Голові Комітету Верховної Ради України з питань прав людини, деокупації
та реінтеграції тимчасово окупованих територій України,
національних меншин і міжнаціональних відносин
ТКАЧЕНКУ М.М.
Голові Комітету Верховної Ради України
з питань цифрової трансформації
КРЯЧКУ М.В.
Голові Комітету Верховної Ради України
з питань антикорупційної політики
РАДІНІЙ А.О.
Копія:
Міністерство цифрової трансформації
Директору департаменту мобільного ШСД
ПРИБИТЬКУ С.В.
Вих. № 118/1-3
від 09.12.2022
Щодо зауважень до проекту Закону № 8153 від 25.10.2022
Інтернет Асоціація України, яка об’єднує понад 230 підприємств галузі інформаційно-комунікаційних технологій, висловлюємо Вам свою повагу та звертаємося з приводу наступного.
25 жовтня 2022 року у Верховній Раді України за № 8153 зареєстровано проект Закону про захист персональних даних (далі – проект Закону), ініціаторами якого є народні депутати України Стефанчук Р.О., Чернєв Є.В. та інші.
Ознайомившись зі змістом проекту Закону та здійснивши аналіз його положень, вважаємо за необхідне звернути Вашу увагу на наступне.
Зміни та доповнення до Закону України «Про електронні комунікації» (далі – Закон).
Зокрема, пропонується внести зміни до статті 31 Закону та доповнити його статтею 31-1 – Повідомлення споживачів та кінцевих користувачів про ризик для безпеки електронних комунікаційних мереж та/або послуг. Положення цих статей регулюють питання безпеки електронних комунікацій, а не захисту персональних даних абонентів. Відтак, виникає питання пов’язаності цих статей з основною метою проекту Закону, а також доцільності запропонованих змін та доповнень до Закону. Крім того, запропоновані редакції статей 31 та 31-1 є нечіткими за формулюванням. До прикладу, 1) «вживати відповідних та достатніх технічних і організаційних заходів для забезпечення безпеки надання електронних комунікаційних послуг» - тобто, про які заходи йдеться, що таке «відповідні» та як визначити рівень достатності вжитих заходів»; 2) «якщо споживач вжив всіх розумно очікуваних заходів захисту» - що таке в цьому положенні «розумно очікувані засоби захисту», де і ким встановлені як норми; 3) «у інший належний спосіб» - що значить належний спосіб, як його оцінити?
Вважаємо застосування таких положень у Законі неприпустимим. Слід нагадати, що за невиконання вимог Закону постачальники електронних комунікаційних мереж та/або послуг несуть відповідальність у вигляді накладення на них штрафних санкцій. Відтак, запропоновані нечіткі та неоднозначні редакції статей 31 та 31-1 у Законі створюють підґрунтя для застосування відповідальності, якщо регуляторний орган визнає, причому суб’єктивно, що певні заходи вжито недостатньо, чи заходи є невідповідними і т.д. Згадані та інші положення, якими пропонується доповнити Закон, на наше переконання, містять ризики для вчинення корупційних правопорушень.
Відтак, пропонуємо статтю 31 Закону залишити без змін, а пропозицію доповнити Закон статтею 31-1 виключити.
Щодо доповнення Закону статтею 31-2: Таємниця приватного спілкування, то, вважаємо, що вона потребує або суттєвого доопрацювання, або виключення з огляду на наступне.
В першу чергу, звертаємо увагу на те, що, згідно з преамбулою, Закон визначає правові та організаційні основи державної політики у сферах електронних комунікацій та радіочастотного спектра, а також права, обов’язки та відповідальність фізичних і юридичних осіб, які беруть участь у відповідній діяльності або користуються електронними комунікаційними послугами. Проте, усі положення, яким пропонується доповнити Закон, містять якісь загальні, декларативні положення. Відтак, статті, якими запропоновано доповнити Закон, підлягають ретельному доопрацюванню, приведення їх у відповідність до стилю викладення положень Закону та практики українського викладення положень законодавства.
У частині третій статті 31-2 пропонується встановити, що постачальник електронних комунікаційних мереж та/або послуг та інші особи, залучені у процес діяльності засобів електронних комунікацій будь-якого типу, передачу інформації системами електронних комунікацій, можуть отримувати, використовувати та передавати іншим інформацію про приватне спілкування, в обсязі, необхідному для надання електронних комунікаційних послуг. Проте, з даного проекту положення взагалі незрозуміло, що значить «передавати іншим інформацію», хто такі «інші», коли таємниця приватного спілкування, листування, телефонних розмов, телеграфної чи іншої кореспонденції, що передаються електронними комунікаціями гарантуються Конституцією та законами України, про що також зазначається і в частині першій статті 31-2? Крім того, що таке «обсяг, необхідний для надання електронних комунікаційних послуг», хто і яким чином його визначатиме і т.д.?
Вважаємо, що частиною п’ятою статті 31-2 взагалі запропоновано можливість тотального прослуховування, втручання у приватне спілкування, для чого достатньо лише повідомити споживача.
Щодо необхідності доопрацювання стосується і статті 31-3, якою пропонується унормувати порядок надання інформації на запити про надання доступу до персональних даних споживача та/або кінцевого користувача електронних комунікаційних послуг та збереження інформації про такі запити. В першу чергу, незрозуміло, чому кожен постачальник електронних комунікаційних мереж та/або послуг, яких, до речі, до початку збройного нападу рф на Україну, налічувалось близько 6 тис. суб’єктів, зобов’язаний розробити, погодити з контролюючим органом порядок надання доступу до персональних даних споживача. Можливо, для полегшення цього процесу достатньо, щоб контролюючий орган розробив, з урахуванням специфіки електронних комунікацій, такий документ та направив до виконання постачальниками?
Статтю 119 Закону пропонуємо залишити без змін, так як у ході розроблення Закону у його проекті, ця стаття була досконало опрацьована робочою групою та відповідає як вимогам національного законодавства, так і європейського.
Народними депутатами України часто ініціюються проекти законів, положення яких мають на меті врегулювати питання отримання інформації від постачальників електронних комунікаційних мереж та/або послуг. До прикладу, одним із останніх таких, є проект Закону про внесення змін до деяких законів України щодо удосконалення контррозвідувальної діяльності та посилення інституційної спроможності суб’єктів її здійснення під час відсічі збройної агресії проти України від 29.11.2022 за № 7684-д. Цим проектом Закону пропонується внести зміни до законів України «Про контррозвідувальну діяльність» та «Про Службу безпеки України», в яких встановити порядок та процедури отримання інформації, що знаходиться в постачальників електронних комунікаційних послуг та/або мереж, про зв’язок, абонента, надання електронних комунікаційних послуг, у тому числі про отримання послуг, їх тривалість, зміст, маршрути передавання у порядку.
Тому, з огляду на зазначене, вважаємо за доцільне положення, зініційовані проектом Закону № 8153, доопрацювати та включити в текст «Закону про захист персональних даних», а не як зміни та доповнення до Закону України «Про електронні комунікації». Якщо положення, які регулюватимуть порядки і процедури доступу до інформації у постачальників електронних комунікаційних мереж та/або послуг будуть в спеціальному Законі про захист персональних даних, то він підлягатиме застосуванню однаково як постачальниками електронних комунікаційних мереж та/або послуг, так і Службою безпеки України та органами контррозвідувальної діяльності. Проте, якщо такі положення будуть у різних законах, то, у разі виникнення розбіжностей, кожен буде керуватись так би мовити «своїм» законом, тобто, законом, який визначає певну сферу діяльності та повноважень та, у випадку неузгодження положень між законами, виникатиме правова невизначеність, що матиме наслідком неефективність законодавчих новацій.
Враховуючи вищенаведене, просимо:
1. При розгляді проекту Закону, врахувати надані у цьому листі зауваження та пропозиції.
2. З метою напрацювання чітких та коректних змін до Закону України «Про електронні комунікації» в частині забезпечення захисту персональних даних при наданні електронних комунікаційних послуг Комітету Верховної Ради України з питань цифрової трансформації створити робочу групу за участі представників профільних асоціацій у сфері електронних комунікацій, інших зацікавлених учасників.
Напрацьовані робочою групою пропозиції потім передати до головного комітету з метою їх включення в текст проекту Закону.
У разі створення такої робочої групи від ІнАУ буде надано інформацію про учасників.
З повагою
Голова Правління Інтернет Асоціації України Олександр Савчук