Відкрите звернення щодо законопроекту „Про захист персональних даних”

Президенту України

В.Януковичу

Шановний пане Президенте! 

Українська Гельсінська спілка з прав людини звертається до Вас з проханням скористатися правом вето щодо законопроекту „Про захист персональних даних”, що був прийнятий Верховною Радою України 1 червня 2010 року.

Прийняття закону про захист персональних даних є важливим кроком в утвердженні поваги до приватного життя особи. Це також є важливим кроком для виконання Україною своїх міжнародних зобов’язань, взятих перед Радою Європи та Європейським Союзом. Особливо важливе прийняття такого законопроекту з огляду на можливу перспективу запровадження безвізового режиму України з ЄС, однією з умов чого є впровадження системи захисту персональних даних. Відсутність такого закону також істотно гальмувало підготовку України до „ЄВРО-2012” з огляду на неможливість співпраці з органами влади Польщі та ЄС у питанні обміну персональними даними.

Проте слід зазначити, що від України вимагається прийняти не просто будь-який закон у сфері захисту персональних даних. Такий закон має відповідати критерію якості, тобто узгоджуватися із встановленими європейськими стандартами, зокрема, Конвенцією Ради Європи № 108 „Про захист осіб стосовно автоматизованої обробки даних особистого характеру” та додаткового протоколу до неї, рекомендацій Комітету міністрів Ради Європи та рішенням Європейського суду з прав людини, а також Директиви 95/46/ЄС Європейського Парламенту і Ради "Про захист фізичних осіб при обробці персональних даних і про вільне переміщення таких даних".

УГСПЛ переконана, що законопроект „Про захист персональних даних” не відповідає європейським стандартам та несе істотну загрозу свободі слова в Україні, а, отже, не може вважатися виконанням Україною своїх міжнародних зобов’язань.

Проект закону встановлює механізми захисту від збирання, обробки та використання персональних даних про особу без її згоди. Проте, відсутній будь-який зв’язок із захистом права на повагу до приватного життя, складовою якого є захист персональних даних. За таких обставин, положення закону можуть застосовуватися з іншою метою, ніж захист прав людини.

Відповідно до європейських стандартів, персональні дані поділяються на дані загального характеру (прізвище, ім’я та по батькові, дата і місце народження, громадянство, місце проживання) та вразливі персональні дані (дані про стан здоров’я – історія хвороби, діагнози тощо; етнічна належність; ставлення до релігії; ідентифікаційні коди чи номери; персональні символи; підпис; відбитки пальців, записи голосу, фотографії; дані про розмір зарплати або інші законні доходи, про вклади і рахунки в банках, нерухомість, податковий статус; кредитна історія; дані про судимість та інші форми притягнення особи до кримінальної, адміністративної чи дисциплінарної відповідальності; результати іспитів, професійного та іншого тестування тощо). Законом має заборонятися збирання, зберігання, використання та поширення без згоди суб’єкта даних саме вразливих персональних даних, а не взагалі усіх персональних даних, як це зроблено у прийнятому проекті закону. На нашу думку, необхідно внести до закону це визначення персональних даних та їхній поділ.

Такий поділ в подальшому пояснює різний рівень захисту персональних даних. Так, наприклад, не потрібно дозволу для збирання чи поширення даних загального характеру. Уразливі ж дані мають вищий ступінь захисту. Законопроект же встановлює однаковий ступінь захисту будь-яких персональних даних. У результаті цього, відповідно до законопроекту, поширення будь-яких персональних даних, у тому числі навіть прізвища та ім’я особи, може здійснюватися лише за письмової згоди особи.

Більше того, законопроект не містить можливості поширення персональних даних, якщо ця інформація є суспільно-важливою, що є істотним обмеженням свободи слова.

Законопроект не містить поняття „публічної особи”, межі допустимого втручання у приватне життя якої, як відомо із практики Європейського суду з прав людини, є ширшими, ніж щодо звичайної людини. Відповідно, про таких людей без їхньої згоди можна збирати та поширювати дані персонального характеру, якщо вони є важливими для суспільства. Із загальної заборони щодо поширення персональних даних, в законопроекті існує виняток лише щодо осіб, котрі претендують чи займають виборні посади або посади державного службовця першої категорії (частина 4 статті 5 законопроекту), що значно вужче, ніж поняття „публічної особи”.

Тобто, поширення персональних даних інших осіб може вважатися порушенням цього закону і, як наслідок, тягнути цивільну та кримінальну відповідальність. Наприклад, відповідно до цього закону без письмової згоди особи забороняється навіть згадування усіх посадовців органів місцевого самоврядування, багатьох посадовців органів державної влади, політиків, кіноакторів, письменників, співаків та інших публічний людей. Такі вимоги є явно не пропорційним обмеженням свободи слова, зашкодять розвитку видавничого, рекламного бізнесу, унеможливлять роботу поштових служб, тощо.

У разі набуття чинності, положення цього проекту закону знищать історичну та іншу науку в Україні. Наприклад, відповідно до частини 9 статті 6 законопроекту „використання персональних даних в історичних, статистичних чи наукових цілях може здійснюватися лише в знеособлюваному вигляді”. Тобто, з усіх підручників по історії чи інших наукових праць слід викреслити будь-які персональні дані про особу, включно з її ім’ям та прізвищем!

Законопроект дозволяє правоохоронним органам здійснювати збір та обробку інформації щодо расового та етнічного походження, релігійних переконань особи. Така практика, відповідно до Рекомендацій Ради Європи, є проявом дискримінації і має бути заборонена.

Законопроект також не відповідає міжнародним стандартам, оскільки не запроваджує незалежного контролю за збиранням, обробкою та використанням персональних даних. Функціями по реєстрації баз персональних даних та контролю наділено Уповноважений державний орган з питань захисту персональних даних. Очевидно, ним буде Міністерство юстиції України. Проте цей орган не має гарантій незалежності, що вимагає Додатковий протокол до Конвенції Ради Європи № 108. Також не відповідають статусу й повноваження цього органу щодо надання обов’язкових до виконання приписів будь-яким суб’єктам в разі порушення закону про захист персональних даних. Важко собі уявити, як цей орган зможе видавати обов’язкові приписи Президенту, Кабінету Міністрів, судам, парламенту, прокуратурі. Проте, без незалежного контролю, захист персональних даних залишатиметься не ефективним і не відповідатиме європейським стандартам.

Законопроект містить й певні суперечності. Наприклад, реєстрація баз персональних даних здійснюється за заявочним принципом шляхом повідомлення (частина 2 статті 9 законопроекту), проте орган влади може відмовити у реєстрації (частина 5 статті 9 законопроекту), що заперечує сам заявочний принцип й перетворює його на реєстраційний.

Викликає здивування необхідність повідомляти орган влади „про кожну зміну відомостей, необхідних для реєстрації відповідної бази”, що серед іншого включає інформацію про всіх розпорядників (користувачів) такої бази даних.

Законопроект також містить багато термінів, що не визначені законодавством, що ускладнить застосування закону, наприклад, „громадські організації світоглядної спрямованості”, „світоглядні переконання” тощо.

З огляду на вище викладене, просимо застосувати право вето щодо законопроекту „Про захист персональних даних” і повернути його до парламенту на доопрацювання.

З повагою,

Володимир Яворський,

Виконавчий директор УГСПЛ