Експертна дискусія «Законопроєкт № 5628 „Про захист персональних даних“». Частина 4. Ексклюзив

Попередня частина тут.

Ведучий: Дякую Вам, пане Денисе, ми мабуть ще повернемося до обговорення позитивних моментів, тому що багато хто відзначає, що все-таки він суттєво відрізняється від “папєрєднікаф” і краще регулює сферу захисту персональних даних.

Я би хотів запропонувати поговорити про загрозу чи недоліки цього законопроєкту пані Віті. Пані Віта, Ви ж мабуть також мали нагоду ознайомитися із цими 120-ма сторінками? В чому, на Вашу думку, є найбільші загрози, які можуть вплинути?

Віта Володовська: я Вам навіть більше скажу, що, крім цих 120-ти сторінок я навіть уже почала знайомитися із законопроєктом про контролюючий орган, де теж багато сторінок і який теж насправді треба дуже уважно прочитати, тому що аналізувати ці два законопроєкти треба дійсно у зв’язці. Тому що вони не є окремими, і власне роль контролюючого органу – вона визначальна. Насправді, в тому, що все, що записано, має імплементовуватися і має бути контроль за тим, щоб це здійснювалося. Я би все-таки хотіла зробити одразу таку ремарку, перш ніж перейду до якихось недоліків, і сказати, що, на мою думку, все ж таки, якщо говорити, чи це крок вперед, чи два кроки назад, то, порівняно з тим, що в нас є зараз, це швидше крок вперед. Тому що насправді багато норм, які там імплементуються в плані чіткості прописання прав суб’єктів персональних даних, в плані чіткості визначення принципів, на яких має ґрунтуватися обробка персональних даних – вони насправді йдуть далі, ніж те законодавство, яке є в нас зараз. Зокрема окремі норми, які присвячені питанню профілювання або таргетингу і можливості – там чітко прописана можливість громадян відмовитися чи відкликати згоду – це безумовно позитивні моменти. І не можна це не відзначити – робота, яку зробили колеги, насправді є колосальною, єдино що безумовно – що, коли ми говоримо про сам законопроєкт, тут критика буде відноситися до тексту, тому що підхід зрозумілий, в основу ми берем GDPR і як би ті норми, які вже показали певну свою ефективність у Євросоюзі, але питання в тексті. Із ним потрібно працювати, тому що, в першу чергу, не один із суттєвих недоліків. Можливо, пан Олександр ще про це згадає, я не буду говорити про всі одразу. Я скажу кілька, тому що є багато моментів, але один з них – це нечіткість окремих формулювань: наприклад, дуже часто використовується паралельно із поняттям легітимної цілі обмеження, яка є чітко визначена в Конституції, Конвенції, дуже часто використовуються “легітимні інтереси”, які, може, сформульовані досить широко: наприклад, це можуть бути якісь там фінансові інтереси і так далі, і так далі. Тобто, от вони виходять за рамки отих легітимних обмежень, які передбачені міжнародними договорами в сфері прав людини, і це очевидно потрібно виправляти. Крім цього, є багато питань: наприклад, вони точкові, але вже, оскільки я про це почала говорити, наприклад, про те ж відеоспостереження. Там передбачається, що можливість визначення справді відеоспостереження законодавством – не законом, а законодавством, тобто це може передбачати набагато ширші підстави, які можуть визначатись навіть якимись підзаконними актами, і це теж не зовсім зрозуміло. Безумовно, от питання про журналістську діяльність, про яке згадував Денис, теж викликає, занепокоєння, тому що хто буде доводити? Виходить, що кожного разу потрібно буде доводити, що ви здійснюєте журналістську діяльність, а в нас з тим є проблеми. І це може звести – ну, окей, якщо є посвідчення журналіста і, умовно кажучи, і то потрібно буде, швидше за все, показувати редакційне завдання. Але як ми виходимо, тобто закладена там задумка про те, щоб це стосувалося і громадських журналістів, але так, як воно сформульовано, воно працювати у нас не буде. Тобто нам потрібно тут якось переформулювати. Ну, і, звичайно, питання відповідальності і тут, крім уже тих високих санкцій, про які говорили, дуже високих штрафів, в мене насправді з’явилося ще одне важливе питання: як відповідають державні органи, коли вони порушують законодавство у сфері захисту персональних даних? Тому що на сьогодні норма сформульована таким чином, що відповідальність несуть контролери, а до контролерів у тому числі відносяться суб’єкти владних повноважень. Тому в мене питання: чи ми плануємо мільйонні штрафи стягувати державним органом з державного органу?

