Реформа сферы защиты персональных данных назревает в Украине довольно давно. Действительно ли это необходимо? За последние годы, особенно с началом пандемии, полностью изменилась роль, уровень ценности и модели управления персональными данными.
Действующее законодательство в этой сфере оказалось абсолютно устаревшим. Новое законодательство в сфере защиты персональных данных необходимо в Украине для того, чтобы:
Урегулировать обработку персональных данных в новых технологиях,
Выполнить международные обязательства Украины: в Соглашении об ассоциации указано, что Украина должна гармонизировать сферу защиты персональных данных со стандартами в ЕС, в котором с 2018 года действует Общий Регламент по защите персональных данных (General Data Protection Regulation - GDPR),
Приобщиться к европейскому цифровому пространству (Украина хочет интегрироваться в европейское цифровое пространство, что предполагает доступ к целому ряду диджитальных сервисов. Это возможно при условии реформы защиты персональных данных, а также присоединению к Конвенции 108+ (модернизированная Конвенция о защите физических лиц при автоматизированной обработке персональных данных).
В 2021 году все ограничилось лишь концепциями и обсуждениями - в Верховной Раде Украины представили два законопроекта в этой сфере:
1. Проект Закона о защите персональных данных № 5628 от 07.06.2021, который устанавливает новые правила сбора и обработки персональных данных, определяет базовые понятия, организационные и технические меры по защите персональных данных;
2. Проект Закона о Национальной комиссии по защите персональных данных и доступа к публичной информации № 6177 от 18.10.2021, согласно которому будет создан новый регулятор в сфере защиты персональных данных.
Законопроекты сформируют совершенно новую систему защиты данных по модели ЕС, но с учетом специфики украинского законодательства в других сферах. Ожидается, что именно в 2022 году Верховная Рада Украины примет такие законы и будут установлены переходные периоды до их окончательного вступления в силу.
Какие же изменения следует ожидать?
трактование информации, которая определяется как "персональные данные". В законе останется широкая формулировка этого понятия как "любой информации, касающейся физического лица, которое идентифицировано или может быть идентифицировано", однако, появляется регулирование и отдельных категорий персональных данных таких как данные малолетних и несовершеннолетних лиц, данные умерших лиц, обработка генетических и биометрических данных.
акцент на принципах. В действующем законодательстве Украины также изложены принципы в сфере защиты персональных данных, но на практике бизнес редко принимает их во внимание при разработке и реализации комплаенс-программ. Не учитывает их и регуляторный орган при выявлении нарушений в этой сфере. С принятием нового законодательства все действия компании должны осуществляться с соблюдением вышеуказанных принципов (законность, добросовестность и прозрачность; ограничение цели; минимизация; достоверность персональных данных; ограничение сроков хранения; целостность и конфиденциальность; подотчетность), а несоблюдение какого-либо из принципов и будет считаться нарушением. Наиболее проблематичным с точки зрения понимания в Украине и реализации является принцип "подотчетности", заключающийся в том, что каждая компания должна принять меры организационного и правового характера, которые (1) обеспечат соответствие компании всем необходимым стандартам в защите персональных данных, (2) предоставят возможность продемонстрировать такое соответствие.
обновленный перечень оснований для обработки персональных данных. Согласно новому законодательству, такой перечень оснований привели в соответствие с законодательством ЕС. Более того, в законе определили правила и существенно ограничили случаи применения "согласия" как основания для обработки персональных данных - к сожалению, сейчас в Украине много злоупотреблений, связанных с применением такого основания. С такими нововведениями компании смогут более точно указывать, на каком основании осуществляется обработка персональных данных.
более существенный объем прав субъектов данных. Например, в законодательстве Украины появятся "право на забвение" (право требовать полного удаления персональных данных со всех ресурсов) и "право на мобильность данных" (требующее переноса персональных данных из одной системы в другую между разными компаниями по запросу лица). Проблемным остается вопрос реализации таких прав на практике.
новые подходы к защите данных в рамках проекта/бизнес-процесса. Предполагается, что компании должны наладить систему комплаенса в сфере защиты персональных данных таким образом, чтобы она применялась и в отношении к существующим процессам (защита данных "по умолчанию"), и для новых процессов ("проектируемая" защита персональных данных, согласно которого любой новый процесс/продукт должен начинаться с планирования системы защиты персональных данных). Более того, на компании будет возлагаться обязанность осуществлять "оценку воздействия на защиту персональных данных" - отдельную процедуру определения рисков, связанных с персональными данными, и опций по их минимизации.
