Захист персональних даних фізичних осіб в Україні наразі регулюється Законом України «Про захист персональних даних» від 01.06.2010 № 2297-VI (далі – Закон № 2297).
Згідно з Законом № 2297 обробкою персональних даних є будь-яка дія або сукупність дій, таких як збирання, реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання і поширення (розповсюдження, реалізація, передача), знеособлення, знищення персональних даних, у тому числі з використанням інформаційних (автоматизованих) систем.
Закон № 2297 регулює такі основні питання обробки персональних даних:
- вимоги до обробки персональних даних;
- права суб’єктів персональних даних;
- підстави для обробки персональних даних;
- порядок здійснення основних процесів обробки персональних даних (збирання, використання, накопичення та зберігання, поширення, видалення);
- порядок обробки персональних даних, обробка яких становить особливий ризик для прав і свобод суб’єктів персональних даних тощо.
Проте, в епоху бурхливого розвитку цифрових технологій діюче законодавство про захист персональних даних все більше й більше застаріває. Воно не забезпечує належного захисту суб’єктів персональних даних при обробці персональних даних з використанням інформаційних технологій та не містить достатніх гарантій прав суб’єктів даних у разі витоку персональних даних, що містяться у базах даних володільця персональних даних.
У зв’язку зі змінами, які відбулися у економіці та соціальному житті, українське законодавство потребує повного оновлення правого регулювання процесів обробки персональних даних.
Приймаючи до уваги швидкий технологічний розвиток та глобалізацію економіки на рівні Європейського Союзу був затверджений Регламент Європейського Парламенту і Ради (ЄС) 2016/679 від 27 квітня 2016 року про захист фізичних осіб при обробці персональних даних та про вільний рух таких даних (далі — Загальний регламент про захист даних), який скасував діючу раніше Директиву 95/46/ЄС Європейського Парламенту і Ради «Про захист фізичних осіб при обробці персональних даних і про вільне переміщення таких даних» від 24 жовтня 1995 року. На відміну від Директиви 95/46/ЄС норми Загального регламенту про захист даних є нормами прямої дії, а, отже, вони не потребують імплементації у внутрішнє законодавство країн Європейського Союзу та застосовуються у всіх країнах Європейського Союзу з моменту набуття Регламентом чинності, тобто з 28 травня 2018 року.
Безпрецедентним є те, що Загальний регламент про захист даних має не тільки територіальну дію, що обмежена кордонами Європейського Союзу. Цей Регламент також застосовується до осіб, які обробляють персональні дані суб’єктів Європейського Союзу у зв’язку з реалізацією товарів або послуг на території ЄС та здійснюють моніторинг поведінки європейських суб’єктів даних.
Отже, українські суб’єкти господарювання, які здійснюють вище зазначені дії, також потрапляють під дію Загального регламенту про захист даних. У зв’язку з цим, український бізнес, діяльність якого спрямована на Європейський Союз, вже був змушений привести свої внутрішні процеси у відповідність до вимог Регламенту та адаптувати свій документообіг.
Згідно зі статтею 15 Угоди про асоціацію України та Європейського Союзу Україна та Європейський Союз домовилися співпрацювати з метою забезпечення належного рівня захисту персональних даних відповідно до найвищих європейських та міжнародних стандартів, зокрема відповідних документів Ради Європи.
Для України це означає імплементацію європейських стандартів захисту персональних даних в українське законодавство.
7 червня 2021 року у Верховній Раді України був зареєстрований Проєкт Закону «Про захист персональних даних» № 5628, яким передбачено реформування сфери захисту персональних даних в Україні та приведення українського законодавства про захист персональних даних у відповідність до європейського.
Окрім, того 18 жовтня 2021 року у Верховну Раду України було внесено Проєкт Закону України «Про Національну комісію з питань захисту персональних даних та доступу до публічної інформації» № 6177, що передбачає створення контролюючого органу у сфері захисту персональних даних та його повноваження зі здійснення контролю.
Очікується, що зазначені проєкти законів будуть прийняті до кінця 2023 року та набудуть чинності з 1 січня 2023 року, у разі їхнього прийнятті у першій половині 2022 року, або з 1 січня 2024 року, якщо Верховна Рада України проголосує за їх прийняття у другій половині 2022 року.
