MENU
Гаряча лінія з пошуку зниклих безвісти в Україні
Документування воєнних злочинів в Україні.
Глобальна ініціатива T4P (Трибунал для Путіна) була створена у відповідь на повномасштабну агресію Росії проти України у лютому 2022 року. Учасники ініціативи документують події, у яких є ознаки злочинів згідно з Римським статутом Міжнародного кримінального суду (геноцид, злочини проти людяності, воєнні злочини) в усіх регіонах України

Згода на обробку персональних даних: свято бюрократії чи спосіб захиститися?

13.11.2019   
Денис Волоха
Міністр Дубілет оголосив війну бюрократії, першою жертвою якої стане письмова ‘згода на обробку персональних даних’. У цій статті — про те, які неочевидні загрози можуть нести наміри уряду, чим європейська згода на обробку даних відрізняється від української, а також — спроба відповісти на питання ‘що змушує українських чиновників колекціонувати папірці?’.

Міністр Дубілет оголосив війну бюрократії, першою жертвою якої стане письмова ‘згода на обробку персональних даних’. У цій статті — про те, які неочевидні загрози можуть нести наміри уряду, чим європейська згода на обробку даних відрізняється від української, а також — спроба відповісти на питання ‘що змушує українських чиновників колекціонувати папірці?’.

У четвер Міністр кабінету міністрів Дмитро Дубілет написав у своєму Фейсбуці, що кабмін подав до Ради законопроект, який, імовірно, має бути покликаний позбавити українців необхідності підписувати «згоду на обробку персональних даних» при будь-якому необережному русі. Слово імовірно вжито недарма, адже ні проекту закону, ні рішення кабміну, ані будь-якого іншого документу поки що ніхто не оприлюднив. Але вчорашній бізнесмен і сьогоднішній міністр уже давно визначив «згоду на обробку персональних даних» як свого особистого ворога. 

«Є один документ, який мене просто бісить, — писав Дмитро Дубілет у вересні цього року. — Ви не подумайте, я шаную GDPR (Загальний регламент про захист даних Європейського Союзу; до нього ми ще повернемося, — авт.) і Закон про захист персональних даних. Але яку б заяву ви би не заповнювали, велика ймовірність, що вас навздогін до неї попросять заповнити й цей документ».

«Здавалося б, якщо ви заповнюєте якийсь папірець, ви таким чином усвідомлюєте, що ваші дані будуть ‘опрацьовані’, чи не так? Ну, або нехай, якщо так уже принципово брати згоду, то можна дописати її в кінці документа, а не підсовувати окремим аркушем?», — обурювався тоді міністр, пропонуючи користувачам описати в коментарях до його допису ситуації, у яких держава вимагала від них заповнити згаданий документ.

Зважаючи на поширеність цих «згод», може скластися враження, що поліграфічні підприємства свого часу добре заплатили парламентським лобістам, які законодавчо змусили клерків українських компаній та установ просити в клієнтів скріпити своїм підписом «поінформовану згоду на обробку персональних даних», поінформованість якої часто обмежується словами: «і ще, будь ласка, отут розпишіться», а намагання хоча би поспіхом прочитати документ перед підписанням — натрапляють на щирий подив та підозрілий погляд із боку «згодоотримувача».

Та чи дійсно український закон настільки суворий та вимогливий?

Статті 10 та 14 Закону України «Про захист персональних даних», підписаного Януковичем у 2010-му році, вказують, що використання та поширення персональних даних має здійснюватися за згодою людини, дані якої обробляються. Під «згодою» в законі розуміється «добровільне волевиявлення фізичної особи (за умови її поінформованості) щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки, висловлене в письмовій формі або у формі, що дає змогу зробити висновок про надання згоди».

Як бачимо, письмова форма згоди хоч і згадується як базова, але допускається надання згоди й у інших формах. Щодо електронних анкет закон окремо дозволяє обмежитися поміткою про згоду на обробку персональних даних.

Чому так часто державні органи друкують цю згоду окремим аркушем — загадка. Автор цієї статті зіштовхнувся з тим, що в поліклініці просили підписати аркуш зі згодою на обробку персональних даних у медичній картці, навіть незважаючи на те, що в самій картці ця згода вже присутня і її також необхідно окремо підписувати.

Існує думка, що це пов’язано зі строками зберігання документів: сам документ і дані можуть знищити, а підтвердження згоди на обробку цих даних — залишиться. Імовірно також, що держструктури страхують себе, побоюючись можливих санкцій. Проте, чим саме керується конкретна компанія, установа чи організація, зберігаючи напоготові стоси згод на обробку персональних даних, — відомо лише її працівникам, хоча в цьому теж важко бути впевненим.

Цікаво, що ви маєте право не лише знати, які саме дані про вас та з якою метою збираються, але також і пред’являти «вмотивовану вимогу володільцю персональних даних із запереченням проти обробки своїх персональних даних» та навіть відкликати свою раніше надану згоду. Наявність же згоди не позбавляє розпорядника інформації обов’язків належно зберігати персональні дані, надавати їх за запитом особи тощо. Іншими словами, дозволяючи обробляти свої персональні дані, ви аж ніяк не дозволяєте робити з ними що завгодно й користуєтеся захистом з боку закону. Інше питання — наскільки дієвим є інститут такого захисту в Україні (слідкувати за дотриманням законодавства щодо захисту персональних даних має передусім Уповноважений Верховної Ради з прав людини).

GDPR

Регламент Європейського парламенту й Ради ЄС про захист фізичних осіб у зв’язку з опрацюванням персональних даних і про вільний рух таких даних, більш відомий як GDPR, був прийнятий у 2016-му році й зіштовхнувся зі шквалом критики, оскільки, зокрема, зобов’язував компанії, що діють на території Європейського Союзу, будувати свою інфраструктуру з урахуванням безпеки персональних даних, упровадив «право на стирання», а також різноманітні санкції за порушення, пов’язані з персональними даними.

Нинішній міністр Дубілет у 2018-му році прокоментував імплементацію GDPR анекдотом: «Лікар виходить до приймальні, де на нього чекають пацієнти, й оголошує: ‘Шановні пацієнти! Мені заборонено оголошувати вас по імені через GDPR, тому я буду використовувати неперсональні дані! Пацієнт із сифілісом, проходьте, будь ласка!’».

В український закон «Про захист персональних даних» під впливом GDPR внесли зміни, тож зараз він частково повторює європейські норми. Однак GDPR, на відміну від українського законодавства, передбачає, що запит на надання згоди необхідно подавати у формі, що чітко відрізняється від інших питань, у зрозумілій та доступній формі, з використанням чітких і простих формулювань.

Рушниця рано чи пізно вистрілить

Керівник програм нових медіа «Інтерньюз-Україна» Віталій Мороз із застереженням ставиться до планів уряду та Дубілета зокрема.

«Ініціатива міністра Дубілета як прихильника діджиталізації стосується перш за все зменшення кількості паперового документообігу, і пропозиція щодо згоди на обробку персональних даних не передбачає її повної відміни. Разом із тим, рушниця, яка висить на стіні, рано чи пізно вистрілить. — говорить Віталій Мороз. — Для нової команди питання персональних даних не настільки привабливе, як можливість зробити швидкі зміни. Навіть якщо [такі зміни здійснюватимуть] за рахунок звуження прав користувачів».

Пан Мороз також згадує створений волонтерами портал державних послуг iGov, ініціатором та рушійною силою якого був Дмитро Дубілет.

«Й варто пам'ятати, що інноватор Дмитро Дубілет відомий своїм проектом iGov, який зібрав персональні дані мільйонів громадян України, однак хто розпорядник цих даних — досі невідомо», — зазначає Віталій Мороз.

Довідково: з 2018-го року iGov перебуває на балансі Дніпропетровської облдержадміністрації.

Учора ввечері на сторінці Офісу Омбудсмана України з’явилась інформація про створення робочої групи для імплементації в українське законодавство норм GDPR та оновленої Конвенції про захист осіб у зв’язку з автоматизованою обробкою персональних даних, а також для розробки нового законопроекту «Про захист персональних даних». За словами заступниці директора департаменту в сфері захисту персональних даних Офісу Омбудсмана Олександри Збанацької, створення робочої групи пов'язане першою чергою з тим, що уряд зобов'язався імплементувати GDPR, а також із тим, що «норми закону Про захист персональних даних потребують вдосконалення, зокрема, з огляду на суттєве збільшення обробки персональних даних в електронному вигляді та загроз, які з цим пов'язані».

За словами пані Збанацької, Офіс Омбудсмана отримував згаданий Дубілетом законопроект уряду й надав до нього свої пропозиції та зауваження.

 Поділитися