Законопроєкт про захист персональних даних: що нового для журналістів
Законопроєкт про захист персональних даних: що нового для журналістів
Проєкт закону «Про захист персональних даних» №5628 зареєстрований у Верховній Раді 7 червня 2021 року. Його мета — привести законодавство України про захист персональних даних у відповідність до актів Ради Європи та Європейського Союзу. Проєкт запроваджує нові підходи до обробки та зберігання даних, вводить поняття «чутливих даних» тощо. «Детектор медіа» вже писав про суперечливі моменти цього проєкту. Своєю думкою щодо законопроєкту поділився заступник директора Центру демократії та верховенства права (ЦЕДЕМ) Ігор Розкладай.
Історія закону про захист персональних даних є дещо складнішою за історію його ровесника — закону про доступ до публічної інформації. Закон було ухвалено в літку 2010 року так, щоби з 1 січня 2011 року він набув чинності одночасно із конвенцією 108 Ради Європи щодо захисту особи в процесі автоматизованої обробки даних. Основна відмінність закону полягала в тому, як його запроваджували. На другий рік існування закону «Укрпошта» отримала чимале навантаження — переслала два мільйони заявок на реєстрацію баз даних, які отримала тодішня Державна служба захисту персональних даних. Також, розуміючи, що персональні дані — це зручний інструмент, щоби приховати інформацію, Конституційний суд ухвалив одне з найбільш суперечливих рішень за зверненням Жашківської міськради, яким по суті викривив шальки терезів на корить захисту персональних даних. Дві справи, виграні в Європейському суді з прав людини, — «ЦЕДЕМ проти України» та «Лещенко проти України» — теж стосувалися зловживань у сфері захисту персональних даних. І лише у 2014-15 роках удалося визначити в законодавстві: те, що дані персональні, не означає автоматичного визнання їх конфіденційною інформацією.
Попри це, було б неправильним сказати, що захист персональних даних не потрібен. Очевидно, це нормальний інструмент, який дозволяє хоча б номінально контролювати обіг наших даних. Слати вимоги, наприклад, знахабнілим колекторам, аби вони припинили свої нав’язливі дзвінки щодо боргів сусідів або троюрідного племінника п’ятиюрідної бабусі.
Для журналістів передбачений виняток, який дозволяє не дотримуватися положень цього закону, обробляючи дані суто для журналістських і творчих цілей, за умови забезпечення балансу між правом на повагу до особистого життя та правом на свободу вираження поглядів.
Минуло десять років. У світі відбулася революція соцмереж, стався скандал із Cambridge Analytica та багато інших історій із витоками персональних даних, маніпулятивним таргетуванням тощо. Все це призвело до впровадження доволі жорсткої регуляції в Європі і штаті Каліфорнія (де живуть гугл, фейсбук та інші техгіганти). Досить неоднозначний GDPR — загальний регламент захисту персональних даних — набрав чинності, а з ним і шалені штрафи за порушення норм поводження з персональними даними. За ці десять років український закон зазнавав незначних змін, як-от застереження щодо доступу до архівів репресивних органів, яке писав автор цих рядків. Окрім цього, Угода про асоціацію України з Євросоюзом містить статтю 15, за якою «сторони домовились співробітничати з метою забезпечення належного рівня захисту персональних даних відповідно до найвищих європейських та міжнародних стандартів, зокрема відповідних документів Ради Європи», і статтю 129, за якою «кожна Сторона вживає адекватних спеціальних заходів з метою захисту права на приватне життя та основоположних прав і свобод людини, зокрема у зв’язку з передачею персональних даних».
Ця настанова призвела до появи проєкту №5628, який пропонує, по суті, нову редакцію закону. Що ж нового? По-перше, розширення понятійного апарату: з’являються поняття біометричних даних, витоку персональних даних, послуги інформаційного суспільства, профілювання (profiling), прямого маркетингу та інші. По-друге, досить чіткий перелік принципів, таких як мінімізація персональних даних та обмеження зберігання.
Першим важливим застереженням, на яке треба звернути увагу журналістам, є стаття 7 щодо обробки чутливих персональних даних. До таких належить расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство у професійних спілках, генетичні та біометричні дані; дані, що стосуються здоров’я, статевого життя або сексуальної орієнтації, психометричних даних. Логіку цієї статті найліпше описати серверною командою deny all, allow A B C. Тобто за замовченням не можна, але можна за певних умов.
По-перше, можна розкривати дані, які суб’єкт персональних даних явно оприлюднив. Для цілей цього закону під формулюванням «явно оприлюднено» необхідно розуміти оприлюднення персональних даних у такій формі або в такий спосіб, які уможливлюють ознайомлення з ними необмеженого кола людей. Тут важливо, що оприлюднена фотка в закритому профілі інстаграма під це не підпаде точно.
