Влад Некрутенко, CIPP/e и юрист по защите персональных данных украинского стартапа Legal Nodes, рассказывает о том, зачем Украине нужно провести реформу защиты персональных данных и как она повлияет на IT-бизнес, государство и граждан.

В ноябре 2018 года в Украине закончил работу двухлетний проект Twinning Ombudsman, профинансированный Европейским союзом на полтора миллиона евро.

Одним из направлений проекта была реформа защиты персональных данных в Украине, а результатом их работы стал проект Закона о защите персональных данных, приведенный в соответствие с регулированием защиты персональных данных в ЕС. Кроме этого, команда оставила более десятка рекомендаций, выводов и методологий для эффективного проведения реформы.

Над законопроектом работали совместно украинские и европейские эксперты, но его так и не подали в Верховную Раду. Состояние работ над проектом не освещается, поэтому о причинах остановки остается только догадываться. Возможно, отсутствовала политическая Воля — тогда работа длительностью в два года и полтора миллиона евро может остаться без пользы для Украины.

Кому нужна реформа

Текущий закон о защите персональных данных Украины от 2010 года был написан по образцу Директивы ЕС 1995 года, когда интернетом пользовались менее 1% населения планеты.

Тогда не было ни Google, ни Facebook, а Amazon, продающему только книги, было меньше года. Сервисы и технологии, которые сегодня создают риски для приватности, ещё не были изобретены.

Сегодня отсутствие стандартов безопасности информации приводит к массовым утечкам данных, а непрозрачность того, как компании собирают и используют данные пользователей, ведет к торговле данными, созданию психологических профилей и незаконному рекламному таргетингу на их основании.

Директива не предусматривала адекватных способов защиты от современных способов слежки и сбора данных (что и унаследовал Закон Украины). По этой причине в 2016 году Европейский Союз принял унифицированный Регламент о защите персональных данных (GDPR) с обновленными требованиями по сбору и использованию персональной информации в электронном виде.

Примеру ЕС последовали более двадцати других стран: за последние три года реформу провели или проводят Южная Корея, Япония, Китай, Бразилия, Индия, Сингапур и другие страны, нацеленные на развитие цифровой экономики.

Стоит ли идти Украине по этой дорожке? Да и начинать нужно уже вчера. Многообещающая цифровая трансформация страны должна сопровождаться эффективным регулированием. Реформа нужна всем: IT-бизнесу, каждому из нас и Украине на международном уровне.

Зачем реформа IT-компаниям

Те, кто знакомы с Европейским GDPR, знают, что Регламент требует подотчетность организаций, по уровню не уступающую финансовому compliance банковского сектора. Если смотреть без контекста, то можно прийти к выводу, что это очередной проблеск бюрократии, где можно утонуть в документации.

На самом же деле, для бизнес-сектора реформа несет большую ценность. Существенная часть украинских IT-компаний работают или хотят работать с рынком Европейского союза. Чтобы передавать персональные данные в Украину, скажем, для хранения на облачных серверах, обработки платежей через украинские платежные системы или давать украинским разработчикам доступ к базе пользователей, Регламент ЕС требует от компаний специфических safeguards.

Траты на safeguards для одного партнерского соглашения могут достигать нескольких тысяч евро. Это создает дополнительный порог для сотрудничества между компаниями из ЕС и Украины. Если же провести реформу, то Европейская комиссия может включить Украину в список стран с достаточным уровнем защиты, и украинским компаниям не понадобятся дополнительные гарантии.

Это порождает второй вопрос для украинской индустрии — вопрос доверия к контрагентам из Украины. Если партнеры или пользователи из ЕС будут понимать, что их базы данных будут защищаться в соответствии с международными (и главное, их национальными) стандартами, это повысит уровень доверия к продуктам и сервисам из Украины. Для b2b-сектора compliant провайдеры — это обязательный пункт при оценке рисков, так как компании из ЕС несут ответственность за все, что происходит с собранной ими информацией.

Зачем реформа каждому человеку

Защита персональных данных — это, в первую очередь, о защите права человека на приватность. Реформа существующей в Украине системы поможет защитить общество от повсеместного контроля как государством, так и частными компаниями.

Например, Европейский Регламент запрещает частным организациям ставить системы распознавания лиц, как и видеослежку в целом, в публичных местах, а государству это допускается только на основании предписания закона и в ограниченном виде. Один из последних штрафов в Швеции прилетел как раз за контроль посещаемости в школе через систему распознавания лиц детей.

Кроме того, защита персональных данных ставит ограничения по использованию массового профайлинга или социальных рейтингов населения, что уже во всю внедряется в Китае и дает полный контроль над надежностью его граждан.

