Лист № 98 від 14.06.2021 ВРУ щодо пропозицій до проекту Закону Про захист персональних даних (№ 5628 від 07.06.2021)

14.06.2021
Вихідні реквізити: 
Вих. № 98 від 14.06.2021
Відправник: 
ІнАУ, Інтернет Асоціація України
Отримувач: 
Комітет ВРУ з питань цифрової трансформації

Голові Комітету Верховної Ради України

з питань цифрової трансформації

КРЯЧКУ М.В.

 

Копія: Віце-прем’єр-міністру –

Міністру цифрової трансформації України

ФЕДОРОВУ М.А.

Вих. № 98

від 14.06.2021

 

Щодо проекту Закону № 5628 від 07.06.2021

 

Шановний Михайле Валерійовичу!

Інтернет Асоціація України (далі – ІнАУ), до складу якої входить понад 220 суб’єктів господарювання України у сфері інформаційно-комунікаційних технологій, висловлює Вам свою повагу та звертається з приводу наступного.

7 червня 2021 року у Верховній Раді України за № 5628 зареєстрований проект Закону Про захист персональних даних (далі – проект Закону), внесений народними депутатами України Чернєвим Є.В. та іншими.

Загалом з розумінням оцінюємо наміри ініціаторів проекту Закону до положень, запропонованих у Розділі IX «Обробка персональних даних у сфері електронних комунікацій» проекту Закону.

Разом з цим, пропонуємо:

1. Частину першу статті 57 проекту Закону викласти у редакції:

«Стаття 57. Безпека електронних комунікацій

1. Постачальник електронних комунікаційних мереж та/або послуг зобов’язаний вживати відповідних та достатніх технічних і організаційних заходів, встановлених законодавством, для забезпечення безпеки  надання електронних комунікаційних послуг. У разі необхідності для забезпечення безпеки надання електронних комунікаційних послуг щодо безпеки електронних комунікаційних мереж, постачальник електронних комунікаційних послуг зобов’язаний вживати відповідних і достатніх технічних та організаційних заходів, встановлених законодавством, у співпраці з постачальником електронних комунікаційних мереж.»

Коментар: Тобто пропонується, щоб технічні і організаційні заходи, яких повинен вживати постачальник ЕКП/ЕКМ для забезпечення безпеки надання ЕКП, визначались саме законодавством та, на їх основі, виконувались, а не «вигадувались» постачальником ЕКП/ЕКМ на власний розсуд. Відсутність чітких вимог, критеріїв таких технічних і організаційних заходів, не встановлення їх у законодавчих (в т.ч. підзаконних нормативно-правових актах), надаватиме дискреційні повноваження перевіряючим та контролюючим органам по відношенню до постачальників ЕКП/ЕКМ, наслідком чого може бути неправомірне/незаконне притягнення їх до відповідальності.

 

2. Частину другу статті 58, якою пропонується:

«2. У разі якщо порушення безпеки електронних комунікацій мало місце не з вини споживачів та користувачів електронних комунікаційних послуг, постачальник електронних комунікаційних мереж та/або послуг несе всі витрати надання електронних комунікаційних послуг, які виникли в зв’язку з порушенням. Порушення не вважається таким, що мало місце з вини споживача електронних комунікаційних послуг, у разі якщо споживач вжив всіх розумно очікуваних заходів захисту та дотримувався правил, встановлених постачальником електронних комунікаційних мереж та/або послуг»

виключити із тексту проекту Закону.

Коментар: з практичного застосування цього положення не виявляється можливим, як саме постачальник ЕКП, який має, наприклад, 2 чи 5 тис. абонентів (споживачів, користувачів ЕКП) (не говорячи вже про більшу їх кількість), може виявити та встановити факт, що саме конкретний споживач винний у порушенні безпеки електронних комунікацій. При цьому механізми виявлення та встановлення таких фактів наразі законодавством не встановлені та не пропонуються у цьому проекті Закону. Відтак, потенційно цим положенням проекту Закону пропонується вже визнавати вину постачальника ЕКП з усіма наслідками.

 

3. У частині першій статті 59 проекту Закону пропонується встановити, що «Спілкування є приватним, якщо інформація передається та зберігається за таких фізичних чи юридичних умов, при яких учасники спілкування можуть розраховувати на захист інформації від втручання інших осіб.»

Коментар: Логічно зміст цього пропонованого положення у проекті Закону зрозумілий. Проте, юридично не зрозуміло, як учасники спілкування можуть знати і розуміти про наявність «фізичних чи юридичних умов», і що це за умови, хто, як і де їх встановлює/закріплює? Відтак, зазначене положення або потребує доопрацювання або виключення із тексту проекту Закону, оскільки його застосування може мати негативні наслідки.

