Чому Україні потрібна реформа захисту персональних даних

У листопаді 2018 року в Україні закінчив роботу дворічний проект Twinning Ombudsman, профінансований Європейським союзом на півтора мільйона євро.

Одним з напрямків проекту була реформа захисту персональних даних в Україні, а результатом її роботи став проект Закону про захист персональних даних, приведений у відповідність з регулюванням захисту персональних даних в ЄС. Крім цього, команда проекту залишила більше десятка рекомендацій, висновків та методологій для ефективного проведення реформи.

Над законопроектом працювали спільно українські та європейські експерти, але його так і не подали до Верховної Ради. Стан робіт над проектом не висвітлюється, тому про причини зупинки залишається тільки здогадуватися. Можливо, була відсутня політична воля – тоді робота тривалістю у два роки та півтора мільйона євро можуть залишитися без користі для України.

Кому потрібна реформа

Поточний Закон про захист персональних даних України від 2010 року був написаний за зразком Директиви ЄС 1995 року, коли інтернетом користувалися менше ніж 1% населення планети.

Тоді не було ані Google, ані Facebook, а Amazon, що продавав тільки книги, існував менше року. Сервіси та технології, які сьогодні створюють ризики для приватності, ще не були винайдені.

Однак зараз інша історія – захисту та зберіганню особистих даних користувачів компаніями приділяється величезна увага, адже відсутність довіри з боку клієнтів означає втрату прибутку. Тому все ті ж Google, Facebook, а також відповідальні за мільйони транзакцій щодня eBay та PokerStars взяли та побудували свої власні дата-центри, де надійно зберігають персональну інформацію своїх користувачів.

Ось тому відсутність стандартів безпеки інформації призводить до масових витоків даних, а непрозорість того, як компанії збирають та використовують дані користувачів, веде до торгівлі даними, створення психологічних профілів й незаконного рекламного таргетингу на їх підставі.

Директива не передбачала адекватних способів захисту від сучасних способів стеження та збору даних (що й успадкував Закон України). З цієї причини у 2016 році Європейський Союз прийняв уніфікований Регламент Про захист персональних даних (GDPR) з оновленими вимогами щодо збору та використання персональної інформації в електронному вигляді.

За прикладом ЄС реформу провели або проводять Південна Корея, Японія, Китай, Бразилія, Індія, Сінгапур та інші країни, націлені на розвиток цифрової економіки.

Чи варто йти Україні по цій доріжці? Та й починати потрібно було ще вчора. Багатообіцяльна цифрова трансформація країни повинна супроводжуватися ефективним регулюванням. Реформа потрібна всім: IT-бізнесу, кожному з нас та Україні на міжнародному рівні.

Навіщо реформа IT-компаніям

Ті, хто знайомі з Європейським GDPR, знають, що Регламент вимагає підзвітність організацій, яка за рівнем не поступається фінансовій звітності банківського сектора. Якщо дивитися без контексту, то можна прийти до висновку, що це черговий проблиск бюрократії, де можна потонути у документації.

Насправді ж, для бізнес-сектору реформа несе велику цінність. Істотна частина українських IT-компаній працюють або хочуть працювати з ринком Європейського Союзу. Щоб передавати персональні дані в Україну, скажімо, для зберігання на хмарних серверах, обробки платежів через українські платіжні системи або давати українським розробникам доступ до бази користувачів, Регламент ЄС вимагає від компаній специфічних гарантій.

Витрати на гарантії для однієї партнерської угоди можуть досягати декількох тисяч євро. Це створює додатковий поріг для співпраці між компаніями з ЄС та України. Якщо ж провести реформу, то Європейська комісія може включити Україну в список країн з достатнім рівнем захисту, і українським компаніям не знадобляться додаткові гарантії.

Це породжує друге питання для української індустрії - питання довіри до контрагентів з України. Якщо партнери або користувачі з ЄС зрозуміють, що їх бази даних будуть захищатися відповідно до міжнародних (та, головне, їх національних) стандартів, це підвищить рівень довіри до продуктів і сервісів з України. Для B2B-сектора compliant провайдери – це обов'язковий пункт при оцінці ризиків, тому що компанії з ЄС несуть відповідальність за все, що відбувається із зібраною ними інформацією.

Навіщо реформа кожній людині

Захист персональних даних – це, у першу чергу, захист права людини на приватність. Реформа чинної в Україні системи допоможе захистити суспільство від повсюдного контролю як державою, так і приватними компаніями.

Наприклад, Європейський Регламент забороняє приватним організаціям ставити системи розпізнавання осіб, як і відеостеження в цілому, в публічних місцях, а державі це допускається тільки на підставі припису закону та в обмеженому вигляді. Один з останніх штрафів у Швеції прилетів якраз за контроль відвідуваності в школі через систему розпізнавання облич дітей.

Крім того, захист персональних даних ставить обмеження щодо використання масового профайлінгу або соціальних рейтингів населення, що вже у всю впроваджується в Китаї та дає повний контроль над надійністю його громадян.

Якщо звести питання до повсякденних ситуацій, кожна людина отримає можливість контролювати циркуляцію інформації про себе у мережі. Хоча з інтернету і важко, якщо не неможливо, видалити що-небудь назовсім, реформа дозволить:

  • зупиняти обробку інформації про себе з метою профайлінгу або у рекламних цілях, запитувати її видалення з баз окремих організацій;
  • давати інформовану згоду, скажімо, на розсилки, стеження за допомогою cookies, поширення або продаж даних бізнес-партнерам компаній, яким людина довіряє інформацію;
  • зупинити неконтрольований оборот та продаж наших контактних даних на чорному й сірому ринках.

Навіщо реформа Україні

У вересні 2017 року почала діяти угода про асоціацію ЄС та України, мета якої – відкрити ринки України та Європейського Союзу та налагодити співпрацю між ними. Поряд з іншими вимогами, Стаття 15 Угоди вимагає привести захист персональних даних в Україні у відповідність з європейськими та міжнародними стандартами.

В Україні навіть розробили план з адаптування норм європейського GDPR до 25 травня 2018 року. Як можна зрозуміти у вересні 2019 року, цього так і не сталося; не допоміг і проект Європейського Союзу Twinning Ombudsman, згаданий на початку тексту.

Крім Угоди про асоціацію, реформа потрібна оновленим Конвенцією 108+ Ради Європи 2018 року та рекомендаціям Організації економічного співробітництва та розвитку 2013 року. Хоча ми й є членом Ради Європи, Конвенцію з моменту її оновлення ми так і не підписали, а більшість рекомендацій ОЕСР залишаються без уваги.

Нарешті, на інституційному рівні, приведення захисту персональних даних у відповідність з європейськими стандартами потрібно в рамках співпраці з обміну інформацією з такими інституціями, як Євроюст та Європол.

Можна заперечити, що Україні потрібно сфокусуватися на більш важливих проблемах, як захист демократії, налагодження роботи судової системи або розвиток економіки. Що ж, захист персональних даних – не гра з нульовою сумою. Вона важлива для здорової конкуренції на ринку.

Закони про приватність визначають сьогодні те, у якому середовищі ми будемо жити наступні 100 років, які технології будуть супроводжувати наше повсякденне життя. Тому Україні й потрібна реформа захисту персональних даних.

0