В Україні захист персональних даних і забезпечення доступу до публічної інформації хочуть доручити одній структурі. Чи є ризики?
Стрімкий розвиток інформаційних технологій поставив перед Україною нові завдання у сфері захисту прав людини. Зокрема, з’явилася необхідність встановлення чітких правил, що стосуються цифрових персональних даних і водночас створення спеціального органу для контролю над їхнім виконанням.
Новий законопроєкт, що має регламентувати діяльність такого регулятора, обговорили експерти, представники влади та громадськості на круглому столі “Створення уповноваженого органу захисту персональних даних та доступу до публічної інформації”.
Захист персональних даних: нові реалії – нові правила
У 2010 році Україна підписала Конвенцію про захист фізичних осіб у зв’язку з автоматизованою обробкою персональних даних. Цей документ – перший в історії міжнародний договір про необхідність захисту персональних даних – був створений ще в січні 1981 року.
Як розповіла в коментарі для ZMINA юристка, експертка з інформаційного законодавства та розвитку соціальних проєктів у сфері безпеки Уляна Шадська, передувала появі конвенції ситуація 60-х років, коли почали активно розвиватись інформаційні технології. За їхньою допомогою збирали великий обсяг персональних даних людей. З огляду на історичний досвід це занепокоїло міжнародні організації, тому з’явилася потреба в розробленні детальних правил оброблення та захисту конфіденційної інформації про людину.
Тому 1968 року Парламентська асамблея Європи оприлюднила рекомендацію №509 щодо усунення загроз правам людини внаслідок використання автоматизованого оброблення даних. 1981 року була відкрита для підписання Конвенція про захист осіб у зв’язку з автоматизованою обробкою персональних даних (Конвенція 108). Цей міжнародний документ застосовується до будь-якого процесу оброблення даних, що здійснюється як у приватному, так і в державному секторах. Документ став додатковою юридичною гарантією того, що в людини з’явилося право контролювати потік особистої інформації, зокрема знати, хто її збирає, з якою метою, як використовує, зберігає чи комусь передає.
Саме в цій конвенції введено таке поняття, як “відповідний” (або адекватний, належний) рівень захисту персональних даних з боку держави. Особливо в контексті транскордонного передання та обміну.
“Проте розвиток цифрового світу триває, створюючи для суспільства нові виклики. Посилюється проблема незаконних витоків та використання персональних даних. Це дало поштовх до вдосконалення чинної Конвенції 108. У травні 2018 року Рада Європи ухвалила Протокол CETS №223, яким внесено зміни до неї”, – пояснила Шадська.
У модернізованій Конвенції 108+ встановлено жорсткіші правила, покликані мінімізувати всі ризики порушення недоторканності приватного життя, що виникають у зв’язку з використанням технологій. Тепер вона поширюється як на автоматизоване, так і на неавтоматизоване оброблення даних, однак жодним чином не обмежує дій фізичних осіб для власних потреб.
Також у документі посилилися вимоги щодо контролю над обробленням спеціальної категорії даних, таких як біометрія або генетичні дані, регулювання транскордонного передання та обміну даних у межах міжнародного співробітництва.
Важливим нововведенням стало зобов’язання інформувати про витік даних.
“Люди мають знати про ризики та бути спроможними захистити себе. Положення документа також вимагають розробляти так званий дизайн приватності (Privacy by design). Це означає, що особа, яка збирає персональні дані, зобов’язана вбудувати систему їхнього захисту в усі процеси своєї діяльності ще на ранньому етапі проєктування та безперервно підтримувати її й надалі”, – зауважує експертка.
У найближчому майбутньому питання щодо ратифікації Протоколу CETS № 223, а також взяття відповідальності за виконання положень модернізованої Конвенції 108+ постане і перед Україною.
“Однією з вимог конвенції є створення контролювального органу у сфері захисту персональних даних з широким переліком повноважень. Тому гарантії забезпечення його незалежності та визначення його місця в системі органів державної влади є надзвичайно актуальним”, – сказав під час круглого столу голова Комітету ВРУ з питань прав людини, деокупації та реінтеграції тимчасово окупованих територій у Донецькій, Луганській областях та Автономної Республіки Крим, міста Севастополя, національних меншин та міжнаціональних відносин Дмитро Лубінець.
Наразі в Україні контроль за дотриманням законодавства у сфері захисту персональних даних здійснює Уповноважений Верховної Ради України з прав людини. Але міжнародний досвід свідчить, що створення окремого органу для цього буде ефективнішим, вважає нардеп.
Омбудсман з прав людини Людмила Денісова повідомила, що в порівнянні з 2020 роком кількість повідомлень про порушення права на захист персональних даних тільки за перше півріччя нинішнього року збільшилась у 6,5 раза, тож актуальність створення такого органу очевидна. Вона підкреслила, що тут важливо врахувати вимоги модернізованої Конвенції 108+, щоб новоствореному органу був наданий міжнародний статус незалежності.
