Фігурант розслідування вимагає прибрати про себе матеріал, посилаючись на “право бути забутим”. Чи має редакція підкоритися? Відповідь дають європейські норми GDPR, EMFA і практика ЄСПЛ. І для якісної журналістики вона складається сприятливіше, ніж здається.
Глобалізація та цифрові технології змінили медіаринок і вивели українські новинні сайти й розслідувальні платформи за межі суто національного права. Європейська інтеграція, статус кандидата на вступ до ЄС і перехід редакцій на західні моделі фінансування перетворили Загальний регламент про захист даних (GDPR) з далекого іноземного документа на щоденну правову реальність.
Захист персональних даних більше не є технічним питанням для IT-відділу. Це правовий виклик для самої редакції. Європейські стандарти приватності не діють окремо – вони накладаються на українське законодавство і практику ЄСПЛ. Виникає складна система противаг: інструменти, якими сайт заробляє на життя, починають диктувати правила збору інформації, а право на приватність стикається зі свободою слова й обов’язком медіа інформувати суспільство про важливі події.
Коли українське медіа стає суб’єктом GDPR?
Точкою входу GDPR в українську редакцію є інструменти, якими новинний сайт живе: cookie, підписки та донати. Помилково вважати, що медіа без юридичної особи в ЄС вільне від регламенту. Стаття 3(2) GDPR встановлює принцип екстериторіальності, згідно з яким під дію європейських правил підпадає будь-яка організація поза межами Союзу, якщо вона пропонує товари чи послуги суб’єктам даних у ЄС або відстежує їхню поведінку в межах спільноти.
Для класичного новинного сайту цей зв’язок виникає двома шляхами – через моніторинг поведінки читачів і через цільову монетизацію. Коли редакція ставить аналітичні трекери й cookie, що профілюють відвідувачів з європейськими IP-адресами для таргетованої реклами, вона прямо моніторить поведінку. Коли запроваджує платні підписки чи збирає донати через Patreon, Buy Me a Coffee або пряму еквайрингову інтеграцію – і робить це з прицілом на європейського користувача, – вона активує дію GDPR. Англомовна чи польська версія сайту, ціни в євро, маркетинг на закордонну діаспору – будь-що з цього може надати медіа статус контролера даних. А отже, потрібні чесні cookie-банери з реальним правом вибору, детальна політика конфіденційності та захист даних на рівні технічної інфраструктури.
“Право бути забутим”: де насправді проходять межі захисту архівів
Статус контролера даних змушує редакцію відповідати на правові вимоги читачів і фігурантів публікацій. Найгострішим інструментом тут є право на стирання, або “право бути забутим” (стаття 17 GDPR). Українські редакції вже стикаються з вимогами фігурантів розслідувань прибрати згадки про них з покликанням на європейські стандарти приватності. Так само проєкт спірного Цивільного кодексу намагається інтегрувати таку норму “про забуття” напряму в українське законодавство.
Право на забуття не є абсолютним. Стаття 17(3) GDPR прямо виключає його там, де оброблення потрібне для свободи вираження поглядів та інформації. В українському праві баланс тримають стаття 32 Конституції (допускає поширення інформації про особисте життя в інтересах національної безпеки) і частина 3 статті 30 Закону “Про інформацію” (звільняє від відповідальності за оприлюднення суспільно необхідних відомостей). Закон “Про медіа” дає фігурантові право на відповідь і спростування, але не право вимагати видалення правдивого матеріалу.
Проте було б помилкою вважати цифровий архів даних недоторканним за самим лише визначенням. Тут визначальною є практика ЄСПЛ, яка в Україні є джерелом права. Загальний тест балансу інтересів суд сформулював ще в справі “Аксель Шпрінгер АГ проти Німеччини”: враховуються внесок матеріалу в суспільно важливу дискусію, публічність особи (політики та посадовці мають значно нижчий поріг очікування приватності, ніж пересічні громадяни), добросовісність журналістів і спосіб отримання інформації.
Спеціально для цифрових архівів орієнтиром є рішення Великої палати в справі “Юрбен проти Бельгії” (Hurbain v. Belgium) від 4 липня 2023 року – і воно радше застерігає, ніж заспокоює. Суд не знайшов порушення статті 10 конвенції, тобто підтримав наказ бельгійського суду анонімізувати ім’я особи в електронному архіві газети Le Soir. Йшлося про правомірно опубліковану ще 1994 року статтю про водія, винного в смертельній ДТП. Це перший випадок, коли ЄСПЛ визнав припустимою зміну правомірно опублікованого журналістського матеріалу заради “права бути забутим”.
Велика палата виробила окремий набір критеріїв саме для архівів: характер заархівованої інформації; час, що минув від подій і від першої та онлайн-публікації; актуальний суспільний інтерес до матеріалу; публічність особи та її поведінка після подій; негативні наслідки тривалої доступності інформації онлайн; ступінь доступності матеріалу в архіві та вплив самого заходу на свободу преси. Вирішальними в справі стали два чинники: спливло близько двадцяти років, а особа була реабілітована й мала законний інтерес повернутися до нормального життя без вічного нагадування про минуле.
Що це означає для української редакції на практиці? Баланс залежить від конкретики, але для розслідувальної журналістики він складається сприятливо. Коли матеріал стосується чинного посадовця, є актуальним, суспільно значущим і ґрунтується на правдивих фактах, вимога “бути забутим” майже завжди програє: публічна особа, поточний інтерес і нещодавні події – це саме ті чинники, що знімають претензію. Водночас справа “Юрбен” показує зворотний бік: стара публікація про приватну особу, яка давно реабілітувалася, за певних умов може підлягати анонімізації. Тому правильна стратегія редакції – не покладатися на гасло про “недоторканність архіву”, а в кожному спірному випадку проходити тест балансу й документувати суспільний інтерес до матеріалу. Важливо й те, що суд веде мову про анонімізацію як найменш руйнівний захід, а не про видалення статті й не вимагає від медіа постійно ревізувати власні архіви.
Як GDPR та національне право змінюють повсякденну роботу розслідувача
Захист уже опублікованого архіву – це один бік справи. Інший – сам процес створення матеріалу, де розслідувач найглибше працює з чутливими персональними даними. Стаття 85 GDPR зобов’язує держави передбачити “журналістський виняток”, що є правом відступати від загальних правил оброблення заради свободи слова. В Україні це віддзеркалено в частині 2 статті 25 Закону “Про захист персональних даних”: збирати й використовувати відомості без згоди особи можна, якщо це робиться виключно для журналістських цілей.
Попри ці пільги, поєднання європейських і національних норм змінює саму культуру роботи розслідувальних команд. Акцент зміщується на цифрову гігієну й мінімізацію даних. Але декларацій уже не досить – і тут вступає Європейський акт про свободу медіа (EMFA), який задає значно жорсткіші стандарти безпеки.
Захисту джерел EMFA присвячує окрему статтю 4 й чи не найбільшу частину преамбули з докладним обґрунтуванням. Логіка проста: будь-яке втручання, здатне прямо чи опосередковано розкрити журналістське джерело або конфіденційне листування, загрожує не лише конкретному журналістові, а й вільному обігу інформації загалом. Без надійного захисту руйнуються довірчі відносини між журналістом та інформатором, а це має стримувальний ефект на всю розслідувальну журналістику й погіршує доступ суспільства до важливих фактів.
Коли EMFA і GDPR діють одночасно, обов’язок захистити джерело перетворюється з абстрактного професійного стандарту на конкретну вимогу цифрової безпеки. Будь-який витік із серверів чи робочих комп’ютерів редакції за GDPR кваліфікується як серйозне порушення, тож технічний захист стає єдиним реальним способом виконати вимоги EMFA. На практиці це означає наскрізне шифрування, захищені локальні сховища для первинних документів і жорстке обмеження кола людей у редакції, які мають доступ до сирих матеріалів.
Готуючи матеріал до публікації, журналіст дотримується принципу мінімізації даних, тобто зважує приватність проти права суспільства знати правду. Згадки про імена посадовців і суми їхніх корупційних активів зазвичай виправдані суспільним інтересом. Водночас оприлюднення домашніх адрес їхніх родичів, приватних номерів телефонів чи незаретушованих копій паспортів – шкодить безпеці третіх осіб і порушує закон. Надлишкові дані, що не стосуються суті розслідування, треба анонімізувати або прибрати ще до виходу матеріалу.
Висновки
GDPR, EMFA, національне законодавство і практика Страсбурга утворюють для українського новинного сайту єдиний наскрізний правовий ланцюг. Розглядати європейські правила приватності як набір окремих інструкцій не вийде. Фінансові й маркетингові інструменти платформи неминуче підпорядковують її загальноєвропейським вимогам. Ці вимоги разом з тестом балансу ЄСПЛ дають редакціям інструментарій, щоб відстояти суспільно важливі матеріали, але водночас вимагають оцінювати кожен спірний архівний випадок окремо, а не апелювати до недоторканності архіву взагалі. Ті самі принципи, посилені вимогами EMFA щодо захисту інсайдерів, змушують розслідувачів переглядати підходи до цифрової гігієни й мінімізації даних перед публікацією.
Для українських медіа відповідність стандартам GDPR та EMFA – це не зайвий регуляторний тягар і не формальний комплаєнс, а свідчення інституційної зрілості та професійної спроможності. У світі, де інформація є водночас і зброєю, і найвразливішим активом, здатність редакції балансувати між суспільним інтересом і повагою до приватності стає ключовим маркером якості. Ці європейські принципи не обмежують свободу слова – вони захищають саме медіа від судових позовів, спрощують інтеграцію в глобальний ринок і допомагають створити безпечне середовище для журналістів-розслідувачів. Висока правова й цифрова культура стає головною конкурентною перевагою в сучасному медіапросторі.
Петро Стойнов, Володимир Зеленчук, юристи Інституту масової інформації
