Цього тижня Верховна Рада прийняла зміни до Закону України «Про захист персональних даних». Заздалегідь законопроект був погоджений у всіх інстанціях та із зацікавленими громадськими організаціями. Але під час другого читання народний депутат Максим Луцький несподівано, порушуючи процедуру, як кажуть, з голосу вніс нові зміни. Як не дивно, парламент не помітив допущених порушень регламенту і схвалив їх. Це обурило громадськість. Сьогодні громадськими організаціями підготовлено декілька варіантів звернень до керівництва країни з проханням накласти вето на цю редакцію закону. Тепер слово за Президентом України.
Йдеться про зміни до статті 23 Закону України «Про захист персональних даних». Згідно з пропозицією Луцького, було змінено пункти 14, 15 і 16. В результаті «уповноважений державний орган з питань захисту персональних даних ... здійснює технічне регулювання у сфері захисту персональних даних, організовує і проводить оцінку відповідності, розробляє в установленому порядку стандарти, технічні регламенти, технічні умови; розробляє порядок і вимоги щодо захисту персональних даних у державних інформаційних ресурсах, в інформаційних, телекомунікаційних і інформаційно-комунікаційних системах; здійснює оцінку відповідності комплексних систем захисту інформації, інформаційних, телекомунікаційних та інформаційно-телекомунікаційних систем вимогам щодо захисту персональних даних».
Цікаво, що народні депутати відверто проігнорували зауваження, висловлені щодо цих змін, Головного юридичного управління апарату Верховної Ради. У них, зокрема, наголошувалося: «Відповідні нововведення також вимагають додаткового аналізу, оскільки в разі їхнього прийняття внесення змін вимагатимуть і інші закони України, які до цих пір регулюють питання стандартизації, захисту інформації в інформаційно-телекомунікаційних системах (з метою усунення дублювання центральними органами виконавчої влади) тощо». «Деякі положення законопроекту вимагають доопрацювання з врахуванням основних принципів і положень Директиви Європейського парламенту і Ради 95/46/ЄС від 24 жовтня 1995 року, — наголошується в зауваженнях юридичного управління. — Так ... пропонується викласти в новій редакції термін «обробка персональних даних», що при визначенні різновидів дій, пов’язаних з обробкою даних, не повною мірою враховує аналогічний перелік, визначений у статті 2 Директиви». Автори зауважень відзначають, що закон не відповідає конституційному принципу про те, що права і свободи людини і їхні гарантії визначають зміст і спрямованість діяльності держави і не містять достатніх і завершених правових механізмів реалізації положень закону.
Коментуючи «Дню» сенс поправок, внесених народним депутатом Луцьким, партнер юридичної компанії Leetas Дмитро ЙОВДІЙ сказав, що «закон у прийнятій редакції суперечить міжнародним стандартам у сфері захисту персональних даних, нормам законодавства України, при цьому створює серйозні додаткові проблеми для бізнесу і спричинить для нього додаткові фінансові витрати».
За словами юриста, Конвенція Ради Європи про захист осіб у зв’язку з автоматизованою обробкою персональних даних № 108 від 21 січня 1981 року і Директива № 95/46/ЕС Європейського парламенту і Ради «Про захист фізичних осіб при обробці персональних даних і про вільне переміщення таких даних» від 24 жовтня 1995 року встановлюють мінімальний набір вимог, яким повинні відповідати збір і обробка персональних даних. Як вважає Йовдій, це означає, що власник бази даних є вільним у виборі засобів і способів обробки і захисту персональних даних, виходячи з власних можливостей, і у нього відсутній обов’язок приводити обробку персональних даних у відповідність до будь-яких стандартів або технічних регламентів. У Європейських актах, — вказує юрист, — однозначно застосовується принцип, що умови захисту персональних даних — це компетенція виключно власника бази персональних даних, а не державного регулювальника, а процеси, пов’язані з обробкою персональних даних, лежать у правовій, але зовсім не в технічній площині.
«Наділення уповноваженого державного органу подібними повноваженнями, — відзначає Йовдій, — зовсім не випадкове і спрямоване на створення чергової «годівниці» для вузького кола осіб за рахунок підприємців. Адже всі підприємці так чи інакше обробляють персональні дані, тому всі вони стикнуться з необхідністю упроваджувати технічні засоби захисту інформації, проводити оцінку їхньої відповідності технічним регламентам і стандартам, які встановлюватимуться самим уповноваженим органом. Не складно передбачити, що подібні послуги надаватиме на платній основі пара-трійка дружніх певному колу осіб компаній».
«Враховуючи той факт, що в Україні існує адміністративна і кримінальна відповідальність за порушення у сфері персональних даних, — попереджає партнер юридичної фірми, — можна стверджувати, що у держави з’явиться додатковий інструмент тиску на бізнес у вигляді перевірок і накладення штрафних санкцій за невідповідність системи захисту персональних даних стандартам і технічним регламентам. Подібне нововведення ніяк не може стати тим інструментом, який би додатково захищав персональні дані при їхній обробці», — упевнений правознавець.
