Приватність постфактум: чому персональні дані в Україні захищаються запізно

Персональні дані стають ресурсом, а їх захист - реакцією постфактум. Чому чинне право не працює превентивно?

Питання захисту персональних даних сьогодні в центрі уваги не через європейські стандарти чи формальні вимоги законодавства, а через реальні зміни в способах збирання, обробки й публікації інформації про людей.

За останні роки персональні дані перестали бути «побічним продуктом» діяльності держави, бізнесу чи медіа - вони стали ключовим ресурсом, який легко копіюється, агрегується та використовується повторно, часто поза контролем самої людини.

В умовах війни, цифровізації публічних сервісів, зростання ролі соціальних мереж і ШІ межа між публічним інтересом і приватним життям стрімко розмивається. Дані, які раніше існували фрагментарно або були доступні вузькому колу осіб, сьогодні можуть миттєво поширюватися, поєднуватися між собою та створювати нові ризики - від дискримінації й стигматизації до загроз безпеці та вторинної віктимізації.

При цьому правозастосування часто не встигає за технологіями: персональні дані публікуються «за замовчуванням», згода сприймається формально, а відповідальність за захист приватності перекладається на саму людину. У результаті захист персональних даних перестає бути технічним або комплаєнс-питанням і стає питанням прав людини, довіри та безпеки.

В контексті теми правового регулювання поводження з персональними даними не можливо не згадати GDPR - Загальний регламент про захист даних, який діє з 2018 року. Розробка та застосування цього документу мала наслідком масове впровадження нових стандартів конфіденційності та поводження з персональними даними, що називають «брюссельським ефектом» в інших юрисдикціях. Проте важливо, щоб держави не лише впроваджували нові регуляції, а й розробляли механізми їх практичного застосування, що робить норми не декларативними.

В Україні ж з 2011 діє спеціальний базовий закон «Про захист персональних даних», який власне регулює правові відносини, пов’язані із захистом і обробкою персональних даних. Закон визначає поняття персональних даних, суб’єктів (володілець, розпорядник, суб’єкт даних), підстави обробки, права суб’єкта персональних даних, обов’язки володільців і розпорядників. Проте норми цього закону часто є декларативними та не працюють на захист основоположних прав і свобод людини і громадянина, зокрема права на невтручання в особисте життя, у зв’язку з обробкою персональних даних. До прикладу. закон не дає відповіді на питання яким чином відбуватиметься превентивна робота задля запобігання порушенню права? Чи відбувається попередня оцінка ризиків для прав суб’єкта даних? Або згідно ст. 9 Закону володілець персональних даних повідомляє Уповноваженого про обробку персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних, упродовж тридцяти робочих днів з дня початку такої обробки. Види обробки персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних, та категорії суб’єктів, на яких поширюється вимога щодо повідомлення, визначаються Уповноваженим. Що означають такі формулювання?

Це означає, що за чинним законом «Про захист персональних даних» обов’язковість аналізу ризиків при роботі з персональними даними відсутня, тобто обробка персональних даних запускається без аналізу можливих негативних наслідків. В результаті потенційно вразливі категорії людей (потерпілі, свідки, діти, пацієнти) не ідентифікуються як такі, що потребують підвищеного захисту, опублікована інформація безконтрольно копіюється; поширені дані залишаються в архівах, скріншотах, а видалення - не відновлює контроль. У результаті проблеми фіксуються вже постфактум - коли дані поширені, шкода завдана, а інструментом захисту стає скарга або судовий спір (й завжди виникає питання про ефективність таких інструментів).

Ще у 2022 році Верховна Рада України отримала проєкт Закону про захист персональних даних №8153 від 25.10.2022, який у 2024 прийнято за основу і зараз він розглядається комітетами. Законопроєкт спрямований на адаптацію законодавства України до положень права Європейського Союзу (acquis ЄС) в частині виконання міжнародно-правових зобов'язань України у сфері європейської інтеграції. До прикладу, проєктом пропонується визначити загальні обов’язки контролера та оператора, серед яких вказані суб’єкти вживають належні технічні та організаційні заходи для забезпечення обробки персональних даних з урахуванням технічного розвитку та враховуючи ризики та серйозність наслідків для прав і свобод фізичної особи від обробки персональних даних.

Відповідно постає питання про те, яким чином ідентифіковувати, фіксувати та працювати із вказаними ризиками саме контролеру та оператору? Очевидно, що рішення – не лише в юридичній площині. Робота з ризиками обробки персональних даних передбачає міждисциплінарний підхід і залучення фахівців, здатних аналізувати процеси, архітектуру систем і потенційні наслідки для людини, а не лише відповідність формальним вимогам.

В цьому моменті важливо зафіксувати принциповий зсув: захист прав і свобод фізичної особи від обробки персональних даних перестає бути проблемою лише цієї фізичної особи - принаймні на законодавчому рівні є шанс, що ризики для прав і свобод людини будуть розглядатися не як приватна проблема суб’єкта даних, а як елемент управління діяльністю контролера та оператора, який підлягає аналізу, документуванню та контролю.