Створити окремий від усіх гілок держвлади орган заважає конституційна криза
У червні 2021 року в парламенті зареєстрували законопроєкт №5628 “Про захист персональних даних”. Його метою, зокрема, є модернізація вітчизняного законодавства в цій сфері, а також гармонізація з європейськими стандартами.
Документ, зокрема, передбачає:
- погодження термінології сфери захисту персональних даних з новими міжнародними стандартами;
- деталізацію та зрозуміліше формулювання принципів оброблення персональних даних;
- чіткіше формулювання підстав оброблення персональних даних;
- деталізовані та прозорі вимоги до згоди на оброблення персональних даних, які дозволять уникнути зловживань та маніпуляцій;
- розширення прав суб’єктів персональних даних та механізм їхньої реалізації;
- чітке визначення обов’язків контролера й оператора персональних даних;
- порядок повідомлення про витік персональних даних;
- врегулювання передання персональних даних на територію іноземних держав та міжнародних організацій;
- фінансову відповідальність, адміністративно-господарські санкції, що застосовуються до контролера та/або оператора за порушення права на захист персональних даних і дозволять забезпечити дієвість закону та виконання його вимог.
Також у ньому суттєво розширено права суб’єкта персональних даних, зокрема визначено механізми для захисту прав на інформацію, на доступ до персональних даних, виправлення персональних даних, права суб’єкта персональних даних на забуття, заперечення проти оброблення персональних даних і на їхнє обмеження, права суб’єкта даних на захист своїх прав та відшкодування збитку тощо.
Для реалізації положень цього документа необхідно створення нового органу, вважає голова підкомітету ВРУ з питань прав людини Тарас Тарасенко. До його функцій, зокрема, входитиме контроль за дотриманням законодавства, а також роз’яснювальна робота у сферах захисту персональних даних і доступу до публічної інформації.
Необхідність і можливі форми такого органу обговорювалися в Україні й раніше.
Так, 2020 року залучені Офісом Ради Європи в Україні експерти Олег Заярний та Володимир Венгер у межах спільного проєкту “Європейський Союз та Рада Європи працюють разом задля посилення операційної спроможності Омбудсмана у захисті прав людини” презентували три можливі моделі інституалізації державного контролю у сфері персональних даних та доступу до публічної інформації.
Модель 1 передбачала створення окремого конституційного держоргану, який не входив би до жодної з гілок державної влади та мав самостійний правовий статус.
За моделлю 2 це мав би бути окремий центральний орган виконавчої влади в межах гілки державної виконавчої влади, але з додатковими гарантіями інституційної незалежності.
Модель 3 передбачала створення системи органів здійснення контролю і пропонувала збереження та більш комплексний розвиток нинішнього способу здійснення контролю у сфері персональних даних та доступу до публічної інформації в Україні. Тобто відповідні функції мали б здійснювати декілька органів, об’єднаних в єдину систему з чітко розробленою взаємодією, алгоритмом ухвалення рішень та звітності.
Як розповів Тарасенко, найкращим рішенням вважалося створення окремого незалежного конституційного органу за типом Антимонопольного комітету. Проте це вимагало внесення змін до Конституції і, відповідно, висновків Конституційного Суду України. Який наразі не працює. Скільки триватиме конституційна криза в нашій країні – невідомо, тож створення такого органу може затягнутися на невизначений час. Тому зупинилися на варіанті створення органу зі спеціальним статусом у структурі виконавчої гілки влади з підпорядкуванням парламенту – за типом Національного антикорупційного бюро.
Головна умова – незалежність
Окремо учасники круглого столу зупинилися на незалежності органу, який здійснюватиме контроль над захистом персональних даних і доступом до публічної інформації. Забезпечити її має, зокрема, особливий порядок фінансування з держбюджету, колегіальне ухвалення рішень, розділ процесуальних дій членів новоствореного органу.
Також розробники законопроєкту хочуть, щоб голова вказаної структури, його заступник та службовці під час виконання обов’язків перебували під захистом держави задля уникнення впливу політичних партій, громадських організацій, окремих осіб тощо. Якщо такі інциденти будуть, члени спецоргану із захисту персональних даних мають повідомляти про це його очільника. Ця норма має бути прописана окремо на законодавчому рівні для підвищення статусу незалежності, вважають розробники законопроєкту.
Висувати підозру в скоєнні правопорушень членам органу можуть лише генпрокурор або керівник спеціалізованої антикорупційної прокуратури, як це зараз обумовлено для суддів та депутатів. Саме так члени Нацкомісії будуть захищені від тиску, вважають експерти.
