В Україні на черзі прийняття нового законодавства щодо захисту особистої інформації: які труднощі можуть виникнути?

В Україні планується розгляд євроінтеграційного законопроєкту, що стосується захисту персональних даних, на етапі першого читання. Однак експерти виявили в цьому документі ряд суттєвих недоліків, серед яких корупційні загрози, можливість приховування даних про правопорушників, а також запровадження надмірно великих штрафів, які можуть сягати 20 млн грн для фізичних осіб.

Мова йде про законопроєкт №8153, що був зареєстрований у Верховній Раді в жовтні 2022 року. Ініціаторами цього документа є колектив народних депутатів під керівництвом спікера парламенту Руслана Стефанчука, який представляє партію "Слуга народу". Згідно з інформацією від джерел YouControl, парламентарі можуть розпочати обговорення законопроєкту вже найближчим часом.

Документ, що має статус євроінтеграційного, передбачає впровадження положень Загального регламенту захисту персональних даних (GDPR), який був ухвалений в Європейському Союзі у 2018 році. Головною метою цього регламенту є забезпечення безпеки персональної інформації громадян, яку збирають, обробляють і зберігають різні компанії. GDPR визначає чіткі вимоги щодо збору та обробки даних, включаючи правила отримання згоди на їх обробку, інформування осіб про використання їх даних, а також визначає права громадян на доступ до власних персональних даних і можливість їх корекції.

Проте український законопроєкт викликав занепокоєння серед громадського сектору, бізнесу та медіа. "Незважаючи на численні зауваження, його виносять на перше читання без доопрацювань", - зазначають у YouControl. Фахівці з роботи з відкритими даними перерахували такі ризики зазначеного законопроєкту:

Віктор Янукович, який втік з поста президента, може, зокрема, вимагати, щоб його не називали злочинцем, посилаючись на те, що вирок був винесений давно. Суд може ухвалити рішення на його користь, посилаючись на "право на забуття", згідно зі статтею 21 нового законодавства, – зазначається в повідомленні.

Фахівці акцентують увагу на неясному формулюванні терміна "персональні дані" в даному документі. На їхню думку, це створює умови для органів контролю, щоб вільно трактувати це поняття, що може призвести до корупційних зловживань.

Зокрема, у тексті зазначається, що персональні дані охоплюють "будь-яку інформацію, що стосується фізичної особи, яка вже ідентифікована або може бути ідентифікована...". На думку експертів, така дефініція не роз'яснює, які конкретно дані слід вважати персональними. По суті, це може стосуватися майже будь-якої інформації, що стосується особи.

Аналітики впевнені, що запропоновані норми ставлять під загрозу прозорість, підзвітність державних структур та ефективність боротьби з корупцією. Це може призвести до втрати можливостей для бізнесу, розслідувальних журналістів та банків у здійсненні всебічної перевірки.

Проект закону пропонує запровадження штрафних заходів для фізичних осіб у розмірі до 20 мільйонів гривень у випадку порушення. Що стосується юридичних осіб, їм можуть загрожувати штрафи до 150 мільйонів гривень або до 8% від загального річного доходу (наразі максимальна санкція складає 34 тисячі гривень).

"Також є відомості про те, що найближчим часом планується обговорення законопроєкту, який передбачає створення нового регуляторного органу - наглядово-каральної інстанції, утримання якої коштуватиме державі понад 2 мільярди гривень. Вірогідно, цей орган здійснюватиме перевірки всіх підприємств, оскільки часу для адаптації та впровадження нових норм для бізнесу не передбачено", - повідомляють експерти, закликаючи до вдосконалення законопроєкту № 8153, щоб запобігти додатковим витратам і негативним наслідкам для бізнесу та суспільства.

Зазначимо, що законопроєкт №8153 не є першою спробою законодавців впровадити неоднозначні норми під маскою євроінтеграції. Раніше у Верховній Раді не пройшов законопроєкт №5628, що стосується захисту персональних даних, який, згідно з офіційними експертними висновками, суперечив положенням Конституції України і містив потенційні ризики корупції.

Нагадаємо, на даний момент в Україні діє закон "Про захист персональних даних", який і регулює їхню обробку. Однак він містить низку відмінностей від відповідного європейського регламенту. Зокрема, законодавство не містить наскільки жорстких вимог до обробки даних, а покарання для юросіб за порушення у цій сфері значно м'якше за європейське.

На думку юристів, одна з основних проблем українських законодавчих ініціатив полягає в їхній поспішності. Наприклад, розробка та узгодження GDPR у Європейському Союзі зайняли близько десяти років, після чого було відведено ще два роки для переходу до нових норм. Цей час дозволив компаніям підготуватися до змін у законодавстві.

Як повідомляло OBOZ.UA, в Україні часто трапляються випадки шахрайства та інших злочинів, які виникають внаслідок розкриття жертвами своїх особистих даних. Зокрема, раніше з'явилася інформація про те, що російські спецслужби отримують особисту інформацію від родичів військовослужбовців, які потрапили в полон.