Верховна Рада України 20 листопада 2024 року прийняла за основу в першому читанні законопроєкт №8153 «Про захист персональних даних». Цей документ має на меті не лише оновити чинне законодавство, але й максимально адаптувати українську систему захисту персональних даних до вимог Загального регламенту ЄС про захист даних (GDPR). Впровадження положень GDPR означає застосування суворих стандартів у сфері обробки, зберігання, доступу та передачі персональних даних, орієнтованих на забезпечення прав фізичних осіб.
 |
Маєте Телеграм? Два кліки - і ви не пропустите жодної важливої юридичної новини. Нічого зайвого, лише #самасуть. З турботою про ваш час! |
У цій статті ми зосередимо увагу на основних новелах законопроєкту, які стосуються таких аспектів, як формалізація згоди на обробку, впровадження технічних і організаційних гарантій, закріплення ролі відповідальної особи з питань захисту даних, договірна взаємодія між контролерами та операторами, а також посилення санкцій за порушення.
Деталізація вимог до надання згоди
Законопроєкт №8153 детально регламентує, що вважатиметься дійсною згодою на обробку персональних даних, а що — ні. Це особливо важливо для бізнесу, який покладається на згоду як одну з правових підстав для обробки даних клієнтів, працівників або користувачів онлайн-сервісів.
Новий законопроєкт передбачає такі способи надання згоди:
• у письмовій формі, зокрема електронній;
• через дії на вебсайті (наприклад, заповнення форм чи проставлення позначок);
• через налаштування в інтерфейсі систем, сайтів або додатків;
• через іншу ствердну дію чи поведінку, яка однозначно вказує на те, що суб’єкт персональних даних у конкретному випадку згоден на подальшу обробку його персональних даних.
Відповідно до законопроєкту не вважатиметься згодою на обробку персональних даних:
• попередньо встановлені налаштування;
• автоматично заповнені форми;
• бездіяльність користувача;
• будь-які дії, які не передбачають активного волевиявлення.
Особливу увагу в законопроєкті приділено ситуаціям, коли згода формально надана, але фактично не є вільною. Такі згоди не визнаватимуться дійсними. Це, зокрема, стосується:
• випадків, коли суб’єкт персональних даних перебуває в залежному чи підпорядкованому становищі щодо контролера, якому надається згода;
• випадків, коли в суб’єкта персональних даних немає вільного вибору або можливості відмовити в наданні згоди чи відкликати раніше надану згоду без настання негативних наслідків для себе;
• ситуацій, коли немає альтернативного доступу до послуг без згоди;
• загальної згоди без уточнення окремих видів обробки.
Законопроєкт також передбачає таку умову дійсності згоди, як інформованість. Для того, щоб згода вважалася інформованою, контролер зобов’язаний надати зрозумілу інформацію щодо підстави, мети, обсягу обробки, переліку даних, що будуть використані, а також контактів контролера й оператора, прав суб’єкта та способів їх реалізації. Ця інформація повинна бути надана заздалегідь, зрозумілою мовою та в доступному форматі.
Крім викладених вимог, законопроєкт також акцентує увагу на технічних та організаційних аспектах згоди. Зокрема, вона має бути легкою для відкликання — у спосіб, не менш зручний, ніж той, у який її було надано. Окремо підкреслюється обов’язок контролера зберігати докази згоди та підтвердження дотримання всіх вимог щодо її надання.
Отже, законопроєкт формує чіткі й підвищені стандарти згоди як ключової підстави для обробки персональних даних, що потребуватиме від бізнесу більш відповідального і прозорого підходу у взаємодії з користувачами та працівниками.
Запровадження GDPR-принципів захисту даних за замовчуванням і за проєктуванням
Одним із центральних нововведень є обов'язкове впровадження принципів Privacy by Design та Privacy by Default, які лежать в основі підходу GDPR. Їхня мета — інтегрувати захист даних у всі процеси обробки ще на етапі планування та впровадження систем.
Так, ст. 29 законопроєкту передбачає імплементацію принципу захисту за проєктуванням (Privacy by Design), відповідно до якого контролер має забезпечити, щоб принципи обробки, правові підстави та необхідні гарантії були враховані не лише під час самої обробки, а й на етапі визначення засобів обробки. Це означає, що технічні та організаційні заходи безпеки (шифрування, мінімізація збору, обмеження доступу, логування дій користувачів) мають бути вбудовані в архітектуру інформаційної системи ще до її запуску.
Також на етапі проєктування має бути передбачена можливість здійснення регулярного аудиту безпеки, що передбачає протоколювання дій користувачів, ведення журналів подій, розмежування прав доступу, а також внутрішні або зовнішні перевірки. Ці заходи мають бути інтегровані в політики управління безпекою як обов’язковий процес підтримання відповідності системи вимогам захисту персональних даних.
Захист за замовчуванням (Privacy by Default)
Принцип захисту за замовчуванням (Privacy by Default) встановлює вимогу, згідно з якою інформаційна система одразу після її впровадження повинна мати максимально високий рівень конфіденційності без необхідності додаткових дій із боку користувача. За замовчуванням мають оброблятися лише ті персональні дані, які є об’єктивно необхідними для досягнення чітко визначеної та законної мети обробки протягом мінімально потрібного періоду.
Наприклад, принцип захисту за замовчуванням може втілюватися через надання користувачам налаштувань приватності з максимально обмеженим обсягом обробки їхніх персональних даних за замовчуванням. Зокрема, опції передачі даних стороннім сервісам або розширені функції відстеження поведінки користувача з маркетинговою метою не мають бути активовані автоматично. Натомість користувачеві має надаватися можливість самостійно визначати прийнятний для нього рівень приватності на основі чіткої та прозорої інформації.
Запровадження інституту відповідальної особи з питань захисту персональних даних
Законопроєкт передбачає запровадження інституту відповідальної особи з питань захисту персональних даних — українського аналога Data Protection Officer (DPO) згідно з GDPR.
Так, ст. 41 законопроєкту визначає обов’язкові випадки призначення такої особи контролерами та операторами. Відповідальну особу доведеться призначити у випадках, коли:
• персональні дані обробляються органами державної влади (крім судів у межах правосуддя);
• основна діяльність пов’язана з регулярним і масштабним моніторингом суб’єктів даних;
• здійснюється широкомасштабна обробка чутливих персональних даних або даних про судимості.
В інших випадках призначення відповідальної особи є добровільним. Законопроєкт також надає можливість призначати одну відповідальну особу на групу компаній або для центрального органу й територіальних підрозділів.
Основними функціями відповідальної особи є надання консультацій контролеру та працівникам із питань захисту персональних даних, моніторинг дотримання вимог законодавства, підвищення рівня обізнаності працівників контролера або оператора з питань захисту персональних даних, консультування щодо проведення оцінки впливу на захист даних і співпраця з уповноваженим органом із питань захисту персональних даних, виступаючи як його контактна особа.
Керівництво контролера або оператора зобов'язане забезпечити незалежність відповідальної особи під час виконання нею своїх функцій, звільнення або застосування негативних заходів впливу до відповідальної особи у зв’язку з її законною діяльністю не допускається. Контактні дані відповідальної особи підлягатимуть оприлюдненню та повідомленню уповноваженому органу.
Деталізація вимог до договорів між контролером та оператором персональних даних
Законопроєкт №8153 вносить значні уточнення до вимог, що регулюють договірні відносини між контролерами та операторами персональних даних. У ст. 31 законопроєкту детально визначено обов’язкові умови, які мають бути відображені в письмовому договорі або нормативно-правовому акті, що регламентує обробку персональних даних оператором від імені контролера.
Ключовою вимогою є чітке визначення в договорі виду та категорій персональних даних, що передаються на обробку, строку, характеру та мети обробки, а також категорій суб’єктів персональних даних. Договір має передбачати права й обов’язки контролера, а всі дії оператора — базуватися виключно на письмовому дорученні контролера.
Оператор зобов’язаний діяти в межах доручення, зокрема щодо можливості передачі персональних даних за межі України. Якщо така передача дозволена законом, контролер має бути поінформований про неї до початку обробки. Крім того, у договорі мають бути закріплені вимоги щодо допуску до обробки лише уповноважених осіб, а також забезпечення належного рівня технічного та організаційного захисту персональних даних відповідно до ст. 35 законопроєкту.
Окремо законопроєкт передбачає обов’язок оператора надавати підтримку контролеру у виконанні його обов’язків, зокрема у реагуванні назапити суб’єктів даних та в забезпеченні загального дотримання вимог законодавства про захист персональних даних.
Після завершення строку обробки, визначеного договором, оператор зобов’язаний на вимогу контролера повернути або видалити всі персональні дані, разом із наявними копіями, якщо інше не передбачено законом.
Також стаття встановлює відповідальність оператора за дії залучених субоператорів та можливість затвердження контролюючим органом типового договору, що має сприяти уніфікації підходів до взаємодії між контролерами та операторами.
Посилення санкцій за порушення у сфері персональних даних
Законопроєкт №8153 кардинально змінює підхід до відповідальності за порушення у сфері персональних даних. Якщо раніше санкції були радше символічними, то тепер штрафи можуть сягати 90 млн грн, або 5% річного обороту компанії.
Законопроєктом розмежовується відповідальність залежно від ступеня тяжкості порушення та його безпосереднього впливу на права суб’єктів персональних даних.
За порушення, що не призводять до прямого порушення прав суб’єктів (наприклад, обробка без законної підстави чи згоди, порушення принципів обробки, недостатні заходи безпеки), передбачені штрафи: для фізичних осіб — 10 000–30 000 грн за випадок (до 10 млн грн загалом), для юридичних осіб — 0,05–0,1% річного обороту (не менше 30 000 грн, до 50 млн грн, або 3% обороту).
За порушення, що безпосередньо впливають на права суб’єктів (наприклад, відмова в доступі до даних, порушення права на захист від автоматизованих рішень), передбачені суворіші санкції: для фізичних осіб — 30 000–100 000 грн за випадок (до 20 млн грн загалом), для юридичних осіб — 0,5–1% річного обороту (не менше 100 000 грн, до 90 млн грн, або 5% обороту).
Запровадження значних санкцій за порушення у сфері персональних даних, передбачених законопроєктом №8153, покликане стимулювати належне дотримання вимог нового регулювання. Водночас законопроєкт комплексно оновлює підходи до обробки персональних даних, орієнтуючи бізнес на прозорість, підзвітність і відповідальність. У зв’язку із цим компаніям доцільно вже на етапі підготовки до прийняття та набуття чинності законопроєкту №8153 оцінити чинні практики, переглянути внутрішні політики та забезпечити поступову адаптацію до оновлених вимог.