Перейти до основного вмісту

Проблеми та перспективи захисту персональних даних в Україні

Проблеми та перспективи захисту персональних даних в Україні

Наразі, існує безліч заяв стосовно того, що Україна наближується до Європи, в тому числі і у сфері захисту персональних даних. Це зокрема стосується розробки нового законодавства, яке орієнтується на європейське. Та чи так це насправді…

 

 

Особливості українського регулювання захисту даних

Не секрет, що Україні наразі знаходиться не на лідируючих позиціях в питанні захисту персональних даних. Слабкість законодавчого регулювання щодо збирання  та обігу персональних даних в середині країни, відображається на тому, що механізми захисту законних прав та інтересів фізичних осіб, в контексті захисту персональних даних, просто не працюють.

Хаос та непорозуміння також простежується і в сфері взаємовідносин між державою та громадянами, в контексті використання персональних даних. Доволі часто можна почути новину, що персональні дані великої кількості громадян були «злиті», продані або комусь передані.

Наразі, текст закону «Про захист персональних даних» є достатньо не поганим, однак, чи не найважливішою проблемою залишається той факт, що він не дієвий. Деякі норми закону дійсно дублюють положення нормативних актів, прийнятих в різних країнах – членах ЄС. Мало того, деякі статті закону навіть відображують в собі норми General Data Protection Regulation (GDPR). Однак, не маючи дієвого державного механізму контролю за виконанням цього закону, він приречений на своє ігнорування. Це, зокрема, можна спостерігати в сфері надання послуг, коли, наприклад, веб-сайт збирає про персональні дані користувачів та використовує ці дані для подальшої розсилки комерційних повідомлень. При цьому, користувач зазвичай не проінформований, куди та як він може подати скаргу на такий веб-сайт та і сам механізм оскарження є доволі незрозумілий.

Україна, в 2010 році, виявляючи свою приналежність до цивілізованого суспільства, ратифікувала Конвенцію 108 « Про захист осіб у зв'язку з автоматизованою обробкою персональних даних», яка стала основою для розбудови системи захисту даних для багатьох країн західного світу. Україна навіть прийняла власний закон «Про захист персональних даних» в 2010 році,  який в первісному своєму вигляді був схожий дійсно на щось незрозуміле, що йшло в розріз з тодішніми європейськими директивами.

Цей закон передбачав необхідність створення баз персональних даних, а також реєстрів баз персональних даних. Кожна компанія була зобов’язана реєструвати бази персональних даних в створеній Державній службі з питань захисту персональних даних. Нажаль, як показала практика, вся ця бутафорія не мала нічого спільного, з реальним захистом персональних даних. Основними причинами цього було:

  • тотальна недієвість  закону;
  • відсутнє централізоване регулювання за дотриманням закону;
  • абсолютна нежиттєздатність Державної служби з питань захисту персональних даних;
  • відсутність організованого порядку подачі документації в органи Державної служби з питань захисту персональних даних, що спровокувало шалений ажіотаж;
  • законодавчо необґрунтована вимога щодо реєстрації будь-яких баз даних.

В додаток до вищезгаданого, варто додати, що держава Україна в 2011 році не змогла забезпечити головного – роз’яснення норм закону серед населення та бізнесу, а також забезпечити підвищення обізнаності в питаннях захисту персональних даних.

В результаті всіх тих недоліків, настання яких допустила Україна, Державна служба з питань захисту персональних даних була розпущена, а редакцію закону від 2010 року  змінили на ту редакцію, яку ми маємо наразі, що по суті майже нічого не змінило. 

Перспективи та очікування

Верховна Рада України та Офіс Уповноваженого Верховної Ради з прав людини працюють над текстом нового закону про захист персональних даних в Україні, який, зі слів представників влади, обіцяє бути не менш дієвим ніж GDPR в Європі. Окрім як для підняття свого авторитету, Україні такий закон потрібен також і для того, щоб персональні дані з ЄС могли вільно переміщуватися на територію нашої держави, адже наразі, Україна визнана країною, яка не має належного рівня захисту даних, що спричиняє певні труднощі при обміні даними.

Експерти з Ради Європи вважають, що для того аби закон був максимально дієвим та ефективним, Україні необхідно вжити наступні заходи:

  • в тексті закону необхідно уникати положень, які є занадто складними й навіть неможливими для реалізації̈ на практиці, оскільки вони не будуть нести жодної̈ цінності для захисту прав і свобод людини;
  • зобов’язати державні установи, залучені в законотворчий процес, включати до інших законодавчих актів, що регулюють питання обробки даних, інформацію щодо обробки даних, зокрема інформацію про цілі обробки персональних даних;
  • в тексті закону необхідно передбачити необхідність (при певних ситуаціях) здійснення оцінки впливу на захист персональних даних, що є аналогом DPIA, передбаченого в GDPR;
  • визначити в тексті закону основні принципи обробки персональних даних;
  • визнати в законопроекті застосовність механізмів ЄС із боку українських контролерів даних і обробників даних (зокрема тих, які передбачені у статтях 40 та 47 GDPR);
  • передбачити в законопроекті створення незалежного контролюючого органу щодо захисту персональних даних.

З нашого боку, можемо добавити, що для України наразі не є обов’язковим визначати шалені штрафи за недотримання закону про захист даних, а взяти паузу (період) для можливості донести основні його вимоги до населення і зокрема до державних органів та бізнесу. В державі Україна потрібно розвивати культуру захисту персональних даних, як це робиться в Європі. Тільки після того як буде впевненість, що освіченість населення є на достатньому рівні, можна буде говорити про застосування більш жорсткішої  відповідальності.

Висновок

Україна може досягнути належного рівня захисту персональних даних, тільки якщо усвідомлення такого захисту буде відбуватися по вертикалі – починаючи від державних органів до звичайного цивільного населення. І коли ми будемо впевнені, що будь-який державний орган, який отримав дані про нас буде застосовувати його виключно в рамках закону і для тих цілей, про які він нас повідомив, або якщо громадянин України, перед тим як передавати свої персональні дані будь-якій особі, витребує в такої особи необхідну інформацію щодо обробки його даних, а ця особа надасть таку інформацію, тільки після цього буде можливість декларувати, що Україна стала на шлях окультурення в питаннях захисту персональних даних.