Проєкт Закону України “Про захист персональних даних” №5628 було зареєстровано у Верховній Раді 7-го червня 2021-го року. Цей проєкт є значно об’ємнішим за чинний закон про захист, містить більше визначень, більш детально визначає процедури тощо. Багато норм перегукуються або й по суті копіюють такі ж норми у GDPR Європейського Союзу. Пропонуємо вашій увазі аналіз документу, проведений експертами Харківської правозахисної групи.

Законопроєкт №5628 прагне привести законодавство України про захист персональних даних у відповідність до актів Ради Європи та Європейського Союзу, запроваджує нові підходи до обробки та зберігання даних, вводить поняття “чутливих даних” тощо.

Позитивними рисами проєкту є:

• деталізація визначень та процедур;
• орієнтація на підходи Європейського суду з прав людини (ЄСПЛ);
• запровадження принципу “захист персональних даних за проєктуванням і за замовчуванням”;
• права суб’єктів персональних даних та обов’язки контролера й оператора визначені доволі конкретно;
• добре регламентовано дії контролера у випадку витоків даних (data breach);
• деталізовано ознаки згоди, питання цілей обробки даних.

     Водночас, законопроєкт містить низку недоліків.

1. Структурні аспекти:

• у проєкті відсутній розділ чи хоча б окрема стаття, яка б регламентувала діяльність контролюючого органу;
• водночас серйозне занепокоєння викликають деякі зобов’язання перед цим органом із боку контролерів та операторів (наприклад, надавати доступ до своїх приміщень на вимогу, надавати персональні дані про місцезнаходження абонентів);
• за відсутності реально діючого контролюючого органу всі широкі гарантії, які надає законопроєкт, просто не будуть працювати на практиці;
• якщо чітко не визначити компетенцію та повноваження контролюючого органу, є серйозний ризик, що цей орган сам перетвориться на найбільшого порушника права на приватність;
• із законопроєкту незрозуміло, який порядок обробки контролюючим органом персональних даних, які він отримуватиме для здійснення своїх функцій, про його функції також майже нічого не відомо.

2. Необхідно або присвятити частину законопроєкту регламентації роботи контролюючого органу, або паралельно підготувати окремий законопроєкт про цей орган.

3. У проєкті також немає детальної процедури передачі персональних даних між державними органами, що є важливим з огляду на обсяг персональних даних, якими володіють окремі державні структури.

4. Санкції, передбачені проєктом, є занадто жорсткими, а підстави для їх накладення — надто широкими та розмитими. Потрібно чітко визначити диспозицію, а розміри штрафів доцільно суттєво зменшити. Доцільно також відтермінувати набуття чинності закону в частині накладення санкцій.

5. До кінця незрозуміло, які вимоги законопроєкту стосуватимуться журналістської та творчої діяльності, немає визначень цих діяльностей. Норми про зйомку в публічних місцях є такими, що можуть стримувати діяльність журналістів, фотографів, операторів, художників тощо, і, відтак, призводити до обмеження свободи вираження.

Абстрактне посилання на практику ЄСПЛ у визначенні журналістської діяльності доцільно замінити більш конкретизованими визначеннями.

6. У проєкті бракує визначеності деяких термінів (наприклад, немає визначень понять “автоматизована обробка персональних даних”, “кандидат на працевлаштування”), окремі терміни вживаються по різному (“автоматизований” і “автоматичний”, “місцезнаходження”, “місце знаходження” та “розташування” тощо). Деякі принципи та норми базуються на спотворених положеннях Європейської конвенції з прав людини.

7. Хоча відносини щодо обробки персональних даних працівника роботодавцем описані загалом непогано, деякі визначення є незрозумілими та такими, що заплутують. Цей розділ потребує доопрацювання.

8. Також доопрацювання потребує й розділ про передачу даних до іноземних держав чи міжнародних організацій.

9. Сумнівною є ультимативна заборона відмовляти в наданні послуги чи товару у випадку відмови в обробці персональних даних, а також вимога до іноземних компаній призначати своїх представників в Україні.

Ураховуючи всі наведені недоліки, законопроєкт не можна приймати в такому вигляді.

Насамкінець хочеться зауважити, що, розробляючи такий вагомий законопроєкт, варто ретельно оцінювати ризики, пов’язані з обмеженням свободи слова та стримуванням економічної активності. У багатьох нормах законопроєкт №5628 по суті копіює GDPR Європейського Союзу, причому чимало норм в українському проєкті є навіть жорсткішими за європейські, незважаючи на те, що європейський регламент вважається найбільш вимогливим щодо поводження з даними. Законопроєкт, до того ж, сам по собі є доволі об’ємним і складним. І якщо ретельно вивчити і імплементувати його положення є доцільним для великих компаній чи державних структур, для малого бізнесу це може стати непосильним тягарем, що погіршить конкуренцію на ринку і просто економічну ситуацію в країні.

У Сполучених Штатах Америки, наприклад, відсутній федеральний закон, який би регламентував питання обробки персональних даних загалом. “Аналог GDPR” існує в штаті Каліфорнія та деяких інших штатах, але там дія цих законодавчих актів розповсюджуються лише на великий бізнес і загалом вони є суттєво менш вимогливими за європейські норми (наприклад, не передбачено права на стирання, штрафи за порушення є значно меншими).

Більш детальну версію аналізу законопроєкту можна знайти тут і тут.