Захист персональних даних посідає центральне місце серед викликів сучасного інформаційного суспільства та набуває дедалі більшої актуальності, оскільки обробка інформації про фізичних осіб є невіддільною складовою діяльності як комерційних структур, так і державних установ. З кожним роком обсяги даних, що обробляються, зростають у геометричній прогресії, створюючи не тільки нові можливості, але й ризики незаконного розголошення персональних даних. За 2024 рік глобальна економіка втратила 4 трлн доларів через кібератаки, а понад 80% компаній зазнали витоків персональних даних.
 |
Маєте Телеграм? Два кліки - і ви не пропустите жодної важливої юридичної новини. Нічого зайвого, лише #самасуть. З турботою про ваш час! |
Ключовим нормативно-правовим актом у сфері захисту персональних даних у Європейському Союзі є Загальний регламент про захист даних (GDPR), який набув чинності 25 травня 2018 року та прийнятий з метою встановлення уніфікованих стандартів обробки даних. Його положення розповсюджуються на понад 27 країн-членів ЄС, включаючи 500 млн громадян ЄС.
Актуальна ж наразі редакція українського Закону України «Про захист персональних даних» є значним кроком до імплементації норм європейського законодавства в українську правову систему. Проте між цими нормативними актами все ж таки існують суттєві відмінності, які мають бути враховані Україною надалі, а отже заслуговують на детальний розгляд.
Ключовими відмінностями між GDPR та українським Законом є наступні
1. Територіальна дія
GDPR має надзвичайно широкий територіальний спектр охоплення та регулює обробку даних не лише компаніями, розташованими в ЄС, але й будь-якими організаціями, які пропонують послуги громадянам ЄС або відстежують їх діяльність в цій галузі. Водночас нова редакція українського закону зосереджена переважно на діяльності суб’єктів господарювання, зареєстрованих в Україні, або таких, що здійснюють обробку даних фізичних осіб, які є громадянами України. Отже, територіальний обсяг дії українського закону є суттєво вужчим, що може впливати на ефективність його реалізації, зокрема у регулюванні транснаціональних корпорацій, які можуть уникати виконання певних положень українського законодавства.
2. Визначення персональних даних
GDPR пропонує ширше та деталізованіше визначення персональних даних, до яких включаються, як традиційні ідентифікатори, такі як ім’я, адреса, електронна пошта, IP-адреса, так і більш чутливі категорії даних, як-от біометричні, генетичні та медичні дані. Український закон адаптуючи це визначення залишає певні аспекти, зокрема біометричні, медичні та генетичні дані, менш регламентованими. Це може створити правові прогалини, особливо у випадках міжнародної обробки даних, що потребують чіткого визначення правового статусу такої інформації, зокрема у медичній сфері.
3. Права суб’єктів даних
GDPR закріплює розширений перелік прав суб’єктів даних, включаючи право на доступ до персональної інформації, право на її виправлення, право на забуття, право на обмеження обробки, а також право на перенесення даних. Український закон також формально гарантує ці права, але їхня реалізація ускладняється недоліками технічної інфраструктури: лише 40% компаній в Україні мають належні ресурси для виконання цих вимог, тоді як у ЄС цей показник становить близько 85%.
4. Принципи захисту даних.
Однією з інновацій GDPR є вимога інтеграції принципів захисту даних ще на етапі розробки продуктів чи послуг. GDPR закріплює принципи захисту даних за дизайном і за замовчуванням як обов’язкові до впровадження на всіх етапах обробки персональної інформації. Відповідно до цих принципів, організації повинні інтегрувати заходи захисту даних у процеси розробки продуктів та послуг. Український закон лише частково адаптує ці вимоги, залишаючи значний простір для тлумачення їх змісту. Так, лише чверть українських IT-компаній впровадили ці принципи у своїх бізнес-процесах, що створює ризики для належного забезпечення конфіденційності даних з моменту їхньої генерації.
5. Повідомлення про порушення
GDPR вимагає від організацій повідомлення контролюючих органів про порушення захисту персональних даних протягом 72 годин після виявлення такого інциденту. Український закон дозволяє продовження цього терміну залежно від обставин конкретного випадку. У середньому, розгляд інцидентів в Україні займає 5-7 днів, що, по-перше, може бути критичним фактором у випадках масштабних витоків даних, а по-друге, створює ризики для суб’єктів даних, чиї персональні дані можуть бути незаконно використані третіми особами перш ніж отримають необхідний захист.
6. Штрафні санкції
Однією з найбільш суттєвих відмінностей є розмір штрафів. GDPR дозволяє накладати штрафи до 20 млн євро або 4% річного світового доходу компанії. Наприклад, у 2024 році Amazon отримав рекордний штраф за порушення GDPR у розмірі 1,2 млрд євро за порушення GDPR. Водночас максимальний штраф за українським законом становить 51 000 грн (приблизно 1 200 євро), що є мізерним, щоб стимулювати великі корпорації до обов’язкового дотримання вимог. Крім того, така різниця може знижувати мотивацію суб’єктів, що здійснюють обробку даних, до дотримання законодавства про захист персональних даних загалом.
7. Передача даних за кордон
GDPR дозволяє передачу персональних даних за межі ЄС вимагаючи забезпечення еквівалентного рівня захисту та за умови дотримання суворих заходів, таких як укладання стандартних договірних положень чи наявність відповідних рішень щодо захисту даних у країні-імпортері. Український закон встановлює більш суворі умови передачі персональних даних за межі країни, зобов’язуючи отримувати дозвіл контролюючого органу у випадках, де відсутні міжнародні угоди, що значно уповільнює міжнародну співпрацю.
Отже, нова редакція Закону України «Про захист персональних даних» є відповіддю на зростаючі виклики у цифровій сфері. Хоча зміни й свідчать про прагнення України до гармонізації з GDPR, але суттєві відмінності, зокрема у розмірах штрафів, технічних вимогах та процедурних механізмах, обмежують ефективність закону. Подальше вдосконалення нормативної бази та інфраструктури необхідне для підвищення рівня захисту персональних даних в Україні.
Отже, для досягнення ефективної інтеграції законодавства України із GDPR перш за все варто:
- запровадити державні програми підтримки для компаній, які впроваджують принципи захисту даних.
- підвищити рівень технічної інфраструктури для обробки персональних даних з одночасним запровадженням освітніх програм для підвищення обізнаності суб’єктів господарювання щодо вимог закону.
- розширити систему санкцій для стимулювання дотримання вимог законодавства з урахуванням їх адекватності до масштабу компаній.
- визначити чіткі, однозначні та прозорі процедури для міжнародної передачі даних із дотриманням високих стандартів конфіденційності.