Президенту України
Януковичу В.Ф.
Вих. 161
від 12 жовтня 2012 р.
Щодо проекту змін до Закону України «Про захист персональних даних»
(щодо удосконалення правового регулювання у цій сфері)
Вельмишановний Вікторе Федоровичу!
Користуючись нагодою, Інтернет Асоціація України (далі - ІнАУ) висловлює Вам свою повагу і повідомляє про наступне.
2 жовтня 2012 року Верховна Рада України прийняла в цілому проект Закону «Про внесення змін до Закону «Про захист персональних даних» щодо правового регулювання у цій сфері» № 10472-1 від 28 травня 2012 року (далі – Закон).
Вважаємо, що прийняття Закону в такій редакції створить серйозні перешкоди для ведення підприємницької діяльності в Україні, а також суперечить європейським стандартам у сфері захисту персональних даних та нормам законодавства України.
Так, Закон необґрунтовано розширює повноваження Державної служби України з питань захисту персональних даних щодо технічного регулювання, розробки стандартів та технічних регламентів, розроблення вимог стосовно захисту персональних даних в інформаційно-телекомунікаційних системах та здійснення оцінки відповідності систем захисту інформації у цих системах, чим створюються суттєві загрози для виникнення необґрунтованих додаткових фінансових та організаційних витрат для підприємств.
Законом не враховано те, що Концепція Європейського законодавства в сфері захисту персональних даних базується на принципі, що умови захисту персональних даних – це компетенція виключно володільця бази персональних даних, а не державного регулятора, а процеси, пов’язані з обробкою персональних даних, лежать в правовій, а не в технічній площині. При цьому використання тих чи інших систем безпеки може бути встановлено лише індивідуально в кожному конкретному випадку. Тільки володілець бази персональних даних, а не державний орган, має достовірну інформацію про ті ризики, яких слід уникати, щоб не допускати випадкової втрати чи незаконного доступу до персональних даних. До того ж розробка технічної специфікації може зайняти тривалий час, а отже на час публікації вони можуть застаріти по відношенню до нових загроз, технологій та методів захисту персональних даних.
Введення ж оцінки відповідності систем захисту інформації на державному рівні очевидно створить значні перешкоди для ведення бізнесу та неминуче призведе до додаткових і при цьому абсолютно необов’язкових фінансових витрат більшості підприємців, адже такі системи не будуть впроваджуватись до їх погодження державним регулятором.
Запровадження нових дозвільних процедур також суперечить курсу держави, спрямованого на дерегулювання підприємницької діяльності та спрощення процедур для бізнесу.
Крім того, віднесення до повноважень державного органу з питань захисту персональних даних розробки порядку та вимог щодо захисту персональних даних, є також непослідовним, оскільки запропоновані повноваження вже віднесені до повноважень Державної служби спеціального зв’язку та захисту інформації. Відтак, прийняті правки до статті 23 Закону призводять і до дублювання функцій органів державної влади, що порушує встановлений принцип функціонування системи органів виконавчої влади, визначений Указом Президента України «Про оптимізацію системи центральних органів виконавчої влади» № 1085 від 9 грудня 2010 року.
Дотримання володільцями персональних даних певних стандартів, вочевидь, ще не означає дотримання ними правових норм і відтак не може стати інструментом, який би додатково захищав персональні дані під час їх обробки. З іншого боку, запровадження такого регулювання спричинить додатковий тиск та фінансові витрати на суб’єктів підприємницької діяльності, навіть за умов їх сумлінного дотримання всіх вимог Закону України «Про захист персональних даних», проте не стане інструментом захисту прав людини.
При цьому залишились без розгляду актуальні зауваження щодо хибного підходу до розуміння імплементації Конвенції Ради Європи про захист осіб у зв’язку з автоматизованою обробкою персональних даних, наявності недоліків техніко-юридичного характеру, необхідності уніфікації термінології, гарантій суб’єктам персональних даних щодо поширення таких даних без їх згоди.
З огляду на зазначене та з метою попередження ймовірних негативних наслідків від запровадження Закону «Про внесення змін до Закону «Про захист персональних даних» щодо правового регулювання у цій сфері» № 10472-1 від
28 травня 2012 року, просимо Вас не підписувати даний Закон та повернути його на доопрацювання.
З повагою,
Виконавчий директор
Інтернет Асоціації України В. Куковський