Адаптація законодавства України про захист персональних даних: адвокат Ганна Урусова
Ганна Урусова, адвокат, керівниця загально-юридичного департаменту компанії
Урусова Ганна
30.06.2023

У Вищій школі адвокатури НААУ відбувся захід з підвищення кваліфікації адвокатів на тему: «Захист персональних даних в Європі та Україні».

Про адаптацію законодавства України про захист персональних даних розповіла Ганна Урусова, адвокат, керівниця загально-юридичного департаменту компанії.

Згідно з Угодою про асоціацію Україна взяла зобов’язання забезпечити адаптацію законодавства України до напрямків, визначених Угодою. Відповідно до статті 15 Угоди, сторони домовились співробітничати з метою забезпечення належного рівня захисту персональних даних відповідно до найвищих європейських та міжнародних стандартів, зокрема відповідних документів Ради Європи. Співробітництво у сфері захисту персональних даних може включати, inter alia, обмін інформацією та експертами.

З метою пришвидшення інтеграції України до Єдиного цифрового ринку Європейського Союзу, а також максимального наближення положень національного законодавства до європейських вимог у сфері захисту персональних даних 25.10.2022 року у Верховній Раді України було зареєстровано законопроєкт «Про захист персональних даних» № 8153.

Законопроєктом передбачено:

1. Оновлення термінології законодавчого регулювання захисту персональних даних та її узгодження із термінологією GDPR та Конвенцією про захист осіб у зв'язку з автоматизованою обробкою персональних даних зі змінами (Конвенція 108+);

2. Приведення принципів та підстав обробки персональних даних у відповідність до вимог GDPR та Конвенції 108+.

3. Посилення прав суб’єкта персональних даних щодо обробки його персональних даних:

• права на інформацію;

• права суб’єкта даних на доступ до персональних даних;

• права суб’єкта персональних даних на виправлення персональних даних;

• права суб’єкта персональних даних на забуття;

• права на заперечення проти обробки персональних даних;

• права на мобільність персональних даних;

• права на обмеження обробки персональних даних;

• права на захист від автоматизованого прийняття рішення;

• права суб’єкта даних на захист своїх прав та відшкодування шкоди.

4. Встановлення прав та обов’язків контролера та оператора персональних даних щодо обробки персональних даних на території України та передачі персональних даних іншим державам або міжнародним організаціям.

5. Повідомлення контролерами та операторами про витік персональних даних – аналогічно процедурі GDPR.

6. Обов’язковість проведення оцінки впливу обробки персональних даних на захист персональних даних до початку такої обробки у разі:

• систематичного та широкомасштабного аналізу особистісних аспектів життя фізичних осіб, який здійснюється автоматизованими засобами обробки, включаючи профілювання, та на результатах якого ґрунтуються рішення, що мають юридичні наслідки для фізичної особи або у інший подібний спосіб впливають на неї;

• широкомасштабної обробки персональних даних;

• систематичного і широкомасштабного моніторингу загальнодоступних місць або джерел.

7. Обов’язковість призначення відповідального за захист персональних даних у разі, якщо:

• обробка персональних даних здійснюється суб’єктом владних повноважень, крім судів з метою здійснення правосуддя;

• основна діяльність контролера або оператора полягає у обробці персональних даних, яка за своїм характером, обсягом та/або її цілі, вимагає регулярного та систематичного та широкомасштабного моніторингу дій або бездіяльності суб’єктів персональних даних;

• основна діяльність контролера або оператора полягає або пов’язана з широкомасштабною обробкою персональних даних;

• основна діяльність контролера або оператора полягає або пов’язана з обробкою чутливих персональних даних та даних, пов’язаних з притягненням осіб до кримінальної відповідальності, правопорушень, кримінальних проваджень та судимості, а також пов'язаних із цим заходів безпеки.

8. Реєстрація операцій з персональними даними

Кожен контролер (чи його представник) або оператор (чи його представник) зобов’язані здійснювати реєстрацію операцій з обробки персональних даних.

Реєстрація операцій здійснюється шляхом ведення протоколу.

Реєстрація обов'язкова, якщо на підприємстві працює 250 і більше осіб, крім випадків, коли:

• обробка персональних даних може становити ризик порушення прав і свобод суб’єкта персональних даних;

• обробка персональних даних є систематичною;

• здійснюється обробка чутливих персональних даних та даних, пов’язаних з притягненням осіб до кримінальної відповідальності, правопорушень, кримінальних проваджень та судимості, а також пов’язаних із цим заходів безпеки.

9. Відповідальність:

• Найменший штраф - на фізичних осіб в розмірі від 10 000 до 30 000 гривень, на юридичних осіб в розмірі від 0,05% до 0,1% загального річного обороту такої юридичної особи, але не менше ніж 30 000 гривень за кожне окреме порушення

• Найбільший штраф - на фізичних осіб в розмірі від 100 000 до 300 000 гривень, на юридичних осіб в розмірі від 3% до 5% загального річного обороту такої юридичної особи, але не менше ніж 300 000 гривень за кожне окреме порушення.

