Засиллання SMS-повідомленнями з рекламою служб таксі, «бази даних жителів України» в мережі Інтернет, нарешті, непоодинокі факти «торгівлі» даними з закритих державних реєстрів – приблизно таким є поточний стан захисту персональних даних в України та реалізації відповідного Закону України «Про захист персональних даних» від 01 червня 2010 року № 2297-VI (далі – «Закон № 2297-VI»). Будучи ухваленим у 2010 році за зразком діючої на той час Директиви ЄС №95/46/EC, Закон № 2297-VI спочатку спричинив справжній переполох: повсюдні збори підписів на «згоді на обробку персональних даних», реєстрація «баз персональних даних» та перевірки Державної служби України з питань захисту персональних даних (далі – «ДСЗПД») змушували бізнес ретельно слідкувати за дотриманням такого нового та незвичного законодавства.

Втім, переполох тривав недовго: підписана «згода» перейшла в розряд документів «для галочки», а подальше інституційне послаблення органів у сфері захисту персональних даних довершили свою справу – захист персональних даних перестав бути «гарячою» темою. ДСЗПД, яка спочатку активно відпрацьовувала свої завдання, була ліквідована у 2014 році з передачею своїх функцій до Уповноваженого Верховної Ради України з захисту прав людини (далі – «Уповноважений»). Уповноважений, який в першу чергу, зосереджується на захисті конституційних прав, зокрема, у місцях несвободи, не може надавати тематиці захисту персональних даних пріоритетного значення (що й зрозуміло). Отже, у такому мімікрованому вигляді і знаходиться українська правозастосовча система у сфері персональних даних – чи не єдина у Європі без спеціального незалежного органу з захисту персональних даних (англ. – Data Protection Authority, DPA).

Тим часом, і в межах ЄС зростало незадоволення щодо невідповідності Директиви 95/46/ЕС, ухваленої в 1995 році, реаліям сьогодення з усюдисющим Інтернет-маркетингом, GPS-трекінгом та цілими масивами Big Data, які постійно збирають так звані технологічні гіганти. Оформилось це незадоволення в ухваленні добре відомого Загального регламенту з захисту персональних даних № 2016/679, або GDPR. Цей, свого роду революційний, документ змінив підхід щодо підстав для обробки даних, в першу чергу, на основі «згоди», врегулював використання cookies для Інтернет-маркетингу, запровадив детальні процедури для захисту персональних даних та розслідування фактів їх порушення – із дуже серйозними заходами відповідальності. Хоча GDPR було ухвалено ще в травні 2016 року із відтермінуванням початку його застосування на два роки, лише восени 2017-го до цього документу потягнувся погляд українського законодавця, вірніше, Уряду, який поставив собі амбітне завдання – імплементувати GDPR в Україні.

Міжнародно-правові зобов’язання України, як-то План дій щодо лібералізації ЄС візового режиму для України чи Угода про Асоціацію між Україною та ЄС, природно, не містили вимоги щодо імплементації GDPR, якого просто не існувало на час їх взяття на себе Україною. Водночас, підписавши у червні 2014 року Угоду про Асоціацію, ми зобов’язалися, за ст. 15 Угоди, співпрацювати з метою досягнення належного рівня захисту персональних даних відповідно до «найвищих європейських та міжнародних стандартів».

Однак, 25 жовтня 2017 року Україна, в особі Кабінету Міністрів, сама визначила для себе завдання – імплементувати GDPR у вітчизняне законодавство. У цей день було внесено зміни до урядового Плану заходів з виконання Угоди про Асоціацію. Зміненим Планом передбачалось удосконалення законодавства про захист персональних даних – імплементація GDPR в Україні. Визначений Кабміном дедлайн для підготовки відповідного проекту Закону, щоправда, був досить амбітним – до 25 травня 2018, тобто дати початку застосування GDPR в ЄС. Відповідальними за реалізацію цього амбітного завдання визначено цілий ряд органів: Уповноваженого, Мін’юст, Мінфін, МЕРТ та МВС.

Не дивно, що у заплановано дату Кабмін, а тим більше апарат Верховної Ради, не побачили проекту цього Закону. У той же час, несправедливо буде не згадати офіційний український переклад GDPR, який побачив світ 08 травня 2018 року завдяки зусиллям Урядового офісу координації європейської та євроатлантичної інтеграції. Цей документ трохи потішив українську юридичну спільноту своєю не зовсім юридичною термінологією – чого варте одне лише поняття «головного осідку» (англ. – main establishment). Тим не менше, за підтримки європейських експертів проекту Twinning з посилення інституційного потенціалу Уповноваженого, під патронатом Уповноваженого все ж було створено координаційну робочу групу з єдиною метою – розробити проект Закону, який би відповідав загальним ідеям та принципам, закріпленим у GDPR.

