Проблемы и перспективы защиты персональных данных в Украине

05 февраля 2021

Сейчас существует множество заявлений о том, что Украина приближается к Европе, в том числе и в сфере защиты персональных данных. Это в частности касается разработки нового законодательства, которое ориентируется на европейское. Но это на самом деле …

Особенности украинского регулирования защиты данных

Не секрет, что Украина пока находится не на лидирующих позициях в вопросе защиты персональных данных. Слабость законодательного регулирования по сбору и обращения персональных данных внутри страны, отображается на том, что механизмы защиты законных прав и интересов физических лиц, в контексте защиты персональных данных, просто не работают.

Хаос и недоразумения также прослеживается и в сфере взаимоотношений между государством и гражданами, в контексте использования персональных данных. Довольно часто можно услышать новость, что персональные данные большого количества граждан были «слиты», проданы или кому переданы.

Сейчас текст закона «О защите персональных данных» достаточно не плохим, однако, не важнейшей проблемой остается тот факт, что он не действенный. Некоторые нормы закона действительно дублируют положения нормативных актов, принятых в разных странах — членах ЕС. Мало того, некоторые статьи закона даже отображают в себе нормы General Data Protection Regulation (GDPR). Однако, не имея действенного государственного механизма контроля за выполнением этого закона, он обречен на свое игнорирование. Это, в частности, можно наблюдать в сфере предоставления услуг, когда, например, веб-сайт собирает о персональных данных пользователей и использует эти данные для дальнейшей рассылки коммерческих сообщений. При этом, пользователь обычно не проинформирован, куда и как он может подать жалобу на такой сайт и сам механизм обжалования довольно ясен.

Украина, в 2010 году, проявляя свою принадлежность к цивилизованному обществу, ратифицировала Конвенцию 108 «О защите лиц в связи с автоматизированной обработкой персональных данных», которая стала основой для развития системы защиты данных для многих стран западного мира. Украина даже приняла собственный закон «О защите персональных данных» в 2010 году, который в первоначальном своем виде был похож действительно на что-то непонятное, что шло в разрез с тогдашними европейскими директивами.

Этот закон предусматривал необходимость создания баз персональных данных, а также реестров баз персональных данных. Каждая компания была обязана регистрировать базы персональных данных в созданной Государственной службе по вопросам защиты персональных данных. К сожалению, как показала практика, вся эта бутафория не имела ничего общего с реальной защитой персональных данных. Основными причинами этого было:

тотальная неэффективность закона;
отсутствует централизованное регулирование за соблюдением закона;
абсолютная нежизнеспособность Государственной службы по вопросам защиты персональных данных;
отсутствие организованного порядка подачи документации в органы Государственной службы по вопросам защиты персональных данных, что спровоцировало ажиотаж;
законодательно необоснованная требование о регистрации любых баз данных.

В дополнение к вышеупомянутому, стоит добавить, что государство Украина в 2011 году не смогла обеспечить главного — разъяснение норм закона среди населения и бизнеса, а также обеспечить повышение осведомленности в вопросах защиты персональных данных.

В результате всех недостатков, наступление которых допустила Украины, Государственная служба по вопросам защиты персональных данных была распущена, а редакцию закона с 2010 года изменили на ту редакцию, которую мы имеем сейчас, по сути почти ничего не изменило.

Перспективы и ожидания

Верховная Рада Украины и Офис Уполномоченного Верховной Рады по правам человека работают над текстом нового закона о защите персональных данных в Украине, который, по словам представителей власти, обещает быть не менее действенным, чем GDPR в Европе. Кроме как для поднятия своего авторитета, Украине такой закон нужен и для того, чтобы персональные данные с ЕС могли свободно перемещаться на территорию нашего государства, ведь сейчас, Украина признана страной, которая не имеет надлежащего уровня защиты данных, вызывает определенные трудности при обмене данными.

Эксперты из Совета Европы считают, что для того чтобы закон был максимально эффективным и эффективным, Украине необходимо принять следующие меры:

в тексте закона необходимо избегать положений, которые являются слишком сложными и даже невозможными для реализациӥ на практике, поскольку они не будут нести жодноӥ ценности для защиты прав и свобод человека;
обязать государственные учреждения, вовлеченные в законотворческий процесс, включать в другие законодательные акты, регулирующие вопросы обработки данных, информацию по обработке данных, включая информацию о целях обработки персональных данных;
в тексте закона необходимо предусмотреть необходимость (при определенных ситуациях) осуществление оценки воздействия на защиту персональных данных, является аналогом DPIA, предусмотренного в GDPR;
определить в тексте закона основные принципы обработки персональных данных;
признать в законопроекте применимость механизмов ЕС со стороны украинских контроллеров данных и обработчиков данных (в частности тех, которые предусмотрены в статьях 40 и 47 GDPR)
предусмотреть в законопроекте создания независимого контролирующего органа по защите персональных данных.

С нашей стороны, можем добавить, что для Украины пока не является обязательным определять огромные штрафы за несоблюдение закона о защите данных, а взять паузу (период) для возможности донести основные его требования к населению и в частности в государственные органы и бизнеса. В государстве Украина нужно развивать культуру защиты персональных данных, как это делается в Европе. Только после того как будет уверенность, что образованность населения является на достаточном уровне, можно будет говорить о применении более жесткой ответственности.

вывод

Украина может достичь надлежащего уровня защиты персональных данных, только если осознание такой защиты будет происходить по вертикали — начиная от государственных органов к обычному гражданского населения. И когда мы будем уверены, что любой государственный орган, который получил данные о нас будет применять его исключительно в рамках закона и для тех целей, о которых он нам сообщил, или если гражданин Украины, перед тем как передавать свои персональные данные любой лицу, истребует у такого лица необходимую информацию по обработке его данных, а это лицо предоставит такую ​​информацию, только после этого будет возможность декларировать, что Украина стала на путь окультуривания в вопросах защиты персональных данных.