По-друге, можна розкривати інформацію, необхідну для задоволення значного суспільного інтересу, з урахуванням поваги до суті права на захист персональних даних. Ну, тобто розслідування зловживань — так, а от якого кольору спідня білизна — ніт.
По-третє, можна розкривати інформацію, необхідну для архівування в суспільних інтересах, у цілях наукового чи історичного дослідження, або ж для статистики. Але, знову ж таки, з урахуванням співвідношення суспільного інтересу та права на захист персональних даних. Це означає, що поки закон не відкриє архіви, добратися до певних даних можна бути лише через «по-друге» і щонайменше з дозволу керівника архіву, а то й за рішенням суду.
Насправді новелою тут є лише «по-перше», решта вимог мають бути знайомими медійникам, хіба що краще виписані.
Законопроєкт містить персональну статтю для медійників і творчих людей: «Стаття 15. Обробка персональних даних для цілей журналістської чи творчої діяльності». Перша новела цієї статті — використання поняття «журналістська діяльність в розумінні практики Євросуду». Це доволі широке поняття, адже сюди можуть потрапляти і професійні мономедіа — блогери. Для таких суб’єктів стаття передбачає вимикання низки положень законопроєкту за умови, що вони обробляють персональні дані винятково для цілей журналістської та творчої діяльності та обґрунтовано вважають, що оприлюднення інформації здійснюється в суспільних інтересах, а шкода від оприлюднення такої інформації не переважає суспільний інтерес в її отриманні. Жовтій пресі доведеться обзавестися штатом юристів ;)
Що саме вимикає стаття? Перш за все, деякі принципи зі статті 4, наприклад, добросовісності. Проте принципи щодо обмеження мети й мінімізації персональних даних зберігаються. Коли йдеться про журналістів, не діятимуть деякі права суб’єктів персональних даних. Це збирання персональних даних, доступ до них, зокрема до джерела походження таких даних, право на забуття (!), право на заперечення проти обробки, отримання копії, обмеження, захисту від автоматизованої обробки. Також на журналістів не поширюються норми щодо реєстрації операцій з обробки персональних даних та інші норми щодо взаємодії з наглядовим органом.
Не вимикає стаття загальних вимог щодо збереження й захисту персональних даних, безпеки персональних даних. Також НЕ виводяться з-під дії загальні підстави для обробки персональних даних, обробка чутливих даних, фото- і відеозйомка.
На цих статтях варто зупинитися окремо. Стаття 11 передбачає, що коли людину фотографують, записують на відео чи аудіо на вулиці або на публічних заходах, її слід поінформувати про це, аби вона могла заперечити. Це дещо змінює звичну картину зі статті 307 Цивільного кодексу, яка передбачає активну незгоду самої людини. Тепер обов’язково питати «чи ви дозволяєте?», перш ніж фотографувати чи записувати людину.
Друга вимога — що оприлюднення відзнятих матеріалів можливе, якщо «оприлюднення є пропорційним відносно легітимної цілі, яка переслідується, враховує принцип поваги до суті права на захист персональних даних та передбачає належні та відповідні засоби захисту основоположних прав та інтересів суб’єкта персональних даних». Отже операторам доведеться бути уважнішими, щоб не зняти чогось такого, що вважатиметься надмірним.
Недостатньо артикульованою, як на мене, є норма щодо журналістських розслідувань. Так, зараз можна вийти із загальних принципів суспільного інтересу, але хотілося б, щоб у законі була чіткіша норма щодо журналістської відеозйомки з метою виявлення суспільно важливої інформації.
Чи відповідає цей проєкт GDRP? Так, відповідає. Стаття 85 Processing and freedom of expression and information (обробка і свобода вираження й інформації) передбачає, що держави-члени мають за законом узгодити право на захист персональних даних відповідно до цього Регламенту із правом на свободу вираження поглядів та інформації, включаючи обробку для журналістських цілей та цілей академічного, художнього чи літературного вираження.
Для обробки, що проводиться для журналістських цілей або з метою академічного художнього чи літературного висловлювання, держави-члени передбачають винятки або відступи від глави II (принципи), глави III (права суб’єкта даних), глави IV (контролер та обробник), глави V (передача персональних даних третім країнам або міжнародним організаціям), розділу VI (незалежні наглядові органи), розділу VII (співпраця та послідовність) та глави IX (конкретні ситуації обробки даних), якщо вони необхідні для узгодження права на захист персональних даних зі свободою вираження поглядів.
Фото: istockphoto.com