Що не так із новою редакцією Закону «Про захист персональних даних»

АктуальноНаука. Освіта. ТехнологіїУкраїна

в Вер 3, 2021

Україна, щоб збільшити ВВП, повинна забезпечити юридично захищені інструменти для обробки персональних даних з усього світу. Чому так? Бо персональні дані — найновітніший актив у комерційному розпорядженні бізнесу. Спочатку це були верстати та промислові механізми. Потім настала епоха інтелектуальної власності. Але тепер, коли інновації майже вичерпались у промисловому виробництві, питання збуту та просування товарів менше залежить від якості самого товару, а більше — від розвитку каналів його збуту. Персоналізований канал, охоплення цільової аудиторії потенційних покупців — це і є основна конкурентна перевага сьогодення. Показавши світовій спільноті великі можливості та гарантії, ми можемо розвинути інфраструктуру, необхідну для супроводу бізнесу, що використовує bigdata. Але рухаємося ми дуже повільно і часто не в тому напрямку.

Ще десять років тому, коли тільки було прийнято Закон України «Про захист персональних даних», ряд українських IT-компаній бачили свій потенціал отримання замовлень із Заходу і чітко розуміли існуючу проблему. Можна було б брати на аутсорс (офшоринг) в Україну роботу із великими масивами даних, але цієї роботи в Україну не делегували. Ще десять років тому великими масивами персональних даних володіли іноземні банки, страхові компанії та недержавні пенсійні фонди. Вони відчували потребу в IT-послугах із зберігання, обробки та впровадження систем, заснованих на базах даних. При цьому йшлося не про тестові дані (фейкові акаунти тощо), а про реальні дані клієнтів. IT-фахівці в Україні були цілком компетентні та пропонували конкурентні ціни на послуги. Але західні корпорації так і не наважилися віддати роботу в Україну, яка має весь науковий потенціал IT-сектору. Закон України «Про захист персональних даних» базувався на конвенції №108, яку було прийнято 1981 року. І це в той час, як у Європі вже діяла на 14 років «молодша» Data Protection Directive 95/46/ЄС — директива, прийнята 1995-го.

За десять років, що минули після прийняття Закону України «Про захист персональних даних», нічого кардинального в нього не внесли, якщо не рахувати косметичних змін зі скасування нераціональної процедури реєстрації всіх баз персональних даних, яких тоді ще існуюча Державна служба України з питань захисту персональних даних налічила щонайменше по дві у кожної компанії (це були бази «Контрагенти» і «Працівники»). А в ЄС встигли провести 3–4-річний етап дискусії серед країн-членів (це інший масштаб переговорного процесу, дипломатії та пошуку компромісу) та 2016 року прийняти Загальний регламент про захист даних GDPR, що вступив у дію 25 травня 2018 року.

Обговорення GDPR тривало кілька років, і Україна не могла цього не помічати. Але зближення правового регулювання з європейським і синхронізації у цій сфері не було. Навіть тоді, коли GDPR було прийнято, ми оминали його увагою, зрештою майже остаточно змарнувавши перспективи локального розвитку великого бізнесу, який оперує персональними даними. Варто застерегти, що ми не виступаємо за принцип локалізації персональних даних наших співгромадян, який в окремих державах практикується з метою розміщення серверів та інших адміністративних процедур. Ми якраз говоримо про привабливість України як безпечної гавані для захисту будь-яких даних і створення умов для IT-бізнесу вести тут операційну діяльність.

Якщо така ситуація зберігатиметься і надалі, ми залишимося з лопатою в руках, латаючи ямковим ремонтом легенду про історичні здобутки Київської Русі, про перший комп’ютер і ноосферу. Що ми принесемо у майбутнє і де місце у ньому для бізнесу, що оперує персональними даними?

Законотворча робота у професійному середовищі велася понад рік, і уже зареєстровано законопроєкт №5628 від 7 червня 2021 року, який буде новою редакцією Закону України «Про захист персональних даних». Він концептуально відображає основні принципи та правила GDPR. Це має наблизити Україну до стандартів ЄС. Фахівці помітять низку принципових відмінностей від GDPR. Ми ж звернемо увагу тільки на одну, локалізовану, відмінність. Автори законопроєкту пропонують екстериторіальний принцип дії закону, що поширюватиметься на іноземні компанії, які обробляють персональні дані українців. Уявіть, що іноземні компанії повинні будуть якимось чином дізнатися про такий закон (у разі його прийняття) та виконувати його, зокрема, призначивши в Україні локального представника.

Ми не впевнені, що така концепція екстериторіальності потрібна вже зараз. Причина проста: законопроєкт у цілому прогресивний і поліпшив би імідж України в світі як країни, що застосовує сучасні правові інструменти для захисту персональних даних. Це відкриває українським компаніям доступ до ринку bigdata — і в Україну надійдуть замовлення на певні послуги щодо обробки персональних даних. Але покладання на світові корпорації тягаря виконувати специфічні норми українського закону (навіть якщо такі корпорації не мають дочірньої компанії в Україні) може згуртувати їх саме як опонентів законопроєкту. Як наслідок, є загроза неприйняття законопроєкту в цілому, відповідно, ми залишимося у status quo замість того, щоб рухатися синхронно із світом. Законопроєкт ще не включений до порядку денного, що дає можливість уточнити баланс інтересів усіх учасників ринку bigdata.