Заглавие за наредба 9240
Парламентът прие промени в Закона за защита на личните данни, които създават потенциални пречки пред предприемачите, тъй като разширяват правомощията на ДЗЛД
Законът за защита на личните данни, около който навремето имаше широки дискусии, е в сила от близо 2 години. Неговата цел беше да осигури подходящо правно основание за защита на личните данни, по-специално да създаде независим надзорен орган в тази област. Такъв орган наистина беше създаден - Държавната служба за защита на личните данни (ДЗЛД), но е трудно да се нарече напълно независим, тъй като според наредбата за профила дейността му се ръководи от Министерския съвет чрез министъра на правосъдието. Надеждите за промяна на ситуацията в този и други аспекти бяха възложени на по-нататъшни изменения.
Има обаче възможност президентът да предложи свои корекции в проекта. По този начин редица обществени организации (като обществени съвети към Министерството на правосъдието на Украйна и към Държавната служба за защита на личните данни (наричани по-долу SSPD), Експертният съвет по свобода на информацията и защита на неприкосновеността на личния живот към представителя на комисаря на Върховната Рада за правата на човека относно достъпа до публична информация и защита на личните данни, Интернет асоциацията на Украйна, Лигата на застрахователните компании) вече се обърнаха към Гаранта с искане за налагане на вето проектозакона във вида, в който е приет от народните представители.
Държавна служба - повече правомощия?
Нека веднага да отбележим, че горепосочените организации не са против промените в закона като такива - те не са доволни от една, но важна точка. Промените, които се подготвяха през годината, са продукт на взаимодействието между Министерството на правосъдието, ДСПП и предприемачите. Все пак на второ четенете бяха неочаквано коригирани за последното. А именно: в чл. 23 проекта бяха добавени параграфи 14, 15 и 16, които всъщност разширяват правомощията на GSZPD в областта на техническото регулиране, разработването на стандарти и технически регламенти, изискванията за защита на личните данни в информационните и телекомуникационните системи и оценката на съответствието на системите за защита на информацията в тези системи.
Недоволните настояват, че е нарушена нормативната процедура за приемане на закона: първо, измененията са приети без надлежно обществено обсъждане, второ, още на второ четене са се появили параграфи, които преди това не са били в законопроекта (относно правомощията на държавната служба), и трето, нарушен е срокът за подаване на коментари по проекта (14 дни). Експертите от Главния правен отдел на Върховната Рада са съгласни с тях: „В текста на проекта, подготвен за разглеждане на второ четене, противно на членове 102 и 116 от Правилника, са направени промени, които не са били предмет на разглеждане при приемането му на първо четене и променят концепцията му.“
Друг аспект: законът не решава проблема със създаването на независим държавен орган в областта на защитата на личните данни, както се изисква от европейските стандарти, по-специално Плана за действие за либерализиране на визовия режим на ЕС за Украйна.
Регистрацията е обърната
В същото време може да се каже, че измененията съдържат и положителни аспекти, които са насочени към разрешаване на редица проблеми и противоречия.
Както знаете, съществена пречка за прилагането на разпоредбите на закона беше проблемът с регистрацията на базите с лични данни от предприемачите. И сега Държавната служба, според обществения съвет към нея, има няколко милиона такива заявления за регистрация, обработени къмднес само няколко десетки хиляди. Човек може само да си представи колко време ще отнеме регистрирането на всички приложения. И отново уловката е, че необходимостта от регистриране на бази данни не означава защита на правата на гражданите.
Но отново споменатите в началото промени, които бяха изненадани за обществеността и бизнеса, неутрализират тези положителни моменти и идеята, която промените носят. В края на краищата, ако по-рано беше възможно да се надяваме, че участниците в процесите могат свободно, по свое усмотрение, да установят процедурата и условията за обработка на PD и да оценят рисковете, тогава предвид тези промени може би всичко ще се сведе до бюрократично вземане на решения.
