Нові правила захисту даних в Україні: відповідальність та штрафи

29 января 2025

Розробляючи проект Закону про захист персональних даних 8153, законодавці, окрім вдосконалення регулювання правових відносин, пов’язаних із захистом і обробкою персональних даних, з метою забезпечення прав людини на захист персональних даних та повагу до особистого і сімейного життя, також розглядають нові правила притягнення до відповідальності осіб за порушення правил обробки та захисту даних.

Загальна відповідальність

Згідно чинного законодавства України, вчинення правопорушень у сфері захисту персональних даних тягне за собою відповідальність, передбачену цим Законом та іншими законами України.

Враховуючи, що проект Закону про захист персональних даних 8153 («Проект 8153») передбачає введення таких нових понять як «Контролер» та «Оператор», виникла і необхідність у розмежуванні їхньої відповідальності. Однак, при цьому, слід зауважити, що Проект 8153 також передбачає, що до відповідальності передбаченої законодавством України можуть бути притягнені як контролери так і оператори персональних даних.

Відповідальність Контролера. Контролер буде нести відповідальність за дотримання таких принципів як законність, добросовісність та прозорість, які передбачають, що персональні дані повинні оброблятись на підставах, передбачених законодавством України та у спосіб, що передбачає належну поінформованість суб’єкта персональних даних про обробку його персональних даних, крім випадків, передбачених цим Законом, з метою забезпечення усунення непередбачуваного для суб’єкта персональних даних негативного впливу на нього від обробки персональних даних.

Відповідальність Оператора. Оператор, в свою чергу, буде нести відповідальність тоді, коли він не буде дотримуватися обов’язків відповідно до законодавства України, спрямованих безпосередньо на оператора, або якщо оператор діє всупереч законним вказівкам контролера. В цьому випадку мова йде не лише про оператора, який безпосередньо залучається контролером, а про всіх інших операторів, які залучаються оператором далі по логічному ланцюжку. Якщо залучений оператор не буде виконувати покладених на нього обов’язків з захисту персональних даних, відповідальність за порушення ним зобов’язань перед контролером буде нести оператор, який здійснив залучення.

Штрафи

 За аналогією до європейського законодавства щодо захисту персональних даних, українські законодавці пропонують переглянути загальний підхід до відповідальності за порушення умов з обробки персональних даних, що полягає в застосуванні санкцій не тільки у відповідності з кримінальним кодексом та кодексом адміністративних правопорушень, а санкцій, які описані безпосередньо в проекті нового закону. Мова йде про визначення чітких граничних розмірів штрафів, які встановлюються в Проект 8153 та які описані нижче.

1. Пропонується стягувати від 10 000 до 30000 гривень, на юридичних осіб в розмірі від 0,05% до 0,1% загального річного обороту такої юридичної особи але не менше ніж 30 000 гривень за кожне окреме порушення вимог закону, якщо це не призвело до порушення прав суб’єктів персональних даних, зокрема в частині недотримання вимог, пов’язаних з:

  • принципами обробки персональних даних;
  • підставами для обробки персональних даних;
  • отриманням згоди на обробку персональних даних;
  • здійсненням відеоспостереження, що передбачає обробку персональних даних;
  • обробкою персональних даних в результаті аудіо, відео або фото фіксації публічних заходів;
  • недотриманням мети обробки персональних даних;
  • використанням технологій відстеження дій суб’єктів персональних даних у електронних комунікаціях та сервісах;
  • реалізації своїх законних прав суб’єктами персональних даних;
  • захистом персональних даних за проектуванням та за замовчуванням;
  • здійсненням обробки персональних даних спільними контролерами;
  • залученням оператора;
  • здійсненням обробки персональних даних за дорученням контролера або оператора;
  • співпрацею з контролюючим органом.

2. Штраф на фізичних осіб в розмірі від 30 000 до 100000 гривень, на юридичних осіб в розмірі від 0,5% до 1% загального річного обороту такої юридичної особи але не менше ніж 100 000 гривень, пропонується стягувати за кожне окреме порушення закону, якщо це не призвело до порушення прав суб’єктів персональних даних, зокрема в частині недотримання вимог, пов’язаних з:

  • обробкою персональних даних з метою прямого маркетингу, передвиборної агітації та/або політичної реклами;
  • наданням інформації суб’єкту даних інформації про те як його персональні дані будуть оброблюватися;
  • правом суб’єкта персональних даних на доступ до персональних даних;
  • правом на захист від автоматизованого прийняття рішення; а також
  • принципами обробки персональних даних;
  • підставами для обробки персональних даних;
  • отриманням згоди на обробку персональних даних;
  • здійсненням відеоспостереження, що передбачає обробку персональних даних;
  • обробкою персональних даних в результаті аудіо, відео або фото фіксації публічних заходів;
  • недотриманням мети обробки персональних даних;
  • використанням технологій відстеження дій суб’єктів персональних даних у електронних комунікаціях та сервісах;
  • реалізації своїх законних прав суб’єктами персональних даних;
  • захистом персональних даних за проектуванням та за замовчуванням;
  • здійсненням обробки персональних даних за дорученням контролера або оператора
  • реєстрацією операцій з обробки персональних даних.

