Защита персональных данных на миллиарды гривен: вся правда о рисках и угрозах новых правил для украинцев.

На пути в ЕС Украина также должна адаптировать свое национальное законодательство в сфере защиты персональных данных к стандартам GDPR.

В современном цифровом мире защита персональных данных является важным аспектом обеспечения конфиденциальности и безопасности граждан. На пути в ЕС Украина также должна адаптировать свое национальное законодательство в сфере защиты персональных данных к стандартам GDPR. Процесс продвижения нового законопроекта уже запущен. В конце мая новый закон будет представлен к первому чтению. Однако его становление происходило в весьма непрозрачной форме, с манипуляциями, мифами и непониманием обществом реального смысла и угроз от принятия новых правил. Почему законопроект о GDPR в Украине нуждается в существенной доработке, выяснили эксперты YouControl.

Что такое GDPR и существует ли он в Украине?

Общая эволюция системы защиты персональных данных в первую очередь вызвана стремительным ростом объема информации в мире, необходимостью ее хранения, обработки и защиты. Это привело к принятию в 1981 году Конвенции No 108 о защите физических лиц в связи с автоматизированной обработкой персональных данных (позднее обновленной как Конвенция 108+). Дальнейшим шагом в этом направлении стало принятие Директивы 95/46/EC. А затем, в целях обеспечения защиты прав граждан в области обработки их персональных данных и свободного перемещения такой информации между странами, данная Директива была заменена в 2018 году Регламентом 2016/679 о защите данных (GDPR).

Таким образом, GDPR, или General Data Protection Regulation, является нормативным актом Европейского Союза, который регулирует обработку персональных данных граждан ЕС и является ключевым нормативным документом в этой сфере.

В свою очередь, с 2012 года в Украине действует закон «О защите персональных данных», который также регулирует обработку персональных данных, но с некоторыми отличиями от GDPR. Украинское законодательство не содержит таких строгих требований к обязательному согласию на обработку персональных данных, как GDPR. В Украине также существуют различия в терминологии и органах, ответственных за мониторинг и надзор за соблюдением правил обработки персональных данных. В то же время, учитывая, что Украина не находится под юрисдикцией Европейского Союза, GDPR может распространяться на украинские компании в части обработки данных граждан ЕС.

В то же время Украина взяла на себя обязательство адаптировать законодательство ЕС в сфере защиты персональных данных в соответствии со статьей 15 Соглашения об ассоциации между Украиной, с одной стороны, и Европейским Союзом, Европейским сообществом по атомной энергии и их государствами-членами, с другой стороны, ратифицированного в 2014 году. Речь идет о совершенствовании законодательства о защите персональных данных с целью приведения его в соответствие с GDPR. На сегодняшний день адаптация продвигается на уровне отдельных законодательных инициатив. И здесь есть важные нюансы.

Адаптация законодательства ЕС в сфере защиты персональных данных на украинском языке

Разработка законопроекта, который должен приблизить национальное законодательство в сфере защиты персональных данных к стандартам ЕС, началась в Комитете Верховной Рады по вопросам цифровой трансформации. Эта инициатива законодателей столкнулась с серьезной критикой со стороны бизнес-ассоциаций и общественности. Ведь разработка проекта проходила в непрозрачном формате, без привлечения представителей бизнеса и институтов гражданского общества (кроме близких к застройщикам).

Экспертные заключения Комитета по вопросам бюджета и Главного научно-экспертного управления Верховной Рады указывали на несоответствие положениям Конституции и законодательства Украины и необходимость привлечения значительных дополнительных финансовых затрат из государственного бюджета на их выполнение. А заключение антикоррупционной экспертизы Национального агентства по вопросам предотвращения коррупции – о наличии коррупциогенных факторов.

В итоге, 16.08.2022 голосование по проекту провалилось. Не голосовали 58 депутатов провластной фракции. Ни одного голоса не отдали фракциям «Голос», «ЕС» и «Батькивщина». Примечательно, что наряду с этим свои голоса добавили следующие парламентские группы: «За будущее», «ДОВИРА», а также «Восстановление Украины» и «Платформа за жизнь и мир», которые были созданы нардепами запрещенной ОПЗЖ (последняя обеспечила 16 из 25 голосов).

Однако, несмотря на неудачу, депутаты не отказались от идеи продвижения сомнительного проекта. Вместо этого приступили к разработке проекта Закона «О Национальной комиссии по защите персональных данных и доступу к публичной информации» от 18.10.2021 No 6177 (предполагается, что контрольно-надзорные функции этого органа будут распространяться и на открытые данные). А затем зарегистрировали обновленный проект Закона «О защите персональных данных» от 25.10.2022 No 8153, который, согласно заключению Главного научно-экспертного управления Верховной Рады, фактически является клоном предыдущего. И что печально, по предварительным данным, оба законопроекта должны быть вынесены на голосование уже этим летом.

Риски, связанные с принятием нового законодательства в сфере защиты персональных данных, или почему новый закон нуждается в существенной доработке

1. Поспешное внедрение стандартов GDPR приведет к значительному росту издержек бизнеса. GDPR в ЕС разрабатывался и согласовывался около десяти лет, затем был дан двухлетний срок для вступления в силу. Компании могут использовать это время, чтобы адаптироваться к новым правилам. В Украине этого не предвидится. Времени на адаптацию нет.

Поспешное введение новых правил в текущий кризисный период приведет к значительному увеличению затрат бизнеса на его внедрение, в частности, на оплату труда лиц, ответственных за защиту персональных данных, запуск новых систем безопасности, программного обеспечения и т.д. Он также содержит серьезные риски от проверок и штрафов. Это касается всей украинской бизнес-среды, как в частном, так и в государственном секторах экономики. Расходы последних неизбежно отразятся на государственном бюджете и налогоплательщиках.

2. Ограничение прав пользователей открытых данных. Согласно статье 22 Конституции Украины, конституционные права и свободы гарантируются и не могут быть отменены или ограничены при принятии новых законов или изменении действующих законов. Действующее законодательство предоставляет гарантии того, что публичная информация в виде открытых данных (в том числе данные физических лиц в составе этой информации) допускается к ее дальнейшему свободному использованию и распространению в любых законных целях. Законодательные нормы существенно сужают круг прав, так как предусматривают, что использование персональных данных, полученных из этих источников, возможно только в определенных пределах (согласие, публичный интерес и т.д.). При этом разработчики утверждают, что эти правила действуют на всей территории ЕС, что не соответствует действительности. В частности, Швеция, Дания и Нидерланды разрешают повторное использование персональных данных из реестров, независимо от их назначения, при отсутствии законодательных ограничений.

3. Манипуляции на фоне расплывчатых понятий и расплывчатости правил. Подход к определению персональных данных, отраженный в проекте, весьма расплывчатый: «персональные данные» — это сведения о физическом лице, которое идентифицировано или может быть идентифицировано... Такой подход не дает исчерпывающего ответа на вопрос о том, относятся ли те или иные данные к категории персональных данных или нет. Таким образом, любой субъект в сфере использования персональных данных заведомо становится заложником ситуации, когда расплывчатое определение может стать основанием для юридической ответственности, причем не только финансовой, но и уголовной. Законопроект также не содержит четких правил, которыми можно воспользоваться в случае проведения проверок.

4. Значительные бюджетные расходы на содержание. Создание отдельного профессионального органа в Украине, подготовка кадров и другие подобные вопросы требуют времени и значительных ресурсов. Согласно законопроекту о Национальной комиссии по защите персональных данных и доступу к публичной информации, штат регулятора составит 400 человек. Это превышает численность сотрудников большинства центральных органов исполнительной власти, среди которых: Министерство цифровой трансформации (261), Министерство образования (339), Министерство здравоохранения (238), Министерство социальной политики (294), Пенсионный фонд (302) и др.

