Закон України від 1 червня 2010 року № 2297-V «Про захист персональних даних» (далі — Закон № 2297) — це невеликий за обсягом нормативний акт, який хоча і містить основні «правила гри» (такі як необхідність отримання згоди суб’єкта персональних даних на їх обробку, загальні та особливі вимоги до обробки персональних даних, права суб’єкта персональних даних (в тому числі на отримання інформації про обробку його даних), правила транскордонної передачі персональних даних та ін.), але дієвого механізму належного захисту персональних так і не створив.
Зокрема, відповідно до статті 22 Закону № 2297 контроль за додержанням законодавства про захист персональних даних здійснюють Уповноважений Верховної Ради України з прав людини та суди. Варто згадати, що до 2014 року уповноваженим державним органом з питань захисту персональних даних була нині ліквідована Державна служба України з питань захисту персональних даних, яка була замінена на омбудсмана у зв’язку з недостатнім рівнем незалежності.
На жаль, зазначені органи так і не змогли створити ефективну систему захисту. Не в останню чергу це пояснюється недостатнім рівнем відповідальності за порушення у сфері поводження з персональними даними. Так, основний вид відповідальності — відносно незначні штрафи, передбачені статтею 188-39 Кодексу України про адміністративні правопорушення (далі — КпАП), максимальний розмір яких наразі — 34 тис. грн. І хоча статтею 182 Кримінального кодексу України також передбачено кримінальну відповідальність за незаконне збирання, зберігання, використання, знищення, поширення конфіденційної інформації про особу або незаконна зміна такої інформації, практика її застосування неоднозначна. До того ж, така кримінальна відповідальність загрожує тільки фізичним, а не юридичним особам.
Підписавши Угоду про асоціацію з Європейським Союзом, Україна погодилася на співробітництво з ЄС з метою забезпечення належного рівня захисту персональних даних відповідно до найвищих європейських та міжнародних стандартів, зокрема відповідних документів Ради Європи, як це передбачено статтею 15 Угоди.
Відповідно до статті 11 ратифікованої в лютому 2017 року Угоди про співробітництво між Україною та Європейською організацією з питань юстиції, кожна її сторона гарантує рівень захисту персональних даних, наданих іншою стороною, принаймні еквівалентний тому, що випливає із застосування принципів, що містяться у Конвенції Ради Європи про захист осіб у зв’язку з автоматизованою обробкою персональних даних від 28 січня 1981 року і наступних змін до неї, а також принципів, закладених у Рішенні щодо Євроюсту та у Регламенті Євроюсту щодо захисту даних.
Взяття Україною на себе відповідних міжнародних зобов’язань пожвавило дискусію щодо необхідності впровадження в Україні нових стандартів захисту персональних даних. До того ж, з травня 2018 року в Європейському Союзі почав застосовуватися Загальний регламент про захист персональних даних (General Data Protection Regulation, GDPR). Він не тільки суттєво підняв планку захисту персональних даних в державах-членах ЄС, але і, за певних умов, передбачив можливість застосування встановлених ним санкцій до бізнесу поза межами ЄС, в тому числі українського.
GDPR
У порівнянні із Законом № 2297, GDPR — об’ємний та детальний документ, який пропонує новий рівень захисту персональних даних та відповідальності за порушення у цій сфері.
