Особисті дані перетворюються на цінний ресурс, а їх охорона часто є відповіддю після виникнення проблеми. Чому існуюче законодавство не забезпечує проактивний підхід?
Проблема захисту персональних даних нині актуальна не лише через європейські норми чи офіційні вимоги законодавства, а завдяки суттєвим змінам в методах збору, обробки та розповсюдження інформації про людей.
Останнім часом персональна інформація перестала бути лише "додатковим" елементом в діяльності урядів, компаній чи засобів масової інформації. Вона перетворилася на важливий ресурс, який можна без зусиль копіювати, об'єднувати та повторно використовувати, часто без відома самих людей.
В умовах війни, активної цифровізації державних послуг, зростання впливу соціальних мереж та розвитку штучного інтелекту, межа між суспільними інтересами та особистим життям стає все більш розмитою. Інформація, яка раніше була розпорошена або доступна лише обмеженій кількості осіб, тепер може швидко поширюватися, інтегруватися і створювати нові ризики – від дискримінації та стигматизації до загроз безпеці і повторної травматизації.
У цьому контексті правозастосування часто відстає від технологічного прогресу: особисті дані можуть опинитися в публічному доступі "за замовчуванням", згода на їх обробку сприймається як формальність, а відповідальність за забезпечення конфіденційності перекладається на самих людей. Як наслідок, захист особистої інформації перестає бути лише технічним або комплаєнс-завданням і перетворюється на питання прав людини, довіри та безпеки.
У контексті правового регулювання обробки персональних даних варто звернути увагу на GDPR - Загальний регламент про захист даних, який набрав чинності у 2018 році. Впровадження та реалізація цього регламенту призвели до широкого застосування нових стандартів конфіденційності та обробки особистої інформації, що відоме як "брюссельський ефект" у інших країнах. Проте, важливо, щоб держави не лише приймали нові регуляторні акти, а й створювали ефективні механізми для їх впровадження на практиці, що дозволяє уникнути декларативності норм.
В Україні ж з 2011 діє спеціальний базовий закон "Про захист персональних даних", який власне регулює правові відносини, пов'язані із захистом і обробкою персональних даних. Закон визначає поняття персональних даних, суб'єктів (володілець, розпорядник, суб'єкт даних), підстави обробки, права суб'єкта персональних даних, обов'язки володільців і розпорядників. Проте норми цього закону часто є декларативними та не працюють на захист основоположних прав і свобод людини і громадянина, зокрема права на невтручання в особисте життя, у зв'язку з обробкою персональних даних. До прикладу. закон не дає відповіді на питання яким чином відбуватиметься превентивна робота задля запобігання порушенню права? Чи відбувається попередня оцінка ризиків для прав суб'єкта даних? Або згідно ст. 9 Закону володілець персональних даних повідомляє Уповноваженого про обробку персональних даних, яка становить особливий ризик для прав і свобод суб'єктів персональних даних, упродовж тридцяти робочих днів з дня початку такої обробки. Види обробки персональних даних, яка становить особливий ризик для прав і свобод суб'єктів персональних даних, та категорії суб'єктів, на яких поширюється вимога щодо повідомлення, визначаються Уповноваженим. Що означають такі формулювання?
Це означає, що за чинним законом "Про захист персональних даних" обов'язковість аналізу ризиків при роботі з персональними даними відсутня, тобто обробка персональних даних запускається без аналізу можливих негативних наслідків. В результаті потенційно вразливі категорії людей (потерпілі, свідки, діти, пацієнти) не ідентифікуються як такі, що потребують підвищеного захисту, опублікована інформація безконтрольно копіюється; поширені дані залишаються в архівах, скріншотах, а видалення - не відновлює контроль. У результаті проблеми фіксуються вже постфактум - коли дані поширені, шкода завдана, а інструментом захисту стає скарга або судовий спір (й завжди виникає питання про ефективність таких інструментів).
У 2022 році Верховна Рада України отримала проект Закону про захист персональних даних №8153, поданий 25 жовтня 2022 року. У 2024 році цей проект був прийнятий за основу і наразі проходить розгляд у комітетах. Метою законопроекту є адаптація українського законодавства до норм права Європейського Союзу (acquis ЄС) у контексті виконання міжнародних зобов'язань України в сфері європейської інтеграції. Наприклад, у проекті передбачено визначення загальних обов’язків контролера та оператора, які зобов’язані вживати необхідні технічні та організаційні заходи для забезпечення обробки персональних даних, враховуючи технічний прогрес, а також ризики та потенційні наслідки для прав і свобод фізичних осіб, пов’язані з обробкою їхніх даних.
Виникає питання, яким чином контролер та оператор можуть ефективно виявляти, документувати та управляти зазначеними ризиками. Зрозуміло, що рішення не обмежується лише юридичними аспектами. Управління ризиками в контексті обробки персональних даних вимагає міждисциплінарного підходу та залучення фахівців, які здатні аналізувати процеси, архітектуру систем і можливі наслідки для особи, а не лише дотримуватися формальних вимог.
У даний момент необхідно підкреслити важливий зсув у підходах: охорона прав і свобод особи у контексті обробки її персональних даних більше не сприймається лише як індивідуальна проблема. На законодавчому рівні з'являється можливість, що ризики для прав і свобод людини будуть розглядатися не лише як особисте питання суб'єкта даних, а як складова частина управлінської діяльності контролера та оператора. Це передбачає їх аналіз, документування та контроль.
#Європейський Союз #Законодавство #Верховна Рада #Соціальна мережа #Технічний стандарт #Дискримінація #Закон України #Міжнародне право #Фізична особа #Права людини #Конфіденційність #Загальний регламент про захист даних #Правові відносини #Закон України «Про захист персональних даних» #Штучний інтелект #Бізнес #Особисті дані #Правоохоронні органи #Регулювання #Законодавство Європейського Союзу
