Законопроєкт "Про охорону персональної інформації" потребує доопрацювання перед другим читанням, згідно з результатами опитування.

Законопроєкт "Про захист персональних даних", який Верховна Рада прийняла сьогодні, 20 листопада, за основу, потребує правок та уточнень для ухвалення в цілому та реалізації реформування системи захисту персональних даних. Законопроєкт "Про захист персональних даних" має на меті узгодити українське регулювання у цій сфері із Загальною директивою захисту персональних даних Євросоюзу. Однак, як зазначив у коментарі "Детектор медіа" виконавчий директор "Української гельсінської спілки" Олександр Павліченко, "те, що пропонується зробити, зовсім не відповідає тій усталеній практиці, яка напрацьована і функціонує в системах європейських держав із захисту персональних даних".

"По-перше, Україні в нинішніх умовах бракує можливостей для створення незалежного контрольного органу, і це потрібно визнати. -- підкреслив Олександр Павліченко. -- Я мав справу з цим законопроєктом, а також з ініціативою щодо створення подібного регулятора, і ми висловлювали свою критику. Вважаю, що необхідно розробити чіткий план дій для переходу від існуючої ситуації до системи GDPR."

На його думку, сучасні українські умови, в контексті існуючої корупції, викликають питання щодо перспективи формування незалежного регуляторного органу. Крім того, для створення державної установи необхідні значні фінансові вкладення.

Майбутня система регулювання передбачає залучення офіцерів з охорони персональних даних у підприємствах та організаціях, що підпорядковуються регуляторним органам. На сьогоднішній день в Україні не існує таких спеціалістів та системи їх підготовки, проте повинні розпочати свою діяльність з моменту набуття чинності нового законодавства.

Юрособи мають створити та фінансувати посади таких офіцерів. Водночас, систему високих штрафів пропонується запровадити одразу. Це може спонукати бізнес вдаватися до корупції, щоб уникати їх.

Не можна вважати, що сама ратифікація документа автоматично тягне за собою якесь піднесення на високий рівень системи захисту персональних даних, додав Олександр Павліченко.

У цьому законопроєкті є дуже цікава норма: якщо держава є учасницею GDPR або ратифікувала конвенцію Ради Європи щодо автоматизованого захисту персональних даних, то вважається, що вона забезпечує відповідний рівень контролю за передачею персональних даних, — зазначив спеціаліст. — Проте я маю великі сумніви, що всі 46 держав-членів Ради Європи, серед яких Вірменія, Азербайджан, Грузія та Молдова, дійсно відповідають цим стандартам на сто відсотків.

У 2013 році Російська Федерація ратифікувала Конвенцію 108, що дозволяє без обмежень передавати дані, за умови, що це не заборонено регуляторним органом у певному списку. Оскільки у нас немає такого регулятора, ми вважаємо, що вони, так би мовити, виконують функцію контролю за належним захистом персональних даних.

Олександр Павліченко підкреслив, що сприймає прийняття цього законопроєкта як "політичний жест та спробу продемонструвати Євросоюзу наші наміри щодо гармонізації законодавства".

Водночас Володимир Яворський, експерт з ГО "Центр громадянських свобод", у своєму коментарі для "Детектора медіа" підкреслив, що загалом цей законопроєкт відповідає європейським нормам.

"У 2023 році Рада Європи провела оцінку цього законопроєкту і дійшла висновку, що в цілому він відповідає європейським нормам. Проте, необхідно внести безліч уточнень у текст, оскільки в ньому є певні недоліки. Це, власне, і є завданням для підготовки до другого читання," -- зазначив Володимир Яворський.

"Суть справи полягає в тому, що ми маємо два варіанти: або ж ми реалізуємо це, закріплюючи в даному законі поетапний план впровадження різних норм, а також почнемо програму змін, щоб через п’ять років повністю відповідати стандартам ЄС, що не завадить нашому вступу, або, якщо ми вирішимо відкласти це питання, то повернемося до нього через три-чотири роки," -- зазначив він.

На його думку, необхідність поетапного впровадження регулювання, а також питання стягнень — це ті аспекти, які варто обговорити перед другим читанням законопроєкту.

"У будь-якому випадку, українським підприємствам потрібно буде адаптуватися до цих змін щонайменше в три рази швидше, ніж їх європейським колегам, оскільки наше головне завдання полягає у швидкому вступі до ЄС," — зазначив Володимир Яворський.

Підтримує ідею доопрацювання до другого читання законопоєкта і старша юристка "Лабораторії цифрової безпеки" Тетяна Авдєєва.

"Процес реформування цієї сфери тягнеться вже багато років, і це негативно впливає не тільки на права людини, а й на загальний стан держави в час, коли кожна реформа, пов'язана з євроінтеграцією, може стати ключовою для вступу України до ЄС," -- підкреслила вона в інтерв'ю "Детектор медіа".

За її словами, слід враховувати, що йдеться не тільки про Загальний регламент про захист даних - ця реформа має стати першим кроком для імплементації багатьох інших регуляцій.

"Відсутність цього елемента ускладнює реалізацію як комплексного регулювання платформ, яке не раз піднімалося в українському парламенті, так і регулювання популярного штучного інтелекту, а також норм щодо забезпечення безпеки кіберінфраструктури," -- зазначила експертка.

Юристка "Лабораторії цифрової безпеки" також зупинилася на положеннях, які викликали найбільшу критику: