На этой неделе Верховная Рада приняла изменения в Закон Украины «О защите персональных данных». Предварительно законопроект был согласован во всех инстанциях и с заинтересованными общественными организациями. Но в ходе второго чтения народный депутат Максим Луцкий неожиданно, в нарушение процедуры, как говорится, с голоса внес новые изменения. Как ни странно, парламент не заметил допущенных нарушений регламента и одобрил их. Это возмутило общественность. Сегодня общественными организациями подготовлены и широко обсуждаются несколько вариантов обращений к руководству страны с просьбой ветировать эту редакцию закона. Теперь слово за Президентом Украины.
Речь идет об изменениях в статью 23 «Закона о защите персональных данных». В соответствии с предложением Луцкого, были изменены пункты 14, 15 и 16. В результате «уполномоченный государственный орган по вопросам защиты персональных данных... осуществляет техническое регулирование в сфере защиты персональных данных, организовывает и проводит оценку соответствия, разрабатывает в установленном порядке стандарты, технические регламенты, технические условия; разрабатывает порядок и требования относительно защиты персональных данных в государственных информационных ресурсах, в информационных, телекоммуникационных и информационно-коммуникационных системах; осуществляет оценку соответствия комплексных систем защиты информации, информационных, телекоммуникационных и информационно-телекоммуникационных систем требованиям относительно защиты персональных данных».
Интересно, что народные депутаты откровенно проигнорировали замечания Главного юридического управления аппарата Верховной Рады, высказанные по этим изменениям. В них, в частности, отмечалось: «Соответствующие нововведения также требуют дополнительного анализа, поскольку в случае их принятия внесения изменений будут требовать и другие законы Украины, которых до сих пор регулируют вопросы стандартизации. Защиты информации в информационно-телекоммуникационных системах (с целью устранения дублирования центральными органами исполнительной власти) и т. д.». «Некоторые положения законопроекта требуют доработки с учетом основных принципов и положений Директивы Европейского парламента и Совета 95/46/ЄС от 24 октября 1995 года, — отмечается в замечаниях юридического управления. — Так ... предлагается изложить в новой редакции термин «обработка персональных данных», что при определении разновидностей действий, связанных с обработкой данных, не в полной мере учитывает аналогичный перечень, определенный в статье 2 Директивы». Авторы замечаний отмечают, что закон не отвечает конституционному принципу о том, что права и свободы человека и их гарантии определяют содержание и направленность деятельности государства и не содержат достаточных и завершенных правовых механизмов реализации положений закона.
Комментируя «Дню» смысл поправок, внесенных народным депутатом Луцким, партнер юридической компании Leetas Дмитрий ЙОВДИЙ сказал, что «закон в принятой редакции противоречит международным стандартам в сфере защиты персональных данных, нормам законодательства Украины, при этом создает серьезные дополнительные проблемы для бизнеса и повлечет для него дополнительные финансовые затраты».
По словам юриста, Конвенция Совета Европы о защите лиц в связи с автоматизированной обработкой персональных данных № 108 от 21 января 1981 года и Директива № 95/46/ЕС Европейского парламента и Совета «О защите физических лиц при обработке персональных данных и о свободном перемещения таких данных» от 24 октября 1995 года устанавливают минимальный набор требований, которым должен отвечать сбор и обработка персональных данных. Как считает Йовдий, это означает, что владелец базы данных является свободным в выборе средств и способов обработки и защиты персональных данных, исходя из собственных возможностей, и у него отсутствует обязанность приводить обработку персональных данных в соответствие с любыми стандартами или техническими регламентами. В Европейских актах — указывает юрист — однозначно применяется принцип, что условия защиты персональных данных — это компетенция исключительно владельца базы персональных данных, а не государственного регулятора, а процессы, связанные с обработкой персональных данных, лежат в правовой, но отнюдь не в технической плоскости.
«Наделение уполномоченного государственного органа подобными полномочиями, — отмечает Йовдий, — совсем не случайно и направлено на создание очередной «кормушки» для узкого круга лиц за счет предпринимателей. Ведь все предприниматели так или иначе обрабатывают персональные данные, следовательно, все они столкнутся с необходимостью внедрять технические средства защиты информации, проводить оценку их соответствия техническим регламентам и стандартам, которые будут устанавливаться самим уполномоченным органом. Не сложно предположить, что подобные услуги будет оказывать на платной основе пара-тройка дружественных определенному кругу лиц компаний».
«Учитывая тот факт, что в Украине существует административная и уголовная ответственность за нарушения в сфере персональных данных, — предупреждает партнер юридической фирмы, — можно утверждать, что у государства появится дополнительный инструмент давления на бизнес в виде проверок и наложения штрафных санкций за несоответствие системы защиты персональных данных стандартам и техническим регламентам». «Подобное нововведение никак не может стать тем инструментом, который бы дополнительно защищал персональные данные при их обработке», — уверен правовед.