Законодавство України про захист персональних даних. Які зміни необхідні?

Джерело: Юрист і Закон

На сьогодні основним нормативно-правовим актом, що регулює питання захисту персональних даних у нашій державі, є Закон України «Про захист персональних даних», який набрав чинності з 01.01.2011 року.

Цей закон приймався з метою приведення українського законодавства у відповідність до міжнародних стандартів, зокрема, передбачених Конвенцією про захист фізичних осіб при автоматизованої обробки персональних даних, від 28.01.1981 року (далі – Конвенція), та Директивами 95/46/ЄС, 97/66/ЄС Європейського Парламенту і Ради, які (Директиви) наразі скасовані та замінені Регламентом Європейського Парламенту і Ради (ЄС) 2016/679 від 27 квітня 2016 року Про захист фізичних осіб у зв’язку з опрацюванням персональних даних і про вільний рух таких даних, та про скасування Директиви 95/46/ЄС (далі – Загальний регламент про захист даних, GDPR).

Недоліки чинного законодавства

За 11 років, що минули з моменту прийняття Закону, ситуація з конфіденційністю даних дуже сильно змінилася. Це пов’язано зі значним збільшенням активності в обробці даних в Інтернеті, особливо в галузі великих даних та соціальних медіа. Технологічний розвиток значно випереджає зміни, що вносилися в наше законодавство у сфері захисту персональних даних.

Чинний Закон України «Про Захист персональних даних» не відповідає реаліям часу та міжнародним стандартам, гальмує та створює перепони в реалізації інноваційних рішень, як у приватній сфері (розвиток ІТ), так і у публічному секторі (електронна демократія, цифровізація адміністративних послуг). Ним не охоплюється цілий ряд питань та правовідносин, які виникають на практиці, як  спільна обробка персональних даних різними юридичними особами, відносини субпідряду при обробці персональних даних, обробка персональних даних у мережі Інтернет тощо.

Так, Уповноважена ВРУ з прав людини Людмила Денісова у квітні 2021 року повідомила, що до неї у 2020 році надійшло 2031 повідомлення про порушення прав людини на захист персональних даних, що у порівнянні з 2019 роком (1061) майже удвічі більше. Більшість з них стосувалися порушення права людини на невтручання в особисте і сімейне життя під час здійснення колекторської діяльності (близько 1500), незаконне поширення персональних даних через мережу Інтернет, неправомірне поширення персональних даних у месенджерах та соціальних мережах, неправомірне витребування згоди на обробку персональних даних у випадках, коли така згода не потрібна, порушення права на захист персональних даних під час впровадження електронних сервісів. Вказані цифри без зайвих коментарів свідчать про низький рівень захисту персональних даних в Україні.

Оцінюючи стан законодавства про захист персональних даних в Україні, також необхідно враховувати, що норми захисту даних суттєво впливають на український бізнес (наприклад, українська ІТ та телекомунікаційна індустрія), який має клієнтів в Європі, що очікують відповідності  стандартам Загальному регламенту про захист даних.

Більшість українських ІТ підприємств, для яких обробка персональних даних є ключовою вимогою для ведення бізнесу, потребують підвищення внутрішніх стандартів відповідності виключно з конкурентних міркувань. Український бізнес, який пропонує послуги та товари резидентам ЄС або здійснює моніторинг поведінки суб’єктів даних, розташованих в ЄС,  автоматично потрапляє до сфери дії Загального регламенту про захист даних відповідно до Статті 3(ч.2). Сам Загальний регламент про захист даних вже передбачає можливість для контролюючих органів у сфері захисту персональних даних країн – членів ЄС застосовувати Загальний регламент про захист даних та накладати санкції екстериторіально, в тому числі на території України. Таким чином, правозастосування актів ЄС у сфері захисту персональних даних в Україні є неминучим.

Аналіз законопроєкту № 5628

Влітку 2021 року, з метою імплементації європейських стандартів GDPR в Україні, у Верховній Раді зареєстровано законопроєкт №5628 від 07.06.2021, яким передбачається прийняття нового Закону України «Про захист персональних даних».

Завданням цього проєкту Закону, відповідно до пояснювальної записки авторів, є приведення нормативного регулювання України у сфері захисту персональних даних у відповідність до нових міжнародних стандартів у цій сфері, які передбачені Конвенцією та Загальним регламентом про захист персональних даних, а також врегулювати правові відносини, пов’язані з обробкою персональних даних, які не врегульовані чинним законом.