Серед основних його положень можна відзначити:
— забезпечення законної, справедливої та прозорої обробки персональних даних. Тобто обробка даних повинна здійснюватися із законною метою, а суб’єкти персональних даних повинні бути поінформовані про дії щодо обробки їх даних;
— обмеження цілей обробки даних, їх обсягу та зберігання. Тобто збиратися та оброблятися повинні лише ті дані, які дійсно необхідні, а після досягнення мети обробки відповідні дані повинні бути видалені;
— наявність широких прав у суб’єктів персональних даних. Зокрема, зазначені суб’єкти мають право отримувати від бізнесу інформацію про те, якими даними про відповідних суб’єктів відповідний бізнес володіє, і що він робить з такими даними. Окрім цього, суб’єкт має право заперечити проти обробки своїх даних, вимагати їх виправлення або навіть видалення;
— встановлення вимог щодо чіткості згоди на обробку персональних даних. Така згода може бути відкликана суб’єктом персональних даних в будь-який момент;
— необхідність для організацій вести реєстр порушень персональних даних та, якщо порушення серйозні, інформувати про такі порушення відповідного національного регулятора протягом 72 годин;
— забезпечення організаційних та технічних механізмів для захисту персональних даних при розробці нових систем та процесів. Тобто налаштування та забезпечення конфіденційності даних повинні бути встановлені за замовченням;
— необхідність виконання процедури оцінки впливу тих чи інших дій або змін на захист персональних даних. Тобто будь-які зміни до процесу або способу обробки персональних даних (запровадження нового процесу або внесення змін до вже існуючого) здійснюються виключно після належної оцінки таких змін та забезпечення відсутності погіршення рівню захисту;
— встановлення відповідальності контролера персональних даних за забезпечення захисту персональних даних і дотримання вимог GDPR, навіть якщо обробка даних здійснюється третьою стороною. Це означає, що контролери персональних даних зобов’язані забезпечити захист та конфіденційність персональних даних, коли ці дані передаються за межі організації;
— призначення співробітника з питань захисту даних. Якщо в організації відбувається значна обробка персональних даних, така організація повинна призначити спеціального співробітника з питань захисту даних. Такий співробітник буде відповідальним за консультування своєї організації з питань виконання вимог GDPR;
— інформування працівників про вимоги GDPR. Організації повинні інформувати своїх працівників про ключові вимоги GDPR та проводити регулярні тренінги щодо захисту персональних даних, інформувати про виявляння порушень в сфері персональних даних.
Проте чи не найбільш відомим аспектом GDPR є жорсткість передбачених ним санкцій. Так, GDPR передбачає:
— штраф у розмірі до 20 млн євро або до 4 % від загального глобального річного обороту за попередній фінансовий рік (залежно від того, яка сума вища) за порушення основних принципів обробки даних, у тому числі умов згоди на обробку; прав суб’єкта даних; обмежень для міжнародної передачі даних; будь-яких зобов’язань, встановлених національним законодавством у особливих випадках, у тому числі щодо обробки персональних даних працівників; певних розпоряджень наглядового органу;
— штраф у розмірі до 10 млн євро або до 2% від загального глобального річного обороту за попередній фінансовий рік (залежно від того, яка сума вища) за порушення, зокрема, зобов’язань контролерів та операторів, включаючи зобов’язання повідомити про порушення у сфері обробки персональних даних.
Загальний розмір штрафних санкцій, застосованих відповідно до GDPR, в третьому кварталі 2021 року сягнув майже 1 млрд євро, а найбільший поки що штраф був застосований до «Amazon» — у липні 2021 року у розмірі 746 млн євро.
Проте варто зазначити, що здебільшого суми штрафів все ж більш-менш відповідають тяжкості правопорушення та фінансовим можливостям організацій, до яких вони застосовуються. І штраф за певне порушення може не перевищувати і декількох тисяч євро.
Зміни до законодавства України про захист персональних даних
Зважаючи на суттєві зміни у міжнародних та, зокрема, європейських стандартах захисту персональних даних, українські парламентарі розробили 2 законопроєкти. За задумом авторів, вони повинні наблизити законодавство України про захист персональних даних до кращих міжнародних практик.
