Україна ігнорує вимоги ЄС щодо систем відеоспостереження в публічних місцях

В січні місяці цього року Європейська комісія, як вищий орган виконавчої влади Європейського союзу, підготувала пропозиції по введенню в країнах Євросоюзу заборони на використання систем розпізнавання осіб в громадських місцях терміном до 5-ти років. Про це на своїй сторінці повідомило агентство Reuters з посиланням на доповідь Єврокомісії, копія якого виявилася в розпорядженні агентства. У документі з 18 сторінок пояснюється, що тимчасове обмеження необхідно для підготовки законодавчої бази, яка виключає юридично спірні моменти. На вироблення способів запобігання зловживанням такими технологіями Єврокомісія пропонує виділити термін від трьох до п'яти років.

Єврокомісія вважає, що, можливо, доведеться посилити законодавство, тим самим посилити захист персональних даних європейців і їх прав на недоторканність приватного життя.

При цьому заборона, швидше за все, не торкнеться проектів в області безпеки або наукових досліджень, уточнюється в документі. Нові правила використання систем розпізнавання осіб будуть створені для розробників і користувачів.

 Планується, що країни Євросоюзу зобов'яжуть створити наглядові органи, які будуть здійснювати контроль за дотриманням законодавства в цій галузі. Єврокомісія перед прийняттям остаточного рішення вивчить думки всіх зацікавлених сторін.

На нашу думку, Україні до створення наглядового органу ще дуже далеко - наш законодавчо нормативний стан знаходиться на рівні початку 2008 року. Саме 25 січня 2008 року була прийнята резолюція Парламентською асамблеєю Ради Європи щодо «Відеоспостереження в публічних місцях». Даною резолюцією передбачено, що в країнах-членах Ради Європи на законодавчому рівні необхідно врегулювати питання застосування систем відеоспостереження в публічних місцях і, зокрема, визначити механізми і поняття щодо:

  • Збирання, обробка і збереження даних, отриманих під час відеоспостереження;
  • Суворо регулювати використання технічних можливостей з певними далекосяжними аспектами безперервного спостереження;
  • Визначити обмеження для встановлення устаткування і програмного забезпечення з функціями збільшення зображення з огляду на конкретне місце;
  • “Приватні зони” мають бути визначені законодавством і виключені з відеоспостереження за допомогою спеціалізованого програмного забезпечення;
  • Практика декодування записів відеоспостережень;
  • Право громадян знати про прохід через зону відеоспостереження і мати доступ до всіх записів із своїм зображенням.

До того ж Асамблея підкреслює, що співпраця між урядовими органами і неурядовими утвореннями (Громадськими організаціями) є важливою у сфері відеоспостереження і заохочує країни-члени розширити цю співпрацю. Уряди зобов'язані взаємодіяти з неурядовими організаціями, які повинні мати право контролювати об’єм і форму відеоспостереження.

Асамблея зазначає, що національні законодавства є неоднорідними в цій галузі і тому офіційно закликає країни-члени Ради Європи:

  • застосувати провідні принципи для захисту індивідуумів щодо збирання і обробки даних за допомогою відеоспостереження, прийняті Європейським комітетом з юридичного співробітництва Ради Європи в квітні 2003 року, та забезпечити їх дотримання якомога більш систематично;
  • накласти згідно із законом технічні обмеження для установки устаткування в залежності від кожного місця, що знаходиться під наглядом;
  • визначити “приватні зони”, які мають бути виключені із зони відеоспостереження законом, зобов’язуючи використовувати спеціальне програмне забезпечення;
  • забезпечити в їхньому законодавстві практику декодування даних відеоспостережень;
  • забезпечити доступ до засобів правового захисту у випадках можливого зловживання, пов'язаного з відеоспостереженням.

Тобто Україна, як член Ради Європи з 1995 року, ще в далекому 2008 повинна була внести зміни і розробити відповідні законодавчі і нормативні документи.

Нагадаємо, що 21 лютого 2019 року вступив в дію Закон України про зміни до Конституції щодо членства України в ЄС та НАТО. Цим документом були внесені зміни до Конституції України, якими закріплюється незворотність стратегічного курсу держави на набуття повноправного членства в Європейському Союзі та в Організації Північноатлантичного договору.

В більшості країн Європи питання впровадження, експлуатації, використання систем відеоспостереження врегульовано як технічними нормативними документами, так і законодавчими документами (Законами та інш.), які спираються на чисельні документи Європейського Парламенту, такі як:

  • Правила (ЄС) 2016/679 Європейського Парламенту та Ради від 27 квітня 2016р. «Про захист фізичних осіб стосовно обробки персональних даних та про вільне переміщення таких даних».
  • Конвенція Ради Європи №108 «Про захист осіб у зв’язку з автоматизованою обробкою персональних даних», яка ратифікована Законом України від 06.07.2010р. №2438-VI.
  • Керівні принципи щодо захисту осіб відносно збору та обробки даних засобами відеоспостереження, які затверджені Європейським Комітетом з питань правової співпраці (ЄКПС) Ради Європи на 78-их зборах 20-23 травня 2003р.
  • Генеральний регламент про захист персональних даних (General Data Protection Regulation, GDPR), введений Постановою Європейського Союзу (2016/679). За допомогою цієї Постанови Європейський парламент, Рада Європейського Союзу та Європейська комісія підсилюють і уніфікують захист персональних даних всіх осіб в Європейському Союзі (ЄС). Постанова спрямована перш за все на те, щоб дати громадянам ЄС контроль над власними персональними даними і на спрощення нормативної бази для міжнародних економічних відносин шляхом уніфікації регулювання в рамках ЄС, а також направлена на експорт даних з ЄС.

