Описаний в книгах тотальний контроль за життям людини сьогодні може перетворитися на жахливу реальність у сучасній Україні.

2 жовтня 2012 року Верховна Рада України (далі – ВРУ)  прийняла в цілому проект Закону України «Про внесення змін до Закону України «Про захист персональних даних» (далі – Закон). Схвалена редакція закону не відповідає Конституції України, європейським стандартам у сфері захисту персональних даних і несе в собі загрозу порушення прав і свобод людини.

Закон в такій редакції містить серйозні перешкоди для ведення підприємницької діяльності в Україні, створює суттєву загрозу для виникнення необґрунтованих додаткових фінансових та  організаційних витрат для бізнесу,  а також суперечить міжнародним стандартам у сфері захисту персональних даних та нормам законодавства України.

Так, Закон необґрунтовано розширює повноваження Державної служби України з питань захисту персональних даних. Відповідно до змін, які внесені до статті 23 Закону, уповноважений державний орган з питань захисту персональних даних наділяється повноваженнями щодо технічного регулювання в сфері захисту персональних даних, розробки стандартів, технічних регламентів, розроблення вимог стосовно захисту персональних даних в інформаційно-телекомунікаційних системах та здійснення оцінки відповідності систем захисту інформації у цих системах.

На практиці це може призвести до встановлення контролю над обробкою персональних даних у комп’ютерних системах будь-якими фізичними особами і юридичними особами будь-якої форми власності та надати можливість для втручання у вільну діяльність таких осіб з боку уповноваженого державного органу. Такі надмірні та необґрунтовані повноваження уповноваженого державного органу суперечать визначеним Конституцією України правам щодо свободи інформації (стаття 34) та невтручання в особисте життя (стаття 32).

Концепція Європейського законодавства в сфері захисту персональних даних однозначно базується на принципі, що умови захисту персональних даних  - це компетенція виключно володільця бази персональних даних, а не державного регулятора, а процеси, пов’язані з обробкою персональних даних лежать в правовій, але аж ніяк не в технічній площині. Адже використання тих чи інших систем безпеки може бути встановлено лише індивідуально в кожному конкретному випадку. Лише володілець бази персональних даних, а не державний орган, має достовірну інформацію про ті ризики, яких слід уникати, щоб не допускати випадкової втрати чи незаконного доступу до персональних даних.

Введення ж оцінки відповідності систем захисту інформації на державному рівні створить значні перешкоди для ведення бізнесу та неминуче призведе до додаткових фінансових витрат більшості підприємців, адже такі системи не будуть впроваджуватись до їх погодження державним регулятором.

Запровадження нових дозвільних процедур також суперечить курсу держави, спрямованого на дерегулювання підприємницької діяльності та спрощення процедур для бізнесу.

У Законі збережено обов’язкову реєстрацію баз персональних даних. При цьому передбачається встановити лише два винятки із зазначеного обов’язку (частина друга статті 9). Не підлягатимуть реєстрації лише бази даних, ведення яких пов’язано із забезпеченням та реалізацією трудових відносин, а також бази даних членів громадських, релігійних організацій, професійних спілок, а також політичних партій. При цьому не визначено, яким чином слід вчинити з понад 2 мільйонами заяв на реєстрацію баз даних, які вже були подані і багато з яких стосуються зазначених винятків. До того ж частина зазначених баз даних вже були зареєстровані та внесені до Державного реєстру баз персональних даних.

Вимога щодо обов’язкової реєстрації баз персональних даних, запроваджена Законом, призвела до надмірного і необґрунтованого навантаження на суб’єкти господарювання та інших осіб, які здійснюють у своїй діяльності обробку персональних даних. Досвід застосування цієї вимоги Закону засвідчив неготовність уповноваженого державного органу з питань захисту персональних даних до здійснення відповідної реєстрації.

Дотримання володільцями персональних даних певних стандартів, вочевидь, ще не означає дотримання ними правових норм і відтак не може стати інструментом, який би додатково захищав персональні дані під час їх обробки.

Адвокатська компанія «ПРАЙМ» не стоїть осторонь цього важливого питання, оскільки однією з перших на ринку допомагала своїм клієнтам проводити реєстрацію баз персональних даних, деякі з них вже навіть отримали відповідні свідоцтва.  Юристи компанії, обговоривши прийнятий ВРУ проект ЗУ «Про внесення змін до Закону України «Про захист персональних даних», дійшли висновку, що все ж таки запровадження такого регулювання спричинить додатковий тиск та фінансові витрати на суб’єктів підприємницької діяльності, навіть за умов їх сумлінного дотримання всіх вимог Закону України «Про захист персональних даних», проте не стане інструментом захисту прав людини. Залишається останнє слово за Президентом, адже у нього ще є шанс ветувати вказаний закон і повернути його на доопрацювання у Верховну Раду України.