Асоціація українських банків просить Президента накласти вето на Закон “Про захист персональних даних”
Асоціація вважає, що Закон не відповідає загальновизнаним міжнародним стандартам й умовам цивільного обігу й матиме вкрай негативні наслідки для розвитку економіки України
Президентові України п. Януковичу В.Ф.
Щодо накладення вето на Закон України “Про захист персональних даних”, р.н.2273
Цим листом висловлюємо Вам свою повагу та відзначаємо виняткову важливість усіх зусиль Президента України, спрямованих на подолання кризових явищ та відновлення економіки України.
Асоціація українських банків звертається до Вас із проханням накласти вето на Закон України “Про захист персональних даних” (далі – закон №2273), у зв’язку із невідповідністю цього Закону загальновизнаним міжнародним стандартам, умовам цивільного обігу та вкрай негативними наслідками для розвитку економіки України.
За задумом авторів, метою закону №2273 є покращення нормативно-правового забезпечення захисту персональних даних в Україні відповідно до міжнародного права, законодавства Європейського співтовариства, сприяння соціальному, економічному і науково-технічному прогресу і забезпеченню балансу прав людини, суспільства та держави в цій сфері суспільних відносин.
Проведений аналіз переконливо засвідчує, що закон № 2273 не лише не вирішує поставлених перед ним завдань, але й суттєво ускладнює регулювання цих відносин. Більше того, його положення йдуть врозріз із загальновизнаними стандартами та усталеною міжнародною практикою у сфері захисту персональних даних.
Асоціація українських банків вітає прагнення держави удосконалювати законодавство з метою наближення його до стандартів Європейського Союзу та, зокрема, прийняття законодавчого акту, який би створив умови для дієвого захисту персональних даних в Україні з урахуванням європейського уявлення про права і свободи людини та покращив забезпечення балансу прав людини, суспільства і держави у цій сфері.
Асоціація українських банків розуміє важливість даного питання, адже згідно до Директиви 95/46/ЄС персональні дані можуть передаватися тільки в ті країни, які забезпечують їх належний захист на рівні європейських стандартів, що в разі невиконання суттєво обмежує співпрацю українських кампаній зі своїми зарубіжними партнерами, та ставить під загрозу багато комерційних перспективних проектів. Проте, змушені констатувати, що схвалений Верховною Радою України закон № 2273 містить положення, які можуть звести нанівець усі високі прагнення й ініціативи з огляду на наступне:
1. Закон №2273 суперечить міжнародним стандартам у сфері захисту персональних даних
Як крок до виконання Україною своїх міжнародних зобов’язань перед Радою Європи та Європейським Союзом закон № 2273 не відповідає критерію якості, а саме не узгоджується із встановленими європейськими стандартами, зокрема, Конвенцією Ради Європи № 108 „Про захист осіб стосовно автоматизованої обробки даних особистого характеру” та додаткового протоколу до неї, рекомендацій Комітету міністрів Ради Європи та рішенням Європейського суду з прав людини, а також Директиви 95/46/ЄС Європейського Парламенту і Ради "Про захист фізичних осіб при обробці персональних даних і про вільне переміщення таких даних".
Відповідно до європейських стандартів, персональні дані поділяються на дані загального характеру (прізвище, ім’я та по батькові, дата і місце народження, громадянство, місце проживання) та вразливі персональні дані (дані про стан здоров’я – історія хвороби, діагнози тощо; етнічна належність; ставлення до релігії; ідентифікаційні коди чи номери; персональні символи; підпис; відбитки пальців, записи голосу, фотографії; дані про розмір зарплати або інші законні доходи, про вклади і рахунки в банках, нерухомість, податковий статус; кредитна історія; дані про судимість та інші форми притягнення особи до кримінальної, адміністративної чи дисциплінарної відповідальності; результати іспитів, професійного та іншого тестування тощо). Законом має заборонятися збирання, зберігання, використання та поширення без згоди суб’єкта даних саме вразливих персональних даних, а не взагалі усіх персональних даних, як це зроблено у прийнятому проекті закону. У результаті цього, відповідно до закону № 2273, поширення будь-яких персональних даних, у тому числі навіть прізвища та ім’я особи, може здійснюватися лише за письмової згоди особи.
Крім того, стаття 7 Директиви 95/46/ЄС Європейського Парламенту і Ради "Про захист фізичних осіб при обробці персональних даних і про вільне переміщення таких даних" серед умов, за якими персональні дані можуть оброблятися, окрім згоди суб’єкта даних передбачають ще наступні: обробка необхідна для дотримання правового зобов’язання, яким зв’язаний контролер (пункт с); обробка необхідна в цілях законних інтересів, переслідуваних контролером чи третьою стороною або сторонами, для яких надаються дані, крім випадків, коли над такими інтересами переважають інтереси основних прав і свобод суб’єкта даних, що вимагають захисту згідно з пунктом 1 статті 1 (пункт f). Звертаємо Вашу увагу, що закон №2273 передбачає тільки надання згоди суб’єкта даних.
