Представлений у першому читанні законопроєкт № 8153 «Про захист персональних даних» — це спроба українських законотворців установити нові норми та правила оброблення й захисту особистої інформації громадян, водночас узгодити українське законодавство з європейськими положеннями. Проте перша версія цього законопроєкту містить суперечливі положення, проти яких висловились і правники, і журналістська спільнота. А ще цей документ суперечить нещодавно ухваленому закону про відеоспостереження.
Законопроєкт про захист персональних даних: штрафи й обмеження відеозйомки та дзвінків
У листопаді Верховна Рада України ухвалила в першому читанні законопроєкт № 8153 «Про захист персональних даних». Він передбачає впровадження нових статей, які регулюють оброблення персональних даних, зокрема їх збирання, оброблення й використання. У документі визначено вимоги до обробників даних, а власникам (суб’єктам) даних — громадянам — надано більше прав щодо контролю своїх персональних даних, включно з виправленням неточностей. Уперше в українському законі зафіксовано право на забуття — право видаляти певні дані із загального онлайн-доступу через пошукові системи.
Потреба ухвалити такий закон назріла давно. Це й останні зміни в розвитку технологій, цифровізація та збереження даних у цифровому вигляді, поширення персональних даних. Та й загальна ситуація безконтрольності поширення таких даних і почасти безправності — явище, характерне для людей у всьому світі, які користуються сучасним інтернетом.
Серед найбільш помітних нововведень, які зафіксовані в цьому документі, є, наприклад, обмеження відеоспостереження в громадських місцях, заборона знімати на вулиці непублічних громадян чи навіть захист користувачів від небажаних дзвінків на мобільний. На додаток до цього в законопроєкті зафіксовано доволі жорсткі штрафи за його порушення — до 20 млн грн для фізичних осіб, до 150 млн грн для юридичних.
Проте певна поспішність ухвалення (і, можливо, навіть створення) цього законопроєкту викликала критику експертів та обурення деяких професійних спільнот. А ще в законопроєкті № 8153 є певні корупційні ризики, спричинені не зовсім чіткими формулюваннями його положень.
Що не так із законопроєктом № 8153
У законопроєкті № 8153 персональні дані визначено як будь-яку інформацію, що стосується фізичної особи, яку можна ідентифікувати. Це охоплює можливість ідентифікувати особу прямо чи опосередковано за допомогою таких ідентифікаторів, як ім’я, ідентифікаційний номер, дані про місцеперебування, онлайн-ідентифікатор або «інші фактори, що характеризують фізичну, фізіологічну, генетичну, розумову, економічну, культурну чи соціальну сутність особи».
Це формулювання не містить чіткого переліку, які дані є персональними, і даватиме змогу органам контролю інтерпретувати поняття на власний розсуд, що може призвести до зловживань. Наприклад, дані про місцеперебування часто є приблизними й знеособленими, а якщо їх прирівняти до персональних даних, то компанії, які їх використовують (від мобільних операторів та інтернет-провайдерів до локальних сайтів), вважатимуться структурами, які обробляють персональні дані. А значить, до них можна застосовувати цей закон і, напевне, знайти якісь проблемні моменти в роботі з даними.
Розмір штрафів (до 20 млн грн для фізичних і до 150 млн грн або до 8 % загального річного обороту для юридичних осіб), якщо порівняти із сьогоднішньою нормою 34 тис. грн, дуже великий і може не лише негативно вплинути на бізнес, особливо малий і середній, спричинивши додаткові фінансові витрати, а й стати прекрасним джерелом корупційних ризиків.
Обмеження доступу до інформації може стати додатковою складністю для роботи журналістів. У законопроєкті йдеться про обмеження на використання відкритих даних, а це може загрожувати прозорості державних процесів та ускладнити роботу журналістів й антикорупційних організацій.
Попри позитивний ефект запровадження права на забуття, ця норма може спричинити знищення важливих даних, що надалі зумовить складнощі для розслідування діяльності корупціонерів чи навіть зрадників і колабораціоністів. Наприклад, чиновники, які голосували за так звані закони 16 січня, можуть вимагати видалити цю інформацію про себе в суді, а той може стати на їхній бік, спираючись на право на забуття, зафіксоване в законі. У підсумку пошукові системи матимуть видалити ці дані зі своєї видачі, а це означає, що знайти інформацію про таку діяльність буде неможливо.
Інша проблема законопроєкту в тому, що немає адаптації для бізнесу й навіть часу, який був би запропонований бізнесу, щоби перейти до роботи за новими правилами. А новий наглядовий орган, який контролюватиме виконання закону, з доволі широкими повноваженнями без належного контролю може стати ще одним інструментом для зловживань.
Відеоспостереження в Україні: дозволено чи заборонено
Важливою частиною законопроєкту № 8153 стала регламентація відеоспостереження в публічних і на робочих місцях. У законопроєкті сказано, що державним органам і правоохоронним структурам дозволено вести відеоспостереження в громадських місцях, а також у транспорті загального користування лише у випадках, передбачених законодавством. Воно може бути потрібне, щоб виявити або зафіксувати правопорушення. Водночас приватним особам можна вести відеоспостереження лише для захисту майна на територіях, що їм належать.
