У Верховній Раді України зареєстровано законопроект «Про захист персональних даних» від 07.06.2021 № 5628. Документ оновлює чинне законодавство у цій сфері та впроваджує прогресивні європейські норми, які відповідають положенням Конвенції 108+ та GDPR.

Необхідність прийняття цього законопроекту полягає у тому, що чинним законодавством не охоплюється цілий ряд питань та правовідносин які виникають на практиці (наприклад спільна обробка персональних даних різними юридичними особами, відносини субпідряду при обробці персональних даних, обробка персональних даних у мережі Інтернет тощо). Така ситуація зумовлена тим, що технологічний розвиток значно випереджає законодавство. Водночас, застаріле законодавство гальмує та створює перепони в реалізації інноваційних рішень як у приватній (розвиток ІТ сфери) сфері так і у публічному секторі (електронна демократія, цифровізація адміністративних послуг).

Тож завданням проекту Закону є приведення нормативного регулювання України в сфері захисту персональних даних у відповідність до нових міжнародних стандартів в цій сфері, які передбачені Конвенцієї 108+ та Загальним регламентом про захист персональних даних, а також врегулювати правові відносини, пов’язані з обробкою персональних даних, які не врегульовані чинним законом. Крім того, законопроект має на меті підвищити рівень захисту конституційного права на повагу до приватного життя через посилення стандартів обробки персональних даних та надати більше прав суб’єкту персональних даних для забезпечення можливості здійснення повноцінного контролю суб’єктом за обробкою його персональних даних. 

Що пропонується?

Перш за все, законопроект № 5628 від 07.06.2021 визначає випадки, коли обробка персональних даних є законною:

1) у разі надання згоди суб’єктом персональних даних на обробку його персональних даних для однієї або кількох точно визначених цілей;

2) укладення та виконання правочину, стороною якого є суб’єкт персональних даних або для здійснення заходів, що необхідні для укладення правочину, на вимогу суб’єкта персональних даних;

3) необхідності виконання юридичного обов’язку контролера персональних даних;

4) захисту життєво важливих інтересів суб’єкта персональних даних або іншої фізичної особи;

5) необхідності виконання завдань в суспільних інтересах або повноважень, покладених на контролера законом;

6) необхідності для цілей легітимного інтересу  контролера або третьої особи, крім випадків, коли такі інтереси не переважають інтереси або основоположні права та свободи суб’єкта персональних даних, які вимагають захисту персональних даних, особливо якщо суб’єктом персональних даних є дитина.

Законопроектом визначено особливі вимоги до обробки персональних даних (чутливі персональні дані), а також обробки персональних даних, пов’язаних з притягненням до кримінальної відповідальності, обробки біометричних даних суб’єктами владних повноважень та обробки персональних даних з метою прямого маркетингу, передвиборчої агітації та політичної реклами.

Водночас визначено, що забороняється обробка чутливих персональних даних, а саме даних про расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в професійних спілках, а також генетичних та біометричних даних, даних, що стосуються здоров’я, статевого життя або сексуальної орієнтації, психометричних даних.

Законопроектом суттєво розширені права суб’єкта персональних даних у повній відповідності до вимог Загального регламенту про захист персональних даних та Конвенції 108, а саме визначено механізми для захисту:

  • права на інформацію;
  • права суб’єкта даних на доступ до персональних даних;
  • права  суб’єкта персональних даних на виправлення персональних даних;
  • права суб’єкта персональних даних на забуття;
  • права на заперечення проти обробки персональних даних;
  • права на мобільність персональних даних;
  • права на обмеження обробки персональних даних;
  • права на захист від автоматизованого прийняття рішення;
  • права суб’єкта даних на захист своїх прав та відшкодування шкоди;

Також встановлено порядок розгляду вимог суб’єкта персональних даних контролерами та операторами.

Проект Закону врегульовує питання обробки персональних даних у мережі Інтернет, під час здійснення відеоспостереження або відеофіксації публічних заходів,  обробки персональних даних в цілях прямого маркетингу, при прийомі на роботу, обробки персональних даних правоохоронними органами.

Посилено права суб’єкта персональних даних щодо обробки його персональних даних. Передбачено право на забуття, право на заперечення проти обробки персональних даних, на право на обмеження обробки персональних даних, право на мобільність персональних даних, право на захист від автоматизованого прийняття рішення та право  на захист своїх прав та відшкодування шкоди та механізм захисту прав у випадку їх порушення контролером або оператором.

Деталізовано і конкретизовано права, обов’язки та відповідальність контролера та оператора персональних даних щодо обробки персональних даних на території України та передачі персональних даних іншим державам або міжнародним організаціям.

Проект Закону передбачає систему повідомлення про витік персональних даних. Законопроект встановлює зобов’язання контролера протягом 72 годин проінформувати про витік персональних даних контролюючий орган. 

Особливу увагу приділено окремим питанням, що не врегульовані раніше і потребують вдосконалення – обробка даних померлих осіб, робота з архівними даними, обігу даних у сфері електронних комунікацій, у трудовій та правоохоронній сфері.

Варто зазначити, що законопроект визначає таємницю приватного спілкування, що охоплює:

1) зміст спілкування;

2) дані трафіку;

3) дані про місцезнаходження споживача електронних комунікаційних послуг, до яких відносяться будь-які дані, що обробляються при наданні електронних комунікаційних послуг, в тому числі, щодо розташування термінального обладнання;

4) факти та обставини, за яких мало місце припинення або невстановлення з’єднання.

Здійснення запису приватного спілкування та пов’язаних з ним даних дозволяється під час здійснення підприємницької діяльності в цілях надання доказів здійсненої оплати або спілкування за умови, що учасники спілкування завчасно повідомлені про запис, його цілі та період зберігання даних. Записані і збережені дані повинні бути вилучені негайно після досягнення мети збереження або після закінчення строку оскарження відповідної дії.

Коли набере чинності цей Закон?

У разі прийняття цей Закон набере чинності з дня опублікування та запрацює з 1 січня 2023 року.

!!Також читайте: Нацбанк посилює інформаційну безпеку та кіберзахист у сфері переказу коштів

Leave a comment

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *

З питань розміщення реклами звертайтеся за телефоном (044) 221-31-65

З питань надання послуг звертайтеся за телефоном (044) 221-31-65