Постанова була прийнята 27 квітня 2016 року, набула чинності 25 травня 2018 року після дворічного перехідного періоду і, на відміну від директиви, не вимагає від урядів країн - учасниць ЄС ніяких змін в локальних законодавствах і, таким чином, є безпосередньо обов'язковим до виконання.

В багатьох державах базові аспекти щодо ведення відеоспостереження закладені в нормах конституційного права (Португалія) або спеціальних законах, наказах та інших рішеннях, ухвалених національними або державними органами (Бельгія, Нідерланди).

В деяких державах існують спеціальні положення, нормативні акти щодо обробки персональних даних в системах відеоспостереження. Згідно цих положень дозвіл на установку та розгортання систем відеоспостереження видає спеціально уповноважений на це адміністративний орган, який, в деяких випадках, може бути представлений національним органом з питань захисту персональних даних – у Франції компетентним органом є національний орган із захисту персональних даних (CNIL) з діючим законом «Про захист даних».

В інших державах питання обробки персональних даних в системах відеоспостереження регулюється загальним законодавством про захист персональних даних (Великобританія, Італія, Словенія, Македонія).

Наприклад, у Законі Словенії «Про захист персональних даних» п'ять статей присвячені регулюванню порядку здійснення відеоспостереження. Воно стосується, зокрема, питань щодо дозволу встановлення відеоспостереження тільки у виняткових випадках, коли це необхідно для забезпечення, наприклад, безпеки людей і їх власності; місць, де встановлювати відеоспостереження заборонено (громадських туалетах) тощо.

В Німеччині інформація по системам відеоспостереження регулюється Федеральним законом о захисті даних (Bundesdatenschutzgesetz) і, зокрема, Розділом 4 «Відеоспостереження за публічно доступними місцями» (глава 2), в якому говориться, що:

  • Якщо дані, зібрані в результаті відеоспостереження, відносяться до конкретної особи, ця особа повинна бути проінформована про обробку відповідно до статей 13 і 14 Регламенту (ЄС) 2016/679.
  • Повинні бути вжиті відповідні заходи для того, щоб системи відеоспостереження, а також найменування та контактні дані контролера були визначені як можна раніше.

У відповідності до інтерактивної карти - Європейський союз не визнає Україну (адекватною) країною з відповідним законодавству ЄС рівнем і застерігає, що передача даних в Україні повинна контролюватися засобами передачі і можлива за умови забезпечення достатнього і належного рівня захисту даних, а також повинна управлятися з використанням різних правових інструментів. Відповідно Україна не є членом  Європейської ради із захисту даних (EDPB) і наше законодавство не приведене у відповідність до «Генерального регламенту про захист персональних даних» (General Data Protection Regulation, GDPR).

В Україні використання систем відеоспостереження і, зокрема, механізми реалізації захисту персональних даних чітко не регламентовані ні на законодавчому, ні на нормативному рівні.

6 липня 2010 року Верховна Рада України ратифікувала Конвенцію про захист осіб у зв'язку з автоматизованою обробкою персональних даних та Додатковий протокол до Конвенції про захист осіб у зв'язку з автоматизованою обробкою персональних даних стосовно органів нагляду та транскордонних потоків даних, беручи таким чином зобов’язання імплементувати їх положення в національне законодавство України. 1 червня 2010 року Верховна Рада України прийняла Закон України «Про захист персональних даних», направлений на належну імплементацію згаданих європейських стандартів.

Проте, Закон України «Про захист персональних даних» від 01.06.2010р. не містить чітких норм щодо обробки персональних даних в системах відеоспостереження, і тому, з одногу боку, за сферою правового регулювання Закон нібито охоплює відносини, пов’язані з обробкою персональних даних в системах відеоспостереження, а з іншого, в реальному житті ігнорується.

За інформацією Публічних закупівель «Prozorro» (prozorro.gov.ua) в Україні місцевими органами самоврядування, за рахунок місцевих і територіальних бюджетів, масово проводяться закупівлі щодо систем відеоспостереження, встановлення яких відбувається в публічних місцях в рамках проектів «Безпечне місто». Найбільші після Києва системи встановлені в Одесі, Дніпрі, Львові та Харкові. Тим часом камери розміщують у себе і невеликі міста і селища, і навіть села. Очільники місцевих рад регулярно звітують про зростання муніципальних систем відеоспостереження, про розширення функціоналу та плани щодо їх подальшого поширення. Між тим їх впровадження і використання в більшості місць проводиться з порушенням не тільки вимог Європейських норм і стандартів, а і з порушенням Українського законодавства сфери містобудування.