Тобто тут, як мінімум, я розумію, що це швидше якесь упущення і необхідно уточнення, але питання залишається. Якщо в нас є зловживання і порушення з боку державного органу, або, наприклад, якогось службовця цього державного органу, як він буде нести відповідальність? Він є контролером; відповідно, штрафи ці не будуть застосовуватися але чи є тоді інша відповідальність? Чи зберігається там, умовно кажучи, адміністративна відповідальність, і, відповідно, чи буде складатися протокол? І тоді виникає досить-таки суттєва різниця в штрафах, тому що на сьогодні, наприклад, адмінштрафи набагато нижчі: 1700 грн, умовно кажучи, проти мінімум 10-ти а то і 30-ти тисяч з фізичної особи, яка інакше порушує. Тобто питання насправді не стільки в розмірах, але і в самому механізмі, і те, як ми яких суб’єктів охоплюємо, і взагалі в чіткості визначення порушень, тому що зараз вони перелічені як посилання на якісь статті. Плюс, є така абсолютно прекрасна норма, що якщо інші порушення цього закону, які не перелічені там вище, то за них застосовуються штрафи у розмірі 30% від штрафів, передбачених частиною першою і третьою цієї статті, де розміри штрафів різні. То 30% від яких штрафів будуть рахуватися і в яких випадках? Тобто ця норма, оця частина, яка стосується відповідальності і санкцій – вона чи не найбільш проблемна в усьому законі, тому що вона дійсно створює дуже багато питань.

Ведучий: Дозвольте уточню. Те, про що Ви зараз сказали, оця неузгодженість – це, я так розумію, потенційно судові позови? Стосовно того, як краще застосовувати.

Віта Володовська: Це навіть не стільки… Ну, з одного боку, по-перше, я не розумію, як саме контролюючий орган буде застосовувати цю норму? А якщо, – тобто або він її не буде застосовувати взагалі, або, якщо він її спробує якось застосувати, то тут будуть очевидні підстави для оскарження, тому що вона абсолютно нечітка, абсолютно незрозуміла, дозволяє дуже багато зловживань, і так, дійсно, це пряма дорога до суду і до успішної справи.

Ведучий: Дуже часто в такому випадку наші державні органи формують інструкції щодо застосування положеного законопроєкту, яка по суті підмінює самі положення і як його застосовувати. Така практика є, але вона далеко не завжди спрацьовує і стикається з тим – власне з отримуванням прав людини. Дякую Вам, пані Віто.
Олександре Миколайовичу, чи хотіли би Ви доповнити те, що казала пані Віта, в контексті якихось негативних моментів, про які ми говорили? Загрози, які несе.

Олександр Павліченко: Не хотілося би бути таким, хто повністю тільки негатив показує, я абсолютно погоджуюся з Вітою, вона суперпрофесійна в цих питаннях, і я просто зроблю посилання на те, що я казав на самому початку – що закон має бути чітким, передбачуваним і виконуваним. У мене є великі сумніви щодо цих трьох критеріїв, що відповідає цей закон. Тобто він є нечіткий, непередбачуваний, і виконувати його – як казав пан Євген, він буде гарним, але таким, що, скоріш за все, не злетить.

