Интернет-банкинг, онлайн сервисы, государство в смартфоне, умные дома и умные города. Получить социальную помощь, оформить пенсии или субсидии, сдать декларации – все это сегодня в Украине можно сделать онлайн, не выходя из дома. Однако часто ли граждане вчитываются в текст Соглашения об обработке персональных данных, которое подписывают, оставляя информацию о себе?
Об этом пишет на страницах Экономической правды аналитик Олег Иванов.
А что происходит с информацией о каждом из нас дальше? До 1991 года, в период Советского Союза, вопрос защиты персональных данных не был четко определен. Были определенные правила и положения, регулирующие обработку информации о гражданах (например, положение о делопроизводстве). Обработка информации о гражданах жестко контролировалась государством. Граждане не имели никаких прав на свои персональные данные. Конституция СССР формально защищала определенные аспекты личной жизни, например право на тайну переписки и телефонных разговоров, гарантировала право на неприкосновенность личности (впрочем, очень часто государственные органы эти права нарушали). Начиная с 1991 года Конституция Украины (а затем и Конституция 1996 года) гарантирует право граждан на неприкосновенность личной и семейной жизни, включая право на защиту от распространения сведений об их личной жизни без их согласия.
В 1992 году закон об информации заложил основу для дальнейшей защиты персональных данных – он ввел запрет на использование и распространение информации о гражданине без его согласия. В общем, изменения в системе защиты персональных данных были вызваны стремительным ростом количества информации и, как следствие, возникновением необходимости ее хранения, обработки и защиты. Именно с появлением большого количества данных, их компьютерной обработки и развитием Интернета в 1981 г. была принята Конвенция 108 (позднее обновлена Convention 108+) о защите лиц в связи с автоматизированной обработкой персональных данных. Следующим шагом в защите персональных данных было принятие Директивы 95/46/ЕС.
В 2018 году с целью защиты прав граждан при обработке информации о них и свободного перемещения между странами таких данных эту Директиву заменили Регламентом 2016/679 о защите данных (GDPR), который сегодня является основным документом в этой сфере.
В 2010 году парламент Украины ратифицировал Конвенцию 108, и в целях имплементации ее и Директив ЕС принял Закон «О защите персональных данных», определяющий правила, права и обязанности тех, кто предоставляет, собирает, хранит, передает, обрабатывает и защищает информацию и персональные данные.
Однако как методы обработки данных, так и регулирование использования данных постоянно меняются. Поэтому с изменениями европейских норм нуждаются в адаптации и украинские законы.
После того, как Украина в 2023 году получила статус кандидата на членство в ЕС, вопрос гармонизации законодательства в сфере персональных данных с европейскими Директивами стал еще более неотложным. К примеру, в рейтинге индекса кибербезопасности (National Cyber Security Index, NCSI) в сентябре 2023 года Украина заняла 24 место среди 176 стран мира и 22 место среди стран Европы и бывших стран СНГ.
Примечание. Индекс кибербезопасности (NCSI) — это глобальный индекс, измеряющий готовность стран предотвращать киберугрозы и управлять киберинцидентами. Он включает 12 подкатегорий (например, анализ киберугроз и повышение осведомленности, защиту персональных данных, военную киберзащиту) и включает 49 индикаторов.
Чтобы догнать уровень защиты данных в европейских странах, украинские парламентарии разработали законопроекты №8153 и №6177.
Законопроект №6177
Первый предлагает новую редакцию Закона «О защите персональных данных» и будет регулировать отношения, права и обязанности граждан, а также тех, кому передаются персональные данные, и тех, кто будет их обрабатывать. Также он предусматривает создание независимого контролирующего органа по защите персональных данных (это норма ЕС). Детали создания и работы такого органа — Национальной комиссии по защите персональных данных и доступа к публичной информации — прописывает законопроект №6177. Эти функции выполняет Уполномоченный по правам человека, но эксперты по кибербезопасности отмечают, что он не успевает реагировать на все случаи утечки и потери данных.
