Основною зміною в законі стало розширення його дії зі сфери захисту персональних даних в базах даних та картотеках на усю сфер захисту персональних даних. Так, відтепер сфера дії закону поширена на правові
відносини, пов’язані із захистом і
обробкою персональних даних, і спрямована
на захист основоположних прав і свобод
людини і громадянина, зокрема права на
невтручання в особисте життя, у зв’язку
з обробкою персональних даних. Винятками зі сфери дії закону залишається обробка даних,
яка
здійснюється фізичною особою виключно
для особистих чи побутових потреб, а також творчим чи літературним
працівником, у тому числі журналістом,
у професійних цілях, за умови забезпечення балансу між правом
на невтручання в особисте життя та
правом на самовираження.
Серед суттєвих змін закону слід відзначити зміну форми згоди
суб’єкта персональних даних – відтепер, це добровільне
волевиявлення фізичної особи (за умови
її поінформованості) щодо надання
дозволу на обробку її персональних
даних відповідно до сформульованої
мети їх обробки, висловлене у письмовій
формі або у формі, що дає змогу зробити
висновок про її надання. Також із закону було вилучено право не повідомляти особу, у випадку збирання даних з відкритих джерел, а також зникли важливі положення щодо безумовної відкритості персональних даних категорій громадян чи їх вичерпного переліку, а також положення щодо відкритості (за певними винятками) даних фізичної особи, яка претендує зайняти чи займає виборну посаду (у
представницьких органах) або посаду державного службовця першої
категорії. Відтак, закон про захист персональних даних вступає у колізію зі Законом України “Про доступ до публічної інформації” та Законом України “Про засади запобігання та протидії корупції”.
Серед оновлених прав особи щодо обробки її персональних даних слід відзначити появу права вносити
застереження стосовно обмеження права
на обробку своїх персональних даних
під час надання згоди, право відкликати згоду
на обробку персональних даних, право знати
механізм автоматичної обробки персональних
даних та право на захист від автоматизованого
рішення, яке має для нього правові
наслідки. Водночас, оскарження рішення про відстрочення або
відмову у доступі до персональних даних
може відбуватися лише в судовому порядку (раніше можна було це зробити і до Державної служби захисту персональних даних).
Для роботодавців корисною є норма, яка звільняє від обов’язку реєстрації
баз персональних даних, якщо вони пов’язані із забезпеченням та реалізацією трудових
відносин, а також стосуються членів громадських, релігійних
організацій, професійних спілок,
політичних партій. Водночас, якщо бази персональних даних все ж підлягають реєстрації, то володільцю відповідної бази доведеться вказати додатково про склад
персональних даних, які обробляються, інформацію
про третіх осіб, яким передаються
персональні дані та інформацію про
транскордонну передачу персональних
даних. При цьому Державна служба захисту персональних даних звільнена від обов’язку повідомляти про факт отримання заяви про реєстрацію відповідної бази, а сама реєстрація може затягнутися до 30 робочих днів.
Серед нових підстав для обробки персональних даних, окрім існуючої згоди суб’єкта і дозволу на підставі закону з’явилися нові, а саме –укладення
та виконання правочину, стороною якого
є суб’єкт персональних даних або який
укладено на користь суб’єкта персональних
даних чи для здійснення заходів, що
передують укладенню правочину на вимогу
суб’єкта персональних даних, а також необхідність
захисту законних інтересів володільців
персональних даних, третіх осіб, крім
випадків, коли суб’єкт персональних
даних вимагає припинити обробку його
персональних даних та потреби захисту
персональних даних переважають такий
інтерес. Останнє положення є корисним для тих, хто збирає і поширює інформацію, що становить суспільний інтерес. Однак, особа чиї персональні дані збираються іншою особою має бути повідомлена або в момент збирання або, у випадках вчинення правочину, захисту життєво важливих
інтересів, захисту законних інтересів цієї особи або інших осіб, обробки на підставі закону, протягом 10 робочих днів з дня збору таких даних.
Державна служба захисту персональних даних має право відтепер проводити виїзні або безвиїзні перевіркиволодільців та/або розпорядників персональних даних, здійснює моніторинг нових практик, тенденцій і технологій захисту персональних даних; видає рекомендації щодо практичного застосування положень законодавства про захист персональних даних, а також погоджує корпоративні кодекси поведінки відповідно до частини другої статті 27 Закону.
Утім, не обішлося в законі і без казусів. Так, в ч.2. ст. 8 було автоматично вилучено слово “база”, що призвело до втрати п.1 цієї частини усякого сенсу:
2. Суб’єкт персональних даних має право:
1) знати про місцезнаходження [ ] персональних даних, яка містить його персональні дані, її призначення та найменування, місцезнаходження та/або місце проживання (перебування) володільця чи розпорядника персональних даних або дати відповідне доручення щодо отримання цієї інформації уповноваженим ним особам, крім випадків, встановлених законом;
Окрім того, законотворець намагався замінити у п.4 ч.4 ст.16 слова “цієї бази” словами “персональних даних”, щоправда в первинній редакції ця стаття уже містила слова “персональних даних” і не містила слова “цієї бази”.
Адреса закону: zakon3.rada.gov.ua/laws/show/2297-17/