|
Реформа сфери захисту персональних даних назріває в Україні доволі давно. Чи дійсно в цьому є потреба? За останні роки, особливо із початком пандемії, повністю змінилася роль, цінність та моделі управління персональними даними.
Чинне українське законодавство в цій сфері виявилося абсолютно застарілим. Нове законодавство щодо захисту персональних даних необхідне в Україні для того, щоб:
врегулювати процеси з обробки персональних даних в нових технологіях;
виконати міжнародні зобов'язання України: за Угодою про асоціацію Україна повинна гармонізувати цю сферу зі стандартами законодавства ЄС, в якому з 2018 року діє Загальний Регламент із захисту даних (General Data Protection Regulation - GDPR);
долучитися до європейського цифрового простору: реформа захисту персональних даних, а також прийняття Конвенції 108+ (Конвенція про захист осіб у зв'язку з автоматизованою обробкою персональних даних) є передумовою для інтеграції України в європейський цифровий простір, що включає вже доступ до цілого ряду діджитальних сервісів.
У 2021 році все не обмежилося лише концепціями і обговореннями - у Верховній Раді України представили одразу два законопроекти в цій сфері:
1. Проект Закону про захист персональних даних № 5628 від 07.06.2021, який повністю оновлює правила збору та обробки персональних даних, визначає базові поняття, організаційні й технічні заходи із захисту персональних даних;
2. Проект Закону про Національну комісію з питань захисту персональних даних та доступу до публічної інформації № 6177 від 18.10.2021, який передбачає створення і визначає повноваження нового контролюючого органу у сфері захисту персональних даних.
Тож законопроекти сформують абсолютно нову систему захисту даних за моделлю ЄС, але із врахуванням специфіки українського законодавства в інших сферах. Очікується, що саме в 2022 році Верховна Рада України прийме такі закони й буде встановлено певні перехідні періоди до їх остаточного вступу в силу.
Тож на які зміни слід очікувати?
переосмислення поняття "персональні дані". Широке трактування персональних даних як "будь-якої інформації, що стосується фізичної особи, яку ідентифіковано або може бути ідентифіковано" залишається, однак, з'являється регулювання й окремих категорій персональних даних (таких як дані малолітніх і неповнолітніх осіб, дані померлих осіб, обробка генетичних та біометричних даних).
акцент на принципах. В чинному законодавстві України також викладені принципи у сфері захисту персональних даних, але на практиці бізнес нечасто зважає на них при розробці та реалізації відповідних комплаєнс-програм. Не зважає на них і регуляторний орган при виявленні порушень у цій сфері. Із прийняттям нового законодавства всі дії компанії повинні здійснюватися із дотриманням вищевказаних принципів (законність, добросовісність та прозорість; обмеження мети; мінімізація персональних даних; точність персональних даних; обмеження зберігання; цілісність і конфіденційність; підзвітність), а недотримання будь-якого із них і вважатиметься порушенням. Найбільш проблематичним, із точки зору розуміння й реалізації в Україні, є принцип "підзвітності", який полягає у тому, що кожна компанія повинна вжити ті заходи організаційного і правового характеру, які (1) забезпечать відповідність компанії всім необхідним стандартам у захисті персональних даних, (2) даватимуть можливість продемонструвати таку відповідність.
оновлений перелік підстав для обробки персональних даних. Відповідно до нового законодавства, такий перелік підстав привели його у відповідність із європейським законодавством. Більше того, визначили правила та суттєво обмежили випадки застосування славнозвісної "згоди" як підстави - на жаль, наразі в Україні багато зловживань, пов'язаних із цим. Компанії зможуть по відношенню до кожної категорії персональних даних чітко вказувати, на чому саме базується їх обробка.
розширений перелік прав у суб'єктів даних. Наприклад, в законодавстві України з'являться такі категорії прав як "право на забуття" (право вимагати повного видалення персональних даних з усіх ресурсів) та право на мобільність даних (що потребує перенесення персональних даних з одної системи в іншу між різними компаніями за запитом особи). Проблемним залишається питання реалізації таких прав на практиці.
нові підходи до визначення місця захисту даних в проекті/бізнес-процесі. Передбачається, що компанії повинні налагодити систему комплаєнсу у сфері захисту персональних даних таким чином, щоб вона спрацьовувала і по відношенню до вже існуючих процесів (захист даних "за замовчуванням"), і для нових процесів (захист персональних даних "за проектуванням", відповідно до якого, будь-який новий процес/продукт має починатися із планування захисту персональних даних). Більше того, на компанії покладатиметься обов'язок здійснювати "оцінку впливу обробки персональних даних" - окрему процедуру із визначення ризиків, пов'язаних із персональними даними, і опцій із їх мінімізації.