В місті Києві впровадженням і експлуатацією комплексної системи відеоспостереження («Безпечне місто» Kyiv Smart Safe City) займається Комунальне підприємство "Інформатика" Київської міської державної адміністрації. Даним підприємством з 2019 року проводиться тестування і експлуатація апаратно-програмного модулю розпізнавання, який може розпізнавати обличчя і аналізувати зображення з камер.

До системи підключені камери, розташовані в місцях великого скупчення людей: в школах, метро, ​​лікарнях, дошкільних навчальних закладах. Загальна кількість вже встановлених камер відеоспостережень більше 7 тисяч. У київському метро в 2018 році було встановлено близько 200 камер з системою розпізнавання осіб.

Основним документом, яким регламентована діяльність системи відеоспостереження міста Києва, є «Положення про комплексну систему відеоспостереження міста Києва», яке затверджено Рішенням Київської міської ради від 5 липня 2018 року N 1195/5259. Не дивлячись на декларовану депутатами Київради і мером міста В. Кличко 100% направленість на євроінтеграцію, в даному документі чітко не враховано жодної основної вимоги нормативних документів ЄС щодо визначень - «приватних зон», право громадян на інформування та доступ до відеозображення. Так наявні пукти 3.2. та 3.3. «Положення» мають розмиті та законодавче невизначені терміни - «повага на особисте життя», «інформація», «поблизу засобів або об’єктів».

Натомість у відповідності п. 8.1. Положення Доступ до інформації в Системі надається:

  • Посадовим (службовим) особам та іншим працівникам місцевих органів виконавчої влади, органів місцевого самоврядування міста Києва.
  • Посадовим (службовим) особам правоохоронних органів та військових формувань (МВС, НПУ, СБУ, НГУ).
  • Посадовим (службовим) особам і працівникам суб'єктів охоронної діяльності (УДО, ліцензія МВС).
  • Посадовим особам Державної служби України з надзвичайних ситуацій.
  • Уповноваженим представникам Моторного (транспортного) страхового бюро України.
  • За неофіційними даними Посадові особи податкової міліції (в Положення не внесені).

Вже маються підтверджені кримінальними провадженнями факти «зливу» даних з системи відеоспостереження. Так в 2019 році встановлено, що один з операторів системи «Безпечне місто» передав за гроші інформацію про пересування першого заступника директора ГБР Ольги Варченко. У квітні 2019 року громадянин Киргизстану намагався установити вибуховий пристрій на машині співробітника Головного управління розвідки Міноборони Кирила Буданова. Щось пішло не так і вибухівка спрацювала, чоловік загинув. У матеріалах слідства вказано, що він дізнався про місце розташування машини з бази даних «Безпечне місто», доступ до системи йому надав родич із податкової міліції Києва. Пощастило, що в обох випадках вдалося запобігти злочину.

І при цьому зауважимо, що система відеоспостереження, яка на 100% побудована за рахунок бюджету міста Києва (податків киян), нормативно не регламентує механізму звернення та отримання відеозображення як для простих киян, так і для підприємств міста!

Чи все погано? – Ні! Впровадження систем відеоспостереження і відеоаналітики повинносуттєво знижувати рівень злочинності, і не тільки вуличної. Але незрозуміло, чому в Україні їх впровадження відбувається без відповідного чинного законодавства, чому кожна місцева адміністрація повинна видумувати свій «велосипед», і не тільки в нормативному полі, а і в суто технічнихпитаннях.

При цьому більшість керівників місцевих органів самоврядування і державних адміністрацій навіть не підозрюють, що гіпотетично наражають себе на правові позови і штрафи з боку громадян і підприємств Євросоюзу, у відповідності до підписаних Україною міжнародних і європейських угод та прийнятими міжнародними нормативними документами.

Так важливим моментом є те, що Генеральний регламент про захист персональних даних Європейського Союзу – (General Data Protection Regulation - GDPR) стосується не тільки країн - учасниць ЄС, а також будь-якої юридичної особи, яка обробляє персональні дані громадян ЄС. Безпосередньо вони стосуються і тих, хто обробляє дані, і тих, хто збирає дані. Той, хто збирає дані, визначає мету і значення обробки персональних даних, а той, хто обробляє, відповідає за безпосередню обробку даних, але обидва несуть відповідальність за дотримання норм GDPR. За невиконання норм закону накладається штраф до 20 000 000 євро або до 4% від річного світового обороту компанії за попередній фінансовий рік, в залежності від того, що більше.

Окремої уваги вимагають дослідження організаційно-технічної побудови комплексної системи відеоспостереження та інформаційно-телекомунікаційної системи в містах України і їх відповідність чинним законодавчим і нормативним документам, особливо в питанні містобудування.

З приводу висвітлених питань, пов’язаних з темою відеоспостереження в публічних місцях, робоча група прийняла рішення направили запити і інформацію до Державних органів України а також Офісу Ради Європи в Україні. Будемо чекати відповідей і в подальшому інформувати. 

Робоча група Громадської організації «Всеукраїнське Об’єднання Спеціалістів Безпеки»