 

4. У частині третій статті 59 проекту Закону пропонується встановити, що «Постачальник електронних комунікаційних мереж та/або послуг та інші особи, залучені у процес діяльності засобів електронних комунікацій будь-якого типу, передачу інформації системами електронних комунікацій, можуть отримувати, використовувати та передавати іншим інформацію про приватне спілкування, в обсязі, необхідному для надання електронних комунікаційних послуг.»

Коментар: Із вказаного тексту не зрозуміло, що це за «обсяг, необхідний для надання електронних комунікаційних послуг»? На наш погляд, зазначене може призводити до порушення прав осіб. Тому, зазначене положення або потребує доопрацювання, або виключення із тексту проекту Закону, оскільки його застосування може мати негативні наслідки.

Аналогічне зауваження стосується і частини четвертої статті 59 проекту Закону.

 

5. У частині першій статті 63 проекту Закону пропонується таке:

«1. Дані трафіку, які пов’язані із споживачем та/або кінцевим користувачем електронних комунікаційних послуг та які зберігаються постачальником електронних комунікаційних мереж та/або послуг повинні бути вилучені або знеособленні як тільки вони перестали бути необхідними для цілей надання електронних комунікаційних послуг, крім випадків, коли збереження даних трафіку здійснюється:

1) на підставі закону;

2) для цілей виконання вимог статті 61 про внутрішній порядок надання інформації на запити  цього Закону;

3) для захисту життєво важливих інтересів споживача електронних комунікаційних послуг;

4) для розрахунку оплати електронних комунікаційних послуг;

5) для надання маркетингових або інших додаткових електронних комунікаційних послуг;».

Коментар: Разом з цим, із цього положення не зрозуміло, оскільки не розкрито, питання стосовно того, як постачальник ЕКП/ЕКМ буде визначати дані трафіка, необхідного для захисту життєво важливих інтересів споживача електронних комунікаційних послуг? Вважаємо, що для постачальника ЕКП/ЕКМ така функція невластива. Тому, частина перша статті 63 проекту Закону потребує суттєвого доопрацювання.

 

6. У частині п’ятій статті 64 проекту Закону зазначено:

«5. Постачальник електронних комунікаційних мереж та/або послуг зобов’язаний надати дані про місцезнаходження споживача та/або кінцевого користувача контролюючому органу на його вимогу з метою доведення дотримання вимог цього Закону.»

Коментар: Пропонуємо це положення виключити із тексту проекту Закону, оскільки, за умови відсутності чіткої процедури та випадків, його застосування може мати наслідком неправомірне поширення інформації про споживача та/або кінцевого користувача.

 

7. У частині першій статті 66 проекту Закону пропонується встановити:

 «1. Абонент може подати письмовий запит постачальнику електронних комунікаційних мереж та/або послуг щодо відстеження зловмисних або небажаних викликів. Оператор може тимчасово, але не більше трьох місяців, записувати походження всіх викликів до кінцевого термінального обладнання абонента чи кінцевих пунктів мережі, включаючи ті, для яких існує вимога не ідентифікації лінії виклику.»

Коментар: На наш погляд, ця норма може призводити до порушення прав іншої сторони, адже це положення містить можливість суб’єктивного відстеження іншої особи, бо не пропонується певна процедура. Виходить так, що будь-який абонент може поскаржитись на будь-яку особу і це вже буде підставою для відстеження викликів цієї особи. Із тексту не зрозуміло, що таке «зловмисні» або «небажані» виклики. Тому, ця норма повинна бути уточнена положеннями стосовно того, що такий запит погоджується, наприклад, слідчим або суддею, або виключення із тексту проекту Закону.

Таке ж зауваження стосується і статті 67 проекту Закону.

 

8. Підтримуємо позицію ініціаторів проекту Закону про необхідність встановлення відповідальності за порушення законодавства у сфері захисту персональних даних, проте вважаємо, що деякі положення є надмірними. Зокрема, у статті 72 проекту Закону запропоновано занадто високі розміри штрафів, які необхідно переглянути у бік їх зменшення.

 

Враховуючи те, що, в цілому, даний проект Закону є необхідним для нашого сучасного суспільства, направлений на захист прав та законних інтересів фізичних осіб. Проте, вважаємо, що значна частина положень проекту Закону потребують суттєвого доопрацювання. Наразі, у цьому листі, ми зосередили увагу лише на основних зауваженнях, які стосуються прав та обов’язків постачальників ЕКП/ЕКМ.

З огляду на об’ємність проекту Закону, пропонуємо створити робочу групу по доопрацюванню його положень, до якої включити, в т.ч. і представників ІнАУ.

 

З повагою

Голова Правління Інтернет Асоціації України                                                                                           А. Пятніков