новые роли. В новом законодательстве впервые будет определено, при каких условиях возникают правоотношения между компаниями по модели "со-контроллеры", какие полномочия у "оператора персональных данных" (лицо, которое согласно инструкциям компании-контроллера персональных данных осуществляет их обработку). Пока эти вопросы недостаточно урегулированы в Украине.
ведение реестра. В настоящее время компании фиксируют процессы, связанные с обработкой персональных данных, по своему усмотрению. В то же время предлагается сделать эту норму обязательной.
внимание к мерам безопасности. Основным в определении мер безопасности должен быть принцип пропорциональности. Это означает, что компания должна принимать надлежащие меры технического и организационного характера для обеспечения надлежащей безопасности обработки персональных данных такого уровня, который соразмерен соответствующим рискам. Также в новом законодательстве приведены примеры, какие это могут быть меры.
нарушения безопасности персональных данных, ответственность за нарушение. В действующем законодательстве Украины есть лишь общие понятия касательно нарушений безопасности персональных данных. Поэтому компании не уделяют должного внимания этому аспекту, а также не осуществляют уведомления регуляторов и субъектов данных. С принятием нового законодательства планируется, что компании будут более активными в предупреждении кибер-инцидентов, а в установленных в законе случаях будут сообщать о таких инцидентах контролирующим органам и субъектам данных. Также понятие "киберинцидент" определено в новом законодательстве более расширено и не ограничивается несанкционированным доступом к персональным данным. Изменены и подходы к определению ответственности за нарушения. На данный момент в законодательстве Украины предусмотрена лишь административная ответственность, а в исключительных случаях - уголовная ответственность за такие нарушения (в случае, если есть также разглашение коммерческой тайны или совершено киберпреступление), по новому законодательству уже предусматриваются и штрафы в размере до 300 000 грн.
новый регулятор. Планируется создать новый государственный орган, который будет независимым и профессиональным в своей деятельности. В настоящее время в Украине компании почти не взаимодействуют с надзорным органом в сфере защиты персональных данных. Предполагается, что новый орган будет проактивным и будет сотрудничать с бизнесом, например, будет проводить "предварительные консультации" (то есть компании смогут обратиться к регулятору за разъяснением, корректна ли такая обработка, а также достаточно ли будет запланированных мер для надлежащей обработки персональных данных).
инспектор по защите персональных данных. Если в действующем законодательстве Украины есть только рекомендации назначать такое лицо в компании, в новом законодательстве уже определен четкий перечень случаев, в которых это делать обязательно. Также определены требования к квалификации такого лица, список его обязанностей, понятие "конфликт интересов".
трансграничная передача персональных данных. Новый закон полностью изменяет соответствующие правила и устанавливает стандарты, подобные тем, что сейчас применяются для передачи данных из ЕС за границу. Закладывается система механизмов, которые для этого используются и в ЕС.
трудовые правоотношение. Впервые в законодательстве Украины будут представлены отдельные нормы касательно обработки персональных данных в этой сфер. К тому же представлены положения об обработке данных кандидатов на трудоустройство, а также обработке данных в рамках служебных расследований. Также появятся положения, в соответствии с которыми компании не смогут использовать согласие как универсальное основание для обработки данных.
дополнительные сферы для регулирования. Предусматриваются отдельные положения по видеонаблюдению; аудио, видео или фотофиксации публичных мер; прямого маркетинга; сбора статистической информации; журналистской и творческой деятельности.
Для бизнеса важно не упустить момент в 2022 году и начать формировать команды, налаживать процессы и выделять бюджеты на построение надежных систем защиты персональных данных в компаниях. Это поможет встретить нововведения в этой сфере в 2022-2023 годах уже во всеоружии.
Службы безопасности контролируют информацию и риски на ІТ-платформе LIGA360. Это единое пространство для работы департамента, которое позволит делиться документами, досье компаний, новостями и совместно обсуждать риски. Получите максимальный функционал продуктов ЛІГА:ЗАКОН для службы безопасности уже сегодня.