Автор: Іван Городиський, адвокат, CIPP/E

18 жовтня 2021 року до Верховної Ради України було внесено законопроєкт №6177 «Про Національну комісію з питань захисту персональних даних та доступу до публічної інформації». Він пропонує створити орган, наділений контрольними повноваженнями у сфері захисту персональних даних. Потреба у реформуванні інституційного механізму захисту прав людини в цій сфері об’єктивно назріла, і мова про це ведеться з 2015 року. Водночас пропозиції, які містяться в законопроєкті, викликають сумніви у незалежності нового органу від виконавчої влади.

Захист персональних даних в Україні

У сучасному світі з'являється все більше можливостей для обробки персональних даних та зростають обсяги даних, які обробляють держава та приватні суб'єкти. В цьому контексті особливо важливими є ефективні національні інституції контролю за дотриманням стандартів захисту приватності. 18 жовтня до Верховної Ради було внесено законопроєкт, який пропонує створити новий повноважний орган у цій сфері: Національну комісію з питань захисту персональних даних та доступу до публічної інформації.

Створення системи захисту персональних даних в Україні почалося у рамках підготовки підписання Угоди про асоціацію з Європейським Союзом на початку 2010-х років. Тоді було створено Державну службу з захисту персональних даних, діяльність якої координував Кабінет Міністрів України через Міністра юстиції України, що суперечило стандартам незалежності, яким повинні відповідати такі органи.

Для виправлення цієї ситуації у 2013 році функцію захисту персональних даних було передано Уповноваженому Верховної Ради з прав людини та його Секретаріату як незалежному від виконавчої влади органу. Проте ефективність роботи Уповноваженого в сфері захисту персональних даних є достатньо низькою, через що його постійно критикують.

Останні кілька років тривають дискусії про створення нового органу, що відав би як захистом персональних даних, так і доступом до публічної інформації. Національні і міжнародні експерти висували ідею створення інституції так званого  Інформаційного комісара. Це потребувало б внесення змін до ст. 101 Конституції України, яка передбачає, що: «Парламентський контроль за додержанням конституційних прав і свобод людини і громадянина здійснює Уповноважений Верховної Ради України з прав людини». Цю статтю необхідно доповнити положеннями про те, що на відповідні сфери (захист персональних даних, доступ до публічної інформації та ін.) поширюється мандат Інформаційного комісара.

Ключовим принципом діяльності органів із захисту прав людини, в тому числі права на приватність, яке включає і захист персональних даних, є незалежність цих органів. На цьому наголошується у Паризьких принципах щодо статусу національних установ, які займаються захистом прав людини, від 9 жовтня 1991 року, затверджених Резолюцією Генеральної Асамблеї ООН №48/134 від 20 грудня 1993 року. Європейський Союз теж підтверджує цей стандарт для контрольних органів у сфері захисту персональних даних у Загальному регламенті про захист персональних даних (General Data Protection Regulation, GDPR): «Кожний наглядовий орган діє абсолютно незалежно під час виконання своїх завдань та здійснення своїх повноважень».

Що не так зі створенням Національної комісії з питань захисту персональних даних та доступу до публічної інформації

Аналіз законопроєкту дає підстави сумніватися у спроможності пропонованого ним органу здійснювати належний контроль щодо дотримання стандартів захисту персональних даних та доступу до публічної інформації. Сумніви виникають у зв'язку із такими обставинами:

1. Статус Комісії як органу виконавчої влади багато в чому перегукується зі статусом колишньої Державної служби із захисту персональних даних. Позитивним є те, що законопроєкт передбачає ширші гарантії незалежності для членів Національної комісії. Однак вони підзвітні Кабінету Міністрів, який має ключову роль у формуванні Конкурсної комісії з обрання членів Національної комісії (про це нижче). Це викликає сумнів, що члени Національної комісії будуть незалежними від органів виконавчої влади.

2. Законопроєкт містить декларативне твердження про відповідальність Національної комісії перед Верховною Радою (ст. 2), що мало би гарантувати її незалежність. Однак у чому полягає ця відповідальність і які механізми її забезпечення – не зрозуміло. Крім подання щорічних та інших звітів до Верховної Ради, а також участі представників Верховної Ради у роботі Конкурсної комісії, інших способів реалізувати цю відповідальність не передбачено. Отже, це є суто декларативне положення, яке не створює додаткових гарантій незалежності Національної комісії.

3. Не до кінця зрозумілим є положення п. 4.1 ст. 4 про "надання Верховній Раді України обов’язкових до розгляду консультативних висновків щодо законопроєктів, які стосуються обробки персональних даних, доступу до публічної інформації". Верховна Рада є конституційним органом, єдиним органом законодавчої влади та, в умовах парламентсько-президентської республіки – найвищим органом державної влади в Україні. Тому виглядає дивною можливість Національної комісії як органу виконавчої влади зобов’язувати Верховну Раду розглядати такі  висновки. Національна комісія є органом влади, створеним ad hoc, та належатиме до виконавчої влади, що становитиме порушення конституційного принципу поділу влад.

4. Виникають питання і щодо процедури проведення конкурсу на посади членів Національної комісії та формування Конкурсної комісії. Так, відповідно до п. 4 ст. 9, до складу Конкурсної комісії входять по одній особі, визначені комітетами Верховної Ради, що займаються питаннями захисту персональних даних та доступу до публічної інформації. Водночас, це положення не може зобов'язувати Верховну Раду передавати ці питання до компетенції різних комітетів. Якщо ці питання належатимуть до відання одного комітету, то незрозуміло, чи від нього можуть бути делеговані обидва члени комісії. Це ставитиме під сумнів можливість проведення конкурсу та легітимність Конкурсної комісії.

5. Слід наголосити й на ключовій ролі Кабінету Міністрів у проведенні конкурсу на посади членів Національної комісії, що створює ризики для незалежності майбутнього складу комісії. Кабінет Міністрів, зокрема:
1) затверджує склад Конкурсної комісії (п. 2 ст. 9);
2) розміщує оголошення про проведення конкурсу та його результати (п. 3 ст. 9);
3) призначає двох з дев'яти членів Конкурсної комісії (п. 4.4. ст. 9);
4) його Секретаріат забезпечує роботу Конкурсної комісії (п. 7 ст. 9);
5) призначає членів Національної комісії за результатами конкурсу (п. 1 ст. 9);
6) приймає рішення про звільнення з посади члена Національної комісії з підстав, передбачених пп. 2–9 частини першої ст. 10.

Роль у проведенні конкурсу інших органів влади, зокрема Верховної Ради та Уповноваженого Верховної Ради з прав людини, обмежена призначенням трьох з дев'яти членів Конкурсної комісії.  Така роль Кабінету Міністрів у процесі формування складу Національної комісії не збалансована і викликає сумнів у незалежності цього органу від виконавчої влади. Також імовірно, що саме Кабінет Міністрів має затверджувати Положення про конкурс, про яке згадується в частині третій ст. 9, але не зазначається порядок його розробки і затвердження.

6. У законопроєкті трапляється термінологічна плутанина, наприклад паралельно вживаються терміни "володілець", "адміністратор" та "контролер" для позначення одного і того ж суб'єкта процесу обробки персональних даних. Водночас, у розділі "Прикінцеві та перехідні положення" немає пропозицій щодо узгодження та уніфікації офіційної термінології у сфері захисту персональних даних. Прийняття закону в такій редакції може створити суперечності в правозастосуванні і послабити механізми захисту персональних даних в Україні.

Як покращити законопроєкт

1. Захист прав людини не є за своєю природою регуляторною чи управлінською діяльністю та перебуває поза компетенцією виконавчої гілки влади. Тому провідна роль у формуванні персонального складу Національної комісії з питань захисту персональних даних та забезпеченні її діяльності має належати Верховній Раді. Бо саме вона – як орган законодавчої влади, сформований на виборній основі, – здатна забезпечити відповідний рівень незалежності в процесі захисту прав людини.

2. При реформуванні системи контролю за дотриманням прав людини в сфері захисту персональних даних та доступу до публічної інформації  варто повернутися до ідеї створення інституції Інформаційного комісара. Внесення відповідних змін до Конституції України гарантуватиме його незалежність від органів виконавчої влади, контроль діяльності яких, в тому числі, належатиме до сфери компетенції Інформаційного комісара.

3. Ініціативу зі створення такого органу неможливо розглядати окремо від реформування законодавства щодо захисту персональних даних, а саме врегулювання відповідальності за порушення цих прав, узгодження термінології та ін.

Висновки

Потреба у модернізації механізмів захисту персональних даних в Україні назріла, і законодавчі ініціативи з цього приводу свідчать про рух у правильному напрямку. Водночас слід враховувати, що метою реформування таких механізмів має бути посилення їх спроможності та ефективності, які напряму залежать від рівня гарантій їх незалежності. Аналізований законопроєкт не передбачає необхідних гарантій незалежності для Національної комісії. Тому варто змінити концепцію, яка лежить в її основі, надавши відповідні повноваження органу, незалежному від виконавчої гілки влади.

Джерела:

Конституція України із змінами від 28 червня 1996.
URL : https://zakon.rada.gov.ua/laws/show/254к/96-вр#Text  

Порядок здійснення контролю за додержанням законодавства про захист персональних даних (с. 111-123) у: Бем М.В., Городиський І.М. Захист персональних даних: правове регулювання і практичні аспекти. К. : Рада Європи, 2021. 157 С.

Проєкт Закону про Національну комісію з питань захисту персональних даних та доступу до публічної інформації.
URL : http://w1.c1.rada.gov.ua/pls/zweb2/webproc4_1?id=&pf3511=72992

Регламент Європейського Парламенту і Ради (ЄС) 2016/679 про захист фізичних осіб у зв'язку з опрацюванням персональних даних і про вільний рух таких даних, та про скасування Директиви 95/46/ЄС (Загальний регламент про захист даних) від 27 квітня 2016 року.
URL: https://zakon.rada.gov.ua/laws/show/984_008-16#Text

Principles relating to the Status of National Institutions (The Paris Principles): Adopted by General Assembly resolution 48/134 of 20 December 1993.
URL: https://www.ohchr.org/EN/ProfessionalInterest/Pages/StatusOfNationalInstitutions.aspx