Депутаты предлагают, чтобы Национальная комиссия по защите персональных данных и доступа к публичной информации осуществляла контроль за соблюдением законодательства о защите персональных данных, рассматривала жалобы субъектов персональных данных на нарушение их прав, а также налагала штрафы на нарушителей. Также Комиссия будет рассматривать жалобы на отказ в доступе к публичной информации и выдавать обязательные решения о предоставлении публичной информации. Кстати, с 2011 по 2014 год органом контроля в сфере защиты персональных данных была соответствующая государственная служба. Ее ликвидировали для приведения украинского законодательства в соответствие с международной конвенцией 108, предусматривающей, что контролирующими органами могут быть единоличный уполномоченный или коллегиальный орган.
Но не орган, подчиненный Кабмину. Ведь такой надзорный орган должен быть независимым и иметь достаточные полномочия для выполнения своих обязанностей. Что предлагают изменить в области защиты персональных данных? Детализация существующих норм.
Законопроект №8153
Проект №8153 гораздо подробнее, чем действующий закон, определяет права и обязанности субъектов данных (лиц, которым данные принадлежат), контролеров (в действующем законе владельцев, то есть лиц, определяющих цели обработки данных) и операторов (в действующем законе) распорядителей – то есть лиц, которые от имени контролера обрабатывают данные).
Так, граждане должны быть проинформированы о том, кто будет владеть и обрабатывать информацию о них, о цели сбора и обработки данных. В случае изменения цели или адреса контролера или оператора граждан нужно будет сообщить об этом. Также, например, в действующем законе права граждан только перечислены (право на доступ к своим персональным данным, право предъявлять мотивированное требование владельцу персональных данных с возражением против обработки относительно изменения или уничтожения своих персональных данных, право отзывать согласие на обработку персональных данных и право знать механизм автоматической обработки персональных данных).
Законопроект подробно расписывает каждое из прав граждан и обязанности контролера по соблюдению этих прав. Например, контролер обязан предоставить подробную информацию о себе, операторе данных, контактных данных ответственного за защиту персональных данных лица, основаниях для обработки данных и т.п. Гармонизация терминологии с нормами ЕС. Перечень определений приводится в соответствии с европейскими нормами.
Так, проект вводит определение биометрических (например, отпечатки пальцев, отцифрованное лицо) и генетических данных (в частности, информации о состоянии здоровья). Целевой подход. Сейчас закон определяет особенности обработки определенных типов данных (их называют чувствительными) — данные о религиозной, политической и другой самоидентификации человека, биологические и генетические данные, информацию о состоянии здоровья и т.д. Их можно обрабатывать при определенных условиях: в случае согласия гражданином, для здравоохранения, в целях обеспечения ведения военного учета призывников, военнообязанных и резервистов и т.д.
Законопроект разграничивает подходы к обработке данных в зависимости от цели такой обработки. В частности, в целях значительного общественного интереса, а также для раскрытия или наказания преступлений можно обрабатывать чувствительные данные. Однако нельзя обрабатывать такие данные, например для ведения военного учета или сохранения информации в государственных реестрах. Работать с такой информацией будут только должностные лица, несущие ответственность за разглашение конфиденциальной информации. Проект расширяет права субъектов данных, включая право на забвение (изъятие, уничтожение), право на отрицание (изменения), право на ограничение обработки, право на мобильность данных (требование предоставить данные, собранные в сети Интернет) и другие; значительно детализируются условия получения согласия на обработку персональных данных.
Также в законопроекте появляется термин «посмертное использование персональных данных». Отдельно проект определяет порядок обработки данных после смерти субъекта персональных данных, чего нет в действующем законе. Так, данные погибшего можно будет использовать или обрабатывать с согласия близких родственников этого лица: детей, вдовы (вдовца), а если их нет – родителей, братьев и сестер. Ответственность за защиту данных и четкая процедура сообщения об утечке.
Проект предусматривает обязанность контролеров и операторов внедрять технические и организационные меры по обеспечению конфиденциальности и защиты данных. Они должны оценивать риски потери или уничтожения данных и обеспечивать их надежную защиту, а в случае возникновения угроз уведомлять как граждан, так и контролирующий орган. Контролер должен сообщить контролирующему органу не позднее, чем через 72 часа после того, как ему стало известно о нарушении безопасности персональных данных, кроме случаев, если нарушение безопасности персональных данных маловероятно может привести к риску для прав и свобод физического лица. Также контролер будет обязан сообщить о нарушении безопасности данных субъекта персональных данных, если существует высокий риск нарушения прав и свобод физического лица. Контролер не обязан сообщать субъекту персональных данных, если (1) контролер принял соответствующие и достаточные меры защиты данных до утечки этих данных, или (2) контролер принял меры для предотвращения рисков высокой степени для прав и свобод субъекта, или если (3) сообщение составляет чрезмерное бремя для контролера. Однако в проекте не детализируется, что подразумевается под тяжестью, и каким образом его измерять.
Передача данных в другие страны. Действующий закон говорит только, что данные могут быть переданы при условии обеспечения государством-получателем надлежащей защиты таких данных. Список стран, которые могут обеспечить необходимый уровень защиты, определяет правительство своим Постановлением (в проекте предлагается, чтобы это делала вновь Комиссия). Сегодня это 58 стран — так называемый «белый список» — в частности, страны ЕС, США, Канада, Турция.
В исключительных обстоятельствах может быть осуществлена передача данных в страны вне списка с согласия субъекта персональных данных (т.е. человека, которому эти данные относятся), для обеспечения его жизненно важных интересов, обеспечения общественных интересов или если владелец персональных данных гарантирует невмешательство в личную и семейную жизнь субъекта персональных данных (без детализации того, что такие гарантии предусматривают). Новый законопроект предусматривает уточнение и расширение перечня тех, кому могут быть переданы персональные данные за границей. В список были приложены международные организации и транснациональные корпорации.
А для стран, не попавших в «белый список», уточнили перечень гарантий, которые они должны предоставить для получения данных.
Передача данных в такие страны должна быть разрешена решением контролирующего органа — Национальной комиссии по защите персональных данных и доступа к публичной информации.
Обработка персональных данных в правоохранительных целях. Проект устанавливает требование к правоохранительным органам четко разграничивать и обрабатывать отдельно в разных базах данных информацию о разных категориях субъектов — подозреваемых, осужденных, потерпевших и других участниках уголовного производства.
Штрафные санкции. Проект предлагает установить различные виды и размеры штрафов за нарушение законодательства в сфере защиты персональных данных — от 10 тыс. грн до 150 млн грн, или до 8% общего годового оборота юридического лица. Сейчас максимальный штраф составляет 34 тыс. грн. Больше об отличиях законопроекта от действующего закона можно почитать в таблицах в приложении.
Эти законопроекты могут быть использованы для давления на бизнес
Аналитик О.Иванов считает, что принятие и реализация указанных законопроектов будут адаптировать действующее законодательство к европейским нормам, а также усилят защиту персональных данных граждан.
В то же время риском законопроекта 8153 является то, что он оставляет слишком много дискреции органам власти и их работникам. Это нормально для законодательства ЕС, где законы задают только общую рамку или принципы действий чиновников. Однако для украинской традиции характерно четкое прописывание в законах терминов, критериев и т.п. Поэтому на практике с определением больших/малых рисков, «чрезмерного бремени», «необходимых и достаточных мер» могут возникнуть проблемы. Создание независимого коллегиального органа по защите персональных данных вместо государственной службы или уполномоченного по правам человека (проект 6177) можно приветствовать.
Впрочем, для нее, как и для других независимых регуляторов, таких как Антимонопольный комитет Украины или Национальная комиссия, осуществляющая государственное регулирование в сферах энергетики и коммунальных услуг (НКРЭКУ), существует риск «захвата» — когда одна из политических групп начинает фактически управлять этим независимым органом. Если это случится, то значительные полномочия Нацкомиссии, например, налагать штрафы, могут быть использованы для давления на бизнес.
Напомним, в 2021 году президент Украины подписал закон о режиме paperless (цифровизации публичных услуг, законопроект 1689 IX). Юристы считают, что режим paperless повышает риск кражи персональных данных украинцев.