Експертна дискусія «Законопроєкт № 5628 „Про захист персональних даних“». Частина 3. Ексклюзив

Попередня частина тут.

Ведучий: Дякую.Олександре Миколайовичу, я би хотів уточнити деякий момент. Ви сказали про те, що зараз накопичуються різні бази даних і це викликає проблеми. Але, з іншого боку, в тому числі правозахисна спільнота говорить про те, що інформації в Україні не вистачає. Ми говоримо про базу даних, наприклад, про базу з головного феномена, про різні бази даних, які стосуються різних сфер діяльності держави. Де потрібен сервіс держави. Але ж тут не йде мова — не завжди йде мова про персональні дані в цій інформації. І тут не йде мова про відкритість — як корелювати ось ці два сегменти? Тому що, так чи інакше, виникає ось ця ситуація, коли при формуванні бази даних в різних сферах персональної інформації власників майна чи ще якогось, питання все одно виникає. Як це співвіднести?

Олександр Павліченко: Ну, ми вже йдемо трошки в іншу сторону, я би сказав, про те, що ми відходимо трохи від обговорення теми законопроєкту запропоновану. Дуже коротко скажу. Справа в тім, що будь-яка база даних, яка створюється, має передбачати свою конкретну мету, і це відповідно обробка персональних даних, яка не повинна виходити за межі отримання необхідної для здійснення цієї — в межах цієї бази даних, операції. Як правило, це порушується — цей принцип і ця вимога, і, відповідно, другий момент — це доступ до цієї інформації з боку інших суб’єктів і можливість контролювати чи не контролювати цю інформацію. Тому що в таких надмірних базах даних доступ здійснюється фактично неконтрольований з боку різних державних суб’єктів, які не можуть, повинні не порушувати законодавство, але разом з тим сам цей доступ, який там здійснюється — наприклад, згода на обробку була дана тільки для того, щоб виготовити паспортні документи або закордонний паспорт, або внутрішній паспорт, або якісь інші аналоги — але ця інформація поширюється по інших базах і використовується іншими суб’єктами без належного повідомлення навіть тієї особи, яка дала згоду на обробку таких персональних даних.

І це є так само можливою підставою для якихось навіть зловживань, які можуть суттєво зашкодити тим же самим правам цієї особи. Що робити? Ну, по-перше, треба щоб суспільство слідкувало, щоб такі бази: по-перше, не створювалися; по-друге — щоб був належний контроль за їх функціонуванням і належним забезпеченням обробки і всіх вимог до конкретної бази даних. Відповідно, це, знов-таки, і заклик, і стимул до громадянського суспільства і до належних контролерів, які мають робити це на рівні державних інституцій. Дякую.

Ведучий: Дякую, Олександре Миколайовичу. Тепер, повертаючись до законодавчих ініціатив, до дискусій, які точаться в громадянському суспільстві, ми говоримо про те, що є декілька спроб депутатів врегулювати чи покращити ситуацію з захистом персональних даних. Чи можна якось коротко охарактеризувати, чому ці законопроєкти, які розробляються, не є не те що некоректними, а не зовсім правильно вносять зміни в поточні ситуації? Чому не варто на них розраховувати? Наприклад, той же законопроєкт 26-71, який стосувався захисту персональних даних — права на обробку, точніше, персональних даних. Чому ми говоримо про те, що вони не є актуальними — ці спроби?

Хто на себе візьме таке бажання, відповідальність відповісти на це запитання, колеги?

Олександр Павліченко: Денис іще не говорив. Думаю, що можна би його запросити зараз до слова.

Ведучий: Якраз я і хотів сказати, пане Денисе, наскільки Ви аналізували цю всю ситуацію, Ви, вочевидь, чудово знаєте відмінність в різних пропозиціях і могли би загалом охарактеризувати, в чому їхня суть і чому ми говоримо сьогодні про інший законопроєкт, який Ви безпосередньо провели аналіз і сьогодні нам про нього розкажете.

Денис Волоха: Дякую, Максиме. Можливо, це вас здивує, але я справді не можу нічого сказати про інші пропозиції, тому що я їх не бачив і не читав. З мене вистачило, в принципі, прочитати цей 120-сторінковий аналіз, 120-сторінковий законопроєкт «Про захист персональних даних», який є. Щодо інших я абсолютно нічого сказати не можу, тому що я їх не бачив жодного разу на свої очі.

Ведучий: Давайте, Денисе, тоді поговоримо про ті 120 сторінок, які Вам довелося в час дозвілля осилити. Як би Ви його охарактеризували?

Під час анонсу, який ми розсилали, ми говорили багато і про позитивні, і про негативні сторони цього законопроєкту. Але зараз він дуже активно обговорюється в експертній спільноті. Як би ви його охарактеризували?

Денис Волоха: Спочатку я хотів би сказати, що варто віддати належне авторам законопроєкту: що в них досить добре вийшло зробити переклад Java Data Protection Regulation of the European Union — GDPR — але потім я збагнув, що цей переклад уже давно зроблений. Він є на сайті Верховної Ради, і я не знаю, я його не читав — сам цей переклад — не знаю, чи є там якісь відмінності, чи автори робили свій власний переклад, чи вони послуговувалися тим, що вже є. Але, тим не менше, звичайно, ці два акти — Європейський GDPR і український законопроєкт «Про захист даних» — вони дуже схожі. Там більшість норм по суті скопійовані з деякими уточненнями. Але, як не дивно, деякі норми в українському проєкті навіть більше жорсткі, ніж у GDPR, хоча GDPR вважається і визнається одним із найжорсткіших регулюючим актом у сфері захисту персональних даних, мабуть найбільш жорстким, до речі. І чи не єдиним, в принципі, модифікованим актом, тому що в інших країнах такого безпосередньо немає.

Звичайно, з одного боку добре.

Ведучий: Скажіть, будь ласка, про що мова? Якщо Ви говорите про більш жорстке, то в чому це виражається?

Денис Волоха: Жорсткість — я маю на увазі в регулюванні вимог щодо контролерів, операторів персональних даних. Перш за все, це стосується, мабуть, бізнесу. І по суті GDPR — він виписаний так, що він стосується будь-кого взагалі, під нього підпадає будь-хто — хто обробляє так чи інакше інформацію або володіє нею, зберігає. Тому, по суті, будь-якої людини він може стосуватися. Якщо виходити з буквального тлумачення норми — оце я маю на увазі, саме щодо контролю за персональними даними. В тій же Америці — там немає такого акту, і навряд чи він з’явиться, хоча є спроби там зробити щось таке в окремих штатах, зокрема в Каліфорнії — California Consumer Protection Act. Він навіть не спрямований на захист безпосередньо даних. Там в них є, звичайно, інші акти, федеральні, які стосуються захисту медичної інформації, наприклад — це CCPA але, тим не менше, якщо говорити про позитивні риси: з одного боку, це добре, що наше законодавство буде узгоджено з нормами Європейського Союзу, тому що і бізнесу зокрема буде простіше зробити якусь універсальну — підігнати свої стандарти захисту персональних даних під якісь універсальні вимоги, які будуть однаковими і в Україні, і в Європейському Союзі.

З іншого боку, тут, як говорить часто Євген Захаров, якраз головне — не переплутати скальпель із сокирою. Тобто, якщо ми хочемо захистити дані, передусім варто поставити питання: від кого ми хочемо захистити їх? Тому що потенційно буде найбільшим порушником у цього права на приватність у сфері захисту персональних даних. Знову ж таки, у Сполучених Штатах навіть оцей Каліфорнійський акт, який найбільше нагадує GDPR — він спрямований своєю вимогою, розповсюджується лише на великий бізнес — від 5 000 000 доларів, здається, оборот чи навіть більше. І тут, якщо брати GDPR, який стосується взагалі кожного, і українські реалії, які можуть застосовуватися — це може стати таким механізмом, який погіршить економічну конкуренцію. Тому що провадити якісь оці складні доволі вимоги, просто осягнути весь цей проєкт і підігнати свої стандарти під його вимоги для малого бізнесу буде значно складніше, наприклад, ніж для крупних компаній або державних структур. І тут у мене немає відповіді взагалі, чи потрібно розписувати його взагалі на всіх, чи потрібно обмежитися лише окремими великими гравцями, так би мовити — державою і крупним бізнесом. Це питання до обговорення. Звичайно, добре, що законопроєкт дає більш чіткі визначення, спирається на практику Європейського Союзу з прав людини але дані стандартів якраз Європейського Суду полягають в балансі між свободою слова і правом на приватність. І свобода слова передусім пов’язується з журналістською діяльністю. І тобто, якщо мова йде про державних службовців і про журналістів, тут трошки менший рівень приватності і трошки більший рівень свободи слова зазвичай.

Але журналістська діяльність у цьому законопроєкті ніяк не визначена, там так і написано, що вона визначається з урахуванням практики ЄСПЛ, відповідно, про що не лише я говорив, що журналіст у такому випадку має осягнути всю практику ЄСПЛ, щоб визначити просто, коли він здійснює журналістську діяльність, а коли ні. Це, звичайно, так не має бути, має бути якесь чітке визначення більш-менш. Хоч із урахуванням практики, але вже встановленому в основному законі.

Друге, на що я хотів би звернути увагу — це контролюючі органи. Тобто, звичайно, без контролюючого органу ці всі норми не будуть працювати; вони, зрештою, і з ним можуть не працювати, про що говорив Євген Захаров: якщо закон не відповідає уявленню суспільства, то він не буде працювати. І дійсно: маю побоювання, що з цим проєктом і в майбутньому законом, що приймуть, може бути саме така історія. Але в простоті ті речі, які прописані контролюючим органам, мені здаються потенційно небезпечними. Тому що там, по-перше, законопроєкт не має якоїсь окремої статті про цей орган, невизначена взагалі його структура якась, форма його, яким він має бути, але написано, що він може, наприклад, відвідувати приміщення контролерів, отримувати доступ до їхніх комунікаційних систем на його запит; оператори-провайдери по суті повинні надавати інформацію про розташування своїх абонентів, що доволі дивно. І ми можемо просто виростити такого монстра, який сам стане не лише порушником права на приватність, а й інших прав. І тому потрібно — наскільки я знаю, якийсь законопроєкт уже готують окремо про контролюючі органи — його потрібно або приймати одночасно із цим законопроєктом, або краще взагалі об’єднати це в якийсь один акт. Бо приймати окремо — це, без визначення повноважень чітких контролюючих органів, мені здається абсолютно неправильно. Ну, тут, ми вже перейшли мабуть до недоліків законопроєкту, так, коротко. Сказавши про його переваги — вони, звичайно, є, але, тут… не знаю, можливо, це моя вада, але я переважно дивлюсь на якісь речі, які можуть бути небезпечними.

Продовження тут.