Так, 7 червня 2021 року було зареєстровано проєкт нового Закону України «Про захист персональних даних» № 5628. Він, в цілому, намагається наслідувати GDPR та, зокрема, передбачає:
— оновлення термінології законодавчого регулювання захисту персональних даних та її узгодження, зокрема, з GDPR;
— розширення та конкретизацію принципів, підстав обробки персональних даних, встановлення додаткових вимог до надання суб’єктом персональних даних згоди на обробку його даних;
— розширення прав суб’єкта персональних даних у зв’язку з обробкою його даних, приведення їх до рівня відповідних прав в GDPR та створення ефективного механізму захисту таких прав;
— врегулювання прав, обов’язків, відповідальності контролера та оператора персональних даних, заохочення контролерів та операторів до впровадження технічних та організаційних заходів для гарантії принципів приватності та захисту даних, а також забезпечення обробки персональних даних з найвищим захистом приватності за замовченням;
— встановлення особливостей обробки персональних даних в мережі Інтернет, в сфері електронних комунікацій, в межах трудових відносин та в правоохоронних цілях;
— встановлення чіткої процедури повідомлення про витік персональних даних, в тому числі повідомлення регулятора про порушенням протягом 72 годин, як і в GDPR.
Важливо, що законопроєкт передбачає розгалужену систему відповідальності контролерів та операторів за порушення законодавства у сфері персональних даних. Така система включає в себе штрафи для фізичних та юридичних осіб, максимальний розмір яких, за певних умов, може становити 20 млн грн для фізичних осіб та 150 млн грн або 8% загального річного обороту для юридичних осіб.
В той же час варто сказати, що законопроєкт № 5628 ще потребує значного доопрацювання. Він містить недосконалу термінологію, не завжди чіткі та однозначні норми, а також низку інших недоліків. Законопроєкт тільки готується до першого читання і його прийняття може бути справою невизначеного часу.
Поряд із законопроєктом № 5628, на розгляд парламенту також надано законопроєкт № 6177 від 18 жовтня 2021 року «Про Національну комісію з питань захисту персональних даних та доступу до публічної інформації». Як зазначають його автори, метою проєкту є створення незалежного органу виконавчої влади із спеціальним статусом з метою імплементації на національному рівні міжнародних стандартів в сфері захисту права на доступ до інформації та права на захист персональних даних. На їх думку, реалізація ефективного контролю у відповідній сфері омбудсманом неможлива, тому його повинен замінити новий орган — Національна комісія з питань захисту персональних даних та доступу до публічної інформації (процедура створення, структура та повноваження якої й має на меті врегулювати законопроєкт № 6177).
Необхідно відзначити, що законопроєктом передбачається проведення комісією планових або позапланових, виїзних або невиїзних перевірок, розслідувань та загалом суттєве збільшення рівня контролю за сферою захисту персональних даних.
Як і законопроєкт № 5628, проєкт № 6177 тільки готується до першого читання.
На що очікувати бізнесу
Незважаючи на те, що реформування законодавства України у сфері захисту персональних даних наразі знаходиться на досить ранній стадії і час переходу до суттєво нових правил, подібних до європейських, зараз важко передбачити, неминучість такого переходу не викликає сумнівів.
Частина українського бізнесу вже почала імплементувати в своїй діяльності вимоги GDPR. Це стосується, зокрема, бізнесу з іноземним (в першу чергу, європейським) капіталом, а також бізнесу, діяльність якого тим чи іншим чином пов’язана з ЄС.
Проте всім іншим українським компаніям та організаціям також варто розпочинати рух у відповідному напрямку і приводити свою діяльність у відповідність до нових вимог, які поступово стануть обов’язковим стандартом. Аби потім не стикнутися з суттєвими труднощами у застосуванні нових норм та значними фінансовими ризиками. Для цього такі компанії та організації вже зараз можуть розробляти та застосовувати відповідні внутрішні нормативні акти, проводити пов’язані з ними тренінги для власних персоналу та представників.
Водночас підвищення стандартів захисту персональних даних не тільки означатиме додаткові вимоги та зобов’язання для бізнесу, але й підвищення конкурентоспроможності українських компаній на міжнародному ринку.
Джерело: https://biz.ligazakon.net