Если свести вопрос до повседневных ситуаций, каждый человек получит возможность контролировать циркуляцию информации о себе в сети. Хотя из интернета и тяжело, если не невозможно, удалить что-либо насовсем, реформа позволит:

  • Останавливать обработку информации о себе в целях профайлинга или рекламных целях, запрашивать ее удаление из баз отдельных организаций;
  • Давать информированное согласие, скажем, на рассылки, слежку с помощью cookies и распространение или продажу данных бизнес-партнёрам компаний, которым человек доверяет информацию;
  • Остановить неконтролируемый оборот и продажу наших контактных данных на черном и сером рынках.

Зачем реформа Украине

В сентябре 2017 года начало действовать Соглашение об Ассоциации ЕС и Украины, цель которого — открыть рынки Украины и Европейского Союза и наладить сотрудничество между ними. Наряду с другими требованиями, статья 15 Соглашения требует привести защиту персональных данных в Украине в соответствие с Европейскими и международными стандартами.

В Украине даже разработали план по адаптированию норм европейского GDPR к 25 мая 2018 года. Как можно понять в сентябре 2019 года, этого так и не произошло; не помог и проект Европейского Союза Twinning Ombudsman, упомянутом в начале текста.

Кроме Соглашения об Ассоциации, реформа требуется обновленными Конвенцией 108+ Совета Европы 2018 года и рекомендациями Организации экономического сотрудничества и развития 2013 года. Хотя мы и являемся членом Совета Европы, Конвенцию с момента ее обновления мы так и не подписали, а большинство рекомендаций ОЭСР остаются без внимания.

Наконец, на институционном уровне, приведение защиты персональных данных в соответствие с европейскими стандартами нужно в рамках сотрудничества по обмену информацией с такими институциями, как Евроюст и Европол.

Что нужно сделать

Украине предстоит проделать большую работу, и это касается не только действий государства, но также частного сектора и каждого из нас. Начать нужно с принятия нового Закона либо внесения правок в уже существующий ЗУ «Про защиту персональных данных». Изменения в Законе станут основой реформы, в которой можно выделить 5 блоков.

1. Детализация информационных прав и механизмов их защиты.

Сюда входят детализация «права на забвение» и на запрет обработки информации, добавление права на временное ограничение обработки и права на «мобильность» данных, а также система подачи жалоб, индивидуальных и коллективных судебных исков;

2. Введение экстерриториальности Украинской системы защиты данных.

Это нужно, чтобы закон действовал на иностранные компании, таргетирующие украинский рынок.

Например, украинские пользователи Google пользуются сервисами от Американского Google LLC. Два месяца назад я заходил проверять зрение в магазин оптики в Киеве и позже вечером получил рекламу в YouTube с предложением купить очки для зрения. Персонализация рекламы у меня выключена, отчего это было странно и выглядело как неправомерное использование моей геолокации и данных о здоровье, но пожаловаться Украинскому регулятору на это сегодня опции нет.

3. Акцент на информационной безопасности и подотчетности компаний.

Помимо всем известной Privacy Policy, это будет включать оценку рисков компании, разработку внутренних правил, обучение сотрудников, стандарты по кибербезопасности и обязательное уведомление регулятора об утечке данных.

4. Создание независимого регуляторного органа.

Сегодня вопросами защиты персональных данных в Украине занимается Уполномоченный Верховной Рады по правам человека, у которого для этого не хватает ни ресурсов, ни необходимых полномочий. В то время, как Британский регулятор за 2018-2019 годы увеличил штат с 500 человек на 40% (примерно до 700 сотрудников), официальный штат действующего Департамента при Секретариате Уполномоченного предусматривает 23 сотрудника, из которых только трое занимаются непосредственными проверками соблюдения Закона.

Кроме того, защита персональных данных может ограничиваться парламентским контролем – компетентный орган должен обладать следственными полномочиями, независимостью и возможностью самостоятельно накладывать санкции.

5. Поднятие уровня осведомленности о важности защиты персональных данных среди людей.

Для борьбы с проблемой нужно знать о ее существовании. Этого можно достичь через разработку рекомендаций, гайдов, стандартов, проведения ивентов и усиления медиа-присутствия регулятора, а также путем постоянного диалога с представителями индустрий и конечными пользователями.

Можно возразить, что Украине нужно сфокусироваться на более важных проблемах, как защита демократии, налаживание работы судебной системы или развитие экономики. Что ж, защита персональных данных — не игра с нулевой суммой. Она важна для здоровой конкуренции на рынке.

Вопросы персональных данных пронизывают работу судов и доказательную систему. Важность защиты персональных данных для демократии доказал прошлогодний скандал с Cambridge Analytica, когда использование профайлинга и алгоритмов для предвыборной кампании поставило под вопрос саму концепцию рационального выбора людей.

Законы о приватности определяют сегодня то, в какой среде мы будем жить следующие 100 лет, какие технологии будут сопровождать нашу повседневную жизнь. Поэтому Украине и нужна реформа защиты персональных данных.

Автор: Влад Некрутенко, юрист Legal Nodes