27 та 28 травня у Києві відбулася велика правозахисна подія від Центру громадянських свобод – Правозахисні діалоги на тему «Україна 2035: країна, в якій хочеться жити». Цьогоріч у фокусі були реформи у сфері прав людини, необхідні Україні на шляху до Європейського Союзу. Частина з них досі відкладається на потім, хоча саме під час війни держава збирає, обробляє й використовує дедалі більше даних про людину через системи цифрових сервісів.
Хто має контролювати, як ці дані зберігаються і використовуються? Чи достатньо для цього нинішньої моделі, де контроль у сфері персональних даних здійснює Уповноважений Верховної Ради України з прав людини? І чи зможе Україна створити справді незалежний орган, якого вимагає європейське право, а не ще одну інституцію «для галочки»?
Про це говорили під час панелі «Чи буде в Україні нова незалежна інституція з захисту персональних даних?». Публікуємо найцікавіше з дискусії.
Ми щодня залишаємо цифрові сліди: у державних реєстрах, банках, лікарнях, освітніх сервісах, мобільних застосунках, соціальних мережах, на заходах, під час перетину кордону, отримання гуманітарної допомоги або взаємодії з державою. В умовах війни ці дані є не лише питанням приватності, а й питанням безпеки.
Водночас вступ України до Європейського Союзу вимагає оновлення законодавства відповідно до європейських стандартів, зокрема GDPR (General Data Protection Regulation) – загального регламенту Європейського Союзу захисту даних. І йдеться не лише про ухвалення нового закону, а й про створення спроможного, незалежного органу, який зможе реально контролювати, як держава, бізнес та інші суб’єкти обробляють персональні дані.
Участь у панелі взяли: Юлія Деркаченко – представниця Уповноваженого Верховної Ради України з прав людини з інформаційних прав, Ігор Розкладай – заступник директорки Центру демократії та верховенства права, головний експерт з медійного права та модерації контенту в соціальних мережах, Тетяна Авдєєва – старша юристка Лабораторії цифрової безпеки, експертка Експертного комітету зі штучного інтелекту при Міністерстві цифрової трансформації України. Модерувала дискусію Віта Володовська – голова Лабораторії цифрової безпеки.
Як зараз і чому нинішньої моделі недостатньо?
За чинною моделлю контроль у сфері захисту персональних даних здійснює Уповноважений Верховної Ради України з прав людини. За словами його представниці — Юлії Деркаченко, — Уповноважений як контролюючий орган в сфері захисту персональних даних, зацікавлений у побудові системи захисту даних, яка відповідатиме стандартам ЄС і реально забезпечуватиме права громадян. Офіс Уповноваженого, підкреслює вона, діє діє виключно в межах чинного законодавчого мандату: проводить перевірки, реагує на звернення, співпрацює з громадськими організаціями та міжнародними партнерами, займається просвітництвом і комунікує з державними органами.
Проте сама ця модель є перехідною. Європейська Комісія у свої звітах про Пакет розширення ЄС 2024 та 2025 років чітко наголошує – Україна має створити незалежний контролюючий орган. Він не може бути структурним підрозділом якогось органу. Незалежність повинна бути гарантована законом у питаннях фінансування, кадрової політики та прийняття рішень.
Крім того, зазначає пані Юлія, регулятор повинен мати право не просто «висловлювати занепокоєння», а проводити раптові інспекції, видавати обов’язкові до виконання приписи, тимчасово або повністю блокувати обробку даних і, найголовніше, — накладати ефективні, пропорційні та стримуючі штрафи.
«Майже п’ять років ми намагаємося реформувати систему захисту персональних даних. У Верховній Раді зареєстровано законопроєкти про захист персональних даних і про створення незалежного органу – Нацкомісії у сфері захисту персональних даних. Уповноважений сьогодні здійснює не лише парламентський контроль, а й контрольні функції у цій сфері: планові й позапланові перевірки, реагування на звернення, просвітницьку діяльність. Але для інституту омбудсмена це не є природною функцією. Ми бачимо, що кількість звернень щодо порушення права на приватність зростає, і за 2025 рік Уповноважений ініціював відкриття 35 кримінальних проваджень у сфері порушення права на приватність. Це показує, що реформа потрібна, а майбутній орган має бути фінансово і політично незалежним та здатним виконувати саме контрольні функції», – зазначила Юлія.
Окремим викликом є те, що питання персональних даних стосується не лише держави чи великого бізнесу. Воно присутнє всюди: в роботі громадських організацій, органів влади, медичних установ, освітніх платформ, банків, цифрових сервісів, конференцій і навіть невеликих локальних ініціатив. Тому, за словами спікерки, просвітництво залишається одним із ключових напрямів роботи: люди, бізнес і державні службовці мають розуміти не лише формальні вимоги закону, а й саму сутність захисту персональних даних.
Приватність і доступ до інформації: два права, які мають балансувати, а не знищувати одне одного
Ігор Розкладай пояснив, що українська проблема захисту персональних даних не виникла вчора. Її корені – у різній природі двох законів, які з’явилися в Україні у 2011 році: закону про захист персональних даних і закону про доступ до публічної інформації.
Ці два закони писалися різними середовищами, з різною логікою і різним рівнем суспільної підтримки. Закон про доступ до публічної інформації став одним із ключових інструментів прозорості влади, журналістських розслідувань і громадського контролю. Натомість законодавство про персональні дані довгий час залишалося менш зрозумілим для суспільства і значною мірою сприймалося як формальна вимога.
Проблема в тому, що право на приватність і право на доступ до інформації не є ієрархічними. Одне не важливіше за інше автоматично. Вони конкурують між собою, і в кожному конкретному випадку потрібно шукати баланс.
«Коли я питаю на будь-якому заході, яке право переважає: право на інформацію чи право на приватність, більшість людей відповідає – право на приватність. Але якщо ми відкриємо Конституцію України, Європейську конвенцію з прав людини чи Міжнародний пакт, ми побачимо, що ці права є конкурентними. Вони конкурують між собою, і в кожному випадку питання, що переважить, залишається відкритим. Саме тому не можна просто сказати: створімо одну інституцію і вона все вирішить. Одна модель може дати внутрішній баланс між доступом і приватністю, але має ризик посилення секретності. Дві інституції можуть конфліктувати між собою і давати протилежні висновки щодо одного й того самого явища. Тому для України головне питання – не лише чи буде інституція, а як вона працюватиме, чи буде захищено обидва права і чи буде захищена демократія в цілому».
Цей баланс особливо важливий для України. Доступ до публічної інформації був одним з інструментів, який дозволяв журналістам і громадськості викривати корупцію та зловживання владою. Без відкритих даних і доступу до інформації багато розслідувань часів Януковича могли б не відбутися. Але водночас Україна має болючий досвід витоків персональних даних, продажу баз, незаконного використання ідентифікаційних номерів, контактів, адрес і чутливої інформації.
Отже, майбутній орган не повинен стати інструментом закриття інформації під приводом приватності. Але він також не може ігнорувати реальні ризики для людини, коли її персональні дані стають доступними для шахраїв, агресора, недобросовісного бізнесу або державних органів без належних запобіжників.
Незалежність на папері не дорівнює спроможності на практиці
Тетяна Авдєєва висловила своє бачення, якою має бути нова інституція з погляду європейських вимог і українських реалій. За її словами, GDPR і європейські підходи до регуляторів передбачають політичну незалежність. Це означає, що члени такого органу не мають призначатися напряму політичними партіями або урядом у спосіб, який створює залежність від політичної волі.
Але незалежність – це не лише процедура призначення. Це також бюджет, експертиза, технічна спроможність, розуміння цифрової екосистеми, доступ до фахівців, здатність працювати з великими платформами, державними реєстрами, телекомами, штучним інтелектом і високоризиковими системами обробки даних.
«Можна придумати гарну модель і формально виконати європейські критерії незалежності. Але питання ефективності набагато складніше. Де нам набрати експертів, які мають реальні знання європейського законодавства, правил обробки даних, технічне розуміння того, як працюють системи обробки даних, платформи, штучний інтелект? Дуже часто дискусія зупиняється на тому, як призначити 5, 8, 10 чи 15 членів регуляторного органу. Але на практиці значну частину роботи виконують департаменти. І люди в цих департаментах мають бути підготовлені до реальності, з якою вони працюватимуть. Якщо ми створимо красиву інституцію без бюджету, кадрів і спроможності, вона ризикує залишитися ще одним органом, який існує на папері».
Одним із головних практичних викликів на сьогодні є також фінансування. Створити незалежний орган означає не лише прописати його повноваження в законі, а й забезпечити реальний бюджет, команду, інфраструктуру, технічних спеціалістів і сталі процедури. Інакше Україна може отримати чергову формально правильну, але фактично непрацюючу інституцію.
Тетяна Авдєєва також наголосила, що цифрове регулювання не можна розглядати фрагментарно. Захист персональних даних пов’язаний із регулюванням штучного інтелекту, цифрових платформ, кібербезпеки, державних реєстрів, відеоспостереження, біометрії та великих технологічних компаній. Україна не може просто механічно копіювати європейські правила: ЄС сам постійно оновлює цифрове законодавство, а український контекст ускладнений війною, безпековими ризиками та специфікою державної цифрової інфраструктури.
Держава як найбільший розпорядник даних і найбільше джерело ризиків
Під час дискусії неодноразово звучала думка від експертів, що першим «клієнтом» майбутнього регулятора має стати сама держава. Саме держава акумулює найбільші масиви даних про людей: від медичних і соціальних до біометричних, податкових, земельних, реєстраційних та безпекових.
Ризикоорієнтований підхід означає, що новий орган не повинен починати з дрібного бізнесу або формальних перевірок заради статистики. Його увага має бути спрямована передусім на високоризикові обробки даних: державні реєстри, великі платформи, банки, телекомунікаційні сервіси, системи відеоспостереження, проєкти цифрової ідентифікації, використання біометрії та алгоритмічних інструментів.
Окремо обговорювалися проблемні точки, які вже існують: камери в державних і місцевих проєктах безпеки, потенційно ризикове обладнання, взаємодія з СБУ та Національною поліцією, питання доступу до державної таємниці, використання біометричних даних, шахрайство в цифровому середовищі, а також юрисдикційні складнощі з Big Tech.
Це означає, що майбутня інституція не може бути лише юридичним офісом із формальним мандатом. Вона має бути регулятором, який розуміє технології, безпеку, права людини, європейське право, цифрову економіку та український воєнний контекст.
Чи буде в Україні нова інституція?
На пряме запитання з аудиторії, чи буде в Україні нова незалежна інституція з захисту персональних даних, відповідь учасників панелі була радше обережно ствердною: так, така інституція потрібна і її створення вимагає європейська інтеграція. Але коли вона з’явиться, якою буде її модель і чи запрацює вона реально – питання залишається відкритими.
Законопроєкт про захист персональних даних уже ухвалений у першому читанні та готується до другого. Він отримав позитивну оцінку Ради Європи, але має понад тисячу правок від бізнесу й громадськості. Водночас законопроєкт про Національну комісію залишається менш визначеним, а робота над моделлю органу потребує ширшого залучення експертів, громадянського суспільства, держави, бізнесу, фахівців із цифрових технологій і фінансистів.
У підсумку
Найскладніше запитання цієї реформи полягає вже не в тому, чи потрібен Україні незалежний орган у сфері захисту персональних даних. У межах євроінтеграції відповідь на це запитання фактично визначена: така інституція має бути створена. Значно складніше питання: якою саме вона буде, які повноваження отримає, як буде гарантована її незалежність і чи матиме вона достатню фахову, фінансову та технологічну спроможність, щоб працювати ефективно.
Учасники панельної дискусії зійшлися у висновку, що реформа захисту персональних даних не може зводитися до простого перенесення європейських норм в українське законодавство. Україна має одночасно вирішити кілька взаємопов’язаних завдань: розмежувати парламентський контроль і регуляторні повноваження, знайти баланс між приватністю та доступом до публічної інформації, не допустити посилення культури закритості, забезпечити нагляд за високоризиковими обробками даних і створити орган, здатний працювати з реальними цифровими викликами: від державних реєстрів і відеоспостереження до платформ, біометрії та штучного інтелекту.
Якщо орган буде створений без належної незалежності, бюджету, експертизи й прозорих процедур взаємодії з державою, бізнесом, правоохоронними органами та громадянським суспільством, він ризикує повторити проблему багатьох реформ: правильна європейська форма без достатньої інституційної спроможності. Якщо ж його дизайн буде продуманий з урахуванням українського контексту, війни, цифровізації та практики європейських стандартів, ця реформа може не лише забезпечити виконання умов для вступу до ЄС, а й стати одним із ключових механізмів захисту людини в новій цифровій реальності.
Авторка матеріалу: Наталія Большова, волонтерка Центру громадянських свобод.