3. Також, пропонується застосовувати накладення штрафу на фізичних осіб в розмірі від 100 000 до 300 000 гривень, на юридичних осіб в розмірі від 3% до 5% загального річного обороту такої юридичної особи але не менше ніж 300 000 гривень за кожне окреме порушення закону, якщо це не призвело до порушення прав суб’єктів персональних даних, зокрема в частині недотримання вимог, пов’язаних з:

  • обробкою чутливих персональних даних;
  • обробкою  персональних даних, пов’язаних з притягненням до кримінальної відповідальності, правопорушень, кримінальних проваджень та судимості, а також пов’язаних із цим заходів безпеки;
  • обробкою біометричних даних суб’єктами владних повноважень;
  • призначенням представника контролера або оператора;
  • повідомленням контролюючого органу про порушення безпеки персональних даних;
  • повідомленням суб’єкта персональних даних про порушення безпеки персональних даних
  • призначенням відповідальної особи з питань захисту персональних даних
  • передачею персональних даних на територію іноземної держави або міжнародній організації;
  • обробкою персональних даних працівників або кандидатів на працевлаштування роботодавцем.

Окрім штрафних санкцій, які описані вище, Проект 8153 передбачає збільшення розміру штрафу, що визначається в розмірі від 10 000 до 100000 або від 0,5% до 1% загального річного обороту  юридичної особи але не менше ніж 100 000 гривень, на 30% за порушення інших положень закону, відповідальність за порушення яких конкретно не описана в Проекті 8153.

Додатково, за кожне повторне порушення вимог закону, вчинене упродовж року, передбачається накладення штрафу у розмірі двохсот відсотків від розміру раніше накладеного штрафу.

Варто також наголосити, що загальні розміри штрафів, передбачених Проекті 8153, для юридичних осіб, в залежності від ступеня порушення вимог законодавства у сфері захисту персональних даних, не можуть перевищувати п’ятдесят мільйонів гривень або до 3% загального річного обороту такої юридичної особи за останній звітний рік, що передував року, в якому накладається штраф, (2) дев’яносто мільйонів гривень або до 5% загального річного обороту такої юридичної особи за останній звітний рік, що передував року, в якому накладається штраф, та (3) сто п’ятдесят мільйонів гривень або до 8% загального річного обороту такої юридичної особи за останній звітний рік, що передував року, в якому накладається штраф.

Відшкодування збитків

Окрім санкцій, які покладає на контролерів та операторів держава, також варто мати на увазі, що суб’єкт персональних даних має право на відшкодування матеріальної та/або моральної шкоди, завданої в результаті порушення його прав, передбачених законодавством про захист персональних даних. Так, у відповідності з положеннями Проекту 8153, суб’єкт персональних даних має право звернутись із скаргою на порушення його прав, передбачених цим Законом або порушення будь-яких положень цього Закону до контролюючого органу або до суду та вимагати відшкодування матеріальної та/або моральної шкоди, завданої в результаті порушення його прав.

Обов’язок щодо відшкодування матеріальної та/або моральної шкоди може покладатися як на контролера так і оператора і при цьому слід зауважити, що контролер, який відшкодував суб’єкту персональних даних шкоду, завдану діями оператора персональних даних, має право вимагати від такого оператора відшкодування в порядку регресу.

Висновок

Нові умови обробки персональних даних, які законодавці пропонують імплементувати в новому законі можуть мати суттєве значення для компаній, які здійснюють обробку персональних даних в Україні. Це може стосуватися як резидентів, так і не резидентів України. Разом з тим, штрафні санкції, хоч і не йдуть в порівняння із розмірами санкцій, які передбачаються європейським законодавством, можуть мати катастрофічні наслідки для життєдіяльності бізнесу.

Розробка надійної програми приватності в середині компанії, враховуючи положення поточного та оновленого законодавства в сфері захисту персональних даних, може стати запорукою успішної відповідності компанії всім нововведенням, які можуть бути прийнятими та почати діяти в Україні.