2025 рік став переломним для регулювання персональних даних в Європейському Союзі та світі. Це період, коли ЄС активно впроваджував та посилював вимоги Загального регламенту про захист даних (GDPR). Особлива увага приділялася практичному застосуванню ключових норм, а також імплементації нових законодавчих актів, які доповнюють GDPR.
 |
Маєте Телеграм? Два кліки - і ви не пропустите жодної важливої юридичної новини. Нічого зайвого, лише #самасуть. З турботою про ваш час! |
На тлі прагнення України до повноцінного членства в ЄС постає неминуча потреба в оновленні національних стандартів захисту персональних даних. Чинне законодавство України в цій сфері застаріло, адже його остаточна версія, прийнята у 2010 році, базувалася на європейській Директиві 95/46/ЄС, що вже давно втратила чинність.
Цю Директиву замінив сучасний і значно суворіший GDPR, прийнятий у 2016 році. Він враховує реалії сьогодення – стрімке зростання обсягів обробки даних у мережі Інтернет, розвиток великих даних та соціальних медіа. Українське законодавство повинно відображати ці зміни, щоб забезпечити адекватний захист даних.
Оскільки Україна стає привабливим напрямком для розміщення бек-офісів та центрів супроводу великих європейських та американських компаній, гармонізація законодавства з європейськими нормами є критично важливою. Це не лише підніме рівень захисту даних, а й посилить довіру з боку міжнародних партнерів, відкриваючи нові можливості для української економіки.
Україна взяла на себе зобов’язання щодо захисту персональних даних, однак чинний Закон України «Про захист персональних даних», прийнятий у 2011 році, вже не відповідає сучасним міжнародним стандартам. Цей факт підтверджують численні експертні оцінки, зокрема від Ради Європи. Щоб забезпечити належний рівень захисту даних, Україна потребує суттєвого реформування чинного законодавства.
Головним законодавчим актом, який має внести ці зміни, є Проєкт Закону України «Про захист персональних даних» №8153, що зареєстрований 25.10.2022, та станом на сьогодні прийнятий Верховною Радою за основу.
Новий законопроєкт несе комплексну реформу, яка зобов’яже український бізнес та державні органи працювати з даними за європейськими принципами. Зокрема, Законопроєкт №8153 значно розширює права громадян щодо контролю за власними даними, вводячи ключові концепції GDPR, а саме:
- право вимагати видалення своїх персональних даних, якщо вони більше не потрібні для цілей, з якими їх було зібрано;
- право отримувати інформацію про те, які дані обробляються, з якою метою, а також вимагати їх виправлення;
- право вимагати тимчасово припинити обробку даних за певних умов (наприклад, якщо дані оскаржуються);
- право заперечувати проти використання даних, наприклад, для цілей прямого маркетингу.
Крім цього, на відміну від чинного закону, який дозволяє «неявну» згоду, новий законопроєкт вимагає, щоб згода була:
- явно вираженою (повинна бути надана активною дією (наприклад, проставлення галочки в чекбоксі, підпис, натискання кнопки);
- конкретною (мати чітко зазначену мету обробки даних (не можна отримати загальну згоду «на все»);
- інформованою (суб'єкт даних має отримати повну та доступну інформацію про обробку).
Також положення законопроєкту передбачають різке збільшення фінансової відповідальності за порушення, що є однією з найболючіших новацій для бізнесу.
Штрафи для юридичних осіб можуть сягати до 30 мільйонів гривень (залежно від серйозності та характеру порушення). Ці штрафи покликані стимулювати компанії вкладати кошти в безпеку даних та комплаєнс-процедури.
Для великих компаній або тих, що регулярно обробляють значні обсяги чутливих даних (наприклад, великі ІТ-компанії, банки, медичні установи), стає обов’язковим призначення відповідальної особи з питань захисту персональних даних. Ця особа контролює дотримання закону всередині компанії.
Окрема увага приділяється й чіткому розмежуванню ролей. Вводиться термінологія GDPR: «Контролер» (той, хто визначає мету і засоби обробки) та «Обробник» (той, хто обробляє дані від імені контролера). Це вимагає укладання чітких договорів про захист даних (DPA) між сторонами.
У разі витоку компанія-контролер буде зобов’язана повідомити про це суб’єкта даних (громадянина) та уповноважений орган у встановлені терміни (зазвичай, не пізніше 72 годин).
Особлива увага приділяється обробці чутливих (особливих) категорій персональних даних. Зокрема, забороняється обробка даних, до яких відносяться:
- біометричні та генетичні дані;
- дані про стан здоров’я, расову чи етнічну приналежність;
- дані про політичні погляди, релігійні чи філософські переконання;
- дані про статеве життя та сексуальну орієнтацію.
Обробка таких даних дозволяється лише в чітко визначених законом випадках (наприклад, у сфері охорони здоров’я чи трудових відносин).
Для ефективної підготовки до імплементації нового закону, IT-компаніям та іншим суб’єктам господарювання варто здійснити такі кроки:
- призначити Data Protection Officer (DPO) – фахівця з питань захисту даних. Його обов’язки мають включати моніторинг відповідності, взаємодію з державними органами та консультування щодо ризиків;
- переглянути та адаптувати чинні Політику конфіденційності, внутрішні регламенти та договори. Це стосується як договорів з клієнтами, так і з ІТ-підрядниками та сервісами (наприклад, CRM);
- переконатися, що обробка персональних даних ґрунтується на чітких правових підставах, таких як згода суб’єкта, виконання договору або законний інтерес.
- провести аудит усіх даних, які вони збирають, обробляють та зберігають. Особливу увагу варто приділити чутливим персональним даним (біометричні, генетичні, дані про стан здоров'я, расу, політичні погляди) та визначити, чи відповідає їх обробка новим вимогам;
- підготуватися до реалізації таких прав, як право на забуття, мобільність даних та захист від автоматизованих рішень;
- розробити чітку процедуру повідомлення про витоки даних.
Загалом для українського бізнесу, особливо в IT-сфері, прийняття законопроєкту №8153 спростить співпрацю з європейськими партнерами та клієнтами, оскільки Україна стане країною з адекватним рівнем захисту даних.
Про автора
Дмитро Слободянюк, адвокат, Ph.D, керівник практики захисту інтелектуальної власності, керуючий партнер юридичної компанії RELIANCE, Юрист року Миколаївщини — 2015, Молодий правник року — 2016, Адвокат року 2020-2024 в практиках "Право інтелектуальної власності" та "Митне право", дійсний член Асоціації правників України, член Асоціації адвокатів України, почесний член Союзу юристів України, керівник Миколаївської обласної організації Союзу юристів України.