Този подход не отговаря и на европейските стандарти, в частност на практиката на Европейския съд по правата на човека. Така в много от решенията си ЕСПЧ е установил, че правото на личен живот на публични личности може да бъде ограничено по силата на длъжността, която заемат или обществения им статус, както и въз основа на важността на определена информация за обществено обсъждане и др. Това не отговаря на определението за поверителна информация, съдържащо се в Закона за достъп до обществена информация.
Така установеният подход може да доведе до по-нататъшно необосновано ограничаване на достъпа до обществена информация с позоваване на поверителността на личните данни, какъвто е настоящият случай.
Самата правна техника на закона е куца: новата редакция на член 6, част първа и девета от закона съдържа неясни и непредсказуеми норми, което противоречи на принципа на правната сигурност. По-специално, той предвижда, че обработването на лични данни за исторически, статистически или научни цели „може да се извършва само ако те са предоставениподходяща защита.” Ясно е обаче какво представлява такава „подходяща защита.” Тази неточност може да доведе до произволни ограничения върху свободата на изследване, включващо обработката на лични данни.
Може би аргументите на обществените организации ще изиграят роля. В края на краищата, по отношение на друг, не по-малко резонансен Закон „За Единния държавен демографски регистър“, който също е подписан от президента, той подчерта, че балансирано решение ще бъде намерено в конструктивен диалог.
Така че едно е сигурно: промените в Закона за защита на личните данни изискват цялостна експертна оценка, защото ще засегнат правата на всеки гражданин на нашата държава. Какво решение ще бъде взето в резултат на това, ще стане известно в близко бъдеще.
Владимир Козак, заместник-председател на Държавната служба за защита на личните данни:
Сега има много остри въпроси: колко дълго могат да се обработват лични данни от фирми за събиране, до каква степен банка или друга финансова организация може да прехвърля лични данни. Ако PD се събира с определена цел, то трябва да се обработва за тази цел. Всяка банка има право да идентифицира клиент при откриване на сметката му, но той не може да използва тази информация и да събира повече от необходимото за идентификация. Има кредитни бюра, има събиране на информация за риска от банката и т.н., а Законът и Конвенцията казват, че всяка цел изисква отделна обработка.
Извършили сме над 20 проверки на много сложни юридически лица, които обработват лични данни, имаме право да издадем предписания, които те трябва да спазват. Ако не са съгласни с тези инструкции, те могат да се обърнат към съда. Не сме имали нито един случай да не са изпълнили нашите указания,и глобите все още не са наложени.
Не мисля, че промените в закона ще променят нещо коренно. Редакторите вземат под внимание предложенията за подобряване на Закона, направени от европейски експерти, и неговото вето може да спре положителното развитие. Независимо дали промените ще влязат в сила или не, мисля, че догодина вече ще видим стандарти в областта на защитата на личните данни.
Иван Петухов, заместник-председател на Украинския съюз на индустриалците и предприемачите, заместник-ръководител на Обществения съвет към GSZPD:
Такива промени практически не дават нищо, тъй като не спестяват от човешкия фактор. Цялата отговорност все още пада върху субекта, който притежава базата с лични данни. Негова задача и проблем е да ги пази. Освен това Главният правен отдел на Върховната Рада посочи, че тези параграфи не са били предмет на разглеждане на първо четене и променят основната цел на приемането на законопроекта. А тези норми противоречат на декларирания курс на дерегулация в държавата.
Ксения Ляпина, заместник-председател на Комисията по индустриална и регулаторна политика и предприемачество към Върховната рада:
- Приетите промени в Закона за защита на личните данни са двусмислени. Може да се каже, че промените водят до влошаване, ако самият основен закон не беше лош, който днес създава пречки при осъществяването на предприемаческата дейност. И измененията, за съжаление, няма да доведат до значителни подобрения. Може би тук се проявява тяхното негативно влияние.
Валери Бондик, заместник-председател на Комисията по правосъдие на Върховната Рада:
Вадим Колесниченко, член на Комисията по правосъдие на Върховната Рада: