву замінили на Загальний регламент про захист даних, тобто на GDPR.

Згідно з цим регламентом, персональними даними може бути будь-яка інформація про людину, за якою прямо чи опосередковано можна її ідентифікувати. Це може бути ім’я, ідентифікаційний номер, геолокація, онлайн-ідентифікатор або фактори, що є «визначальними для фізичної, фізіологічної, генетичної, розумової, економічної, культурної чи соціальної сутності такої фізичної особи». Простіше кажучи, дані з соцмереж теж є персональними.

У цей регламент входить 99 статей, які здебільшого стосуються компаній та організацій, чия робота може бути пов’язана зі збиранням персональних даних на території Євросоюзу. GDPR передбачає конфіденційність цих даних, прозорість їхнього зберігання, опрацювання тощо.

Що ж до України, то Верховна Рада ратифікувала «Конвенцію 108» та прийняла Закон про захист персональних даних у 2010 році, а у 2014-му підписала Угоду про асоціацію з ЄС, чим, згідно зі статтею 15 Угоди, зобов’язалася налагодити сферу захисту персональних даних. Упровадження GDPR по суті є наступним кроком в цьому напрямку. Поки що відповідальним за захист персональних даних є Уповноважений із прав людини, але з прийняттям нових законів цим займатиметься Нацкомісія з захисту персональних даних.

Експертка Проєкту Ради Європи «Підтримка впровадження європейських стандартів прав людини в Україні» з питань приведення політики захисту даних, законодавчої бази та практики до європейських стандартів і «Конвенції Ради Європи 108+», а також співавторка законопроєктів №6177 та №8153 Лілія Олексюк каже, що перед прийняттям закону 2010 року теж були критика і побоювання: «Були “страшилки” і щодо контрольного органу, і щодо того, що ми не готові до таких змін. Але Україна — підписант Конвенції 108 із 2005 року, тобто ми взяли на себе зобов’язання виконати європейські норми майже 20 років тому і у 2010-му вперше спробували наблизитися до цього».

У ЄС країни мусили привести своє законодавство у відповідність до GDPR з 2016 по 2018 роки, тоді воно стало синхронізованим і єдиним європейським, крім певних норм, які залишають регулювання на національному рівні.

 Лілія Олексюк

В Україні, за словами Лілії Олексюк, у чинному законі вже є половина необхідних норм, але відповідальність за їхнє недотримання майже ніяка — бізнес і люди можуть просто їх ігнорувати. Штрафування за порушення закону були введені у 2012 році, проте доведених до кінця справ майже немає. «Якщо штраф усього 850 гривень, а людині треба побудувати цілу систему управління даними, що вона вибере? Вона вибере штраф. При тому, що за весь цей період доведених до кінця штрафів або кримінальних справ у сфері обробки персональних даних — одиниці. За кошти Ради Європи проводилося спеціальне дослідження, яке показало, що в тих судових розслідуваннях нема за що взятися. Тобто майже ніхто не хотів цей закон застосовувати й зараз ми так само будемо не готові, поки не запровадимо достатньо серйозні санкції, як у Європейському Союзі. В порівнянні з оборотами, які є в юридичних осіб, на які потенційно можуть накластися ці санкції, потрібні для захисту заходи вже не коштують так багато», — пояснює експертка.

Програмний директор Центру громадянських свобод Володимир Яворський каже, що Україна абсолютна не готова до впровадження GDPR, але приймати його все одно потрібно: «В Європі GDPR приймався у два етапи. Перший етап був більш ніж 10 років тому, потім у 2018 році GDPR прийняли з більш жорсткими стандартами. В Європі бізнес мав два роки, щоб перевести свої системи у відповідність до тих вимог. В Україні бізнесу та владі теж треба щонайменше декілька років, щоб просто адаптувати свої системи».

Законопроєкти №6177 та №8153, на думку Яворського, загалом підходять під впровадження GDPR. До них є зауваження від Ради Європи та міжнародних експертів, але вони здебільшого технічного характеру.

«Є низка обмежень, які стосуються держави й бізнесу. Я навіть скажу, що в Україні бізнесу буде легше перейти до всіх вимог, ніж державі, тому що багато міжнародних компаній уже потроху це тут робили. Проблема буде тільки з компаніями, які працюють в маркетингу, та бізнесом, який продає дані про людей. Їм буде складно перебудуватися, але доведеться, бо відкладаючи прийняття цих законів, ми відкладаємо вступ до Європейського Союзу», — пояснює Володимир Яворський.

Які саме зміни передбачає законопроєкт «Про захист персональних даних»

За оцінкою Володимира Яворського, зміни стосуватимуться тих даних, поширення яких не має суспільної необхідності. Наприклад, адреса і телефон дрібних підприємців. Ці люди зможуть вимагати, щоб інформацію про них не включали до відкритих реєстрів.

Звісно, є компанії, для яких цей закон дуже ускладнить ведення бізнесу. Особливо підприємствам, які продають товари чи послуги та мають дисконтні картки. Деякі з них збирають інформацію про людей, а потім продають її іншим рекламним і маркетинговим компаніям, іноді навіть без відома цієї людини.

За словами Яворського, один із принципів GDPR полягає в тому, щоб використовувати інформацію лише для того, для чого вона була зібрана. Наприклад, дані для реєстру виборців потрібні тільки для проведення виборів і не можуть бути використані для чогось іншого.

Загалом в Україні налічується не менше350 реєстрів, і держава повинна приймати закон про функціонування кожного з них. При тому, що GDPR забороняє використовувати дані одного реєстру для інтересів іншого, — це можливо тільки для розслідування злочину та лише в дуже крайніх випадках.

«В Україні є компанія YouControl, яка побудувала свій бізнес на тому, що продає дані людей. Вони мають доступ до баз даних, вони їх обробляють у певному вигляді й потім продають їх за підписку. Звісно, прийняття цих законів трохи ускладнить цей бізнес, тому що з’явиться більше вимог для їхньої роботи. Але це в принципі виправдано, тому що головна ідея, щоб цей ринок був більш цивілізований і враховував інтереси людини», — каже Яворський.

Також передбачені доволі жорсткі правила щодо доступу до інформації про людину для правоохоронних органів. «Сьогодні слідчий може просто листом звернутися і дізнатися, як людина працювала зі своїм мобільним телефоном по Україні в певний період часу, навіть не потрібно звертатися до суду для цього. GDPR вимагає, щоб ця інформація була на рівні прослуховування телефону, тобто потрібно буде мати санкції суду, щоб отримати ці дані. Тому державі буде значно складніше, ніж бізнесу, бо всі реєстри, які існують на сьогодні, побудовані без врахування вимог GDPR», — пояснив Володимир Яворський.

Він також додав, що за результатами дослідження організації Freerights, під час повномасштабної війни була виявлена низка порушень персональних даних, зокрема в розподілі гуманітарної допомоги та в реєстрах, — держава не забезпечила захист даних і все опинилося у росіян. Під час наступу вони мали всю інформацію про людей, знали адреси активістів, військовослужбовців, працівників СБУ та поліціянтів.

  Володимир Яворський

«У нас захист персональних даних завжди в країні був на нульовому рівні. Зараз цим має займатися Уповноважений із прав людини, але він в принципі цим не займається. Це якраз потрібно робити під час війни, бо це захист даних від витоку. Другий момент, ми зможемо вступити в Європейський Союз, коли буде повністю адаптована система. Якщо за оптимістичним прогнозом ми зможемо вступити до ЄС у 2029–2030 роках, то до того часу ми маємо повністю ці стандарти впровадити. Понад те, в ЄС є свій регулятор, який може накладати санкції на компанії, які порушують вимоги GDPR. Великі українські компанії, як “Нова пошта”, наприклад, зіткнуться з цими проблемами однозначно. Вони не зможуть вийти на європейський ринок, і в Україні їх теж почнуть штрафувати», — каже експерт.

Програмний директор Української Гельсінської спілки з прав людини Максим Щербатюк говорить, що до законопроєкту «Про захист персональних даних» значно менше питань, у порівнянні з проєктом про комісію, адже він майже повністю дублює європейський регламент, напрацьований іншими країнами.

«Право на приватність і відкритість даних — це протилежні сторони однієї медалі. Тому не дивно, що найбільша критика йде саме від експертів, які спеціалізуються на доступі до відкритих даних. Навіть якщо ми завтра приймемо цей закон, для того, щоб це все почало працювати, потрібно щонайменше три-чотири роки. Певні речі за п’ять років запустяться. Але якщо не стартувати зараз, можна ще дуже довго жити у вразливому становищі», — каже Щербатюк.

За його спостереженнями, кількість загроз у захисті персональних даних усе більша, зокрема щодо даних військових і використання штучного інтелекту, а ситуація щодо механізмів і гарантій захисту даних не покращується. Тому сенс у зауваженнях до законопроєкту є, але це не зменшує потребу в регулюванні.

За словами експертів YouControl, відображений у проєкті закону підхід до визначення персональних даних є дуже розмитим. Водночас, за словами Максима Щербатюка, в чинному законі про захист персональних даних, визначення те саме: «Складність у тому, що положення закону “Про захист персональних даних” фактично не використовується. Уповноважений хоч і дає якісь описи, але в нього немає практичних інструментів для впливу на ситуацію. А ті три нещасних протоколи, які вони складають за рік, це взагалі ні про що. Є визначення, складніші й питання практики використання тих чи тих положень в судах. Але знову ж, якщо ми будемо використовувати GDPR, це нам дозволить повноцінно використовувати термінологію і положення, які там є».

Заступник директорки Центру демократії та верховенства права Ігор Розкладай говорить, що є проблема у самій філософії GDPR та іншому історичному досвіді європейських країн: «Ми бачимо перекіс у бік захисту приватності, а не свободи інформації, хоча це конкурентні права. І насправді я не в захваті від імплементації GDPR, тому що це законодавство розроблялося західноєвропейськими країнами, які ніколи не стикалися з такими речами як тоталітаризм, масові переселення людей і так далі».

  Ігор Розкладай

На його думку, якщо на рівні медіа є запобіжники, які дозволяють нормально функціонувати, то у сфері декомунізації можуть виникнути проблеми. Інформація, яка була до цього моменту відкрита, може опинитися під загрозою обмеження в доступі через захист приватності. «Цьому, звісно, порадіють ті люди або нащадки тих людей, які вчиняли репресії, працювали в КДБ і подібних інституціях, — каже Розкладай. — Є ризики у дуже чутливих для України сферах. Базові норми захисту приватності, обробки персональних даних, особливо перекочування даних від одного суб’єкта до іншого, можливість захистити себе від незаконної обробки даних — всі речі вже частково імплементовані в нашому законі “Про захист персональних даних”. Історія приватності насправді надзвичайно складна і я б не сказав, що для нас є хороше рішення».

Якщо проєкт важливий для євроінтеграції, то чому депутати не підтримали його першу версію

До того, як зареєстрували проєкт Закону «Про захист персональних даних», існував ще один ідентичний законопроєкт №5628, який провалився на голосуванні у Верховній Раді. При цьому голосів «проти» було нуль, але 103 депутати навіть не утрималися, а просто не проголосували. Лілія Олексюк каже, що одна з версій цього провалу — незручний час для голосування. «Перша редакція проєкту нового закону була розроблена ще у 2019 році. Тоді ми вперше зустрічалися в парламентських кулуарах, створили робочу групу на базі Комітету з питань цифрової трансформації, яка складалася з 85 осіб. Ми опрацьовували драфти, які були на той час принесені в парламент, після чого вирішили створити меншу робочу групу, для доопрацювання однієї редакції, з якою вже можна буде працювати й погоджувати з усіма стейкхолдерами. На це пішов десь рік, оскільки це робота pro bono, ніхто з донорів не хотів давати гроші на розробку законопроєкту, все створювалося в позаробочий час ентузіастами сфери захисту персональних даних.

Чому цей законопроєкт провалився? Я можу тільки висловити своє припущення, як громадянка, а не як людина, дотична до роботи з комітетами. Офіційна версія — що не було депутатів в залі, бо це був незручний час. Якщо ж уважно стежити за роботою парламенту, то можна побачити, що якщо немає відповідного мотиваційного листа від певних органів влади, то певні законопроєкти взагалі не розглядають, навіть не ставлять на голосування. Навіть якщо вони євроінтеграційні, навіть якщо вони дуже потрібні державі. Останній рік це доводить. Зараз ставлять на голосування тільки вкрай необхідні проєкти, на які голоси назбирали завчасно», — каже Олексюк.

На її думку, наступне голосування може бути таким самим, якщо не буде відповідної домовленості між депутатами, Офісом президента та Кабміном. Для впровадження GDPR законопроєкти №6177 та №8153 мають пройти парламент одночасно, адже нова система захисту персональних даних не може запрацювати без інституції, яка буде відповідати за правильні механізми імплементації та розробляти відповідні нормативно-правові акти.