Чому це так? Чому розмиті норми? Те, про що казала Віта, розумієте, тут навіть не бланкетні норми – посилання, що дивитися в якісь там законодавчі акти, може. Тут є норми, які в принципі мають, скажімо так, таку широку дискрецію, що можна їх тлумачити в різний бік, наприклад, те, що становить суспільний інтерес. Вибачте, хто це буде визначати і в який спосіб, і як це можна буде довести в адміністративному якомусь порядку чи в адміністративному органі? Це я розумію, коли Європейський Суд розглядає справу, наскільки там дотримується вимога суспільного інтересу, і проводить свій трискладовий тест, за частиною другої, десятої чи восьмої статті, і відповідно зважує цілу низку чинників, зокрема того, наскільки була завдана шкода пропорційна необхідності оприлюдненню інформації, чи навпаки, закриттю інформації. То в даному випадку чиновник або той, хто буде здійснювати контроль, контролер за обробку персональних даних, жодним чином не уповноважений на такі дії і не має ні компетенції, ні знань; і навіть на етапі, коли не відбулася шкода, вирахувати потенційну шкоду неможливо. Тобто фактично це, будемо говорити, закладена нікчемна норма, вибачте, яка не працюватиме і жодним чином вона не може бути зреалізованою. І таких норм є тут не одна, не дві, і це розмиває законопроєкт, робить його нечітким. Я можу послатися на те – до речі, ми працювали над текстом законопроєкту у 2012-му році, коли відбувалася ця передача від держслужби і опрацьовувалися конкретні норми і конкретні формулювання. Можу сказати, що намагання було, тобто була логіка така, щоб законопроєкт був максимально зрозумілим. Даний законопроєкт на 120-ти сторінках не відповідає цій вимозі. Тобто тут виникне питання, що треба буде навчати спеціалістів – це буде окрема процедура, і це займе час і досить довго триватиме – досить гарно для того, щоби розвести цілу кампанію, але по факту на захист персональних даних це матиме практично нульовий вплив. Тобто ось у чому є проблема. Наскільки це спрацює безпосередньо на саму ситуацію з конкретним захистом персональних даних.

І тут потрібно дивитися на те, щоби справді вимоги закону були чіткими, передбачуваними, конкретними і виконуваними. І ще один компонент і аспект, який би я хотів зауважити – це те, що він повинен бути недискримінаційним. Коли ми мали ситуацію на рівні 2012-2013 рр – просто вихоплювали декілька із організацій, які допускали порушення через те, що ніхто не знав, як потрібно здійснювати цей захист персональних даних. Знала тільки державна служба, і було написано в законі, який державна служба тлумачила по-своєму, а можна було тлумачити інакше. І, відповідно, здійснювалося адміністративне стягнення або накладалося адміністративне стягнення на декілька організацій, які вважалися порушниками. І можу сказати, що можна було виступити на боці цих організацій і податися з оскарженням, тому що вони були абсолютно рандомно вихоплені з усієї сукупності організацій, яких було там сотні тисяч, якщо не мільйони, і, відповідно, притягнуті до відповідальності за те, за що інші не притягалися – до відповідальності здійснюючих в такий же точно спосіб, таку саме обробку персональних даних. І тут ми матимемо те ж питання: де ця точка, коли на всіх покладається однакова відповідальність і не буде оцього дискримінаційного підходу. Дякую.

Ведучий: Дякую, Олександре Миколайовичу. Дійсно, можна дуже багато говорити про позитивні і негативні сторони. Ми відмічаємо, що він відрізняється від попередників. Дещо регулює, прояснює ситуацію. Однак ми по сьогоднішньому обговоренню, я би сказав, дійшли до висновку, що, грубо кажучи, особливих перспектив у застосуванні цей законопроєкт не має. То як чинити далі?

І депутатам, умовно кажучи, і громадянському суспільству. Чи є взагалі діалог із розробниками законопроєкту, чи є якесь розуміння, що до цього тексту потрібно вносити зміни? Чи працює хтось із вас, колеги, в цьому напрямку? Розкажіть, будь ласка.

Завершення тут.