Чому законопроєкт про GDPR небезпечний для бізнесу та громадськості

Україна взяла на себе зобов'язання адаптувати законодавство Європейського Союзу (ЄС) в сфері захисту персональних даних (GDPR). Це передбачено статтею 15 Угоди про асоціацію між Україною та ЄС. Звучить добре, але навіть найкращу ідею можна зіпсувати в процесі її реалізації, а тим паче ‒ поспішної реалізації.

З початку літа у Верховній Раді України зареєстровано проєкт закону України "Про захист персональних даних" (№5628). Швидше за все, вже цієї осені його винесуть на голосування. Що ж не так з цим законопроєктом? Група наших фахівців і експертів уважно проаналізувала законопроєкт. Вирішили виокремити дюжину причин, чому народним депутатам не варто його підтримувати. Але за дивним збігом обставин у нас вийшла не дюжина, а ціла "чортова дюжина".

Стислі терміни розробки. GDPR в ЄС розроблявся і узгоджувався близько десяти років. Крім цього, перехідний період після ухвалення тривав два роки. Цей час компанії могли використовувати для підготовки до прийняття заходів по локальному впровадженню. В законопроєкті зазначено, що він вступає в силу з 1 січня 2023 року. В кращому випадку проєкт може буде прийнятий у 2022 році, що фактично позбавляє Україну періоду для адаптації.

Недопуск бізнесу до розробки законопроєкту. Ще у 2017 році Кабінет Міністрів України розробив та затвердив "дорожню карту" впровадження нових стандартів GDPR в Україні, яка передбачала ретельне пропрацювання питання з усіма стейкхолдерами. Проте, Уряд так і не ініціював жодних нормотворчих ініціатив у цій сфері. А от під час розробки даного проєкту у стінах Парламенту з представниками бізнесу не було проведено жодних консультацій. Таким чином, бізнес як один з головних суб’єктів, на яких поширюватимуться нові правила і обмеження GDPR фактично був усунутий від можливості долучитися навіть до ознайомлення з процесом розробки. Участь бізнесу в розробці законопроєкту зробила б його більш релевантним українським реаліям. Проте, на догоду кількісним, а не якісним показникам, монобільшість "торпедує" відверто сирий та недостатньо пропрацьований документ.

Відсутність чітких правил. Відображений в проєкті закону підхід до визначення персональних даних є дуже розмитим. А саме, персональними даними вважатиметься будь-яка інформація, что стосується ідентифікованої фізичної особи. Такий підхід не дає вичерпної відповіді на питання, чи належать ті чи інші дані до категорії персональних чи ні. Таким чином, будь-який суб'єкт у сфері використання персональних даних свідомо стає заручником ситуації, коли нечітке визначення може бути підставою для юридичної відповідальності, і не тільки адміністративної, а й кримінальної. Чітких правил, якими можна буде оперувати в разі перевірок, проєкт не містить. Таке правозастосування порушує принцип правової визначеності як складової принципу верховенства права.

Значні штрафи. Законопроєктом передбачено для підприємств значні штрафи, що сягають 150 млн гривень або 8% від річного обороту за попередній рік. Наприклад, штрафи накладатимуться за нецільове використання зібраної інформації, її зберігання довше встановлених термінів, непрозорі умови обробки даних, відсутність відповідальної особи, чиї контакти надаватимуться користувачеві при наданні персональних даних, недостатні заходи щодо забезпечення збереження інформації тощо. Максимальні суми штрафів можуть бути непідйомними для бізнесу. З такими великими штрафами українським компаніям буде важко адаптуватися за короткий період. Крім того, слід пам'ятати, що законопроєкт був розроблений не з метою штрафування, а з метою захисту персональних даних. Як пожежна безпека, вона важлива для запобігання нещасним випадкам, а не для поповнення держбюджету.

Неминучі перевірки. З огляду на інституційне "тяжіння" державної системи до контролю і нагляду, впровадження можливості штрафувати бізнес на величезні суми, призведе до численних перевірок, аналогічних Держпраці. Бізнес цим дуже стурбований, оскільки штрафи в Україні часто мають характер вимагання. Це може перешкоджати дерегуляції господарської діяльності, створити негативний ефект для розвитку бізнесу, знизити інвестиційну привабливість країни.

Відсутність компетентного контролюючого органу. Законопроєктом пропонується, щоб контроль/нагляд в цій сфері здійснював певний "уповноважений орган", повноваження якого передбачались би цим Законом та окремим Законом про такий орган. Створення в Україні окремого професійного органу, навчання і комплектація штату і т.ін. питання вимагають часу і значних ресурсів. Окрім цього, є серйозні ризики того, що такий орган перетвориться не в державний сервіс, а в чергового контролера, як це на сьогодні відбувається з Держпраці.

Погіршення процесу прозорості бізнесу. Можливість вільного отримання/використання відкритих даних, у відповідності до Закону України "Про доступ до публічної інформації", сприяє процесам забезпечення прозорості бізнесу. Адже на відкритих даних будуються процеси бізнес-безпеки і комплаєнс процедури.

Негативний вплив на розвиток громадянського суспільства і боротьбу з корупцією. Право вільного отримання/використання відкритих даних стимулює також розвиток громадянського суспільства (важлива інформація стає доступнішою людям), боротьбу з корупцією (проведення журналістських, антикорупційних розслідувань) і, загалом, позитивних змін в країні.

Проєкт Закону відверто "сирий" та потребує доопрацювання. Його ухвалення в такому вигляді призведе до істотних ризиків при його застосуванні, особливо в питаннях відповідальності та контролю/нагляду. Це може заблокувати процедури бізнес-безпеки (перевірка контрагентів, співробітників, комплаєнс і т.ін.) використання відкритих даних, доступних сьогодні в держреєстрах і в аналітичних системах через присутність в корпоративній інформації даних фізосіб.

Міф про скасування безвізу. Неприйняття зазначеного Закону жодним чином не позначиться ні на безвізовому статусі України з ЄС, ні в інших питаннях співпраці з міжнародними партнерами України.

Міф про зупинку співпраці з МВФ. Неприйняття Закону не впливає на співпрацю України з МВФ та іншими кредиторами. Адже умови прийняття нових правил GDPR, тим паче саме в такій редакції, немає в програмі Stand-by.

Міф про невідповідність європейським бізнес-стандартам. Неприйняття Закону також ніяк не позначиться на GDPR-compliance українського бізнесу в ЄС. В першу чергу, тому, що GDPR вже поширюється на українські компанії, які працюють з європейськими контрагентами. Відповідно, українські компанії впроваджують всі необхідні політики і процедури в рівній мірі з європейським бізнесом.

Неактуальність питання для людей. В українському суспільстві питання захисту персональних даних не є актуальним і пріоритетним. Навпаки, існує запит на використання відкритих даних без обмежень, як це гарантовано Законом України "Про доступ до публічної інформації".

При відсутності економічних, соціальних, політичних факторів, для цілей яких було б потрібне пріоритетне введення GDPR, прийняття та впровадження оновленого Закону України "Про захист персональних даних" в такій редакції і в такому непрозорому форматі просування, як є зараз ‒ неприйнятні.