Експертна дискусія «Законопроєкт № 5628 „Про захист персональних даних“». Частина 1. Ексклюзив

18.10.2021 1 Редакция NS.Writer

Отже, колеги, можемо починати наше сьогоднішнє обговорення. Хочу сказати на початку, що сьогоднішнє наше обговорення відбувається в рамках ініціативи УГСПЛ ЕкспертиЗА, де ми обговорюємо різні проблеми: це і права людини — пояснюємо суть явища і пропонуємо, так би мовити, різні варіанти вирішення проблеми, яка постала перед громадянським суспільством і державою на даний момент. Також я хотів би зауважити, що сьогодні ми проводимо захід за підтримки Європейського Союзу та Міжнародного фонду «Відродження» в рамках спільної ініціативи «EU4USociety». Матеріал відображає позицію авторів і необов’язково відображає позицію Міжнародного фонду «Відродження» та Європейського Союзу.

Отже.

Проблема, над якою ми сьогодні будемо дискутувати, пов’язана із питанням захисту персональних даних. Зараз дуже багато дискусій в цьому контексті точиться: як краще вирішити цю проблему; як, в чому взагалі неузгодженість ситуації; як можна комунікувати; які алгоритми вирішення проблеми?

Сьогодні з нами цю тему буде обговорювати:

Євген Захаров — голова правління УГСПЛ

Олександр Павліченко — виконавчий директор Української Гельсінської спілки з прав людини

Наш колега Денис Волоха — експерт Української Гельсінської спілки з прав людини та Харківської правозахисної групи, який і власне провів аналіз законопроекту, який напрацювали депутати наші.

І пані Віта Володовська — керівниця юридичного відділу громадської організації «Лабораторії цифрової безпеки».

Вітаю вас, колеги.

Тож, скажіть мені, будь ласка, таке. Якщо ми говоримо про нинішню ситуацію, як можна охарактеризувати взагалі, що таке система захисту персональних даних в Україні на даний момент?

Олександр Павліченко: Це до кого питання?

Ведучий: Прошу, Олександре Миколайовичу.

Олександр Павліченко: Сам і нарвався. Доброго дня всім. Дуже слушне питання, і я би мабуть розпочинав аналіз законопроекту з того, що будь-яка законодавча ініціатива має базуватися на аудиті ситуації і врахуванні того, що є на сьогоднішній день. Де є проблеми і як їх треба вирішувати, і, власне, бачення потенціалу вирішення проблем. Щодо сьогоднішньої ситуації: ми знаємо, що в Україні сьогодні є друга каденція, друге завантаження системи захисту персональних даних, і вона так само є невдалою і провальною. Тобто, не злетіла перша система, яка була підготовлена ще наприкінці 2010-го року — запрацювала з 2011-го року. Так само переформатування і передача до офісу Уповноваженого [Верховної Ради України з прав людини] функції захисту персональних даних і намагання встановити належний інструмент захисту у вигляді Уповноваженого, який повинен здійснювати відповідні дії із захисту персональних даних. На сьогоднішній день так само виявляються очевидно недостатніми, і можна сказати, що це є проблемою.

І тут потрібно, як на мене, зважати на наступні фактори.

Перше — це взагалі підхід в Україні до обробки персональних даних, який здійснювався і до часу введення цього законодавства в першій версії закону «Про захист персональних даних», і другої версії. Саме розуміння необхідності захисту і — ще наголошу — йдеться про автоматизовану обробку персональних даних, тобто це відповідна регламентна норма, яка фактично регулюється Конвенцією 108 Ради Європи ще в першій і в другій її редакції, оскільки оновлена версія цієї Конвенції фактично спричинила те, що необхідно було вносити зміни на різних етапах в систему захисту персональних даних. І, якщо ми говоримо про загальний ландшафт, як законодавчий, так і правозастосовний, то можна сказати, що Україна тільки виробляла інструментарій, який би справді ефективно захищав персональні дані, і намагалася ставити різні модельні експерименти, які би показували, наскільки яка система може… Чи це буде державна система у вигляді органу, який встановлений державою з захисту персональних даних. Коли всі обробники мають надіслати зареєстровані, вірніше, документи для реєстрації. І ми пам’ятаємо тонни листів, які надходили, і для обробки яких — просто для обробки яких — потрібно було десятки років витратити для того, щоби внести в реєстри всіх тих учасників, які реєструвалися як суб’єкти обробки персональних даних. Ми пам’ятаємо, як відбувалася робота просто з опрацювання цих документів з облікування, просто щоби передати їх, щоби вони не були знищені. А насправді це була абсолютно марна робота, нікому не потрібна. Яка на сьогоднішній день ефективністю дорівнює нулю — витрачені ресурси, витрачений час. І це були спроби встановлення ефективної системи контролю, як у вигляді Державної служби з захисту персональних даних — ми знаємо, це була перша система — так і у вигляді інституту Уповноваженого. І тепер ми підходимо до того, що ж пропонується і що має бути, і, власне, чи полетить те, що пропонується, тому що я завжди називаю це такими, знаєте, авіаційними термінами: чи злетить цей літачок, який будується. Ну, в даному контексті я резюме своє скажу пізніше, але зазначу: для того, щоб система запрацювала, закон має мати чітку логіку, бути чітко визначеним, відповідати всім засадам законодавства, яке має бути конкретним, передбачуваним і виконуваним. Ну, в даному випадку ми скажемо про це трошки пізніше, я би запросив до слова колег.

Дякую.