Заступник голови Комітету ВРУ з питань цифрової трансформації Єгор Чернєв також вважає, що новий орган із захисту персональних даних та доступу до публічної інформації має бути незалежним не лише за повноваженнями, але й за фінансуванням. Його запуск, за словами нардепа, може коштувати пів мільярда гривень. Стільки ж потрібно буде щорічно для його роботи, тож, щоб у 2023 році орган повноцінно запрацював, подавати бюджетну заявку треба вже цього року.
Потенційні переваги й недоліки нового органу та подібні моделі у світі
На думку заступника міністра культури Тараса Шевченка, створення уповноваженого органу, який регулюватиме водночас і захист персональних даних, і доступ до публічної інформації, має як переваги, так і недоліки.
Серед головних недоліків він назвав високий ризик того, що в разі поєднання вказаних функцій в одному органі може постраждати саме доступ до публічної інформації. За словами Шевченка, в багатьох країнах ЄС, де діє комбінований орган, захист персональних даних виходить на перший план.
“Зокрема, публічна інформація, яка в Україні наразі відкрита за законодавством, наприклад про зарплату, працевлаштування, в багатьох країнах ЄС закрита саме за рішенням регулятора через захист персональних даних”, – сказав він.
Також, на його думку, треба добре подумати, чи реально є “проблема, яка тягне на формування окремого органу”.
“Я в цьому не переконаний. Якби в нашому міністерстві була можливість створити окремий відділ з питань доступу до публічної інформації – чотири-п’ять людей – чи експертний відділ, було б величезне посилення з погляду формування та реалізації державної політики у сфері доступу до публічної інформації”, – пояснив Шевченко.
На його переконання, підсилення коштувало б значно менше фінансів і зусиль, ніж створення ще одного нового великого державного органу.
За інформацією Уляни Шадської, у світі є різні моделі регулятора вказаних сфер: інформаційні комісари, інспектори, центри, комісії. Одні охоплюють весь спектр контролю за цифровим законодавством, деякі тільки один напрям.
Наприклад, у Німеччині є федеральний уповноважений із захисту персональних даних, а також при уряді працює Комісія з етики даних, завдання якої – розроблення етичних принципів для захисту особи в умовах розвитку технологій. Данія пішла ще далі: окрім національних наглядових органів у 2017 році офіційно створила окремий дипломатичний пост, щоб представляти свої інтереси в технологічних корпораціях. На думку данців, сьогодні такі компанії, як “Фейсбук” та “Гугл”, перетворилися на повноцінних акторів зовнішньої політики. Саме з ними пов’язана більшість проблем: поширення пропаганди, фейковий контент, порушення права людини на приватне життя, кіберзагрози. Пізніше Франція також призначила посла з цифрових питань.
Тобто все залежить від того, як держава бачить проблеми цифрового суспільства, зокрема рівень загроз у конкретній сфері, можливий конфлікт інтересів та необхідний ресурс. Але є критерії, які обов’язкові для всіх, що визначають їхню ефективність, – такі інституції повинні бути незалежними, мати відповідні ресурси та повноваження здійснювати контроль, вважає експертка.
“На мою суб’єктивну думку, враховуючи бажання України стати країною “в смартфоні” та масштаби проблеми із захистом персональних даних, необхідно створювати окремий наглядовий орган, який буде здійснювати державну політику та ефективний контроль у цій сфері. А також аналізувати ситуацію щодо ризиків технологічного розвитку в країні, забезпечувати підґрунтя для гармонізації законодавства відповідно до міжнародних стандартів; здійснювати заходи з підвищення довіри суспільства під час диджиталізації сервісів та послуг тощо”, – сказала Шадська.
Водночас експертка вважає, що в нинішніх умовах Україні вкрай потрібні нове законодавство та незалежні інституції, які б контролювали не лише доступ до публічної інформації або захист персональних даних, а ще й питання розвитку технологій із вбудованим штучним інтелектом та робототехніки.
Попри різні погляди учасники круглого столу погодилися, що регулятор у сфері захисту персональних даних і доступу до публічної інформації Україні, безумовно, потрібен.
Експертну підтримку в його створенні надаватиме спільний проєкт “Європейський Союз та Рада Європи працюють разом задля посилення операційної спроможності Омбудсмана у захисті прав людини”, повідомила його керівниця Вікторія Гальпєріна.
За словами Тарасенка, закінчити роботу над текстом законопроєкту робоча група планує у вересні 2021 року. Поки що документ має сім розділів і 56 статей, у яких прописано визначення органу, його повноваження, структуру, форми діяльності, процедуру призначення членів, їхні повноваження, порядок фінансування органу, звітності, здійснення перевірок тощо.
Готовий законопроєкт розробники пообіцяли надати для обговорення громадськості.
Раніше ZMINA повідомляла про те, що в Україні пропонують посилити відповідальність за порушення законодавства у сфері захисту персональних даних, а максимальний штраф, який зможуть накласти на порушників серед юридичних осіб, сягає 150 мільйонів гривень.