Оприлюднюємо текст звернення нижче та запрошуємо представників громадськості, бізнесу та ЗМІ до участі в прес-конференції з цього приводу, яка відбудеться 15 жовтня 2012 року о 13-30 в інформаційному агентстві УНІАН (вул. Хрещатик 4), акредитація на участь в заході: Малай Олександра 097 727 47 06 або malaj@uadm.com.ua Організатори прес-конференції: Громадська рада при Державній службі України з питань захисту персональних даних.
Президенту України
пану Януковичу В.Ф.
Копія:
Міністру Юстиції України
Лавриновичу О.В.
Голові Верховної Ради України
пану Литвину В.М.
Голові Адміністрації Президента України
пану Льовочкіну С.В.
Першому заступнику Голови Адміністрації Президента – Виконавчому секретарю Комітету з економічних реформ
пані Акімовій І.М.
Керівнику Координаційного Центра з упровадження економічних реформ при Президентові України
пану Данилюку О.О.
Щодо Закону про внесення змін
до Закону України «Про захист персональних даних»
(щодо удосконалення правового регулювання у цій сфері)
Шановний пане Президенте!
Громадська рада при Державній службі України з питань захисту персональних даних засвідчує Вам свою високу повагу та звертається до Вас з приводу наступного.
2 жовтня 2012 року Верховна Рада України прийняла в цілому проект Закону «Про внесення змін до Закону «Про захист персональних даних» щодо правового регулювання у цій сфері»
№ 10472-1 від 28 травня 2012 року (надалі – Закон).
Вважаємо, що прийняття Закону в такій редакції, попри численні позитивні положення містить серйозні перешкоди для ведення підприємницької діяльності в Україні, створює суттєву загрозу для виникнення необґрунтованих додаткових фінансових та організаційних витрат для бізнесу, а також суперечить міжнародним стандартам у сфері захисту персональних даних та нормам законодавства України.
Так, Закон необґрунтовано розширює повноваження Державної служби України з питань захисту персональних даних. Відповідно до змін, які внесені до статті 23 Закону, уповноважений державний орган з питань захисту персональних даних наділяється повноваженнями щодо технічного регулювання в сфері захисту персональних даних, розробки стандартів, технічних регламентів, розроблення вимог стосовно захисту персональних даних в інформаційно-телекомунікаційних системах та здійснення оцінки відповідності систем захисту інформації у цих системах.
Разом з тим, Конвенція Ради Європи про захист осіб у зв’язку з автоматизованою обробкою персональних даних №108 від 21 січня 1981 року та Директива № 95/46/ЄС Європейського Парламенту і Ради «Про захист фізичних осіб при обробці персональних даних і про вільне переміщення таких даних» від 24 жовтня 1995 року (надалі – Директива) встановлюють мінімальний набір вимог, яким має відповідати збір і обробка персональних даних. В статті 17 Директиви зазначено серед іншого, що володілець бази персональних даних має здійснювати відповідні технічні й організаційні заходи для захисту персональних даних від випадкового або незаконного знищення чи випадкової втрати, зміни, несанкціонованого розкриття чи доступу, зокрема, якщо обробка включає передачу даних через мережу, і від усіх інших незаконних форм обробки. Такі заходи, з урахуванням поточної ситуації і вартості їхнього здійснення, повинні забезпечувати рівень безпеки, співвідносний з ризиком, що супроводжує обробку, і з природою даних, що захищаються. В свою чергу, це означає, що володілець бази даних є вільним у виборі засобів та способів обробки та захисту персональних даних, виходячи з власних можливостей, і в нього відсутній обов’язок запроваджувати обробку персональних даних у відповідності до будь-яких стандартів чи технічних регламентів.
В цілому, досвід європейських країн в сфері захисту персональних даних свідчить про те, що не зважаючи на той факт, що обов’язок захищати уразливу персональну інформацію закріплений у численних нормативно-правових актах, лише невелика їх частина містить чіткі посилання на технічні стандарти та жоден не забезпечує ефективних інституційних рамок для узгодження прав на конфіденційність інформації, створених на законодавчому рівні, з технічними стандартами, створеними для досягнення тієї ж мети. Концепція Європейського законодавства в сфері захисту персональних даних однозначно базується на принципі, що умови захисту персональних даних — це компетенція виключно володільця бази персональних даних, а не державного регулятора, а процеси, пов’язані з обробкою персональних даних лежать в правовій, але аж ніяк не в технічній площині. Адже використання тих чи інших систем безпеки може бути встановлено лише індивідуально в кожному конкретному випадку. Лише володілець бази персональних даних, а не державний орган, має достовірну інформацію про ті ризики, яких слід уникати, щоб не допускати випадкової втрати чи незаконного доступу до персональних даних. До того ж розробка технічної специфікації може зайняти тривалий час, а отже на час публікації вони можуть застаріти по відношенню до нових загроз, технологій та методів захисту персональних даних.
Введення ж оцінки відповідності систем захисту інформації на державному рівні очевидно створить значні перешкоди для ведення бізнесу та неминуче призведе до додаткових, і при цьому, абсолютно необов’язкових фінансових витрат більшості підприємців, адже такі системи не будуть впроваджуватись до їх погодження державним регулятором.
Запровадження нових дозвільних процедур також суперечить курсу держави, спрямованого на дерегулювання підприємницької діяльності та спрощення процедур для бізнесу.
Крім того, віднесення до повноважень державного органу з питань захисту персональних даних розробки порядку та вимог щодо захисту персональних даних, є також непослідовним, оскільки запропоновані повноваження вже віднесені до повноважень Державної служби спеціального зв’язку та захисту інформації. Відтак, прийняті правки до статті 23 Закону призводять і до дублювання функцій органів державної влади, що порушує встановлений принцип функціонування системи органів виконавчої влади, визначений Указом Президента України «Про оптимізацію системи центральних органів виконавчої влади» № 1085 від 9 грудня 2010 року.
Дотримання володільцями персональних даних певних стандартів, вочевидь, ще не означає дотримання ними правових норм і відтак не може стати інструментом, який би додатково захищав персональні дані під час їх обробки. З іншого боку, запровадження такого регулювання спричинить додатковий тиск та фінансові витрати на суб’єктів підприємницької діяльності, навіть за умов їх сумлінного дотримання всіх вимог Закону України «Про захист персональних даних», проте не стане інструментом захисту прав людини.
У зв’язку з наведеним, звертаємось до вас, пане Президенте, з проханням скористатись правом вето щодо Закону України «Про захист персональних даних»(щодо удосконалення правового регулювання у цій сфері.
З повагою,
Української асоціацій директ маркетингу
Калашник В.В.