Окрім того, законопроєкт установлює вимоги до контролю за відеоспостереженням. Контролери зобов’язані розміщувати попередження про спостереження на видних місцях державною мовою. У цих попередженнях мають бути вказані контактні дані відповідальних осіб. Заборонено обробляти персональні дані, зібрані за допомогою відеоспостереження, для цілей, несумісних із первісними намірами збирання інформації.
Також законопроєкт приділяє увагу питанням відеоспостереження в житлових будинках. Таке спостереження можливе лише за згоди більшості власників і тільки для забезпечення безпеки чи захисту майна. Відеозаписи можна зберігати не більше ніж шість місяців, а переглядати їх дозволено тільки в разі протиправних дій або підозри на них.
На додаток до цього законопроєкт уводить нові норми щодо оброблення персональних даних працівників на робочих місцях. Роботодавці зобов’язані інформувати працівників про спостереження й оброблення їхніх персональних даних, а ще «надати можливість оскаржити недостовірність інформації, що стосується оцінки їхніх здібностей та навичок».
На перший погляд, усі ці положення логічні й не містять жодної суперечності. Проте якщо пригадати березневий законопроєкт про відеоспостереження (який може бути проголосований в остаточному варіанті вже найближчими днями), то в цих документах можна знайти невідповідності один одному. Наприклад, у законопроєкті № 11031 про відеоспостереження немає положення про право на видалення своєї інформації із системи відеомоніторингу. Натомість якщо буде відеоспостереження, то очевидно, що цей процес підпадатиме під Закон «Про захист персональних даних», відповідно до якого в громадян виникне не лише право на редагування інформації, а й право на забуття. Та й у розділах, присвячених відеоспостереженню, ідеться про можливість оскаржити результати спостереження.
Окремою проблемою в законопроєкті про персональні дані стає факт відеоспостереження з боку журналістів-розслідувачів. За нормами цього документа, відеоспостереження за непублічними особами допускається лише у випадках, визначених законодавством. Це означає, що діяльність розслідувачів на кшталт команди «Бігус. Інфо» чи Михайла Ткача стає незаконною, адже під час відеоспостереження за публічними особами на камеру можуть потрапити й звичайні люди, яким легко буде оскаржити факт відеоспостереження в суді й вимагати штраф для журналістів.
Суперечливі моменти очима експертів
Олександр Павліченко, виконавчий директор «Української Гельсінської спілки», висловив скепсис стосовно здатності України створити незалежний орган контролю через високий рівень корупції та нестачу фінансових ресурсів. Додатковою проблемою, на думку експерта, є те, що в Україні немає фахівців — офіцерів захисту персональних даних. Загалом, на думку Павліченка, навряд чи можна сподіватись на автоматичне підвищення стандартів захисту персональних даних після ухвалення й ратифікації цього законопроєкту. Загалом Павліченко схарактеризував ухвалення законопроєкту як політичний крок, спрямований продемонструвати Євросоюзу прогрес України в гармонізації законодавства із законодавством ЄС.
Висловили свої зауваження до законопроєкту також експерти Інституту масової інформації (ІМІ). На їхню думку, дотриматися вимог законопроєкту майже неможливо в реальних умовах. Наприклад, журналіст не зможе попередити кожного учасника багатотисячного заходу про зйомку, що ставить його під загрозу стати порушником закону. Директорка ІМІ Оксана Романюк зазначила, що така вимога може бути використана для цензури або тиску на журналістів, оскільки публічні особи можуть свідомо відмовляти в дозволі на зйомку. Крім того, експерти вказують на ризик юридичної відповідальності, який може призвести до самоцензури серед журналістів та обмежити право громадян на доступ до інформації. Вони закликають суттєво доопрацювати законопроєкт, зокрема змінити статтю 11, щоб забезпечити журналістам можливість виконувати свої обов’язки в публічних місцях.
Між захистом даних і громадською безпекою
Загалом ідея захисту персональних даних користувачів і хоча б якась спроба впорядкувати процеси, що стосуються оброблення даних, — доволі складна проблема, яку намагаються вирішити багато країн світу. І в них у всіх виникають труднощі в дотриманні балансу між захистом даних конкретного громадянина й громадською безпекою з одного боку та правом громадян знати про життя політиків і держслужбовців із другого боку. Попри позитивне явище, яким став європейський регламент GDPR, — саме він вважається першим усеохопним документом, що регламентує використання персональних даних, — експерти часто його сприймають доволі скептично й навіть називають одним з найбільших провалів у сфері захисту даних.
Тож спроба ухвалити в Україні законопроєкт про захист персональних даних є важливим кроком, але документ потребує подальших експертних консультацій і ретельного аналізу й доопрацювання, щоб цей законопроєкт не став нормативним актом для галочки й ґрунтом для корупційних дій.