На думку Володимира Яворського, перший законопроєкт міг провалитися, бо не було політичної волі й розуміння, для чого це взагалі потрібно: «Ці закони створюють дуже багато проблем органам влади, яким треба дуже багато змінити. Друга проблема була — супротив бізнесу, який є не зовсім чесний за європейськими форматами, бо використовує персональні дані незаконним шляхом. Усі продажі сьогодні побудовані на маркетингу, якщо ти маєш точну інформацію про групу покупців, то ти зможеш розробити правильну рекламу і продати будь-які товари. Ця інформація коштує великих грошей, а в нас повна анархія в цьому питанні».

Що відомо про створення Національної комісії з питань захисту персональних даних

Якщо законопроєкт про захист персональних даних спочатку провалився і його майже ідентичну версію винесуть на розгляд вдруге, то за законопроєкт про комісію ще не голосували й він досі є у тій самій редакції. Саме тому він може викликати більше питань і сумнівів.

По-перше, створення комісії потребує певних бюджетних витрат, адже це ще одна інституція, яка за обсягом фінансування подібна до Уповноваженого Верховної Ради з прав людини. «Зараз підхід такий, щоб впроваджувати зміни поступово, не одразу весь обсяг. У будь-якому випадку потрібно доволі багато бюджетних коштів, щоб це зреалізувати. З іншого боку, ситуація щодо захисту персональних даних зараз плачевна. Наявний механізм парламентського контролю через Уповноваженого фактично мертвий, кримінальна стаття теж», — говорить Максим Щербатюк.

  Максим Щербатюк

По-друге, є проблема у створенні самого органу, який має поєднати різних експертів: «У законопроєкті про комісію намагаються поєднати й захист персональних даних, і доступ до інформації, тобто зібрати різнопланових експертів у одному органі. Тільки декілька європейських країн мають успішні приклади поєднання їх в одній інституції», — каже Щербатюк.

Згідно з проєктом закону, склад Нацкомісії має налічувати до 400 осіб. Лілія Олексюк каже, що це прописане обмеження, аби не створювати орган із півтори тисячі членів. «Ми розуміємо, що 400 осіб вистачить на Україну, яка є досить великою державою з точки зору площі та кількості населення. Ми за кошти Ради Європи аналізували всі європейські органи з захисту даних, які на сьогодні існують — їхню структуру, склад, статус, кількість грошей, які їм надають на ці заходи. З огляду на це дослідження, дійшли висновку, що потрібно не більш як 400 осіб», — пояснює експертка.

За її словами, в перші два роки Нацкомісія матиме здебільшого методичну та нормативно-правову роботу, тож на першому етапі достатньо не більш ніж 50 осіб. А коли прийде час для контрольних заходів, склад треба буде розширювати.

«На сьогодні в департаменті Уповноваженого з прав людини всього 25 осіб. Оскільки бюджет обмежений, поки що можна створити невеликий орган, не більш ніж 50 осіб. Ми знаємо, що 25 — це дуже мало, вони майже не займаються певними питаннями, бо в них не вистачає на це ресурсу, вони просто фізично не впораються з тими обсягами, які потрібно обробити, щоби система запрацювала як система.

Ми одразу домовлялися, що на перших порах орган буде невеличкий, на це Європейський Союз може також дати кошти в рамках Проєкту підтримки України Ukraine Facility. НАБУ теж створювалося за європейські інвестиції, тобто у нас уже був подібний прецедент в країні. Це не такі вже великі обсяги, які потрібні, щоб цей орган запрацював належним чином», — говорить Олексюк.

Вона додала, що 50 осіб набагато легше знайти й підготувати, ніж одразу наповнити комісію 400 особами. Окрім того, працюватиме комісія з відбору персоналу, проводитимуться спеціальні тести з видачею сертифікатів, імовірне стажування в Європейському Союзі.

Увійти до складу комісії також зможуть представники бізнесу. «Люди мають зрозуміти, що досвід у побудові певних процедур у бізнес-структурах — це не те саме, що формувати й реалізовувати політику на рівні держави. Це не тотожні речі. Має дотримуватися баланс між приватністю і доступом до публічної інформації. Цю комісію можна наповнювати людьми з бізнесу, але їх потрібно буде доволі потужно донавчати, щоб вони побачили зворотний бік цього процесу», — пояснює співавторка законопроєктів.

Зараз у висновках Головного науково-експертного управління до першого читання законопроєкту про створення комісії з захисту персональних даних майже 30 пунктів зауважень, серед яких — питання щодо майбутньої роботи комісії, формування її складу та загалом її відповідність Конституції, адже повноваження цього органу «ставлять його на вищий щабель щодо інших центральних органів виконавчої влади, хоча такий конституційно-правовий статус має лише Уряд». Також є зауваження щодо перевірок із «власної ініціативи», які може робити комісія.

