Защита персональных данных ценой в миллиарды гривен. Риски и угрозы новых правил

В современном цифровом мире защита персональных данных является важным аспектом обеспечения конфиденциальности и безопасности граждан. Украина на пути в ЕС тоже должна адаптировать национальное законодательство в сфере защиты персональных данных к стандартам GDPR. Процесс по продвижению нового законопроекта уже запущен. В конце мая новый закон будет представлен на первое чтение. Однако его формирование произошло в очень непрозрачной форме, с манипуляциями, мифами и непониманием обществом реального значения и угроз от принятия новых правил. Почему законопроект по GDPR в Украине нуждается в существенной доработке, выясняли эксперты YouControl.

Что такое GDPR и есть ли он в Украине?

Общая эволюция в системе защиты персональных данных вызвана, прежде всего, стремительным ростом объема информации в мире, необходимостью ее хранения, обработки и защиты. Это обусловило принятие в 1981 году Конвенции 108 о защите лиц в связи с автоматизированной обработкой персональных данных (позже обновлена ​​как Convention 108+). Дальнейшим шагом в этом направлении стало принятие Директивы 95/46/ЕС. А далее с целью обеспечения защиты прав граждан в сфере обработки их персональных данных и свободного передвижения такой информации между странами эта Директива в 2018 году была заменена Регламентом 2016/679 о защите данных (GDPR).

Итак, GDPR, или Общий регламент защиты данных, - это нормативный акт Европейского Союза, регулирующий обработку личных данных граждан ЕС и являющийся ключевым регулятивным документом в этой сфере.

В свою очередь, в Украине с 2012 года действует закон "О защите персональных данных", который также регулирует обработку личных данных, но с некоторыми отличиями от GDPR. Украинский закон не содержит таких жестких требований по обязательности заранее полученного согласия на обработку личных данных, как GDPR. В Украине также существуют отличия в терминологии и органах, отвечающих за осуществление контроля и надзора за соблюдением правил обработки личных данных. При этом, учитывая, что Украина не находится в юрисдикции Европейского Союза, GDPR может применяться к украинским компаниям в части, касающейся обработки данных граждан ЕС.

В то же время, Украина обязалась адаптировать законодательство ЕС в сфере защиты персональных данных в соответствии со статьей 15 Соглашения об ассоциации между Украиной, с одной стороны, и Европейским Союзом, Европейским сообществом атомной энергии и их государствами-членами, с другой стороны, ратифицированной еще в 2014 году. Это предполагает усовершенствование законодательства о защите персональных данных с целью приведения его в соответствие с GDPR. По состоянию на сегодняшний день адаптация продвигается на уровне отдельных законодательных инициатив. И здесь есть важные нюансы.

Адаптация законодательства ЕС в сфере защиты персональных данных по-украински

Разработка законопроекта, который должен приблизить национальное законодательство в сфере защиты персональных данных к стандартам ЕС, началась в Комитете ВР по вопросам цифровой трансформации. Эта инициатива законодателей столкнулась со значительной критикой со стороны бизнес-ассоциаций и общественности. Ведь разработка проекта проходила в непрозрачном формате, без привлечения представителей бизнеса и институтов гражданского общества (кроме приближенных к разработчикам).

Экспертные заключения Комитета по вопросам бюджета и Главного научно-экспертного управления Верховной Рады указали на несоответствие предписаниям Конституции и законодательству Украины и необходимость привлечения больших дополнительных финансовых расходов из госбюджета для их реализации. А заключение антикоррупционной экспертизы Национального агентства по предотвращению коррупции – на наличие коррупциогенных факторов.

Наконец, 16.08.2022 голосование по проекту провалилось. Не голосовали 58 депутатов провластной фракции. Никакого голоса также не предоставили фракции Голос, ЕС и Родина. Примечательно, что наряду с этим свои голоса добавили следующие депутатские группы: "Партія "За майбутнє", "ДОВІРА", а также "Відновлення України" і "Платформа за життя та мир", созданные нардепами запрещенной ОПЗЖ (последняя предоставила 16 из 25 своих голосов).

Однако, несмотря на провал, депутаты не оставили идеи по продвижению сомнительного проекта. Вместо этого они приступили к разработке проекта Закона «О Национальной комиссии по вопросам защиты персональных данных и доступа к публичной информации». от 18.10.2021 № 6177 (предполагается, что контрольно-надзорные функции этого органа будут охватывать также и открытые данные). А затем зарегистрировали обновленный проект Закона «О защите персональных данных» от 25.10.2022 № 8153, который согласно выводам Главного научно-экспертного управления ВР фактически является клоном предыдущего. И что печально, по предварительным данным, летом этого года оба законопроекта должны быть вынесены на голосование.

Риски, связанные с принятием нового законодательства в сфере защиты персональных данных, или почему новый закон требует значительной доработки

1. Поспешное введение стандартов GDPR приведет к существенному увеличению издержек бизнеса. GDPR в ЕС разрабатывался и согласовывался около десяти лет, затем был предоставлен двухлетний период для вступления в силу. Это время компании могли использовать для адаптации к новым правилам. В Украине этого не предвидится. Времени для адаптации нет.

Поспешное введение новых правил в современный кризисный период приведет к существенному увеличению расходов бизнеса по его внедрению, в частности – оплаты ответственных лиц по защите персональных данных, запуску новых систем безопасности, ПО и т.д. Также содержит серьезные риски от проверок и штрафных санкций. Это относится ко всей украинской бизнес-среде, как к частному, так и к государственному сектору экономики. Расходы последнего неизбежно отразятся на госбюджете и на налогоплательщиках.

