Нові правила захисту персональних даних: як відповідати стандартам ЄС?

Глобалізація робить кордони між країнами все більш прозорими, а обмін даними — швидким і ефективним. Це створює як нові можливості для розвитку, так і нові ризики для безпеки персональних даних. Тому міжнародне співробітництво у сфері захисту інформації є необхідною умовою для забезпечення безпеки в цифровому світі.

Маєте Телеграм? Два кліки - і ви не пропустите жодної важливої юридичної новини. Нічого зайвого, лише #самасуть. З турботою про ваш час!

Захист фізичних осіб під час опрацювання персональних даних є фундаментальним правом. Статтею 8(1) Хартії фундаментальних прав Європейського Союзу («Хартія») і статтею 16(1) Договору про функціонування Європейського Союзу (ДФЄС) встановлено, що кожна особа має право на захист своїх персональних даних.

Загальний регламент захисту даних (GDPR) (далі — Регламент), який набрав чинності в Європейському Союзі у травні 2018 року, значно підвищив стандарти обробки та захисту персональних даних. Для українського бізнесу, особливо в контексті набуття Україною статусу кандидата в члени ЄС, дотримання вимог цього регламенту є не лише бажаним, але й стратегічно важливим кроком. Зважаючи на глобалізацію ринку, компанії, які не дотримуються високих стандартів захисту даних, ризикують втратити довіру з боку клієнтів і партнерів. GDPR визначає чіткі стандарти прозорості та підзвітності в обробці персональних даних, і його дотримання суттєво підвищує конкурентоспроможність підприємства, зміцнює його репутацію на міжнародному рівні та відкриває нові можливості для залучення інвестицій.

Гармонізація Українського законодавства до законодавства ЄС у сфері захисту персональних даних 

Україна, відповідно до ст. 15 Угоди про асоціацію з ЄС, взяла на себе зобов’язання адаптувати своє законодавство у сфері захисту персональних даних до європейських стандартів. Вже зроблено ряд кроків у цьому напрямі, зокрема, було розроблено Проєкт Закону про захист персональних даних №5628 від 07.06.2021 року, який мав би суттєво зблизити національні норми з вимогами GDPR. Однак, станом на серпень 2022 року, голосування щодо цього законопроєкту провалилося.

Закон України «Про захист персональних даних», який був ухвалений у 2012 році, надає правову основу для регулювання обробки персональних даних всередині країни. Однак, порівняно з Регламентом, він містить ряд важливих відмінностей як у вимогах, так і в підходах до захисту даних. Ось кілька відмінних аспектів:

Згода на обробку персональних даних

• В ЄС отримання згоди від суб'єкта даних є основним принципом обробки персональних даних. Згода має бути конкретною, інформованою, вільною і добровільною, а також надана до початку обробки. Вона повинна бути чітко зафіксованою, і компанії мають забезпечити можливість для суб'єктів легко відкликати свою згоду в будь-який момент.

• Закон «Про захист персональних даних» не вимагає такої суворої процедури отримання попередньої згоди на обробку персональних даних. В Україні обробка даних може здійснюватися не лише на підставі згоди суб'єкта, але також за іншими правовими підставами, такими як виконання договірних зобов'язань або законні інтереси контролера. Хоча згода все ж є важливим інструментом, вимоги до її отримання менш суворі, ніж у GDPR.

Терміни і визначення

• Регламент запроваджує чітку і деталізовану термінологію, зокрема, поняття «персональні дані», «обробка», «контролер даних», «обробник даних», «згода» тощо. Кожен із цих термінів має конкретне значення і є основою для правильного тлумачення положень регламенту.

• В українському законодавстві також використовуються схожі терміни, але їх визначення можуть відрізнятися від європейських стандартів. Наприклад, деякі терміни є менш деталізованими або можуть мати інші правові значення, що створює певні складнощі при адаптації українського законодавства до стандартів ЄС.

Контролюючі органи

• Регламент створив єдину систему нагляду за дотриманням правил обробки даних у ЄС. Кожна країна-член має свій національний орган, відповідальний за контроль виконання вимог GDPR, але діє також Загальноєвропейська наглядова структура, що координує діяльність національних органів і регулює міжнародні питання.

• В Україні контроль за дотриманням законодавства у сфері персональних даних здійснюється Уповноваженим Верховної Ради України з прав людини. Хоча цей орган має певні повноваження для захисту прав громадян, його роль та ресурси відрізняються від аналогічних органів в ЄС, що часто створює прогалини у контролі та правозастосуванні.

Права суб'єктів даних

• Європейський регламент передбачає широкий набір прав для суб’єктів даних, включаючи право на доступ до своїх даних, право на виправлення, право на видалення («право бути забутим»), право на обмеження обробки, право на перенесення даних, а також право заперечувати проти обробки даних на основі легітимного інтересу.

• Закон «Про захист персональних даних» також надає суб’єктам права на доступ до своїх даних та їх виправлення, але він не передбачає таких широких прав, як, наприклад, право на перенесення даних або право бути забутим. Українське законодавство менш детально регулює взаємодію суб'єкта з контролерами і обробниками даних у контексті цих прав.

Фінансові санкції

• Однією з найпомітніших рис GDPR є можливість накладення значних штрафів за порушення. Суми штрафів можуть досягати 20 млн євро або 4% від світового обороту компанії за попередній фінансовий рік, залежно від того, яка сума є більшою.

• У Законі України «Про захист персональних даних» передбачені санкції за порушення, проте їх масштаби значно менші порівняно з європейськими стандартами. Штрафи за недотримання вимог в Україні суттєво нижчі і мають обмежений вплив на великі компанії, що може зменшувати мотивацію до повного дотримання вимог закону.

З метою правильного тлумачення та застосування норм Регламенту необхідно розуміти основі підходи, що викладені у Загальних Положеннях: 

Матеріальна Сфера дії

За Приписами ст 2 Регламенту Цей Регламент поширюється на опрацювання персональних даних повністю чи частково із застосуванням автоматизованих засобів та доопрацювання персональних даних із застосуванням неавтоматизованих засобів, які формують частину картотеки або призначені для внесення до картотеки.

«Опрацювання» означає будь-яку операцію або низку операцій з персональними даними або наборами персональних даних з використанням автоматизованих засобів або без них, такі як збирання, реєстрація, організація, структурування, зберігання, адаптація чи зміна, пошук, ознайомлення, використання, розкриття через передавання, розповсюдження чи надання іншим чином, упорядкування чи комбінування, обмеження, стирання чи знищення.

«Картотека» означає будь-який структурований набір персональних даних, доступ до якого надають відповідно до спеціальних критеріїв, є централізованим, децентралізованим або розосередженим на функціональній або географічній основі.

Територіальна Сфера дії Регламенту 

Статтею 4 унормовано, шо цей Регламент застосовують до опрацювання персональних даних суб’єктів даних, які перебувають у Союзі, контролером або оператором, який має осідок поза межами Союзу, якщо опрацювання даних пов’язано з постачанням товарів чи наданням послуг таким суб’єктам даних у Союзі, незалежно від того, чи вимагають оплату від таких суб’єктів даних.

У цьому разі під «суб'єктом даних» маються на увазі не лише громадяни ЄС, а й іноземці, які проїжджають, подорожують або тимчасово перебувають у Європі.

«Контролер» означає фізичну чи юридичну особу, орган публічної влади, агентство чи інший орган, який самостійно чи спільно з іншими визначає цілі та засоби опрацювання персональних даних; якщо цілі та засоби такого опрацювання визначаються законодавством Союзу чи держави-члена, контролер або спеціальні критерії його призначення може бути передбачено законодавством Союзу чи держави-члена.

«Оператор» означає фізичну чи юридичну особу, орган публічної влади, агентство чи інший орган, який опрацьовує персональні дані від імені контролера.

Розглянемо практичні ситуації, за яких необхідно дотримуватися Регламенту: 

1. Громадянин України, перебуваючи в Естонії, скористався безкоштовним українським мобільним додатком, він перебуває під захистом GDPR. 

2. Український сайт з продажу дронів збирає контактну інформацію всіх своїх користувачів. Громадяни ЄС, які бажають придбати товар, також можуть зареєструватися на сайті. Покупці також перебувають під захистом GDPR.

Відповідність стандартам GDPR

Оскільки згідно з ст.1 мета Регламенту — закріплення норм щодо захисту фізичних осіб у зв’язку з опрацюванням персональних даних, основні вимоги містяться у ст.32.

Стаття 32 GDPR  надає критерії для безпечної обробки інформації:

• Прихована ідентифікація: Використання методів, що унеможливлюють встановлення особи без додаткових даних, що підвищує рівень конфіденційності.

• Захищене зберігання: Застосування сучасних методів шифрування для забезпечення безпеки під час зберігання і передачі даних.

• Контрольований доступ: Надання доступу до інформації лише уповноваженим особам, ведення журналів доступу та захист від несанкціонованих спроб отримання даних.

• Точність і повнота інформації: Забезпечення того, що дані залишаються точними і доступними у повному обсязі для авторизованих користувачів.

• Надійність систем обробки: Підтримка стабільної роботи систем з мінімальною вірогідністю збоїв чи некоректного функціонування.

• Відновлення після збоїв: Забезпечення швидкої відновлюваності систем, зокрема через резервне копіювання та дублювання критично важливих компонентів.

Аналіз українського законодавства в контексті GDPR свідчить про необхідність подальшої гармонізації національних норм з європейськими стандартами захисту персональних даних. Незважаючи на певні кроки у цьому напрямку, існують значні розбіжності, особливо у сфері відповідальності, прав суб'єктів даних та механізмів контролю. Для українського бізнесу адаптація до GDPR є не лише вимогою часу, а й інвестицією в довгострокову перспективу, оскільки це дозволить підвищити довіру клієнтів, зміцнити репутацію на міжнародному ринку та відкриє нові можливості для співпраці з європейськими партнерами.