Крім того, законопроєкт має на меті підвищити рівень захисту конституційного права на повагу до приватного життя через посилення стандартів обробки персональних даних та надати більше прав суб’єкту персональних даних для забезпечення можливості здійснення повноцінного контролю суб’єктом за обробкою його персональних даних.

Зокрема, законопроєкт передбачає:

• приведення термінології сфери захисту персональних даних у відповідність до нових міжнародних стандартів;
• деталізацію та більш зрозуміле формулювання принципів обробки персональних даних;
• більш чітке формулювання підстав обробки персональних даних;
• деталізовані та прозорі вимоги до згоди на обробку персональних даних, які дозволять уникнути зловживань та маніпуляцій;
• розширення прав суб’єктів персональних даних та механізм їх реалізації;
• чітке визначення обов’язків контролера і оператора персональних даних;
• порядок повідомлення про витік персональних даних;
• інститут відповідальної особи з питань захисту персональних даних, її функціональні обов’язки, вимоги та порядок призначення;
• врегулювання передачі персональних даних на територію іноземних держав та міжнародних організацій;
• фінансову відповідальність, адміністративно-господарські санкції, що застосовуються до контролера та/або оператора за порушення права на захист персональних даних, які дозволять забезпечити дієвість закону та виконання його вимог.

Також, законопроектом визначено особливі вимоги до:

• обробки персональних даних (чутливі персональні дані),
• обробки персональних даних, пов’язаних з притягненням до кримінальної відповідальності, обробки біометричних даних суб’єктами владних повноважень та обробки персональних даних з метою прямого маркетингу, передвиборчої агітації та політичної реклами.

Суттєво розширені права суб’єкта персональних даних у повній відповідності до вимог GDPR та Конвенції, а саме визначено механізми для захисту:

• права на інформацію;
• права суб’єкта даних на доступ до персональних даних;
• права суб’єкта персональних даних на виправлення персональних даних;
• права суб’єкта персональних даних на забуття;
• права на заперечення проти обробки персональних даних;
• права на мобільність персональних даних;
• права на обмеження обробки персональних даних;
• права на захист від автоматизованого прийняття рішення;
• права суб’єкта даних на захист своїх прав та відшкодування шкоди;

Також встановлено порядок розгляду вимог суб’єкта персональних даних контролерами та операторами.

Аналіз законопроєкту № 6177

Проєктом Закону України «Про захист персональних даних» не охоплено питання створення контролюючого органу, що має бути утворений відповідно до критеріїв, передбачених міжнародними зобов’язаннями України.

Відповідно ж до статті 1 оновленої Конвенції кожна держава має призначити щонайменше один контролюючий орган влади, який би був відповідальним за забезпечення дотримання вимог із захисту персональних даних, передбачених цією Конвенцією. З цією метою такий національний контролюючий орган повинен, зокрема: мати повноваження проводити розслідування та здійснювати втручання; виконувати функції, пов’язані з транскордонною передачею даних, мати повноваження приймати рішення стосовно порушень і можливість накладати адміністративні санкції;  бути повноважними брати участь у судовому провадженні тощо. Конвенція також передбачає обов’язкове погодження законодавчих та адміністративних заходів, які передбачають обробку персональних даних з контролюючим органом.

Для врегулювання цього питання у Верховній Раді зареєстровано окремий проєкт Закону України «Про Національну комісію з питань захисту персональних даних та доступу до публічної інформації» № 6177 від 18.10.2021.

Законопроект передбачає створення Національної комісії з питань захисту персональних даних та доступу до публічної інформації (далі – Національна комісія), врегульовує процедуру створення, функціонування та структуру Національної комісії, а також визначає широке коло її повноважень та порядок їх реалізації.