«Ще є питання щодо незалежності органу, — сказав Щербатюк. — Зараз є намагання створити цю комісію за прообразом НАЗК, але є купа речей, які можуть впливати на її незалежність. Усе одно буде певний центральний орган виконавчої влади, хоч і з особливим статусом. У теорії це мала би бути взагалі незалежна інституція, але за Конституцією такого органу немає. Відповідно, щоб такий орган запрацював, необхідні зміни в Конституції, що неможливо в умовах воєнного стану».

Як GDPR вплине на медіа, зокрема на журналістів-розслідувачів

У проєкті закону є стаття 15, яка передбачає обробку персональних даних для цілей журналістської та творчої діяльності. Згідно з нею, журналіст може користуватися цими даними, якщо є суспільний інтерес. Проте на практиці обмеження все ж будуть.

«Раніше для журналістів дійсно було трохи більше свобод, але зараз ми не можемо їх не обмежувати з огляду на імплементацію європейського законодавства. Це не наша примха і не диктатура, — каже Лілія Олексюк. — Коли ми писали законопроєкт, ми прив’язувалися до статті Закону “Про інформацію” і знали, що паралельно пишеться Закон “Про медіа”. Та робоча група, яка писала Закон “Про медіа”, була частиною нашої робочої групи. Коли ми говорили про баланс, доступ до публічної інформації та захист персональних даних, Олександр Бурмагін, Ігор Розкладай і ще декілька експертів, які опікуються публічною інформацією і відкритими даними, були учасниками процесу і можуть підтвердити, що законопроєкти написані цілком відповідно до GDPR в частині правил для журналістів. Тепер потрібно буде наводити лад у тому, як це буде працювати. Це систематизує роботу журналістів і надасть більше прав самому громадянину. Якщо про мене хтось запитував, я маю це знати».

Експертка каже, що якщо людина не дає згоди на публікацію персональних даних, але в цьому є суспільна важливість, ця інформація має пройти трискладовий тест — механізм, що прописаний в Законі «Про доступ до публічної інформації». «Є декілька рішень Європейського Суду з прав людини, які доводять, яким чином треба будувати роботу журналістам і публічним особам. Навіть якщо хтось піде в суд, то суд буде орієнтуватися на ті самі рішення ЄСПЛ, які ґрунтуються на верховенстві права та конвенціях», — додала Олексюк.

Володимир Яворський говорить, що для журналістів GDPR взагалі не несе жодних проблем: «На сьогодні журналісти нормально шукають інформацію і в Німеччині, і у Франції та багатьох інших країнах, тому що оперують поняттям “суспільна потреба”. Фактично наш закон “Про доступ до публічної інформації” дуже чітко виписує процедуру доступу, що включає персональні дані. І ці стандарти не змінюються, вони є сталими. Звичайно, може бути зловживання цими правами серед людей, які можуть мати потенційну причетність до відкритих торгів. Але все залежить від журналістів, якщо вони доводять необхідність цієї інформації, то їм повинні її видавати. Журналісти отримують інформацію в основному з відкритих баз даних. Доступ до закритої інформації й зараз надається за запитом, аргументуючи суспільний інтерес, тож для них ця процедура не зміниться».

На думку Володимира Яворського, багато в чому саме від Комісії буде залежати, наскільки нові правила приживуться і як вони вплинуть на роботу журналістів: «Вона буде регулювати, коли хтось неналежно захищає персональні дані, або надмірно їх захищає. Якщо журналісту не видають якусь інформацію, то цей орган зможе на це реагувати. Тобто це, наприклад, може бути додатковим органом для забезпечення прав журналістів».

За словами Максима Щербатюка, Україна наразі є однією з країн, де персональні дані максимально відкриті. Це дуже зручно для журналістів, але значно шкодить захисту цих даних. «Якщо ми плануємо певне посилення механізму захисту персональних даних, очевидно, що це вплине на можливість доступу до певної інформації, яка на сьогодні є у більш відкритому доступі. Є права, які кореспондують один одному і пошук цього балансу — це якраз основна місія суспільства і держави. Зараз цей баланс зміщений далеко в бік відкритості даних», — каже експерт.

Фото з фейсбуку Ігоря Розкладая, інші — надані спікерами. Колаж на головній: Getty Images