У будь-якому разі рано чи пізно всі українські суб’єкти господарювання будуть зобов’язані привести свою діяльність з обробки персональних даних у відповідність до європейських стандартів.
Необхідно буде забезпечувати суворе дотримання прав суб’єктів даних, зокрема:
- Право на інформацію – до початку обробки персональних даних слід буде інформувати суб’єкта персональних даних про те, які дані збираються та як вони використовуються.
- Право суб’єкта персональних даних на доступ до персональних даних – за запитом суб’єкта персональних даних необхідно буде надавати інформацію про дані, які обробляються, та як вони використовуються, та також забезпечувати доступ до персональних даних суб’єктів.
- Право суб’єкта персональних даних на виправлення персональних даних — означає право на виправлення або доповнення даних, якщо вони не відповідають дійсності, не точні або не повні.
- Право суб’єкта персональних даних на забуття — це право суб’єкта даних вимагати видалення персональної інформації про себе, якщо відсутні підстави для обробки персональних даних або якщо обробка неправомірна.
- Право на заперечення проти обробки персональних даних — право суб’єкта персональних даних на заперечення проти обробки даних в цілях архівування в суспільних інтересах, для цілей наукового чи історичного дослідження або статистичних цілей тощо.
- Право на мобільність персональних даних — на вимогу суб’єкта персональних даних за наявності технічної можливості слід буде надавати безкоштовну електронну копію персональних даних іншій компанії.
- Право на обмеження обробки персональних даних — право суб’єкта персональних даних обмежити обробку персональних даних у разі оспорювання суб’єктом даних обробки.
- Право на захист від автоматизованого прийняття рішення – буде включати право на перегляд рішення без застосування автоматизованої обробки даних, на врахування позиції суб’єкта персональних даних та на оскарження прийнятого рішення.
- Право суб’єкта персональних даних на захист своїх прав та відшкодування шкоди – передбачає право суб’єкта даних на звернення зі скаргою до контролюючого органу та з позовом до суду.
При обробці персональних даних необхідно буде дотримуватися таких принципів обробки даних як:
- Законність, добросовісність та прозорість;
- Обмеження мети;
- Мінімізація персональних даних;
- Точність персональних даних;
- Обмеження зберігання;
- Цілісність і конфіденційність;
Персональні дані зможуть оброблятися лише з підстав, що передбачені законодавством.
Якщо обробка даних буде здійснюватися на підставі згоди суб’єкта даних, то така згода повинна бути:
- вільно вираженою – це означає право вільного вибору для суб’єкта даних та відсутність тиску;
- спеціальною — тобто наданою на обробку даних з певною метою;
- здійсненою у формі активних дій – надання згоди у формі мовчазної згоди, шляхом конклюдентних дій не буде законним;
- інформованою – тобто суб’єкту даних слід буде надати інформацію про особу, яка обробляє дані, та процеси обробки до моменту отримання згоди;
- недвозначною – тобто ясно виражена вказівка щодо бажань суб'єкта даних на обробку його персональних даних.
У внутрішні процеси потрібно бути імплементувати належні заходи технічного та організаційного характеру для забезпечення безпеки обробки персональних даних такого рівня, який був би співрозмірним ризику обробки персональних даних для прав і свобод суб’єктів персональних даних із дотриманням принципу пропорційності. Таким чином українські суб’єкти господарювання повинні будуть запровадити технічні засоби, що забезпечують захист персональних даних, а також підгодовувати та затвердити низку правових документів з метою дотримання вимог законодавства.
У разі витоку персональних даних особа, що відповідає за обробку даних, повинна буде прийняти належні міри для відновлення даних, зменшення шкоди, повідомлення наглядового органу та суб’єкта даних.
В умовах перспективного законодавства роль адвокатів у захисті персональних даних суб’єктів даних значно виросте порівняно з існуючим законодавством. Адвокати зможуть приймати участь у складанні правових документів, що передбачені перспективним законодавством, здійснювати правовий супровід перевірок з боку контролюючого органу та оскаржувати рішення контролюючого органу, приймати участь у провадженнях про порушення законодавства про захист персональних даних, а також забезпечувати захист суб’єктів даних у разі порушень у судовому порядку.