Також, суперечливі положення закону № 2273, із яких випливає, що суб’єкт персональних даних має право у будь-який час пред’явити вимогу щодо знищення своїх персональних даних, суперечать статті 12 вищеззгаданої Директиви, за якою така вимога надається тільки щодо даних “обробка яких не відповідає положенням даної Директиви, зокрема через неповноту чи неточність даних”.
2. Закон №2273 несе системні загрози для відновлення та розвитку економіки України
Оскільки закон №2273 є базовим у сфері захисту персональних даних, його положення поширюються на усіх господарюючих суб’єктів. Відтак, практична реалізація цього закону матиме безпосередній вплив на економіку країни. З огляду на це особливе занепокоєння викликають норми закону, які істотно ускладнюють, а в окремих випадках унеможливлюють ведення цивілізованого цивільного обігу, що, в свою чергу, зумовить невідворотні негативні наслідки для розвитку економіки України.
Зокрема, це положення законопроекту, за яким обробка персональних даних здійснюється для конкретних і законних цілей, визначених за згодою суб’єкта персональних даних. З огляду на неможливість чіткого передбачення усіх “цілей, визначених за згодою”, наприклад, у кредитних відносинах, уступці боргу і т.п., дане положення просто нівелює можливість суб’єктів господарської діяльності проводити таку обробку в процесі безпосереднього здійснення господарської діяльності.
Ситуація ускладнюється ще й передбаченим правом суб’єкта персональних даних пред’являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким володільцем та розпорядником цієї бази, якщо ці дані обробляються незаконно чи є недостовірними. Системне тлумачення положень закону №2273 щодо даного права дають змогу зробити висновок, що право вимагати знищення своїх персональних даних надається суб’єкту персональних даних на будь-якому етапі після надання згоди та навіть в умовах дотримання усіх вимог закону при обробці даних розпорядником.
Реалізація даних положень призведе до ситуації, коли кредитор не зможе захистити свої права передбаченими законодавством способами у зв’язку із небажанням божника надати згоду на таку обробку, а – в крайньому випадку, - його вимогою про знищення персональних даних щодо нього. У сфері банківської діяльності така державна політика спровокує неможливість стягнення заборгованості після знищення персональних даних та масову відмову від погашення кредитів навіть тих боржників, які в змозі їх обслуговувати. Для вкладників та інших клієнтів, що мають поточні рахунки у банках, прийняття даного закону означає погіршення платоспроможності банків та зростання загрози неповернення депозитів у встановлені строки. Це прямо суперечить Програмі економічних реформ України на 2010-21014 рр. “Заможне суспільство, конкурентоспроможна економіка, ефективна держава” Комітету з економічних реформ при Президентові України.
3. Закон №2273 не враховує негативний досвід практики застосування аналогічного закону Російської Федерації
Окремо звертаємо Вашу увагу на досвід Російської Федерації, базовий закон якої у сфері захисту персональних даних за оцінками експертів визнаний найбільш суворим у світі. Проведений нами аналіз виявив, що положення закону № 2273, які викликають занепокоєння Асоціації українських банків, вже мають негативні наслідки у практиці застосування Росії.
Численні проблемні питання, серед яких: відсутність мети обробки персональних даних у письмовій згоді, неврегульованість строків такої можливої обробки, формування інформаційних систем із персональними даними злісних боржників, передання персональних даних колекторським агентствам при уступці прав вимоги і т.п., призвели до того, що на даний час норми закону в Росії виконати практично не можливо. Про це красномовно свідчить відсоток виявлених порушень за даними уповноваженого органу по захисту прав суб’єктів персональних даних, який становить близько 65% (див. доповідь заступника керівника Роскомнадзора на сайті Міністерства зв’язку і масових комунікацій від 19 лютого 2010р. http://rsoc.ru/press/speech/news11729.htm).
Відтак, Російська Федерація наразі змушена змінювати положення даного закону відповідно до потреб цивільного обігу.
Підтверджуючи своє прагнення до продовження проведення економічних та правових реформ з метою належного захисту персональних даних та зважаючи на вищевикладене, просимо Вас, шановний Вікторе Федоровичу, накласти вето на Закон України «Про внесення змін до Закону України «Про захист персональних даних» та внести пропозицію про його доопрацювання.
З повагою
Президент Асоціації О.СУГОНЯКО