Новий закон про захист персональних даних в Україні: що очікувати

Новий закон про захист персональних даних в Україні: що очікувати
Наразі в Україні готується оновлення законодавства щодо захисту персональних даних, яке має посилити українське законодавство в сфері захисту приватності, а також адаптувати його до європейських вимог та стандартів. При цьому, варто врахувати, що тенденція оновлення законодавчих норм, так чи інакше, очікує всі сфери права в нашій державі, в контексті неминучого вступу України до Європейського Союзу. Наразі, запропоновані зміни в сфері захисту персональних даних відображаються в проекті Закону про захист персональних даних, зареєстрованого під № 8153 та проекту Закону про Національну комісію з питань захисту персональних даних та доступу до публічної інформації, зареєстрованого під № 6177.
Проблематика захисту персональних даних в Україні.
Не секрет, що норми, спрямовані на захист приватності та персональних даних в Україні, а також заходи, що забезпечують виконання цих норм, не витримують будь якої критики та бажають вдосконалення, адже держава, «фактично», жодним чином не здійснює контроль за захистом персональних даних фізичних та не впроваджує заходи впливу на порушників. Яскравим прикладом «безладу» в цій сфері є той факт, що органом, який повинен здійснювати контроль за захистом персональних даних в Україні є Уповноважений Верховної Ради з прав людини, в той час як в європейських державах такими питаннями займаються окремо створені державні органи, в яких працюють спеціалісти відповідного спрямування та з відповідним досвідом. Саме ці факти, на ряду з іншими, які ми не будемо розписувати в деталях в цій статті, стають перепоною для реалізації надійної політики захисту даних в Україні, а також стимулюють недобросовісних «гравців» бізнесу зловживати можливістю безкарно використовувати приватні дані фізичних осіб на власний розсуд.
Окрім цього, потрібно зазначити, що межі відповідальності, наприклад і у вигляді штрафів, які встановлені поточним законодавством, є абсолютно недієвими та ніяким чином не можуть вплинути на те чи інше діяння у сфері захисту персональних даних. Так, наприклад, недодержання встановленого законодавством про захист персональних даних порядку захисту персональних даних, що призвело до незаконного доступу до них або порушення прав суб’єкта персональних даних, тягне за собою накладення штрафу на громадян від 1 700 до 8 500 грн. Наприклад, не потрібно проводити глибокий аналіз дієвості таких меж відповідальності, щоб зрозуміти, що компанія, яка може продати базу персональних даних великої кількості осіб для розсилки спаму, навіть не зверне уваги на таку норму.
Національна комісії з питань захисту персональних даних: що це таке
У відповідності із проектом Закону про Національну комісію з питань захисту персональних даних та доступу до публічної інформації, пропонується створити новий орган, який би здійснював контроль за дотриманням законодавства про захист персональних даних, а також забезпечував притягнення суб’єктів до відповідальності за порушення відповідного законодавства. На це орган планується покласти певні права та обов’язки, які б дозволили державі Україна забезпечити належний рівень організації захисту персональних даних фізичних осіб на державному та міжнародному рівнях.
Запропоновані ключові зміни в Законі про захист персональних даних
Для зручності адаптації засад захисту персональних даних в Україні до європейських норм, в проекті нового Закону про захист персональних даних № 8153, можна відстежити наступні зміни:
- Уточнення та синхронізація термінології. Замість існуючих термінів (наприклад, таких як «Володілець персональних даних» та «Розпорядник персональних даних»), законодавці пропонують вживати «Контролер персональних даних» та «Оператор персональних даних», відповідно. Окрім того, вводяться нові визначення, які мають значно покращити синхронізацію нового закону з положеннями європейських нормативних актів. Так, наприклад, вводять такі терміни як «псевдонімізація», «прямий маркетинг», та «профілювання». На додачу до цього, законодавці пропонують деталізувати саме визначення персональних даних, та розширити його, долучивши такі терміни як «біометричні дані», «генетичні дані», «дані про стан здоров’я».
- Деталізація прав суб’єктів персональних даних. Розглядаючи проект закону № 8153 варто відмітити, що в ньому значно чіткіше визначаються права, які надаються фізичним особам, чиї персональні дані обробляються. Ознайомлюючись із визначенням кожного окремого права, мимоволі проводиш аналогії з подібним переліком, визначеним в Загальному регламенті із захисту даних («GDPR») і знаходиш багато спільного. Так, наприклад, в діючому законі перелік прав лише перерахований, в той час як в проекті нового закону вже можливо простежити деталізацію обов’язків контролера щодо реалізації кожного окремого права. Окрім цього, проект нового закону передбачає визначення нових, раніше не вказаних прав. Вони включають право на забуття, право на заперечення, право на обмеження обробки, право на мобільність персональних даних, право на захист від автоматизованого прийняття рішення, та право на обмеження обробки персональних даних.
- Деталізація підстав для обробки персональних даних. Проект нового закону дозволяє чітко ознайомитися з переліком підстав для збору та обробки персональних даних. При цьому, кожна з підстав в деталях інформує контролера про його обов’язки при виборі конкретної підстави. Так, наприклад, проект закону значно ширше розкриває поняття «згода» та випадка, коли ця підстава повинна застосовуватися. Окрім того, розписується сутність згоди та випадки, коли згода може бути визнана незаконною та не відображати реальної волі суб’єкта персональних даних.
- Передача персональних даних до третіх країн. За аналогією з GDPR, в Україні планується надати повноваження Національній комісії з питань захисту персональних даних та доступу до публічної інформації щодо визначення переліку осіб, які забезпечують належний рівень захисту даних. Персональні дані зможуть бути безперешкодно передані саме до цих країн, враховуючи інші положення нового законодавства. Окрім цього, новий проект закону передбачає і інші випадки, коли дані можуть бути передані до третіх країн. Так, наприклад, це може бути зроблено, коли контролер та/або оператор надав належні гарантії захисту персональних даних, або ж є затверджені обов’язкові корпоративні правила у відповідності до вимог нового закону. Щодо корпоративних правил, то це також нова норма, яка відображає собою вимоги GDPR щодо можливості розробки та впровадження групою компаній так званих Binding Corporate Rules (BCRs).
- Відповідальність та штрафні санкції. Окремої уваги заслуговує питання відповідальності та штрафних санкцій, які будуть застосовуватися до суб’єктів, у разі порушення законодавства про захист даних. На відміну від норм, які діють наразі, проект закону передбачає обов’язок для контролерів та операторів впроваджувати технічні та організаційні заходи для гарантування приватності та захисту персональних даних. Разом з тим, для можливості синхронізувати природу обов’язків контролера, в контексті необхідності вживання певних заходів при виявленні порушення, із аналогічними вимогами в європейському законодавстві, проект закону передбачає обов’язок контролера повідомляти про порушення контролюючий орган не пізніше, ніж за 72 години після того, як йому стало відомо про порушення безпеки персональних даних, крім випадків, якщо порушення безпеки персональних даних малоймовірно може призвести до ризику для прав та свобод фізичної особи. Також, у разі наявності високого ризику, в результаті порушення для прав та свобод фізичної особи, контролер буде зобов’язаний повідомити про порушення безпеки даних суб’єкта персональних даних. Повертаючись до штрафних санкцій, то нарешті українські законодавці звернули увагу на недостатність теперішніх розмірів штрафних санкцій та запропонували встановити штрафи за порушення законодавства у сфері захисту персональних даних в розмірі від 10 тисяч гривень до 150 мільйонів гривень, або від 0,05 % до 8% загального річного обороту юридичної особи.
Підсумок
Наразі обидва проекти законів перебувають в процесі розгляду, але вже найближчі роки нам варто очікувати зміни в законодавстві, які значно змінять правила збирання, обробки та іншого використання персональних даних. Раніше, представники українського бізнесу хвилювалися за можливість відповідати вимогам GDPR, але скоро варто буде подбати і про відповідність новим законам України.