2. Ограничение прав пользователей открытых данных. В соответствии со статьей 22 Конституции Украины, конституционные права и свободы гарантируются и не могут быть отменены или сужены при принятии новых законов или внесении изменений в действующие законы. Действующее законодательство предусматривает гарантии того, что публичная информация в форме открытых данных (в том числе данные физических лиц в составе этой информации) разрешена для ее дальнейшего свободного использования и распространения в любых законных целях. Законопроектные же нормы существенно сужают объем прав, поскольку предполагают, что использование персональных данных, полученных из этих источников, возможно только в определенных пределах (согласие, общественный интерес). При этом разработчики утверждают, что эти правила действуют по всему ЕС, что не является правдой. В частности, в Швеции, Дании и Нидерландах разрешено повторное использование персональных данных из реестров вне зависимости от их цели при отсутствии ограничений в законодательстве.

3. Манипуляции на фоне размытости понятий и нечеткости правил. Отраженный в проекте подход к определению персональных данных очень размыт: «персональные данные» -информация о физическом лице, которое идентифицировано или может быть идентифицировано ... Такой подход не дает исчерпывающего ответа на вопрос, принадлежат ли те или иные данные к категории персональных или нет. Таким образом, любой субъект в сфере использования персональных данных сознательно становится заложником ситуации, когда нечеткое определение может служить основанием для юридической ответственности, и не только финансовой, но и уголовной. Четких правил, по которым можно будет оперировать в случае проверок, законопроект также не содержит.

4. Значительные расходы бюджета на содержание. Создание в Украине отдельного профессионального органа, обучение и комплектация штата и другие вопросы требуют времени и значительных ресурсов. Согласно законопроекта о Национальной комиссии по защите персональных данных и доступа к публичной информации штат регулятора составит 400 человек. Это превышает штатную численность большинства центральных органов исполнительной власти, в том числе: Минцифры (261) Минобразования (339), Министерство здравоохранения (238), Минсоцполитики (294), Пенсионный фонд (302) и т.д.

В пояснительной записке в законопроект отмечено, что его принятие требует выделения дополнительных средств государственного бюджета в объеме 224,76 млн грн. Это кажется очень скромным расчетом, поскольку, к примеру, бюджетные расходы 2024 года на финансирование подобного по численности Мининфраструктуры (427 работников) составляют два миллиарда гривен. Поэтому здесь вопрос к корректности расчетов и тому, сколько действительно будет стоить государству содержание нового "органа".

5. Контрольно-надзорный орган.Предлагается наделение нового органа полномочиями по проведению проверок без какого-либо специального решения на их проведение, только при предъявлении служебного удостоверения. С возможностью наложения штрафов фантастического размера: на физических лиц –до 20 млн грн, на юридические лица – до 150 млн грн, или до 8% общего годового оборота (сейчас максимальный штраф составляет 34 тыс. грн). В таких условиях трудно поверить в то, что основная роль этого органа будет состоять в «обучении и разъяснении», а не в превращении в произвольного контроллера похожего по своим полномочиям на Роскомнадзор в стране-агрессорке

6. Гарантии прозрачности, подотчетности и борьбы с коррупцией под угрозой. Возможность свободного использования открытых данных, как это гарантировано Законом Украины «О доступе к публичной информации», способствует процессам прозрачности ведения бизнеса, развитию гражданского общества (важная информация становится более доступной людям), борьбе с коррупцией (проведение журналистских, антикоррупционных расследований) и другим положительным изменениям в стране. Ограничения использования открытых данных, заложенные в новом проекте, приведут к сужению существующих гарантий, однозначно усугубив ситуацию.

7. Отсутствуют профессионалы и процедура их подготовки. В Украине сегодня отсутствуют ресурсы для обеспечения легкого перехода на новый режим в случае его принятия. Украинская система образования не предусматривает возможность обучения/повышения квалификации десятков тысяч специалистов в данной сфере. Отсутствуют обучающие программы, планы, бюджет на эти цели. Кроме того, даже если внедрить это прямо сейчас, для подготовки первых специалистов нужно минимум три года. То есть первые выпускники смогли бы появиться только в 2024/25, в то время как страна потребовала бы их на несколько лет раньше.

8. Неактуальность вопроса по сравнению с неотложными проблемами общества. Учитывая проблему коррупции, безопасности бизнеса и выявления российских агентов, в обществе сейчас есть значительный запрос на использование открытых данных без каких-либо ограничений, как это гарантировано действующим законом.

Выводы

Законопроект по GDPR в Украине нуждается в существенной доработке. Приближение национального законодательства к европейским стандартам не может происходить путем внедрения сверхшироких контрольных и штрафных полномочий Национальной комиссии. Ведь так она превратится в инструменты давления на бизнес и другие сферы деятельности. В условиях строгого бюджетного дефицита миллиардные расходы по созданию и содержанию новой контролирующей структуры целесообразнее направлять на другие приоритеты военного времени.

Невозможность полноценной проверки контрагентов из-за ограничения использования и анализа информации об их участниках, руководителях, КБО и других связанных физических лиц автоматизированными программами отодвинут бизнес, банковский сектор, журналистов-расследователей в каменный век, где им придется делать все "вручную". А использование "серых баз" неприемлемо. Закрытие доступа к общественно важной информации в стиле Российской Федерации отнюдь не приблизит нас к Европе. Международные партнеры пристально наблюдают"Сможет ли Украина победить коррупцию и завоевать возможность не походить на Россию".

Это не означает, что общество не нуждается в защите личной информации — только то, что соответствующие инициативы должны быть пересмотрены с учетом требований закона и на принципах обоснованности, пропорциональности, добросовестности и благоразумия. А также обязательно с учетом прав бизнеса и общественности на участие в процессе принятия таких решений.

Партнерский материал