Ця сторінка доступна рідною мовою. Перейти на українську

Как происходит реформа законодательства о защите персональных данных в Украине

Реклама

Довольно часто можно услышать мнение, что человечество живет в эпоху конца конфиденциальности. Оно характеризуется развитием технологических возможностей обработки информации, а также увеличением объема персональной информации, доступной другим.

Покупка товаров онлайн, регистрация на веб-портале, открытие счета в банке, трудоустройство и рабочая переписка - все это и многие другие ситуации в повседневной жизни предполагают предоставление другим лицам доступа к информации о себе. При этом, чем активнее человек взаимодействует с другими, тем меньше возможностей контролировать собственные персональные данные.

Впрочем, многие и сами не прочь поделиться личным, активно пользуясь социальными сетями и предоставляя другим возможность следить за собственной жизнью в режиме онлайн.

Такое разнообразие источников информации, а во многих случаях, к сожалению, и недобросовестное обращение с персональными данными других лиц, привели к тому, что персональные данные, без всякого согласия их владельца, используются в маркетинговых целях, а то и вовсе становятся инструментами мошенников.

Не в последнюю очередь недостаточной защищенности личной информации способствуют и недостатки нормативного регулирования персональных данных, в большинстве своем отстающего от стремительного технологического развития. Именно такая ситуация сложилась и в Украине, где Закон «О защите персональных данных» не обеспечивает защиту данных, которая отвечала бы международным стандартам в этой сфере.

Закон «О защите персональных данных»

Принятый в 2010 году, Закон Украины «О защите персональных данных» № 2297-VI - это небольшой по объему нормативный акт, который хотя содержит основные «правила игры» (такие как необходимость получения согласия субъекта персональных данных на их обработку, общие и особые требования к обработке персональных данных, права субъекта персональных данных (в том числе на получение информации об обработке его данных), правила трансграничной передачи персональных данных и др.), но действенный механизм надлежащей защиты персональных так и не создал.

В частности, согласно статье 22 Закона, контроль за соблюдением законодательства о защите персональных данных осуществляют Уполномоченный Верховной Рады Украины по правам человека и суды. Следует упомянуть, что до 2014 года уполномоченным государственным органом по защите персональных данных была ныне ликвидированная Государственная служба Украины по вопросам защиты персональных данных. Ее заменили на омбудсмена, в связи с недостаточным уровнем независимости.

К сожалению, указанные органы так и не смогли создать эффективную систему защиты. Не в последнюю очередь это объясняется недостаточным уровнем ответственности за нарушения в обращении с персональными данными. Так, основной вид ответственности - относительно незначительные штрафы, предусмотренные статьей 188-39 КоАП, максимальный размер которых - 34 тыс. грн. И хотя статьей 182 Уголовного кодекса Украины также предусмотрена уголовная ответственность за незаконный сбор, хранение, использование, уничтожение, распространение конфиденциальной информации о лице или незаконное изменение такой информации, практика ее применения неоднозначна. К тому же такая уголовная ответственность угрожает только физическим, а не юридическим лицам.

Подписав Соглашение об ассоциации с Европейским Союзом, Украина согласилась сотрудничать с ЕС с целью обеспечения надлежащего уровня защиты персональных данных в соответствии с самыми высокими европейскими и международными стандартами, в том числе соответствующими документами Совета Европы, как это предусмотрено статьей 15 Соглашения.

Согласно статье 11, ратифицированного в феврале 2017 года Соглашения о сотрудничестве между Украиной и Европейской организацией по вопросам юстиции, каждая сторона такого Соглашения гарантирует такой уровень защиты персональных данных, предоставленных другой стороной, который, по крайней мере, эквивалентен тому, что следует из применения принципов, содержащихся в Конвенции Совета Европы о защите лиц в связи с автоматизированной обработкой персональных данных от 28 января 1981 г. и последующих ее изменениях, а также принципов, заложенных в Решении по Евроюсту и в Регламенте Евроюста по защите данных.

Взятие Украиной на себя соответствующих международных обязательств оживило дискуссию о необходимости внедрения в Украине новых стандартов защиты персональных данных. К тому же, с мая 2018 года в Европейском Союзе начал применяться Общий регламент о защите персональных данных (General Data Protection Regulation, GDPR). Он не только существенно поднял планку защиты персональных данных в государствах-членах ЕС, но и при определенных условиях предусмотрел возможность применения установленных им санкций к бизнесу вне ЕС, в том числе украинскому.