Ведучий: Колеги. Дякую, Олександре Миколайовичу. Ось в мене виникло питання: ми обговорюємо, скажем, еволюцію розвитку цього питання сфери захисту персональних даних; в чому на даний момент є проблеми, чому знадобилося декілька спроб змінити ситуацію, яка на даний момент проблема є найбільшою, якщо можна так сказати, в сфері захисту персональних даних?

Що нас не влаштовує?

Олександр Павліченко: Передовсім є декілька аспектів цього питання, перший і головний аспект — це, власне, розуміння, наскільки персональні дані в Україні захищені? Давайте дамо собі відверту відповідь, як захищаються персональні дані і наскільки автоматизована обробка в нас захищена відповідно до тих стандартів, які мають бути дотримані — це перше. Друге — це входження України в глобальний світ і той же самий стандарт GDPR — це загальноєвропейський стандарт, який застосовується на рівні Європейського союзу, і це абсолютна вимога для всіх обробників персональних даних: забезпечити належний захист, так як він здійснюється відповідно до стандартів, визначених цим положенням. І Україна, яка є європейською державою і має багато економічних, політичних і інших зв’язків з країнами Євросоюзу. Вона так чи інакше повинна працювати в тому полі законодавчому, яке визначено цими стандартами, і в зв’язку з необхідністю дотримуватися, відповідно, вимог цього GDPR треба так само; вірніше, це є стимулом для того самому бізнесу, для всіх, хто встановлює ділові стосунки із західними партнерами: працювати за цими стандартами. І відповідно, для західних партнерів так само треба розуміти, в яке поле вони входять і як може дотримуватися те законодавство на цьому полі. Тому в нас є, скажімо, наші національні проблеми і виклики, які нас штовхають до того, що ми повинні дати чітке визначення: як закріплено захист персональних даних і наскільки реально можна очікувати, що вся процедура відбувається з дотриманням норм, стандартів, і, відповідно, є можливість в разі порушення цього права на захист персональних даних, яких є дуже багато. І, знову-таки, є дуже багато розмитих зон ще в питаннях захисту персональних даних на національному рівні. Оце все вимагає конкретизації і вимагає якраз врегулювання передовсім на законодавчому рівні і створення моделі, яка би працювала і була більш ефективною, ніж попередні. І хотів би сказати і побажати, щоб це була, мабуть, хоча би на якийсь час більш остання версія, а не та, що знову не злетить. Дякую.

Ведучий: Дякую, Олександре Миколайовичу. Так, ми ще поговоримо про те — ну, от Ви згадували про цілу низку стандартів, так, які прийняті, наприклад, у Європейському Союзі. Про це ми ще будемо говорити. Але ось: наші колеги хотіли би доповнити. Перша була пані Віта. Будь ласка, Вам слово.

Віта Володовська: Так, дякую. Власне, якщо говорити про проблеми, то тут можна їх розкласти на рівні суб’єктів, які задіяні взагалі у цих відносинах. І коли ми почнемо говорити про суб’єктів персональних даних, тобто про нас із вами, чиї дані обробляються, то тут очевидно в нас є проблема: перше — грамотності. Знову ж таки, ми час від часу повертаємося до цієї грамотності в сфері цифрових прав, цифрової або медіаграмотності, так? То багато хто з громадян — на сьогодні ми не розуміємо цінності, з одного боку, наших персональних даних: те, як вони можуть використовуватися потім на шкоду нам. З одного боку, ми не знаємо насправді, хто і як збирає ці персональні дані, як їх використовує? І останнє: ми не маємо механізмів не тільки через незнання. А і, власне, через те, що немає таких механізмів у законодавстві — ефективних — захистити своє право навіть тоді, коли ми розуміємо, що воно порушується. Ну, і, власне, кількість тих звернень, які надходять до омбудсмена — вони показують, що таких порушень насправді багато. От, наприклад, в минулому році багато таких порушень було у зв’язку з колекторською діяльністю і так далі. І захиститися механізмів ефективних на сьогодні немає.

Далі, якщо ми перейдемо на рівень уже зараз за новим проектом контролерів, тобто тих, хто обробляє персональні дані. У них теж є певна проблема, тому що законодавство, яке є на сьогодні — воно сформульовано нечітко, і фактично їм важко зрозуміти правила гри. Як вони, навіть якщо суб’єкт хоче захистити персональні дані — не факт, що, виходячи з того законодавства, яке є, він зможе зрозуміти, які конкретні дії і що йому потрібно з цим робити.

Тому тут має бути просвітницька робота не лише з громадянами, суб’єктами персональних даних, а і, власне, дуже серйозна робота з компаніями, і не тільки з компаніями: насправді з державними органами теж. Про те, як вони мають працювати з персональними даними, захищати їх і так далі.

І є третій рівень: це є, власне, держава, і тут про це вже Олександр Миколайович згадував: про наявність контролера, державного контролюючого органу, який може якраз створювати оці ефективні механізми для захисту, реагувати у випадку порушень, і це мав би бути той орган, який може здійснювати і цю ж просвітницьку роботу. Оскільки саме він мав би бути найбільш компетентним у питаннях захисту персональних даних.

Але на сьогодні у нас фактично на усіх цих трьох ланках є провисання, в нас немає достатньо роботи в цьому. І коли ми аналізували і будемо далі аналізувати цей законопроєкт, то, на мою думку, дуже важливо якраз звертати увагу на те, чи вирішуємо ми ці проблеми цим законопроєктом.

Продовження тут.


Поделиться статьей:

                               

Подписаться на новости:




В тему: