Висновок антикорупційної експертизи проєкту Закону України «Про Національну комісію з питань захисту персональних даних та доступу до публічної інформації»

Картка проєкту

Розробники проєкту: Тарасенко Т. П., Чернєв Є. В., Лаба М. М. та інші

Мета проєкту – створення незалежного органу виконавчої влади із спеціальним статусом з метою імплементації на національному рівні міжнародних стандартів у сфері захисту права на доступ до інформації та права на захист персональних даних

Проєкт Закону (реєстр. № 6177 від 18.10.2021)

  Резюме антикорупційної експертизи За результатами проведення антикорупційної експертизи проєкту Закону України «Про Національну комісію з питань захисту персональних даних та доступу до публічної інформації» (далі – проєкт Закону) Національне агентство ідентифікувало низку корупціогенних факторів у його положеннях, зокрема щодо:

• запровадження колегіального регулювання, що призводить до «розмивання» відповідальності під час прийняття рішень;
• виведення з-під дії Закону України «Про засади державної регуляторної політики у сфері господарської діяльності» актів Національної комісії з питань захисту персональних даних та доступу до публічної інформації (далі – Національна комісія), що створює необґрунтовану дискрецію у реалізації державної регуляторної політики;
• виведення регулювання з-під дії Закону України «Про основні засади державного нагляду (контролю) у сфері господарської діяльності» та запровадження нової, виключної із загальних правил процедури здійснення державного контролю, що наділяє Національну комісію необґрунтованими повноваженнями з проведення планових та позапланових перевірок суб’єктів контролю;
• можливості неоприлюднення дати проведення перевірки та строків її здійснення;
• проведення перевірки без будь-якого спеціального рішення Національної комісії або направлення на її проведення;
• наділення інспекторів та уповноважених представників Національної комісії повноваженнями на власний розсуд визначати тривалість проведення контрольних заходів у межах встановлених строків та продовжувати їх на необмежений термін;
• застосування до суб’єкта контролю необґрунтованого розміру штрафу за невиконання рішення Національної комісії, а також відмову суб’єкта контролю та/або посадових (службових) осіб суб’єкта контролю від допуску до перевірки;
• наділення Консультативної ради при Національній комісії невластивими повноваженнями;
• невідповідність положень проєкту Закону нормам Закону України «Про запобігання корупції».

 

1. Запровадження правового регулювання, що надасть змогу уникати кримінальної, адміністративної, дисциплінарної, цивільно-правової відповідальності
2. Проєктом Закону пропонується створити новий центральний орган виконавчої влади зі спеціальним статусом, який забезпечує формування та реалізує державну політику у сфері захисту персональних даних та доступу до публічної інформації, а також здійснює державний контроль за дотриманням законодавства про захист персональних даних та/або доступ до публічної інформації (ст. 2).

Відповідно до ст. 7 проєкту Закону Національна комісія є колегіальним органом, до складу якого входить сім членів, та яка набуває повноважень з моменту призначення більше половини її загального кількісного складу. Згідно зі ст. 13 проєкту Закону основною формою роботи Національної комісії є засідання, що проводяться не рідше одного разу на тиждень. Порядок організації роботи Національної комісії, зокрема проведення її засідань, визначається регламентом Національної комісії, що затверджується нею, та підлягає оприлюдненню на її офіційному веб-сайті. Рішення Національної комісії приймаються більшістю голосів від її загального складу. Засідання Національної комісії є правомочним, якщо в ньому бере участь не менше п’яти членів Національної комісії. Водночас запропонований механізм прийняття рішень може виявитись недієвим, неоперативним та неефективним у випадку, наприклад, блокування або ухилення від прийняття рішень. Також слід зауважити, що запровадження колегіальної форми прийняття рішень органом влади, який виконуватиме роль головного суб’єкта в адміністративних відносинах із впровадження регуляторної політики у сфері захисту персональних даних, є джерелом «розмивання» відповідальності посадових осіб за прийняття відповідних рішень та реалізацію державної політики в обраній сфері. Натомість одноосібному управлінню властива чіткість окреслення повноважень, а також персональна відповідальність керівника органу за прийняття тих чи інших рішень. Враховуючи вищевикладене, запровадження колегіальної форми прийняття рішень, наприклад про притягнення до відповідальності за порушення законодавства у сфері захисту персональних даних або доступу до публічної інформації, про зобов’язання суб’єкта контролю вчинити певні дії, про накладення на суб’єкта контролю штрафу тощо, може створити умови для реалізації корупційних ризиків і виявитись недієвим та неефективним. Рекомендації НАЗК: з метою уникнення запровадження потенційно недієвого та корупційно вразливого механізму колегіальної форми управління, невизначеності відповідальності за прийняті Національною комісією рішення доцільно запровадити форму правління на чолі з Головою, який прийматиме рішення та нестиме за них відповідальність, а в разі відсутності Голови чи неможливості здійснювати ним свої повноваження з інших причин – його заступниками відповідно до встановленого ним розподілу обов’язків.  

2. Суперечність між різними положеннями одного й того ж нормативно-правового акта або між положеннями різних нормативно-правових актів однакової юридичної сили у вирішенні одного й того ж питання, що допускає різне тлумачення норм

У ч. 2 ст. 5 проєкту Закону пропонується встановити, що нормативно-правові акти Національної комісії (крім нормативно-правових актів, які містять інформацію з обмеженим доступом), які відповідно до закону є регуляторними актами, розробляються, розглядаються та приймаються з урахуванням вимог Закону України «Про засади державної регуляторної політики у сфері господарської діяльності». Водночас п.п. 10 п. 3 розділу VІІІ «Прикінцеві та перехідні положення» проєкту Закону пропонується внести зміни до Закону України «Про засади державної регуляторної політики у сфері господарської діяльності» та встановити, що дія вказаного Закону не поширюється на здійснення регуляторної діяльності, пов’язаної з прийняттям актів Національної комісії з питань захисту персональних даних та доступу до публічної інформації. Вказані положення проєкту Закону насамперед порушують вимоги нормопроєктувальної техніки, оскільки суперечать одне одному. При цьому виведення з-під дії Закону України «Про засади державної регуляторної політики у сфері господарської діяльності» актів Національної комісії нівелює гарантії недопущення прийняття недоцільних та неефективних регуляторних актів, зменшення втручання держави у діяльність суб’єктів господарювання та сприятиме виникненню низки корупційних ризиків. Рекомендації НАЗК: виключити з проєкту Закону п.п. 10 п. 3 розділу VІІІ «Прикінцеві та перехідні положення».  

3. Встановлення або розширення дискреційних повноважень органу державної влади чи органу місцевого самоврядування, особи, уповноваженої на виконання функцій держави або місцевого самоврядування, за відсутності визначення вичерпних випадків, підстав, форм, строків, порядку здійснення таких повноважень, контролю за їх здійсненням та відповідальності за можливі зловживання під час їх здійснення

1) Проєктом Закону пропонується вивести регулювання з-під дії Закону України «Про основні засади державного нагляду (контролю) у сфері господарської діяльності» (далі – Закон про контроль) та запровадити нову, виключну із загальних правил процедуру здійснення державного контролю. Так, у ч. 2 ст. 45 проєкту Закону пропонується встановити підстави для проведення перевірок, якими, зокрема, є: звернення про порушення законодавства про захист персональних даних та/або доступ до публічної інформації; внесення перевірки до щорічного плану перевірок; отримання Національною комісією інформації про порушення законодавства про захист персональних даних та/або доступ до публічної інформації з відкритих джерел або в результаті моніторингу стану дотримання законодавства про захист персональних даних та/або доступ до публічної інформації, повідомлення контролером про витік персональних даних. Зі змісту зазначеного вбачається, що підставою для проведення перевірки може бути: будь-яке звернення незалежно від суб’єкта, включаючи малолітніх осіб та осіб, визнаних судом недієздатними або обмеженими у дієздатності, за аналогією зі ст. 22 проєкту Закону, якою визначено підстави для провадження Національної комісії; внесення перевірки до щорічного плану перевірок; власна ініціатива Національної комісії. Прийняття проєкту Закону у запропонованій редакції призведе до створення органу виконавчої влади із необґрунтовано широкими дискреційними повноваженнями щодо здійснення контрольних заходів за відсутності чітко регламентованих підстав для проведення таких заходів. Крім того, відсутність чітких підстав для проведення позапланових заходів державного контролю суб’єктів господарювання повністю нівелює та спотворює запроваджений в Україні механізм здійснення контрольних заходів, що, в свою чергу, може призвести до численних порушень прав суб’єктів господарювання, виникнення корупційних схем та корупційних правопорушень під час прийняття уповноваженими особами рішень про проведення таких заходів. Рекомендації НАЗК: привести проєкт Закону у відповідність до Закону про контроль у частині визначення вичерпного переліку підстав для проведення позапланових перевірок суб’єктів господарювання, виключивши при цьому власну ініціативу Національної комісії, а саме проведення перевірок з підстав отримання Національною комісією інформації щодо порушення законодавства про захист персональних даних та/або доступ до публічної інформації з відкритих джерел або в результаті моніторингу стану дотримання законодавства про захист персональних даних та/або доступ до публічної інформації (п. 3 ч. 2 ст. 45).   2) У ч. 2 ст. 45 проєкту Закону вказано, що однією з підстав для проведення перевірок є внесення перевірки до щорічного плану перевірок. При цьому у ч. 3 ст. 45 проєкту Закону пропонується встановити, що щорічний план перевірок затверджується Національною комісією та оприлюднюється на офіційному веб-сайті Національної комісії до 25 грудня року, що передує року, в якому будуть проводитися такі планові перевірки. При цьому дати запланованих перевірок не оприлюднюються та не повідомляються суб’єкту контролю завчасно. Положення проєкту Закону в частині неоприлюднення та неповідомлення суб’єкта контролю про дати запланованих перевірок не узгоджуються зі ст. 5 Закону про контроль, якою встановлено, що плани здійснення заходів державного нагляду (контролю) на наступний плановий період повинні містити дати початку кожного планового заходу державного нагляду (контролю) та строки їх здійснення. Відповідно до ст. 5 Закону про контроль річні плани здійснення планових заходів державного нагляду (контролю) на відповідний плановий період з урахуванням узгоджених дат початку та строків здійснення визначених у плані здійснення комплексних заходів державного нагляду (контролю) затверджують органи державного нагляду (контролю), оприлюднюють на своїх офіційних веб-сайтах та вносять відомості до інтегрованої автоматизованої системи державного нагляду (контролю) до 1 грудня року, що передує плановому. Запропоноване регулювання може призвести до того, що перевірка одних і тих самих суб’єктів господарювання фактично буде проводиться щорічно, а інші суб’єкти взагалі залишатимуться поза межами контролю. Також у проєкті Закону відсутні положення щодо періодичності проведення планових заходів державного контролю, що, в свою чергу, зводить нанівець запроваджений в Україні механізм здійснення контрольних заходів. Такі обставини, зрештою, призведуть до суттєвих порушень прав суб’єктів контролю, виникнення корупційних схем під час складення планів перевірки, а також встановлення періодичності таких перевірок щодо окремих суб’єктів на власний розсуд відповідальних осіб. Рекомендації НАЗК:

• у ч. 3 ст. 45 проєкту Закону друге речення «Дати запланованих перевірок не оприлюднюються та не повідомляються суб’єкту контролю завчасно» виключити;
• передбачити у проєкті Закону, що:

складення річних планів здійснення планових заходів державного контролю щодо суб’єктів господарювання відбувається відповідно до ст. 5 Закону про контроль та Вимог до оформлення річних та комплексного планів здійснення заходів державного нагляду (контролю), унесення змін до них та звіту щодо їх виконання, затверджених наказом Міністерства економічного розвитку і торгівлі України, Державної регуляторної служби України від 07.08.2017 № 1170/81; періодичність проведення планових заходів державного контролю  суб’єктів господарювання здійснюється залежно від ступенів ризику провадження господарської діяльності.   3) У ч. 7 ст. 46 проєкту Закону запроваджується регулювання, відповідно до якого перевірка проводитиметься без будь-якого спеціального рішення Національної комісії або направлення на її проведення за умови пред’явлення службового посвідчення інспекторами Національної комісії або уповноваженими працівниками Національної комісії. Інспектор або уповноважений працівник, керівник групи працівників, яка здійснює перевірку, складає довідку про початок перевірки, яка надається суб’єкту контролю при першій комунікації з ним. При цьому згода суб’єкта контролю на перевірку та присутність його керівника або уповноваженої особи під час проведення перевірки не обов’язкові. Крім того, інспектори та уповноважені представники Національної комісії, які безпосередньо здійснюватимуть перевірки, наділяються широкими дискреційними повноваженнями, які створюють суттєві ризики для зловживань службовим становищем, зокрема правом безперешкодно входити до приміщень контролерів, операторів персональних даних та розпорядників публічної інформації, а також правом на безперешкодний доступ до інформаційно-телекомунікаційних і довідкових систем, реєстрів, банків даних, у тому числі тих, що містять інформацію з обмеженим доступом, володільцем (адміністратором) яких є державні органи або органи місцевого самоврядування, юридичні особи, незалежно від форм власності, без завчасного повідомлення суб’єкта контролю. Модель правового регулювання здійснення контрольних заходів, запропонована у проєкті Закону, порушує загальноправовий принцип пропорційності – принцип, спрямований на забезпечення у правовому регулюванні розумного балансу приватних і публічних інтересів, відповідно до якого цілі обмежень прав мають бути істотними, а засоби їх досягнення обґрунтованими і мінімально обтяжливими для осіб, чиї права обмежуються. Рекомендації НАЗК: передбачити у проєкті Закону, що для здійснення планового або позапланового заходу: Національна комісія видає рішення, яке має містити найменування суб’єкта господарювання, щодо якого буде здійснюватися захід, та предмет перевірки; на підставі рішення Національної комісії оформляється посвідчення (направлення) на проведення заходу державного контролю, яке підписується Головою або членом Національної комісії із зазначенням прізвища, імені та по батькові і засвідчується печаткою; Національна комісія здійснює планові заходи з державного контролю за умови письмового повідомлення суб’єкта господарювання про проведення планового заходу не пізніш як за десять днів до дня здійснення цього заходу; перед початком здійснення заходу уповноважені особи Національної комісії зобов’язані пред’явити керівнику суб’єкта контролю  посвідчення (направлення) та службове посвідчення, що засвідчує посадову особу органу державного контролю, і надати суб’єкту господарювання копію посвідчення (направлення).   4) У ч.ч. 10, 11 ст. 46 проєкту Закону пропонується визначити строки проведення перевірок. Так, тривалість перевірки у сфері доступу до публічної інформації не може перевищувати 50 днів з моменту її початку. Тривалість перевірки у сфері захисту персональних даних не повинна перевищувати 180 днів з моменту її початку. Строк, протягом якого інспектори Національної комісії або уповноважені працівники Національної комісії можуть перебувати у приміщеннях суб’єкта контролю, не повинен сумарно перевищувати 30 днів. При цьому строк перевірки може бути продовжено у разі, якщо суб’єкт контролю не співпрацює з Національною комісією (п. 11 ст. 46). Водночас у проєкті Закону відсутні положення, які б розкривали зміст цього поняття та дій суб’єкта контролю, що можуть бути кваліфіковані як відмова у «співпраці» з Національною комісією. З огляду на вказане інспектори та уповноважені представники Національної комісії наділяються повноваженнями фактично на власний розсуд визначати тривалість проведення контрольних заходів у межах встановлених строків і більше, створюючи при цьому додатковий тиск та навантаження на суб’єктів контролю без необхідності будь-якого обґрунтування своїх дій. Такий підхід порушує правові та організаційні засади, встановлені Законом про контроль, яким, зокрема, визначено порядок здійснення державного нагляду (контролю) у сфері господарської діяльності, повноваження органів державного нагляду (контролю), їх посадових осіб і права, обов’язки та відповідальність як суб’єктів господарювання, так і уповноважених осіб під час здійснення державного нагляду (контролю). Рекомендації НАЗК: встановити строки проведення заходів контролю як суб’єктів господарювання, так і інших учасників правовідносин з урахуванням принципу об’єктивності та неупередженості шляхом їх зменшення; п. 11 ст. 46 проєкту Закону виключити.   5) У ч. 5 ст. 43 та ст. 44 проєкту Закону пропонується визначити розмір штрафу за невиконання рішення Національної комісії у частині зобов’язання вчинити дії у встановлений строк та відмови суб’єкта контролю та/або посадових (службових) осіб суб’єкта контролю від допуску до перевірки відповідно. Так, невиконання рішення у частині зобов’язання вчинити дії у встановлений строк тягне за собою накладення штрафу на фізичних осіб у розмірі від 20 тис. до 100 тис. грн, на юридичних осіб –  від 0,5% до 1% загального річного обороту такої юридичної особи за рік, який передує року винесення рішення Національної комісії, але не менше ніж 3 тис. неоподатковуваних мінімумів доходів громадян, тобто 51 тис. гривень. Кожне повторне невиконання рішення Національної комісії тягне за собою накладення штрафу у розмірі 200% від розміру раніше накладеного штрафу. Аналогічні розміри штрафів пропонується застосовувати й за відмову суб’єкта контролю та/або посадових (службових) осіб суб’єкта контролю від допуску до перевірки. Водночас у проєкті Закону відсутні підстави та випадки, від яких може залежати збільшення або зменшення розміру штрафу, що може призвести до неоднакового застосування на практиці одних і тих самих правових норм. Це, у свою чергу, створить умови для тиску на суб’єктів господарювання, діяльність яких є предметом перевірки, вимагання посадовими особами неправомірної вигоди з погрозою застосування заходів адміністративного стягнення з використанням владних повноважень або умисного створення умов, за яких особа вимушена надати неправомірну вигоду з метою запобігання шкідливим наслідкам своїм правам і законним інтересам. Отже, наділення регулятора повноваженнями самостійно обирати та встановлювати розмір штрафу за відсутності чітких та прозорих процедур його визначення створить ризики зловживання владою або службовим становищем відповідальними особами та, як наслідок, вчинення ними корупційних правопорушень. Рекомендації НАЗК: з метою мінімізації корупційних ризиків під час застосування до суб’єктів господарювання відповідальності у проєкті Закону необхідно визначити: розмір штрафів за вчинення вказаних правопорушень, співмірний із санкціями, що застосовуються в інших сферах правового регулювання та є аналогічні за своєю суттю; чіткі підстави для застосування тієї чи іншої суми штрафу з дотриманням принципу пропорційності, який ґрунтується на забезпеченні у правовому регулюванні адекватного балансу приватних та публічних інтересів, а цілі накладення штрафних санкцій є обґрунтованими та мінімально обтяжливими для осіб, що підпадатимуть під дію регулювання.  

6) Згідно з п. 4 ч. 1 ст. 20 проєкту Закону Консультативна рада при Національній комісії (далі – Рада) є консультативно-дорадчим органом при Національній комісії, одним із завдань якої є розробка пропозицій щодо рекомендацій суб’єктам контролю із зазначенням технічних та організаційних заходів щодо забезпечення безпеки обробки персональних даних.

Вказане положення фактично наділяє дорадчий орган повноваженнями розробляти пропозиції, які по суті матимуть не рекомендаційний, а обов’язковий характер для врахування суб’єктами контролю. Зазначене суперечить меті створення Ради як консультативно-дорадчого органу та наділяє її невластивими повноваженнями. Крім того, у ст. 21 проєкту Закону пропонується встановити, що за виконання завдань член Ради має право на винагороду, яка розраховується погодинно у розмірі 5 погодинних розмірів мінімальної заробітної плати, встановленої для працездатних осіб на 1 січня календарного року. Водночас така винагорода може бути встановлена лише особам, які не є державними службовцями та не одержують заробітної плати за рахунок коштів державного бюджету. Рекомендації НАЗК: п. 4 ч. 1 ст. 20 проєкту Закону виключити або встановити, що пропозиції Ради суб’єктам контролю мають рекомендаційних характер; передбачити, що положення ч. 1 ст. 21 проєкту Закону не поширюються на осіб, які обіймають посади державної служби в органі державної влади, іншому державному органі, його апараті (секретаріаті).  

4. Звуження змісту чи обсягу існуючих повноважень спеціально уповноважених суб’єктів у сфері протидії корупції

1) Відповідно до п. 5 ч. 2 ст. 8 проєкту Закону на посаду члена Національної комісії не може бути призначена особа, яка не пройшла спеціальної перевірки. Водночас з урахуванням вимог ч. 2 ст. 57 Закону України «Про запобігання корупції» (далі – Закон) для проведення спеціальної перевірки особа, яка претендує на зайняття посади, подає до відповідного органу, зокрема, письмову згоду на її проведення. Також згідно з абз. 2 ч. 1 ст. 57 Закону у разі ненадання особою такої згоди питання щодо призначення її на посаду не розглядається.     Рекомендації НАЗК: п. 5 ч. 2 ст. 8 проєкту Закону викласти у такій редакції: «не пройшла спеціальної перевірки або не надала згоди на її проведення»[1].   2) У п. 12 розділу VІІІ «Прикінцеві та перехідні положення» проєкту Закону пропонується примітку ст. 56 Закону доповнити словами «члена Національної комісії з питань захисту персональних даних та доступу до публічної інформації». Разом з тим законопроєкт не містить відповідних кореспондуючих змін до примітки до ст. 51³ Закону, що визначає перелік службових осіб, які займають відповідальне та особливо відповідальне становище та декларації яких підлягають обов’язковій повній перевірці. Рекомендації НАЗК: примітку до ст. 51³ Закону після слів «Голови Державного комітету телебачення і радіомовлення України» доповнити словами «Національної комісії з питань захисту персональних даних та доступу до публічної інформації».   3) У ч. 9 ст. 15 проєкту Закону встановлено, що інспектори Національної комісії зобов’язані, серед іншого, не брати участі у розслідуванні за повідомленням про порушення законодавства про захист персональних даних та доступ до публічної інформації та не проводити перевірки у разі наявності конфлікту інтересів відповідно до Закону України «Про запобігання корупції». Запропоноване формулювання не узгоджується із положеннями Закону щодо різних шляхів врегулювання конфлікту інтересів та встановлення особливостей врегулювання конфлікту інтересів виключно для визначеного переліку осіб. Загальні обов’язки стосовно запобігання та врегулювання конфлікту інтересів суб’єктів, на яких поширюються вимоги Закону, закріплені у ст. 28. Це, зокрема, зобов’язання повідомляти про наявність конфлікту інтересів безпосереднього керівника/Національне агентство з питань запобігання корупції, вжити заходів щодо врегулювання конфлікту інтересів тощо. Також у ст. 29 Закону визначено різні шляхи зовнішнього врегулювання конфлікту інтересів, одним із яких є усунення особи від виконання завдання, вчинення дій, прийняття рішення чи участі в його прийнятті в умовах реального чи потенційного конфлікту інтересів. Крім того, у ст. 28 Закону передбачено, що врегулювання конфлікту інтересів особи здійснюється безпосереднім керівником, який обирає спосіб врегулювання конфлікту з урахуванням його виду і тривалості. Так, наприклад, у разі застосування зовнішнього контролю за виконанням особою відповідного завдання, вчиненням нею певних дій чи прийняттям рішень службові повноваження здійснюються особою під зовнішнім контролем. У ст. 35¹ Закону передбачено окремий перелік категорій осіб[2], щодо яких особливості врегулювання конфлікту інтересів, що виник у їх діяльності, визначаються законами, які регулюють статус таких осіб. Рекомендації НАЗК: враховуючи те, що інспектори державних органів не визначені окремим переліком осіб, стосовно яких застосовуються встановлені законами особливості врегулювання конфлікту інтересів, необхідно передбачити у проєкті Закону норму щодо поширення на інспекторів Національної комісії загальних обов’язків із запобігання та врегулювання інтересів, визначених Законом.   Висновок:   проєкт Закону містить корупціогенні фактори та потребує доопрацювання з урахуванням наведених рекомендацій.     В.о. Голови Національного агентства з питань запобігання корупції                                         Роман СУХОСТАВЕЦЬ [1]  Аналогічні вимоги закріплені в п. 7 ч. 3 ст. 5 Закону України «Про запобігання корупції» до кандидатів на посаду Голови, заступника Голови Національного агентства з питань запобігання корупції. [2] Президент України, народні депутати України, члени Кабінету Міністрів України, керівники центральних органів виконавчої влади, які не входять до складу Кабінету Міністрів України, судді, судді Конституційного Суду України, голови, заступники голів обласних та районних рад, міські, сільські, селищні голови, секретарі міських, сільських, селищних рад, депутати місцевих рад.