Курс на регулювання 9240
Парламент прийняв поправки до Закону "Про захист персональних даних", які створюють потенційні перешкоди для підприємців, оскільки розширюють повноваження ДСЗПД
Закон "Про захист персональних даних", навколо якого свого часу точилися широкі дискусії, діє вже майже 2 роки. Його метою було забезпечити належну правову основу для захисту персональних даних, зокрема створити у цій сфері незалежний наглядовий орган. Такий орган справді був створений - Державна служба з питань захисту персональних даних (ДСЗПД), але назвати його повністю незалежним складно, адже згідно з профільним положенням його діяльність направляється Кабінетом міністрів через міністра юстиції. Надії змінити ситуацію у цьому та інших аспектах покладалися на подальші виправлення.
Втім, є ймовірність, що Президент запропонує свої зміни до проекту. Так, низка громадських організацій (таких як громадські ради при Міністерстві юстиції України та Державній службі захисту персональних даних (далі - ДСЗПД), Експертна рада з питань свободи інформації та захисту конфіденційності при представнику Уповноваженого ВР з прав людини з питань доступу до публічної інформації та захисту персональних даних, Інтернет (Асоціація України, Ліга страхових компаній) вже звернулися до Гаранту з проханням накласти вето на законопроект у тому вигляді, в якому його прийнято парламентаріями.
Держслужбі - більше повноважень?
Відразу зазначимо, що вищезазначені організації не проти змін до Закону як таких – їх не влаштовує один, але важливий момент. Зміни, які готувалися протягом року, є продуктом взаємодії Міністерства юстиції, ДСЗПД та підприємців. Тим не менш, при другому читанніїх несподівано для останніх було підкориговано. А саме: у ст. 23 проекти були додані п. 14, 15 та 16, які, по суті, розширюють повноваження ДСЗПД у сфері технічного регулювання, розробки стандартів та технічних регламентів, вимог щодо захисту персональних даних в інформаційно-телекомунікаційних системах та здійснення оцінки відповідності систем захисту інформації у цих системах.
Невдоволені наполягають, що було порушено регламентну процедуру ухвалення закону: по-перше, поправки було прийнято без належного громадського обговорення, по-друге, вже у другому читанні з'явилися пункти, яких до цього в законопроекті не було (щодо повноважень Держслужби), та по- третіх, було порушено термін подання зауважень до проекту (14 днів). з ними згодні й експерти Головного юруправління ВР: "До тексту проекту, підготовленого до розгляду у другому читанні, всупереч ст. 102 та 116 Регламенту внесено зміни, які не були предметом розгляду при його прийнятті за процедурою першого читання та змінюють його концепцію".
Ще один аспект: закон не вирішує проблему створення незалежного державного органу у сфері захисту персональних даних, як того вимагають європейські стандарти, зокрема, План дій щодо лібералізації ЄС візового режиму для України.
Реєстрацію повернули назад
Водночас можна констатувати, що в поправках є й позитивні моменти, спрямовані на врегулювання цілої низки проблем та протиріч.
Як відомо, суттєвою перешкодою для реалізації норм Закону була проблема реєстрації баз персональних даних підприємцями. І зараз у Держслужби, за даними громадської ради при ній, є кілька мільйонів таких заявок на реєстрацію, оброблено станом наСьогодні лише кілька десятків тисяч. Можна лише уявити, скільки часу потрібно для реєстрації всіх заявок. І знову-таки, проблема в тому, що необхідність реєструвати бази даних ще не означала захист прав громадян.
Але, знов-таки, згадані спочатку зміни, які стали сюрпризом для громадськості та бізнесу, нівелюють ті позитивні моменти та ідею, які несли у собі поправки. Адже якщо раніше можна було сподіватися, що учасники процесів можуть вільно на власний розсуд встановлювати порядок та умови обробки ПД та оцінювати ризики, то з огляду на ці зміни, можливо, все зведеться до бюрократичного прийняття рішень.
