Марченко В.Б. НАБУТТЯ ЧИННОСТІ ЗАГАЛЬНИМ РЕГЛАМЕНТОМ ЗАХИСТУ ДАНИХ ЄС ТА ЙОГО ОКРЕМІ НАСЛІДКИ ДЛЯ УКРАЇНИ. «Теорія та практика адаптації законодавства України до законодавства ЄС» : матеріали міжнародної науково-практичної конференції, м.Київ, 8 червня 2018 року. К.: Видавничий дім «Гельветика», 2018. 380с. С. 247-249. [#057]

 

НАБУТТЯ ЧИННОСТІ ЗАГАЛЬНИМ РЕГЛАМЕНТОМ ЗАХИСТУ ДАНИХ ЄС ТА ЙОГО ОКРЕМІ НАСЛІДКИ ДЛЯ УКРАЇНИ

 

Марченко В.Б.,

кандидат юридичних наук, доцент,

доцент кафедри правового регулювання економіки

Київського національного економічного університету 

ім. Вадима Гетьмана

м. Київ, Україна

 

Прийнятий 27 квітня 2016 Загальний регламент захисту даних ЄС № 2016/679 (GDPR) [1] набуває чинності 25 травня 2018 року. Ця подія без перебільшення викликала цілу лавину публікацій та коментарів з боку представників українських юридичних та бізнесових кіл. І це вселяє обґрунтовані сподівання, що інтелектуальні сили країни знайдуть оптимальні шляхи і форми застосування ідей та концепцій Регламенту 679 на користь українського суспільства.

Спробувавши узагальнити основні положення сьогоднішнього дискурсу навколо GDPR, на наш погляд, можна виділити щонайменше три актуальні питання. По-перше, які політико-правові наслідки для України має вступ у дію цього документа, іншими словами, які законодавчі зміни, і в якій формі можуть відбутися в Україні? По-друге, чи зачепить українських суб’єктів цей документ в якості регламенту ЄС уже тепер, тобто, з 25.05.18? І нарешті, а чи є ця нова, закладена в Регламенті 679, філософія регулювання персональних даних однозначним благом для суспільства? Звичайно, вироблення остаточних обґрунтованих висновків із вказаних питань вимагає тривалого часу. Однак окремі первісні оцінки, на наш погляд, можна зробити уже сьогодні.

Угода про асоціацію з Європейським Союзом [2] відповідно до її ст.15 "Захист персональних даних" покладає на договірні сторони взаємне зобов’язання співробітничати з метою забезпечення належного рівня захисту персональних даних відповідно до найвищих європейських та міжнародних стандартів, зокрема відповідних документів Ради Європи. При цьому співробітництво у сфері захисту персональних даних може включати, inter alia, обмін інформацією та експертами. Отже, у сфері захисту персональних даних законодавчий аспект європейської асоціації України побудований у формі співробітництва у напрямі найвищих європейських та міжнародних стандартів.

Водночас, Угодою визначено ряд сфер, де передбачається більш визначений односторонній рух України в бік законодавства ЄС. Йдеться, зокрема, про поштові та кур’єрські послуги, тeлeкомунікаційні послуги, фінансові послуги, транспортні послуги, електронну торгівлю, державні закупівлі (відповідно ст.ст.114, 124, 133, 138, 140, 153). Тут законодавча асоціація України передбачає такі форми як адаптація, сумісність, наближення, приведення у відповідність, узгодження, впровадження, імплементація.

Відповідно до ст.474 "Поступове наближення" Розділу VII «Інституційні, загальні та прикінцеві положення» передбачається, що згідно із цілями Угоди, встановленими у статті 1, Україна здійснюватиме поступове наближення свого законодавства до права ЄС відповідно до Додатків I-XLIV до Угоди на основі зобов’язань, визначених у Розділах IV, V та VI Угоди, а також відповідно до положень цих Додатків. Таким чином, наближення законодавства України до права ЄС відбувається у визначених сферах та порядку. Тобто, прямих зобов’язань України щодо запровадження європейських правил у сфері захисту персональних даних Угода не передбачає.

Отже, юридична формула реагування України на розвиток законодавства ЄС про захист даних визначається як співробітництво. Такі широкі рамки теоретично надають можливість маневру: від прямого і повного запозичення європейських норм до вибіркової та творчої адаптації відповідно до місцевих умов, і водночас, інтересів європейських суб’єктів. І саме на пошуках такого збалансованого підходу, очевидно, і має зосередитись український законодавець.

В деяких публікаціях стверджується, що Регламент 679 має екстериторіальну дію [3]. Думається, що такий висновок є, щонайменше, передчасним, і в будь-якому разі, потребує уточнення і роз’яснення. Дійсно, відповідно до п.2 ст.3 GDPR [1] Регламент 679 застосовується до обробки персональних даних відповідних суб’єктів, які знаходяться в ЄС, оброблених контролером або обробником, які не засновані в ЄС, якщо діяльність з обробки пов’язана з: (а) пропозицією товарів чи послуг суб’єктам даних в ЄС, незалежно чи вимагається оплата від цього суб’єкта даних або (б) моніторингом їх дій, оскільки їх дії мають місце всередині ЄС. Таким чином, якщо суб’єкт підлягає певній юрисдикції, на території якої він діє, то навряд чи варто називати це екстериторіальністю.

Однак, напевно найбільше часу вимагатиме осмислення філософії правового захисту даних, яка реалізується Регламентом 679. У цьому сенсі існують оцінки і факти щодо неоднозначності впливу даного нормативного документа на бізнес-середовище [4]. Справа у тому, що вступ у дію GDPR для деяких компаній фактично означатиме їх закриття через високу вартість впровадження нового закону. Facebook, Google, інші великі технологічні компанії також зазнають впливу і змін. Підпорядкування новим правилам вимагає залучення адвокатів, експертів з персональних даних, програмістів. Найбільші всесвітні компанії витрачають десятки мільйонів доларів на впровадження нового Регламенту.

Компанія Uber Entertainment, яка робить онлайн-ігри, припиняє роботу її гри Super Monday Night Combat з 23 травня саме через GDPR. Компанія Gravity Interactive, виробник ігор Ragnarok та Dragon Saga, застосовує інший підхід: вона блокує європейцям доступ до її ігор. Чеська інтернет-компанія Seznam.cz зачиняє свою соціальну мережу для однокласників через нове регулювання. За порушення правил GDPR регулятори можуть накласти штрафні санкції на компанії аж до €20 млн. ($25 млн.) або до 4% річного обсягу продажів.

Підсумовуючи слід відзначити, що нові правила GDPR, з одного боку, надають європейцям більше контролю над їх персональними даними, а з іншого – спричиняють ускладнення відносин у даній сфері. Компанії, бізнес яких заснований на використанні персональних даних змушені будуть або взагалі відмовитись від нього, змінити бізнес-моделі, або вкласти значні кошти в існуючі з метою адаптації до GDPR, що імовірно спричинить тенденції до збільшення вартості відповідних послуг.

Діяльність українських компаній нові правила зачеплять лише в тій частині, в якій вона базується на використанні персональних даних суб’єктів ЄС, що в умовах євроінтеграційних тенденцій стає реальним завданням для багатьох із них. Для українського законодавця актуальним завданням на сьогодні є розробка оптимальної законодавчої моделі адаптації до правил GDPR, яка має забезпечити належний рівень захисту даних, і водночас не повинна привести до помітного подорожчання товарів і послуг та зниження доступності ведення бізнесу.

Література:

1.   On the protection of natural persons with regard to the processing of personal data and on the free movement of such data, and repealing Directive 95/46/EC (General Data Protection Regulation) : Regulation (EU) 2016/679 of the European parliament and of the council of 27 April 2016. URL: http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=uriserv:OJ.L_.2016.119.01.0001.01.ENG.

2. Угода про асоціацію між Україною, з однієї сторони, та Європейським Союзом, Європейським співтовариством з атомної енергії і їхніми державами-членами, з іншої сторони: Угода від 27.06.2014р. URL: http://zakon5.rada.gov.ua/laws/show/984_011.

3.  Коноваленко Д. Персональні дані: захист по-європейськи. – Юридична Газета online. – 16 травня 2018. URL: http://yur-gazeta.com/publications/practice/informaciyne-pravo-telekomunikaciyi/personalni-dani-zahist-poevropeyski.html.

4.   Ivana Kottasová. These companies are getting killed by GDPR. – CNNMoney (London). URL: http://money.cnn.com/2018/05/11/technology/gdpr-tech-companies-losers/index.html.