Авторам пощастило відвідати зустріч з представниками цієї групи та дізнатись, на якому етапі знаходиться розробка українського аналогу GDPR.

Хоча строк підготовки проекту Закону щодо імплементації GDPR сплив, робота над проектом триває. Перший «драфт» розробили експерти проекту Twinning, включивши до нього основні норми, закладені у GDPR. Зокрема, мова йде про наступні фундаментальні зміни, які мають потенціал стати основою українського законодавства у сфері захисту персональних даних.

По-перше, пропонується підвищити вимоги до отримання згоди особи на обробку її персональних даних. Так, за аналогію із положеннями GDPR, проект вимагає складати запит на отримання згоди у більш зрозумілому та чіткому форматі. Більше того, згода особи на обробку її персональних даних відповідно до проекту має бути виражена у формі ствердних, активних дій користувача. Таке положення повністю виключає використання так званих «pre-ticked boxes», які передбачали згоду особи за замовчуванням. Особа також наділяється беззаперечним правом на відкликання своєї згоди у будь-який час та без будь-якої шкоди для себе.

Останнє положення щодо права на відкликання згоди на обробку персональних даних дуже тісно пов’язане із ще одним нововведенням, імплементація якого передбачена новим проектом – правом на забуття чи «стирання» даних (англ. – right to be forgotten). Таке право дозволяє відслідковувати весь процес обробки персональних даних та, у випадку порушень, закінчення строків або вичерпання мети такої обробки, надає можливість припинити обробку з видаленням відповідної інформації, у тому числі і з мережі Інтернет.

Завантажити статтю

Засиллання SMS-повідомленнями з рекламою служб таксі, «бази даних жителів України» в мережі Інтернет, нарешті, непоодинокі факти «торгівлі» даними з закритих державних реєстрів – приблизно таким є поточний стан захисту персональних даних в України та реалізації відповідного Закону України «Про захист персональних даних» від 01 червня 2010 року № 2297-VI (далі – «Закон № 2297-VI»). Будучи ухваленим у 2010 році за зразком діючої на той час Директиви ЄС №95/46/EC, Закон № 2297-VI спочатку спричинив справжній переполох: повсюдні збори підписів на «згоді на обробку персональних даних», реєстрація «баз персональних даних» та перевірки Державної служби України з питань захисту персональних даних (далі – «ДСЗПД») змушували бізнес ретельно слідкувати за дотриманням такого нового та незвичного законодавства.

Втім, переполох тривав недовго: підписана «згода» перейшла в розряд документів «для галочки», а подальше інституційне послаблення органів у сфері захисту персональних даних довершили свою справу – захист персональних даних перестав бути «гарячою» темою. ДСЗПД, яка спочатку активно відпрацьовувала свої завдання, була ліквідована у 2014 році з передачею своїх функцій до Уповноваженого Верховної Ради України з захисту прав людини (далі – «Уповноважений»). Уповноважений, який в першу чергу, зосереджується на захисті конституційних прав, зокрема, у місцях несвободи, не може надавати тематиці захисту персональних даних пріоритетного значення (що й зрозуміло). Отже, у такому мімікрованому вигляді і знаходиться українська правозастосовча система у сфері персональних даних – чи не єдина у Європі без спеціального незалежного органу з захисту персональних даних (англ. – Data Protection Authority, DPA).

Тим часом, і в межах ЄС зростало незадоволення щодо невідповідності Директиви 95/46/ЕС, ухваленої в 1995 році, реаліям сьогодення з усюдисющим Інтернет-маркетингом, GPS-трекінгом та цілими масивами Big Data, які постійно збирають так звані технологічні гіганти. Оформилось це незадоволення в ухваленні добре відомого Загального регламенту з захисту персональних даних № 2016/679, або GDPR. Цей, свого роду революційний, документ змінив підхід щодо підстав для обробки даних, в першу чергу, на основі «згоди», врегулював використання cookies для Інтернет-маркетингу, запровадив детальні процедури для захисту персональних даних та розслідування фактів їх порушення – із дуже серйозними заходами відповідальності. Хоча GDPR було ухвалено ще в травні 2016 року із відтермінуванням початку його застосування на два роки, лише восени 2017-го до цього документу потягнувся погляд українського законодавця, вірніше, Уряду, який поставив собі амбітне завдання – імплементувати GDPR в Україні.

Міжнародно-правові зобов’язання України, як-то План дій щодо лібералізації ЄС візового режиму для України чи Угода про Асоціацію між Україною та ЄС, природно, не містили вимоги щодо імплементації GDPR, якого просто не існувало на час їх взяття на себе Україною. Водночас, підписавши у червні 2014 року Угоду про Асоціацію, ми зобов’язалися, за ст. 15 Угоди, співпрацювати з метою досягнення належного рівня захисту персональних даних відповідно до «найвищих європейських та міжнародних стандартів».

Однак, 25 жовтня 2017 року Україна, в особі Кабінету Міністрів, сама визначила для себе завдання – імплементувати GDPR у вітчизняне законодавство. У цей день було внесено зміни до урядового Плану заходів з виконання Угоди про Асоціацію. Зміненим Планом передбачалось удосконалення законодавства про захист персональних даних – імплементація GDPR в Україні. Визначений Кабміном дедлайн для підготовки відповідного проекту Закону, щоправда, був досить амбітним – до 25 травня 2018, тобто дати початку застосування GDPR в ЄС. Відповідальними за реалізацію цього амбітного завдання визначено цілий ряд органів: Уповноваженого, Мін’юст, Мінфін, МЕРТ та МВС.

Не дивно, що у заплановано дату Кабмін, а тим більше апарат Верховної Ради, не побачили проекту цього Закону. У той же час, несправедливо буде не згадати офіційний український переклад GDPR, який побачив світ 08 травня 2018 року завдяки зусиллям Урядового офісу координації європейської та євроатлантичної інтеграції. Цей документ трохи потішив українську юридичну спільноту своєю не зовсім юридичною термінологією – чого варте одне лише поняття «головного осідку» (англ. – main establishment). Тим не менше, за підтримки європейських експертів проекту Twinning з посилення інституційного потенціалу Уповноваженого, під патронатом Уповноваженого все ж було створено координаційну робочу групу з єдиною метою – розробити проект Закону, який би відповідав загальним ідеям та принципам, закріпленим у GDPR.

Авторам пощастило відвідати зустріч з представниками цієї групи та дізнатись, на якому етапі знаходиться розробка українського аналогу GDPR.

Хоча строк підготовки проекту Закону щодо імплементації GDPR сплив, робота над проектом триває. Перший «драфт» розробили експерти проекту Twinning, включивши до нього основні норми, закладені у GDPR. Зокрема, мова йде про наступні фундаментальні зміни, які мають потенціал стати основою українського законодавства у сфері захисту персональних даних.

По-перше, пропонується підвищити вимоги до отримання згоди особи на обробку її персональних даних. Так, за аналогію із положеннями GDPR, проект вимагає складати запит на отримання згоди у більш зрозумілому та чіткому форматі. Більше того, згода особи на обробку її персональних даних відповідно до проекту має бути виражена у формі ствердних, активних дій користувача. Таке положення повністю виключає використання так званих «pre-ticked boxes», які передбачали згоду особи за замовчуванням. Особа також наділяється беззаперечним правом на відкликання своєї згоди у будь-який час та без будь-якої шкоди для себе.

Останнє положення щодо права на відкликання згоди на обробку персональних даних дуже тісно пов’язане із ще одним нововведенням, імплементація якого передбачена новим проектом – правом на забуття чи «стирання» даних (англ. – right to be forgotten). Таке право дозволяє відслідковувати весь процес обробки персональних даних та, у випадку порушень, закінчення строків або вичерпання мети такої обробки, надає можливість припинити обробку з видаленням відповідної інформації, у тому числі і з мережі Інтернет.

По-друге, проект також пропонує підвищити вимоги щодо проведення організаційно-технічних заходів для забезпечення захисту персональних даних. В першу чергу, це стосується призначення відповідальної за захист персональних даних особи (англ. – Data Protection Officer, DPO), яка забезпечує та має право перевіряти якість та законність обробки у конкретній компанії. Додатково на компанії покладається обов’язок впроваджувати надійні механізми для безпеки персональних даних – шифрування, псевдонімізацію, забезпечення обмеженого доступу до місць зберігання інформації тощо.

Мабуть, найцікавішою частиною проекту для представників бізнесу в Україні є положення про відповідальність. GDPR здивував увесь світ, передбачивши багатомільйонні штрафи за порушення правил обробки персональних даних – чого ж чекати українським компаніям? На жаль, чіткої відповіді на це запитання на даний час не має. Хоча проект, запропонований європейськими експертами, і передбачає схожий механізм застосування штрафів («адміністративний штраф» – фіксована сума чи відсоток від річного світового обороту компанії чи групи компаній), представники Уповноваженого не висловлюють впевненості в можливості функціонуванню такого інституту, надаючи перевагу існуючому механізму притягнення посадових осіб до адміністративної відповідальності.

Фактично, проект змін до українського законодавства у сфері захисту персональних даних, запропонований європейськими експертами, дійсно передбачає прогресивні положення, які є майже аналогічними тим, що містяться в GDPR. Безумовно, перший «драфт» побачить ще не одне оновлення, коли за нього візьмуться органи, відповідальні за імплементацію GDPR згідно Плану заходів Кабміну. Уповноважений, наприклад, вже сьогодні пропонує представникам бізнес-спільноти надавати свої пропозиції до проекту. Більше того, під час розгляду у Верховній Раді (якщо до того дійде), проект ризикує змінитися настільки, що важко буде впізнати у ньому початковий «драфт» європейських експертів (який безумовно потребує вдосконалення як з позицій термінології та законодавчої техніки, так і з точки зору включення тих чи інших засадничих положень).

Однак, чи може поточна проблемна ситуація у сфері захисту персональних даних, передусім з відсутністю належного правозастосування, вирішуватися лише продукуванням нового законодавства та копіюванням європейського прикладу? Чи законодавчі заходи повинні одночасно підтримуватися посиленням інституційної спроможності держави у цій сфері із налагодженням ефективного механізму нагляду та притягнення до відповідальності? То ж, які перспективи має запропонований проект у майбутньому?

Виходить, Україна сама зобов’язалась імплементувати GDPR в рамках Угоди про Асоціацію і на разі «лупає скалу» в цьому напрямку. Але, які ж «бенефіти» від імплементації GDPR, крім «у нас теж є», видніються перед нами на горизонті? У випадках з Планом дій щодо лібералізації ЄС візового режиму для України чи Угоди про Асоціацію «бенефіти», передбачені за належне їх виконання, були більш ніж очевидними – надання безвізу та, відповідно, розширення зони вільної торгівлі, поглиблення взаємної інтеграції. І ні, ми тут не перебуваємо в позиції того, хто просить, адже зобов’язання «співпрацювати з метою досягнення належного рівня захисту персональних даних відповідно до найвищих європейських та міжнародних стандартів», закріплене в Угоді про Асоцацію, є взаємним та двостороннім – як для України, так і для ЄС.

Першою спадає на думку можливість посилення інституційної спроможності України в сфері захисту персональних даних через залучення міжнародної допомоги ЄС. Об’єктивно незадовільним є стан реалізації державної політики у цій сфері через Уповноваженого, для якого ця функція взагалі не є притаманною. За аналогією з програмою фінансування ЄС нової державної служби у вигляді Генеральних директоратів при міністерствах, посилення інституційної спроможності могло б відбутися через фінансування принципово нового органу – справжнього українського Data Protection Authority зі штатом та ресурсами, які були б адекватними меті та завданням, що ставляться перед таким органом.

Іншою можливістю від співпраці Україна-ЄС у сфері захисту персональних даних та імплементації GDPR в Україні, безумовно, могло б бути визнання України в якості «GDPR-compliant state», як це передбачено статтею 45 самого GDPR. Такий статус відкриває просто колосальні можливості для українського бізнесу, насамперед ІТ сектору. Це пояснюється тим, що європейські компанії дуже ретельно ставляться до вибору контрагента з-за меж ЄС, якому довірять обробку персональних даних резидентів ЄС. Транскордонна передача даних залишається чутливим питанням, а перевірка спроможності української компанії забезпечити європейський рівень захисту даних може потребувати значного часу та ресурсів. На противагу цьому, надання Україні статусу «GDPR-compliant state» знімає ці бар’єри, дозволяючи європейським компаніям залучати українських підрядників без додаткових гарантій та перевірок.

На жаль, викладені ймовірні переваги для України від імплементації GDPR є лише нашим власним уявленням цього процесу. Будь-яких офіційних коментарів чиновників України чи ЄС щодо того, чи ведуться подібні переговори, на разі немає. Таким чином, зараз розробка проекту Закону виглядає як «імплементація для імплементації» без будь-якого стимулюючого маркеру від ЄС, на який ми мали б орієнтуватися. Не будемо також забувати, що неодноразово згадана у цій статті слабка інституційна спроможність України у сфері захисту персональних даних є чи не першою перепоною для застосування не лише нових, але й чинних на сьогодні правових норм.

Отже, Україна, хоч і невпевнено, але ступила на шлях імплементації GDPR у національне законодавство. Без стимулювання батогом чи то пряником від європейських партнерів ця робота нині триває повільно, хоча все-таки просувається зусиллями офісу Уповноваженого та експертів з ЄС. Від реальної та ефективної імплементації GDPR нас відділяє тривала та важка робота над проектом Закону, проходження законодавчої процедури та, насамперед, створення дієвого механізму захисту персональних даних із посиленням інституційної спроможності держави у цій сфері, що б дозволило нашій країні стати в один ряд з державами-членами ЄС за цим показником. Будемо сподіватися, що сама вже наявність такої ініціативи, зацікавленість українських та іноземних експертів допоможуть принаймні покращити поточну ситуацію з правозастосуванням та, як максимум, приведуть Україну до того, що колись і ми зможемо похизуватися своїм, реально працюючим, GDPR.

Опубліковано: "Юридична Газета"