Приватність та обробка персональних даних у кримінальному процесі та переоцінка впливу передачі даних в Україну (transfer impact assessment)

Впровадження воєнного стану в Україні вплинуло не тільки на український бізнес, але і на міжнародний, який має ділові відносини в Україні, особливо це стосується бізнесу, який збирає персональні дані з тих чи інших причин в країнах Європейської економічної зони та передає їх в Україну (наприклад, у європейської компанії є офіс в Україні або якась обробка передається на аутсорс в Україну).

Такі міжкордонні передачі даних регламентуються правилами транскордонних передач, які вимагають наявність гарантій, що країна, в якій будуть знаходитися дані, відповідає рівню захисту країни, в якій ці дані збиралися або отримувалися. Як правило, все закінчується підписанням так званих стандартних договірних положень для транскордонних передач даних, але після прийняття рішення Судом Європейського Союзу від 16 липня 2020 року у справі «Schrems II» стало недостатньо просто підписати стандартні договірні положення.

Тепер потрібно ще оцінити, наскільки законодавство тієї чи іншої країни відповідає європейському в контексті гарантій проти стеження держави за громадянами. Така оцінка називається оцінка впливу передачі даних або англійською - transfer impact assessment. Оцінку гарантій можна здійснювати за Рекомендаціями 02/2020 щодо європейських основних гарантій щодо заходів нагляду (https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-022020-european-essential-guarantees_en). Якщо така оцінка незадовільна, то сторонам потрібно подумати, якими технічними та організаційними заходами збалансувати різницю гарантій і не допустити сценаріїв надмірного доступу до персональних даних, який не є прийнятним для рівня гарантій країни збору чи отримання персональних даних. Відповідні заходи зазначені в Рекомендаціях 01/2020 щодо заходів, які доповнюють інструменти передачі для забезпечення відповідності рівню захисту персональних даних ЄС (https://edpb.europa.eu/our-work-tools/our-documents/recommendations/recommendations-012020-measures-supplement-transfer_en).

Для оцінки України можна використовувати оцінку, яка підготовлена в «The European Essential Guarantees Guide» (https://www.essentialguarantees.com/), де вбити у пошуку «Ukraine» та проаналізувати гарантії. Звісно, що для кожного бізнесу ця оцінка може відрізнятися, а з настанням воєнного часу вона повинна бути переоцінена, оскільки гарантії невтручання у приватність та ризики спостереження з боку держави збільшилися. З цього приводу на початку військової агресії росії норвезький регулятор із захисту персональних даних наголосив, що компанії, які експортують персональні дані з Норвегії до одержувачів в Україні та росії, повинні переглянути підстави для передачі даних.

Все це на додаток супроводжується тим, що Верховна Рада України прийняла зміни до Кримінального процесуального кодексу України, які стосуються в тому числі і втручання в приватність, і спостереження за особами, і обробки персональних даних, та відповідно повинні відображатися в оновлених transfer impact assessment.

Які ж зміни відбулися з кримінальним процесуальним законодавством? 

Перш за все, законодавство почало враховувати випадки, коли ті чи інші процесуальні дії неможливо виконати у зв´язку з технічними та об’єктивними обставинами, що може суттєво збільшити строки самого процесу та обробки, зберігання чи використання персональних даних.

В деяких випадках дозволяється відсутність слідчого судді для проведення слідчих дій, а повноваження слідчих та прокурорів розширилися. Наприклад, дозволяється без звернення до слідчого судді на підставі постанови прокурора, погодженої з керівником прокуратури, тимчасовий доступ до:

• лікарської таємниці, 
• банківської таємниці; 
• інформації, яка знаходиться в операторів та провайдерів телекомунікацій, про зв’язок, абонента, надання телекомунікаційних послуг, у тому числі отримання послуг, їх тривалості, змісту, маршрутів передавання тощо; 
• та персональних даних осіб, що знаходяться у її особистому володінні або в базі персональних даних, яка знаходиться у володільця персональних даних. 

Все це не є прийнятним для позитивної оцінки транскордонних передач, які визначають однією з гарантій саме наявність участі незалежних сторін, якою виступає в цьому випадку судова гілка та слідчий суддя.

Оновлене законодавство уточнило, що комп’ютерні дані, які фактично можуть містити персональні дані, є документами, а відтак слідчі дії характерні для документів, можуть застосовуватися і до комп’ютерних даних. Серед уточнень та нововведень можна виділити ще деякі моменти:

• Слідчий чи прокурор може виготовити за допомогою технічних пристроїв із залученням спеціаліста копії інформації, що міститься в комп’ютерних системах. Володілець інформації може вимагати залишення копії інформації з таких комп’ютерних систем.
• Арешт на комп’ютерні системи накладається лише у випадках, якщо вони отримані внаслідок вчинення кримінального правопорушення або у випадках, коли вони мають цінність для слідства.
• Якщо під час обшуку слідчий чи прокурор виявив доступ до комп’ютерних систем, для виявлення яких не надано дозвіл на проведення обшуку, але щодо яких є достатні підстави вважати, що інформація, що на них міститься, має значення для встановлення обставин у кримінальному провадженні, слідчий чи прокурор має право здійснити пошук, виявлення та фіксацію комп’ютерних даних, що на них міститься.
• Огляд комп’ютерних даних проводиться слідчим чи прокурором шляхом відображення у протоколі огляду інформації, яку вони містять, у формі, придатній для сприйняття їхнього змісту за допомогою електронних засобів, фотозйомки, відеозапису, зйомки або відеозапису екрана або у паперовій формі.
• З'являється така слідча дія, як зняття показань технічних приладів та технічних засобів, що мають функції фото-, кінозйомки, відеозапису, чи засобів фото-, кінозйомки, відеозапису, що полягає в одержанні слідчим чи прокурором на підставі постанови від особи, яка є власником або володільцем відповідних приладів або засобів, необхідних для кримінального провадження, копій фото- або кінозйомки, відеозапису, здійснених у публічно доступних місцях, у тому числі в автоматичному режимі, за виключенням місць, що відносяться до приватних помешкань осіб. Зняття показань здійснюється шляхом копіювання інформації.

Таким чином, міжнародний бізнес, який передає персональні дані в Україну, має дотримуватися правил транскордонних передач даних та провести переоцінку цих передач у зв´язку з введенням воєнного стану та змінами в Кримінальний процесуальний кодекс України. На практиці усунення судової гілки від нагляду за слідчими діями та широкі повноваження прокурорів та слідчих можуть створити ситуації зі зловживанням повноваженнями в часи воєнного стану та створити додаткові ризики для приватності осіб.

Матеріал підготовлено за підтримки Європейського Союзу та Міжнародного Фонду «Відродження» в межах грантового компоненту проєкту EU4USociety . Матеріал відображає позицію авторів і не обов’язково відображає позицію Міжнародного фонду «Відродження» та Європейського Союзу».