Національна комісія наділяється правом здійснення виїзних та безвиїзних, планових, позапланових перевірок суб’єктів контролю в порядку, передбаченому цим Законом. Для чого інспекторам Національної комісії серед іншого пропонується надати право:

• безперешкодно входити до приміщень контролерів, операторів персональних даних та розпорядників публічної інформації під час проведення перевірок та розслідувань за зверненнями про порушення законодавства про захист персональних даних та доступу до публічної інформації за умови пред’явлення службового посвідчення і документів, що підтверджують проведення перевірки чи розслідування;
• під час проведення перевірки на безперешкодний доступ до інформаційно-телекомунікаційних і довідкових систем, реєстрів, банків даних, у тому числі тих, що містять інформацію з обмеженим доступом, володільцем (адміністратором) яких є державні органи або органи місцевого самоврядування, юридичних осіб, незалежно від форм власності.

За безпідставну відмову від допуску до перевірки передбачено штрафні санкції в розмірі від  20 000 до 100 000 гривень для фізичних осіб, та в розмірі від 0,5% до 1% загального річного обороту за рік, який передує рішенню Національної комісії, але не менше ніж три тисячі неоподаткованих мінімумів доходів громадян, для юридичних осіб.

Результати перевірок запропоновано фіксувати в Акті, а інформація про порушення законодавства про захист персональних даних та/або доступ до публічної інформації, викладена в акті про результати перевірки, є підставою для відкриття провадження Національної комісії.

Підставою для провадження Національної комісії є інформація про порушення, яку Національна комісія отримує за зверненнями фізичних, юридичних осіб, за зверненнями об’єднань громадян без статусу юридичної особи, а також за власною ініціативою.

За результатами провадження Національною комісією може бути прийнято рішення про притягнення до відповідальності та\або зобов’язання усунути порушення законодавства, вжити заходів з метою запобігання порушенням, або про закриття провадження.

Також, законопроектом пропонується доповнити КАС України статтями 289³, 289⁴, 289⁵ якими буде врегульовано питання отримання Національною комісією, на підставі ухвали окружного адміністративного суду, в межах територіальної юрисдикції якого знаходиться Національна комісія, дозволу на виїзну перевірку щодо діяльності фізичної особи-підприємця за місцем фактичного провадження діяльності якщо це місце є житлом.

Така процедура буде включати в себе звернення Національної комісії до окружного адміністративного суду з вмотивованим клопотання про надання такого дозволу, яке має бути розглянуте судом протягом трьох робочих днів. І хоча загалом вказана процедура звернення з клопотанням та його розгляду має схожість з порядком отримання дозволу на проникнення в житло особи з метою проведення обшуку в кримінальному провадженні, при виконанні ухвали Національною комісією має бути повідомлено фізичну особу-підприємця про дату та час перевірки, а також надано копію ухвали суду за п’ять днів до проведення перевірки.

На сьогодні Верховною Радою України проєкт Закону України «Про захист персональних даних» (№ 5628 від 07.06.2021) прийнято за основу, постановлено доопрацювати його з урахуванням поправок і пропозицій та внести на розгляд Верховної Ради України у другому читанні.

Проєкт Закону України «Про Національну комісію з питань захисту персональних даних та доступу до публічної інформації» (№ 6177 від 18.10.2021)  перебуває на розгляді в комітетах Верховної ради.

Прийняття вищезазначених законів допоможе Україні виконати свої зобов’язання в частині захисту персональних даних відповідно до Конвенцій та Угоди про Асоціацію з ЄС з урахуванням змін у законодавстві ЄС.

Оскільки, гармонізація українського законодавства до європейських стандартів у сфері захисту персональних даних шляхом імплементації GDPR є одним із ключових завдань України відповідно пункту 11 Плану заходів з виконання Угоди про асоціацію, затвердженого Постановою Кабінету Міністрів України від 25 жовтня 2017 р. № 1106, яке досі залишається невиконаним.

Відповідно ж до Стратегії інтеграції України до Єдиного цифрового ринку Європейського Союзу («Дорожня карта»), яка була нещодавно узгоджена  з ЄС законодавче закріплення права на захист персональних даних серед основних прав і свобод фізичних осіб, а також положення про вільний рух персональних даних, приведення у відповідність до права ЄС принципів обробки персональних даних, та термінології має відбутись в Україні до грудня 2023 року.

Тож будемо сподіватися на швидке прийняття Верховною Радою України, за результатами розгляду законопроектів  №5628 та 6177, Законів України «Про захист персональних даних» та «Про Національну комісію з питань захисту персональних даних та доступу до публічної інформації» та набрання ними чинності, як такими, що впроваджуватимуть міжнародні стандарти в українське законодавство в сфері захисту персональних даних.