Украина для увеличения ВВП должна обеспечить юридически защищенные инструменты для обработки персональных данных со всего мира. Почему так? Потому что персональные данные — новейший актив в коммерческом распоряжении бизнеса. Сначала это были станки и промышленные механизмы. Потом наступила эпоха интеллектуальной собственности. Но сейчас, когда инновации почти исчерпались в промышленном производстве, вопрос сбыта и продвижения товаров меньше зависит от качества самого товара, а больше — от развития каналов его сбыта. Персонализированный канал, охват целевой аудитории потенциальных покупателей — это и есть основное конкурентное преимущество сегодняшнего дня. Показав мировому сообществу широкие возможности и гарантии, мы можем развить инфраструктуру, необходимую для сопровождения бизнеса, использующего bigdata. Но движемся мы очень медленно и часто не в том направлении.
Еще десять лет назад, когда только был принят Закон Украины «О защите персональных данных», ряд украинских IT-компаний видели свой потенциал получения заказов с Запада и четко понимали существующую проблему. Можно было бы брать на аутсорс (офшоринг) в Украину работу с большими массивами данных, но эту работу в Украину не делегировали. Еще десять лет назад большими массивами персональных данных владели иностранные банки, страховые компании и негосударственные пенсионные фонды. Они испытывали потребность в IT-услугах по хранению, обработке и внедрению систем, основанных на базах данных. При этом речь шла не о тестовых данных (фейковые аккаунты и т.п.), а о реальных данных клиентов. IT-специалисты в Украине были вполне компетентными и предлагали конкурентные цены на услуги. Но западные корпорации так и не решились отдать работу в Украину, у которой есть весь научный потенциал IT-сектора. Закон Украины «О защите персональных данных» базировался на конвенции №108, принятой в 1981 году. И это в то время, когда в Европе уже действовала на 14 лет «младшая» Data Protection Directive 95/46/ЕС — директива, принятая в 1995-м.
За десять лет, прошедших после принятия Закона Украины «О защите персональных данных», ничего кардинального в него не внесли, если не считать косметических изменений по отмене нерациональной процедуры регистрации всех баз персональных данных, которые тогда еще существующая Государственная служба Украины по вопросам защиты персональных данных насчитала по меньшей мере по две у каждой компании (это были базы «Контрагенты» и «Работники»). А в ЕС успели провести 3–4-летний этап дискуссии среди стран-членов (это другой масштаб переговорного процесса, дипломатии и поиска компромисса) и в 2016 году принять Общий регламент о защите данных GDPR, вступивший в действие 25 мая 2018 года.
Обсуждение GDPR длилось несколько лет, и Украина не могла этого не замечать. Но сближения правового регулирования с европейским и синхронизации в этой сфере не было. Даже тогда, когда GDPR был принят, мы обходили его вниманием, в итоге почти окончательно лишившись перспектив локального развития крупного бизнеса, оперирующего персональными данными. Следует предостеречь, что мы не выступаем за принцип локализации персональных данных наших сограждан, который в отдельных государствах практикуется с целью размещения серверов и других административных процедур. Мы действительно говорим о привлекательности Украины как безопасной гавани для защиты каких-либо данных и создания условий для IT-бизнеса вести здесь операционную деятельность.
Если такая ситуация сохраниться и в дальнейшем, мы останемся с лопатой в руках, латая ямочным ремонтом легенду об исторических достижениях Киевской Руси, о первом компьютере и ноосфере. Что мы принесем в будущее, и где место в нем для бизнеса, оперирующего персональными данными?
Законотворческая работа в профессиональной среде велась более года, и уже зарегистрирован законопроект №5628 от 7 июня 2021 года, который будет новой редакцией Закона Украины «О защите персональных данных». Он концептуально отображает основные принципы и правила GDPR. Это должно приблизить Украину к стандартам ЕС. Специалисты заметят ряд принципиальных отличий от GDPR. Мы же обратим внимание только на одно, локализованное, отличие. Авторы законопроекта предлагают экстерриториальный принцип действия закона, который будет распространяться на иностранные компании, обрабатывающие персональные данные украинцев. Представьте, что иностранные компании должны будут каким-то образом узнать о таком законе (в случае его принятия) и выполнять его, в частности назначив в Украине локального представителя.
Мы не уверены, что такая концепция экстерриториальности нужна уже сейчас. Причина проста: законопроект в целом прогрессивный и улучшил бы имидж Украины в мире как страны, применяющей современные правовые инструменты для защиты персональных данных. Это открывает украинским компаниям доступ к рынку bigdata — и в Украину поступят заказы на определенные услуги по обработке персональных данных. Но возложение на мировые корпорации бремени выполнять специфические нормы украинского закона (даже если такие корпорации не имеют дочерней компании в Украине) может сплотить их именно как оппонентов законопроекта. Как следствие, существует угроза непринятия законопроекта в целом, соответственно, мы останемся в status quo вместо того, чтобы двигаться синхронно с миром. Законопроект еще не включен в повестку дня, что позволяет уточнить баланс интересов всех участников рынка bigdata.