7 червня 2021 року у Верховній Раді зареєстровано законопроєкт № 5828 про захист персональних даних (н.д. Єгор Чернєв, Тарас Тарасенко та інші).

Справа в тому, що чинне законодавство про захист персональних даних не відповідає міжнародним стандартам у цій сфері, зокрема Загальному регламенту про захист даних (відомому як GDPR) та Конвенції про захист фізичних осіб у зв’язку з автоматизованою обробкою персональних даних (Конвенція 108).

А тому ініціатори законопроекту пропонують привести термінологію Закону України “Про захист персональних даних” у відповідність до міжнародних стандартів, більш чітко сформулювати принципи та підстави обробки персональних даних, а також встановити відповідальність та досить суворі санкції за порушення вимог закону, особливо якщо ці порушення призвели до витоку персональних даних. 

1. Термінологія

Серед усього іншого пропонуються нові визначення для осіб, що здійснюють обробку персональних даних:

контролер – особи, які визначають цілі та засоби обробки персональних даних (раніше володілець);

оператор – особи, які здійснюють обробку персональних даних від імені контролера (раніше розпорядник).

2. Згода на обробку персональних даних

Законопроєкт зберігає шість підстав для обробки персональних даних, як і у чинному законі. Разом з тим, він деталізує вимоги до згоди як однієї з підстав. Відповідно до законопроєкту, згода має бути:

• вільною (користувач повинен мати можливість відкликати згоду або отримати товари/послуги без надання згоди на обробку персональних даних, а відмова від надання згоди не повинна мати негативних наслідків).
• інформованою (тобто до надання або в момент надання згоди потрібно повідомити користувача про підставу та мету обробки його персональних даних, перелік даних, які підлягають обробці, контактні дані контролера, а також права користувача стосовно його персональних даних); а також 
• чіткою та однозначною.

3. Розширення прав користувачів

Окрім прав, які вже передбачені чинним законом, законопроєкт пропонує надати користувачу нові права: право бути забутим, право на мобільність або портативність даних та право бути поінформованим про порушення персональних даних.

Впровадження права на забуття стане досягненням для України, адже дозволить українським користувачам звертатися до інтернет-компаній з проханням знищити певну інформацію про них у мережі.

4. Чіткі обов’язки контролера і оператора персональних даних

Законопроєкт детально регулює права, обов’язки та відповідальність тих, хто відповідає за обробку персональних даних. Зокрема, контролери зобов’язані вживати належних технічних і організаційних заходів захисту персональних даних, і залучати лише тих операторів, які теж можуть вжити таких заходів. 

У деяких випадках, контролер зобов’язаний призначити особу, відповідальну за захист персональних даних (зокрема, якщо це суб’єкт владних повноважень). Така особа буде моніторити дотримання вимог закону, проводити внутрішні аудити, навчати персонал і контактувати з контролюючим органом у разі потреби. 

Крім того, законопроєкт чітко встановлює обов’язок контролера повідомити контролюючий орган про витік персональних даних протягом 72 годин. 

5. Відповідальність та санкції за порушення законодавства

Автори законопроєкту у пояснювальній записці зазначили, що штрафні санкцій мають бути «ефективними, пропорційними й стримувальними». А тому законопроєкт пропонує досить суворі санкції за порушення законодавства в сфера захисту персональних даних – до 150 мільйонів гривень. 

Такі розміри не суперечать міжнародним стандартам. Наприклад, відповідно до GDPR контролюючі органи можуть накладати до 20 мільйонів євро (приблизно 660 мільйонів гривень). Звісно, при накладанні санкцій контролюючий орган буде враховувати характер, тяжкість і тривалість порушення і його наслідків, заходи, вжиті для забезпечення виконання вимог закону та будь-які заходи, спрямовані на запобігання негативних наслідків порушення.

Прийняття цього законопроєкту дозволить користувачам контролювати обробку своїх персональних даних, а Україні – виконати міжнародні зобов’язання і отримати статус держави, яка забезпечує належний захист персональних даних.

Крім того, автори законопроєкту обіцяють найближчим часом зареєструвати ще один законопроєкт – про контролюючий орган у сфері захисту персональних даних та доступу до публічної інформації (так би мовити для забезпечення балансу відкритих та конфіденційних даних). Наразі такі функції виконує Омбудсмен, однак він не відповідає критеріям незалежності, яка має бути у такого органу.

Картка законопроекту: http://w1.c1.rada.gov.ua/pls/zweb2/webproc4_1?pf3511=72160