Такий підхід також не відповідає європейським стандартам, зокрема, практиці Європейського суду з прав людини. Так, у багатьох своїх рішеннях ЄСПЛ встановив, що право на приватність публічних діячів може бути обмежене з посади, яку вони обіймають або їх публічний статус, а також виходячи з важливості певної інформації для суспільної дискусії тощо. Не відповідає це і визначенню конфіденційної інформації, що міститься у Законі "Про доступ до публічної інформації".
Таким чином, встановлений підхід може призвести до подальшого необґрунтованого обмеження доступу до публічної інформації з посиланням на конфіденційність персональних даних, що відбувається зараз.
"Кульгає" і сама юридична техніка закону: нова редакція частини першої та дев'ятої статті 6 закону містить нечіткі та непередбачувані норми, що суперечить принципу юридичної визначеності. Зокрема, передбачається, що обробка персональних даних в історичних, статистичних чи наукових цілях "може здійснюватись лише за умови забезпечення їхналежного захисту". При цьому зрозуміло, що є таким "належним захистом". Ця неточність може призвести до довільного обмеження свободи досліджень, що включають обробку персональних даних.
Можливо, аргументи громадських організацій відіграють свою роль. Адже щодо іншого, не менш резонансного Закону "Про Єдиний державний демографічний реєстр", який також перебуває на підписі Президента, він наголосив: у конструктивному діалозі буде знайдено виважене рішення.
Таким чином, одне можна сказати точно: поправки до Закону "Про захист персональних даних" потребують комплексної експертної оцінки, адже він торкнеться прав кожного громадянина нашої держави. Яке рішення буде ухвалено в результаті, стане відомо найближчим часом.
Володимир Козак, заступник голови Державної служби захисту персональних даних:
Наразі стоять дуже гострі питання: як довго можуть оброблятися персональні дані колекторськими фірмами, в якому обсязі банк чи інша фінансова організація можуть передавати персональні дані. Якщо ПД зібрані з якоюсь метою, то з цією метою вони повинні і оброблятися. Кожен банк має право ідентифікувати клієнта при відкритті його рахунку, але не може ці відомості використовувати та збирати більше, ніж йому потрібно для ідентифікації. Є бюро кредитних історій, є збирання банком інформації про ризики тощо, а Закон і Конвенція кажуть, що кожна мета потребує окремої обробки.
Ми провели понад 20 перевірок дуже складних юросіб, які опрацьовують персональні дані, у нас є право надавати приписи, які вони мають виконувати. Якщо вони не погоджуються з цими приписами, вони можуть йти до суду. У нас не було жодного випадку, коли б вони не виконали наших розпоряджень,та штрафи ще не накладалися.
Я не думаю, що зміни до Закону принципово щось змінять. Редакція враховує пропозиції щодо удосконалення Закону, висловлені європейськими експертами, та його ветування може зупинити позитивні явища. Незалежно від того, чи набудуть чинності поправки чи ні, думаю, наступного року ми вже побачимо стандарти в галузі захисту персональних даних.
Іван Пєтухов, віце-президент Української спілки промисловців та підприємців, заступник голови Громадської ради при ДСЗПД:
Такі зміни практично нічого не дають, оскільки вони не рятують від людського чинника. Вся відповідальність все одно лягає на суб'єкта, який має базу персональних даних. Це його завдання та проблема захищати їх. Крім того, Головне юридичне управління ВР зазначило, що ці пункти не були предметом розгляду при першому читанні та змінюють основну мету прийняття законопроекту. І ці норми йдуть урозріз із задекларованим у державі курсом на дерегуляцію.
Ксенія Ляпіна, заступник голови Комітету ВР з питань промислової та регуляторної політики та підприємництва:
- ухвалені поправки до Закону про захист персональних даних неоднозначні. Можна було б говорити, що зміни призводять до погіршення, якби не був поганим сам базовий Закон, який сьогодні створює перешкоди у здійсненні підприємницької діяльності. І поправки, на жаль, не призведуть до суттєвих покращень. Мабуть, саме у цьому проявляється їхній негативний вплив.
Валерій Бондик, заступник голови Комітету ВР з питань правосуддя:
Вадим Колесніченко, член Комітету ВР з питань правосуддя: