Захист персональних даних: поєднати непоєднуване

За основу прийнято законопроєкт № 8153 «Про захист персональних даних»: що далі?

Законопроєкт № 8153, проголосований парламентом наприкінці листопада, є дещо особливим. Мало у якому іншому документі законотворець намагається поєднати непоєднуване, адже право на приватність та відкритість даних – це протилежні сторони однієї медалі. Про те, як вдалося (і чи вдалося взагалі) обійти таке протиріччя, а також про сам документ – у моєму матеріалі далі.

Ще одна вимога перед вступом до ЄС

А почати хотілось би ось із чого. В рамках Угоди про асоціацію між Україною та Європейським Союзом Україна має ухвалити два законопроєкти: «Про захист персональних даних» №8153 та «Про національну комісію з питань захисту персональних даних» №6177. Обидва вони були розроблені та адаптують законодавство до стандартів GDPR – Загального регламенту про захист даних в ЄС.

Але це важливо не лише в контексті євроінтеграції. Власне вітчизняне законодавство застаріло, адже досі питання захисту персональних даних регулюється законом, прийнятим у 2010 році. Так, цей документ постійно оновлюють, але давно вже назріла потреба ухвалити новий.

Тим більше, що за останні без малого п’ятнадцять років з’явилося чимало державних і комерційних реєстрів, баз даних та онлайн-сервісів, які можуть накопичувати та зберігати дані людей. І саме тому потреба в сучасному підході до їхнього врегулювання здається очевидною.

Що таке персональні дані?

При всій очевидності відповіді на це запитання дам деякі уточнення. Персональними даними може бути будь-яка інформація про людину, за якою прямо чи опосередковано можна її ідентифікувати. Про необхідність захисту таких даних йшлося ще у 1981-му – саме тоді був прийнятий перший міжнародний договір, який торкався захисту даних.

Наступний документ був ухвалений у 1995-му. І це була перша відповідна директива Європейського Союзу. У 2018-му договір модернізували, тепер він має назву «Конвенція 108+», а директиву замінили на Загальний регламент про захист даних, тобто на GDPR. Зрозуміло, що у 1981 році уявлення про те, звідки можна черпати інформацію про людини, було значно вужчим, ніж зараз. Тоді це були офіційно видані паперові документи.

Коли уявлень про персональні дані розширилося у 1995 році. Тоді це вже були ім’я, ідентифікаційний номер, геолокація тощо. Але у 1995 році ще не було соцмереж у теперішньому їх розумінні, хоча саме цей рік став роком старту першого їх прототипу. А зараз – при теперішньому розвитку соцмереж та їх розмаїтті – дані, які завантажує туди користувач (і які бачать інші юзери), також є персональними.

А чим більше інформації потрапляє у відкритий доступ, тим актуальнішою стає потреба щодо їх захисту та регламентації роботи з ними.

Нині у регламент Євросоюзу входить 99 статей, які здебільшого стосуються компаній та організацій, чия робота може бути пов’язана зі збиранням персональних даних на території ЄС. GDPR передбачає конфіденційність цих даних, прозорість їхнього зберігання, опрацювання тощо. Україна ратифікувала «Конвенцію 108» та прийняла Закон про захист персональних даних – як вже зазначалося – у 2010 році.

Пізніше – коли була підписана Угода про асоціацію з ЄС, наша держава зобов’язалася налагодити сферу захисту персональних даних. Упровадження норм GDPR, по суті, є наступним кроком у цьому напрямку. Поки що відповідальним за захист персональних даних є Уповноважений із прав людини, але з прийняттям нових законів цим займатиметься Нацкомісія із захисту персональних даних.

І ось ще рік тому до Верховної Ради був внесений законопроєкт № 8153. Нині у парламенту «дійшли руки» до цього документу, прийнятого нещодавно за основу.

Про що закон? Розглянемо медійний аспект

Проєкт закону є досить ліберальним щодо медійників, оскільки він допускає оброблення ними чужих персональних даних без застосування його положень, якщо оброблення здійснюється «виключно для журналістських та творчих цілей, за умови забезпечення балансу між правом на повагу до особистого життя та правом на свободу вираження поглядів» (п. 2 ч. 2 ст. 25 закону).

Водночас дія законопроєкту «не поширюється на обробку персональних даних фізичними особами для особистих чи побутових потреб, які не пов’язані зі здійсненням професійної чи будь-якої іншої діяльності» (ч. 3 ст. 1 проєкту). При цьому під «обробкою персональних даних» мається на увазі будь-яка дія з персональними даними з використанням або без використання автоматизованих засобів..» (ч. 1 ст. 2 проєкту).

Власне, Україна наразі є однією з країн, де персональні дані максимально відкриті. Це завжди було дуже зручно для журналістів, але шкодило захисту даних. І саме тому законопроєкт закладає ложку дьогтю в діжу журналістського меду.

Бо законопроєкт усе ж покладає на медійників надмірні зобов’язання щодо оброблення персональних даних, які можуть затримувати публікацію матеріалів, ускладнювати оперативне інформування громадськості та становити загрозу свободі слова.

Так, медіа мають отримувати згоду кожного суб’єкта на оброблення його персональних даних (п. 1 ч. 1 ст. 5 та ст. 6 проєкту). Така вимога у багатьох випадках є нереалістичною. Наприклад, журналіст, що висвітлює протест чи публічний захід, не зможе ефективно ідентифікувати всіх учасників, не кажучи вже про отримання їхньої згоди.

У ситуаціях, коли суб’єкт даних може бути показаний у негативному світлі, отримати його згоду, як ми розуміємо, практично неможливо. А це може спонукати медіа уникати висвітлення контроверсійних тем, що обмежує право на інформацію.

Нарешті, законопроєкт зобов’язує кожного, хто проводить знімання чи запис голосу особи відкрито на вулиці або на заходах публічного характеру повідомити присутніх про цей факт і мету фіксації їхнього зображення чи голосу (ч. 1 ст. 11 проєкту). Це як мінімум зобов’яже медійників виставляти поряд із собою на видноті табличку з попередженням про їхні дії та про потенційне використання знятого в матеріалах медіа.

При цьому будь-яка фізична особа (на яких, нагадаю, законодавство про захист персональних даних не поширюється) також може знімати на вулицях, наприклад на смартфон, поширюючи ці записи згодом у соцмережах, де охоплення їх аудиторією може бути не меншим, ніж у медіа.

Але така фізична особа не підпадає під регулювання законопроєкту, а якщо й підпадатиме з якихось підстав, то ще треба спромогтися її ідентифікувати й притягти до відповідальності. Тобто така асиметрія створює несправедливі умови для медіа.

Очевидні плюси законопроєкту

Отож, про складнощі та новації у роботі журналістів ми поговорили. А тепер до інших змін. А вони стосуватимуться тих даних, поширення яких не має суспільної необхідності. Наприклад, адреса і телефон дрібних підприємців. Ці люди зможуть вимагати, щоб інформацію про них не включали до відкритих реєстрів.

Звісно, є компанії, для яких цей закон дуже ускладнить ведення бізнесу. Особливо підприємствам, які продають товари чи послуги та мають дисконтні картки. Деякі з них збирають інформацію про людей, а потім продають її іншим рекламним і маркетинговим компаніям, іноді навіть без відома цієї людини.

Один із принципів GDPR полягає в тому, щоб використовувати інформацію лише для того, для чого вона була зібрана. Наприклад, дані для реєстру виборців потрібні тільки для проведення виборів і не можуть бути використані для чогось іншого.

Загалом в Україні налічується не менше 350 реєстрів, і держава повинна приймати закон про функціонування кожного з них. При тому, що GDPR забороняє використовувати дані одного реєстру для інтересів іншого, – це можливо тільки для розслідування злочину та лише в дуже особливих випадках. Також передбачені доволі жорсткі правила щодо доступу до інформації про людину для правоохоронних органів.

За результатами дослідження організації Freerights, під час повномасштабної війни була виявлена низка порушень персональних даних, зокрема в розподілі гуманітарної допомоги та в реєстрах, – держава не забезпечила захист даних і все опинилося у росіян. Під час наступу вони мали всю інформацію про людей, знали адреси активістів, військовослужбовців, працівників СБУ та поліціянтів.

Іншими словами, кількість загроз у захисті персональних даних усе більша, зокрема щодо даних військових та можливостей використання штучного інтелекту, а ситуація щодо механізмів і гарантій захисту даних не покращується. Саме тому законопроєкт № 8153 і є таким потрібним.

Про створення Національної комісії з питань захисту персональних даних

Якщо законопроєкт № 8153 вже прийнятий за основу, то аналогічний документ – про Національну комісію з питань захисту персональних даних – іще не розглядався. Із ним виникають значні складнощі, і ось деякі з них.

Створення комісії потребує певних бюджетних витрат, адже це ще одна інституція, яка за обсягом фінансування подібна до Уповноваженого Верховної Ради з прав людини.

Крім того, у законопроєкті про комісію намагаються поєднати й захист персональних даних, і доступ до інформації, тобто зібрати в одній інституції різнопланових експертів. Це буде непросто, хоча європейські країни мають подібний успішний досвід.

За задумом законодавця, склад Нацкомісії має налічувати до 400 осіб. І тут виникає питання інституційної незалежності подібної структури. Важливо, аби й там не заправляли усім міжнародні експерти – під егідою наших рідних громадських діячів, які, як показує досвід, здатні радше заблокувати роботу органу, аніж спростити її.

Таким чином, деякі питання залишаються «підвішеними», що, однак, не впливає на потребу ухвалення законопроєкту № 8153.