GDPR

По сравнению с Законом Украины «О защите персональных данных», GDPR - объемный и подробный документ, предлагающий новый уровень защиты персональных данных и ответственности за нарушения в этой сфере.

Среди главных его положений можно отметить следующие:

- обеспечение законной, справедливой и прозрачной обработки персональных данных. То есть, обработка данных должна производиться с законной целью, а субъекты персональных данных должны быть проинформированы о действиях по обработке их данных;

- ограничение целей обработки данных, их объема и хранения. То есть собираться и обрабатываться должны только те данные, которые действительно необходимы, а по достижении цели обработки соответствующие данные должны быть удалены;

- наличие широких прав у субъектов персональных данных. В частности, указанные субъекты вправе получать от бизнеса информацию о том, какими данными о соответствующих субъектах соответствующий бизнес владеет, и что он делает с такими данными. Кроме того, субъект имеет право возражать против обработки своих данных, требовать их исправления или даже удаления;

- установление требований о четкости согласия на обработку персональных данных. Такое согласие может быть отозвано субъектом персональных данных в любой момент;

- необходимость для организаций вести реестр нарушений персональных данных и, если нарушения серьезны, информировать о таких нарушениях соответствующий национальный регулятор в течение 72 часов;

- обеспечение организационных и технических устройств для защиты персональных данных при разработке новейших систем и процессов. То есть, настройки и обеспечение конфиденциальности данных должны быть установлены по умолчанию;

- необходимость выполнения процедуры оценки влияния тех или иных действий, или изменений на защиту персональных данных. То есть любые изменения в процессе или способе обработки персональных данных (введение нового процесса или внесение изменений в уже существующий) осуществляются исключительно после надлежащей оценки таких изменений и обеспечения отсутствия ухудшения уровня защиты;

- установление ответственности контролера персональных данных за обеспечение защиты персональных данных и соблюдение требований GDPR, даже если обработка данных производится третьей стороной. Это означает, что контролеры персональных данных обязаны обеспечить защиту и конфиденциальность персональных данных, когда эти данные передаются за пределы организации;

- назначение сотрудника по защите данных. Если в организации происходит значительная обработка персональных данных, такая организация должна назначить специального сотрудника по защите данных. Такой сотрудник будет ответственен за консультирование своей организации по вопросам исполнения требований GDPR;

- информирование сотрудников о требованиях GDPR. Организации должны информировать своих сотрудников о ключевых требованиях GDPR и проводить регулярные тренинги по защите персональных данных, информировать об обнаружении нарушений в сфере персональных данных.

Однако наиболее известным аспектом GDPR является жесткость предусмотренных им санкций. Так, GDPR предусматривает:

- штраф в размере до 20 млн евро или до 4% от общего глобального годового оборота за предыдущий финансовый год (в зависимости от того, какая сумма выше) за нарушение основных принципов обработки данных, в том числе условий согласия на обработку; прав субъекта данных; ограничений для международной передачи данных; любых обязательств, установленных национальным законодательством в особых случаях, в том числе по обработке персональных данных работников; определенных распоряжений надзорного органа;

- штраф в размере до 10 млн евро или до 2% от общего глобального годового оборота за предыдущий финансовый год (в зависимости от того, какая сумма выше) за нарушение, в частности, обязательств контролеров и операторов, включая обязательство сообщить о нарушении в области обработки персональных данных

Общий размер штрафных санкций, примененных в соответствии с GDPR, в третьем квартале 2021 года составил почти 1 млрд евро, а наибольший пока штраф был применен к «Amazon» - в июле 2021 года в размере 746 млн евро.

Однако стоит отметить, что в большинстве своем суммы штрафов все же более или менее соответствуют тяжести правонарушения и финансовым возможностям организаций, к которым они применяются. И штраф за определенное нарушение может не превышать и нескольких тысяч евро.

Изменения в законодательство Украины о защите персональных данных

Учитывая существенные изменения в международных и, в частности, европейских стандартах защиты персональных данных, украинские парламентарии разработали 2 законопроекта. По замыслу авторов они должны приблизить законодательство Украины о защите персональных данных к лучшим международным практикам.