В пояснительной записке к законопроекту указано, что его принятие требует выделения дополнительных средств из государственного бюджета в размере 224,76 млн грн. Это кажется очень скромным расчетом, поскольку, например, расходы бюджета 2024 года на финансирование Министерства инфраструктуры аналогичного размера (427 сотрудников) составляют два миллиарда гривен. Поэтому здесь вопрос о правильности расчетов и о том, во сколько реально обойдется государству содержание нового «тела».

5. Контрольно-надзорный орган. Предлагается наделить новый орган полномочиями по проведению проверок без какого-либо специального решения об их проведении, только при предъявлении официального удостоверения. С возможностью наложения штрафов фантастического размера: для физических лиц – до 20 млн грн, для юридических лиц – до 150 млн грн, или до 8% от общего годового оборота (сейчас максимальный штраф составляет 34 тыс. грн). В таких условиях трудно поверить, что главная роль этого органа будет заключаться в том, чтобы «просвещать и объяснять», а не превращаться в произвольного контролера, аналогичного по своим полномочиям Роскомнадзору в стране-агрессоре.

6. Гарантии прозрачности, подотчетности государства и борьбы с коррупцией под угрозой. Возможность свободного использования открытых данных, гарантированная Законом Украины «О доступе к публичной информации», способствует процессам прозрачности ведения бизнеса, развитию гражданского общества (важная информация становится доступнее для людей), борьбе с коррупцией (проведение журналистских, антикоррупционных расследований) и другим позитивным изменениям в стране. Заложенные в новом проекте ограничения на использование открытых данных приведут к сужению существующих гарантий, что однозначно ухудшит ситуацию.

7. Нет профессионалов и нет процедуры их подготовки. В Украине сегодня нет ресурсов, чтобы обеспечить легкий переход к новому режиму, если он будет принят. Украинская система образования не предусматривает возможности подготовки/повышения квалификации десятков тысяч специалистов в этой области. Для этих целей нет ни учебных программ, ни планов, ни бюджета. Кроме того, даже если вы реализуете его прямо сейчас, на подготовку первых специалистов уйдет не менее трех лет. То есть первые выпускники могли появиться только в 2024/25 году, тогда как страна нуждалась бы в них на несколько лет раньше.

8. Неактуальность вопроса по сравнению с насущными проблемами общества. Учитывая проблему коррупции, безопасности бизнеса и выявления российских агентов, в обществе сейчас существует значительный запрос на использование открытых данных без каких-либо ограничений, гарантированных действующим законодательством.

Выводы

Законопроект о GDPR в Украине нуждается в существенной доработке. Приближение национального законодательства к европейским стандартам не может происходить путем введения сверхшироких контрольных и штрафных полномочий Национальной комиссии. Ведь она превратится в инструмент давления на бизнес и другие сферы деятельности. В условиях серьезного дефицита бюджета целесообразнее направить миллиардные расходы на создание и поддержание новой структуры управления на другие приоритеты военного времени.

Невозможность полноценной проверки контрагентов из-за ограничения использования и анализа информации об их участниках, руководителях, бенефициарах и других связанных с ними лицах автоматизированными программами толкнет бизнес, банковский сектор, журналистов-расследователей в каменный век, где все придется делать «вручную». И использование "серых баз данных" недопустимо. Закрытие доступа к социально важной информации, в стиле РФ, не приблизит нас к Европе. Международные партнеры внимательно следят за тем, «сможет ли Украина победить коррупцию и выиграть возможность не быть похожей на Россию».

Это не означает, что общество не нуждается в защите личной информации, а лишь то, что соответствующие инициативы должны рассматриваться в соответствии с требованиями закона и на принципах разумности, соразмерности, добросовестности и осмотрительности. А также, конечно, с учетом прав бизнеса и общественности на участие в процессе принятия решений.