Ганна Урусова окрему увагу звернула на законопроєкт «Про Національну комісію з питань захисту персональних даних та доступу до публічної інформації» № 6177 від 18.10.2021 р., яким передбачено створення незалежного органу виконавчої влади із спеціальним статусом з метою імплементації на національному рівні міжнародних стандартів в сфері захисту права на доступ до інформації та права на захист персональних даних. Таким органом, зокрема, є Національна комісія з питань захисту персональних даних та доступу до публічної інформації.

Згідно законопроєкту, до повноважень Національної комісії з питань захисту персональних даних та доступу до публічної інформації належать:

• розробка проектів нормативно-правових актів з питань захисту персональних даних, доступу до публічної інформації;

• надання фізичним і юридичним особам, громадським організаціям без статусу юридичної особи та суб’єктам владних повноважень роз’яснень, методичної та консультаційної допомоги з питань виконання Закону України «Про захист персональних даних», Закону України «Про доступ до публічної інформації»;

• розгляд звернень про порушення положень Закону України «Про захист персональних даних», Закону України «Про доступ до публічної інформації»;

• здійснення виїзних та безвиїзних, планових, позапланових перевірок суб’єктів контролю;

• прийняття обов’язкових для виконання рішень про запобігання та/або усунення порушень законодавства про захист персональних даних, доступу до публічної інформації;

• притягнення до відповідальності суб’єкта контролю (посадових осіб суб’єкта контролю) за порушення Закону України «Про захист персональних даних» та/або Закону України;

• звернення до суду із позовами (заявами) щодо визнання незаконними нормативно-правових актів, індивідуальних рішень, виданих (прийнятих) з порушенням вимог, встановлених Законом України «Про захист персональних даних», Законом України «Про доступ до публічної інформації»;

• надання висновків експерта у галузі права щодо захисту персональних даних на запит суду, який розглядає позовну заяву (скаргу) щодо порушення положень Закону України «Про захисту персональних даних», Закону України «Про доступ до публічної інформації»;

• затвердження примірного договору між контролером та оператором на обробку персональних даних;

• затвердження типового порядку здійснення відеоспостереження;

• затвердження порядку здійснення контролю за обробкою персональних даних, пов’язаних з притягненням осіб до кримінальної відповідальності, правопорушень, кримінальних проваджень та судимості, а також пов'язаних із цим заходів безпеки;

• затвердження граничних витрат на копіювання та/або друк копій документів, які надаються у відповідь на запит третьої особи.

Підставою для провадження Національної комісії є інформація про порушення законодавства про захист персональних даних та доступ до публічної інформації, яку Національна комісія отримує:

1) за зверненнями фізичних осіб, включаючи малолітніх осіб та осіб, визнаних судом недієздатними або обмеженими у дієздатності, та юридичних осіб;

2) за зверненнями об'єднань громадян без статусу юридичної особи;

3) за власною ініціативою.

Сторонами провадження Національної комісії є заявник та суб’єкт контролю.

У провадженні Національної комісії можуть брати участь інспектор (керівник Служби інспекторів), який здійснював розслідування, експерт, спеціаліст, свідок, перекладач, представник органів державної влади, що здійснюють державне регулювання у сфері, до якої відноситься суб’єкт контролю.

Заявник може брати участь у провадженні самостійно та/або через свого представника.

Національна комісія має право проводити планові або позапланові, виїзні або невиїзні перевірки суб’єкта контролю.

Підставами для проведення перевірок є:

1) звернення про порушення законодавства про захист персональних даних та/або доступ до публічної інформації;

2) внесення перевірки до щорічного плану перевірок;

3) отримання Національною комісією інформації про порушення законодавства про захист персональних даних та/або доступ до публічної інформації з відкритих джерел.

Перевірка проводиться без будь-якого спеціального рішення Національної комісії або направлення на її проведення за умови пред’явлення службового посвідчення інспекторами Національної комісії або уповноваженими працівниками Національної комісії. Інспектор або уповноважений працівник, керівник групи працівників, яка здійснює перевірку, складає довідку про початок перевірки. Форма довідки про початок перевірки затверджується Національною комісією. Довідка про початок перевірки надається суб’єкту контролю при першій комунікації з ним.

Відеофрагмент доступний для перегляду на сторінці Вищої школи адвокатури НААУ у Facebook: http://surl.li/iphje

Тематичний огляд вебінару на сторінці Advocat Post: http://surl.li/hzvjt

Цікаві публікації лектора:

• Режим Дія Сіті, вимоги до резидентів та переваги. http://surl.li/iphin

Більше про заходи з підвищення кваліфікації адвокатів у розкладі Вищої школи адвокатури НААУ: https://cutt.ly/g9AAiVQ