нові ролі. В новому законодавстві вперше буде визначено, за яких умов виникають правовідносини між компаніями за моделлю "спільні контролери", які повноваження в "оператора персональних даних" (особи, яка за вказівками компанії-контролера персональних даних здійснює їх обробку). Наразі ці питання недостатньо врегульовані в Україні.
обов'язковість реєстру. Зараз компанії на власний розсуд можуть фіксувати всі процеси, пов'язані з обробкою персональних даних. Натомість пропонується зробити цю норму обов'язковою.
вага до заходів безпеки. Основним у визначенні безпекових заходів повинен бути принцип пропорційності. Це означає, що компанія повинна вживати належних заходів технічного та організаційного характеру для забезпечення належної безпеки обробки персональних даних такого рівня, який є співмірний відповідним ризикам. Також в новому законодавстві наведено приклади того, які це можуть бути заходи.
інциденти щодо персональних даних, відповідальність за порушення. В чинному законодавстві України питання інцидентів визначено дуже загально. Тому компанії схильні не приділяти належної уваги цьому аспекту та "не виволікати бруд з хати", пояснюючи, що сталося. Із прийняттям нового законодавства планується, що компанії будуть проактивнішими у попередженні кібер-інцидентів, а у встановлених в законі випадках повідомлятимуть про такі інциденти контролюючі органи та суб'єктів даних. Також поняття "кіберінцидент" визначено в новому законодавстві більш розширено і не обмежується несанкціонованим доступом до персональних даних. Зовсім змінені й види відповідальності, до яких може бути притягнуто компанії внаслідок порушень. Якщо наразі за порушення в Україні можлива лише адміністративна відповідальність, а у виняткових випадках - кримінальна відповідальність (якщо вбачається також розголошення комерційної таємниці чи кібер-злочини), то за новим законодавством визначені й суттєві штрафи у розмірі до 300 000 грн.
новий контролюючий орган. Планується створити новий державний орган, який буде незалежним і професійним у своїй діяльності. Наразі в Україні компанії майже не взаємодіють із контролюючим органом у сфері захисту персональних даних. Передбачається, що новий орган буде проактивним і співпрацюватиме із бізнесом (наприклад, проводитиме "попередні консультації", відповідно до яких компанії, провівши оцінку впливу обробки персональних даних, зможуть звернутися за висновком, чи коректною буде така обробка, а також чи достатньо буде запланованих заходів для належної реалізації такої обробки).
відповідальна особа з питань захисту персональних даних. Якщо в чинному законодавстві України призначати таку особу в компанії лише загалом рекомендується, в новому законодавстві вже визначений чіткий перелік випадків, в яких це є обов'язковим. Також визначені вимоги до кваліфікації такої особи, перелік її обов'язків, а також випадки конфлікту інтересів при призначенні.
транскордонна передача персональних даних. Новий закон повністю змінює відповідні правила і встановлює стандарти, які подібні до тих, що наразі застосовуються до передачі даних з ЄС за кордон. Закладається система механізмів, які для цього застосовуються і в ЄС.
трудові правовідносини. Вперше обробка даних у цьому контексті буде врегульована окремо, як і обробка даних кандидатів на працевлаштування і в рамках службових розслідувань. Також з'являться положення, відповідно до яких компанії не зможуть використовувати згоду як універсальну підставу для обробки даних.
окремі аспекти діяльності бізнесу. Передбачаються окремі положення щодо відеоспостереження; аудіо, відео або фото фіксації публічних заходів; прямого маркетингу; збору статистичної інформації; журналістської та творчої діяльності.
Основна порада для бізнесу в Україні - не згаяти час у 2022 році, а вже формувати команди, налагоджувати процеси та виділяти бюджети на побудову надійних систем із захисту персональних даних у компаніях. Лише в такому випадку можна бути повністю готовим до реалізації реформи в цій сфері у 2022-2023 роках.
Служби безпеки контролюють інформацію та ризики на ІТ-платформі LIGA360. Це єдиний простір для роботи департаменту, що дозволить ділитися документами, досьє компаній, новинами та спільно обговорювати ризики. Отримайте максимальний функціонал продуктів ЛІГА:ЗАКОН для служби безпеки вже сьогодні.