Так, 7 июня 2021 года был зарегистрирован проект нового Закона Украины «О защите персональных данных» № 5628. Он, в целом, пытается наследовать GDPR и, в частности, предусматривает:

- обновление терминологии законодательного регулирования защиты персональных данных и ее согласование, в частности, с GDPR;

- расширение и конкретизацию принципов, оснований обработки персональных данных, установление дополнительных требований к предоставлению субъектом персональных данных согласия на обработку его данных;

- расширение прав субъекта персональных данных в связи с обработкой его данных, приведение их к уровню соответствующих прав в GDPR и создание эффективного механизма защиты таких прав;

- урегулирование прав, обязанностей, ответственности контролера и оператора персональных данных, поощрение контролеров и операторов к внедрению технических и организационных мер по гарантии принципов конфиденциальности и защиты данных, а также обеспечение обработки персональных данных с высокой защитой конфиденциальности по умолчанию;

- установление особенностей обработки персональных данных в сети Интернет, в сфере электронных коммуникаций, в рамках трудовых отношений и в правоохранительных целях;

- установление четкой процедуры сообщения об утечке персональных данных, в том числе сообщения регулятору о нарушении в течение 72 часов, как и в GDPR.

Важно, что законопроект предусматривает разветвленную систему ответственности контролеров и операторов за нарушение законодательства в сфере персональных данных. Такая система включает штрафы для физических и юридических лиц, максимальный размер которых, при определенных условиях, может составлять 20 млн грн. для физических лиц и 150 млн грн. или 8% общего годового оборота для юридических лиц.

В то же время следует отметить, что законопроект №5628 еще требует значительной доработки. Он содержит несовершенную терминологию, не всегда четкие и однозначные нормы, а также ряд других недостатков. Законопроект только готовится к первому чтению, и его принятие может быть делом неопределенного времени.

Наряду с законопроектом №5628, на рассмотрение парламента также предоставлен законопроект №6177 от 18 октября 2021 года «О Национальной комиссии по вопросам защиты персональных данных и доступа к публичной информации». Как отмечают его авторы, целью проекта является создание независимого органа исполнительной власти со специальным статусом в целях имплементации на национальном уровне международных стандартов в сфере защиты права на доступ к информации и права на защиту персональных данных. По их мнению, реализация эффективного контроля в соответствующей сфере омбудсменом невозможна, поэтому его должен заменить новый орган - Национальная комиссия по защите персональных данных и доступа к публичной информации (урегулировать процедуру создания, структура и полномочия которой является целью законопроекта № 6177).

Необходимо отметить, что законопроектом предусматривается проведение комиссией плановых или внеплановых, выездных или невыездных проверок, расследований и существенное увеличение уровня контроля за сферой защиты персональных данных.

Как и законопроект №5628, проект №6177 только готовится к первому чтению.

Чего ждать бизнесу

Несмотря на то, что реформирование законодательства Украины в сфере защиты персональных данных сейчас находится на достаточно ранней стадии и время перехода к существенно новым правилам, подобным европейским, сейчас трудно предугадать, неизбежность такого перехода не вызывает сомнений.

Часть украинского бизнеса уже начала имплементировать в своей деятельности требования GDPR. Это касается, в частности, бизнеса с иностранным (в первую очередь европейским) капиталом, а также бизнеса, деятельность которого тем или иным образом связана с ЕС.

Однако всем другим украинским компаниям и организациям также следует начинать движение в соответствующем направлении и приводить свою деятельность в соответствие с новыми требованиями, которые постепенно станут обязательным стандартом. Чтобы потом не столкнуться с существенными трудностями в применении новых норм и значительными финансовыми рисками. Для этого такие компании и организации уже могут разрабатывать и применять соответствующие внутренние нормативные акты, проводить связанные с ними тренинги для собственного персонала и представителей.

В то же время повышение стандартов защиты персональных данных будет не только означать дополнительные требования и обязательства для бизнеса, но и повышение конкурентоспособности украинских компаний на международном рынке.

Вся необходимая информация для твоего бизнеса - в одной мощной IT-платформе всей компании LIGA360. Синхронизируй взаимодействие между ключевыми сотрудниками, смотри правовую и информационную картину дня под углом 360. Закажи презентацию IT-платформы LIGA360 по ссылке.

Только до 25 ноября получите специальное предложение для корпоративного решения LIGA360 к 30-летию LIGA ZAKON

Оставьте комментарий
Войдите, чтобы оставить комментарий
Войти
Подпишитесь на рассылку
Получайте по понедельникам weekly-digest о ключевых событиях бизнеса
Похожие новости