ПІДПИШІТЬСЯ НА НАШІ
НОВИНИ І АНОНСИ

Украина подписала соглашение об Ассоциации с ЕС и приняла на себя обязательства привести в соответствие свое законодательство к европейскому законодательству, в том числе и законодательство касательно защиты персональных данных.

В связи с этим, в Верховную раду Украины внесен на рассмотрение Проект Закона Украины «О защите персональных данных» № 5628 от 07.06.2021, который фактически копирует Регламент Европейского Парламента и Совета (ЕС) 2016/679 от 27 апреля 2016 года о защите физических лиц в связи с обработкой персональных данных и о свободном движении этих данных — General Data Protection Regulation (GDPR). Однако, в ряде случаев проект закона устанавливает более жесткие требования, чем сам GDPR в ЕС.

Планируется, что Закон Украины «О защите персональных данных» будет принят и вступит в силу с 1 января 2023 года.

 Термины

В первую очередь, данный проект закона устанавливает основные термины, которые соответствуют GDPR.

Основными участниками будут контролер (лицо, которое самостоятельно или совместно с другими лицами определяет цели и способы обработки персональных данных) и оператор (лицо, которое от имени контролера осуществляет обработку персональных данных, но самостоятельно не определяет цели и способы обработки – в GDPR «процессор»).

 Принципы обработки персональных данных

Устанавливаются принципы обработки персональных данных. По GDPR их 6, по данному законопроекту 7:

1) Законность, добросовестность, прозрачность;

2) Ограничение цели;

3) Минимизация персональных данных;

4) Точность;

5) Ограничения срока хранения;

6) Целостность и конфиденциальность;

7) Подотчетность (GDPR этого не содержит).

 Основания для обработки персональных данных (как и GDPR):

1) Предоставление согласия субъекта персональных данных;

2) Заключение сделки стороной, которая является субъектом персональных данных или осуществление мер, направленных на заключение сделки;

3) Выполнение юридической обязанности контролера (например, для начисления и удержания налогов или подачи отчетности);

4) Защита жизненно важных интересов субъекта персональных данных;

5) Необходимость выполнения задач в общественных интересах или полномочий, возложенных на контролера законом;

6) Необходимость для целей легитимного интереса контроллера или третьего лица.

 Согласие субъекта данных

Проект закона устанавливает аналогичные GDPR требования в отношении согласия субъекта данных. Согласие – активное действие, которое однозначно указывает, что субъект данных согласен на обработку его персональных данных. То есть, по умолчанию невозможно будет дать согласие.

При получении согласия, важно будет проинформировать субъекта данных о том, какие же данные о нем собираются, на основании чего эти данные обрабатываются, о контактных данных контролера, о правах самого субъекта данных и тд. Это и есть реализация принципа прозрачности обработки данных. Таким образом необходимо будет разрабатывать уведомление об обработке персональных данных или иной аналогичный документ, который должен будет содержать соответствующие положения.

 

 Обработка чувствительных персональных данных

Особые требования устанавливаются в отношении чувствительных персональных данных – данные о расовом и этническом происхождении, политических и религиозных взглядах, генетические и биометрические данные, данные сексуальной ориентации, психометрические данные и тд.

Эти данные смогут обрабатываться только при наличии определенных условий. Одним из условий является конечно же согласие. Возможно будет обрабатывать эти данные при необходимости выполнения обязанностей контролера в сфере трудовых отношений или социальной защиты, а также случаи защиты жизненно важных интересов субъекта персональных данных.

Говоря о данных в отношении уголовной ответственности или данных в отношении судимости, то такие данные смогут обрабатывать только лишь правоохранительные органы и только в порядке предусмотренным законодательством. То есть, обычные контролеры не смогут их обрабатывать.

 Видеонаблюдение

Касательно осуществления видеонаблюдения — проект закона предъявляет повышенные требования к видеонаблюдению по сравнению с GDPR.

Видеонаблюдение будет допускаться в случае, если осуществляется субъектами властных полномочий или правоохранительными органами, но в случаях, предусмотренных законом. Что касается юридических и физических лиц, то они также смогут осуществлять видеонаблюдение, но в данном случае, законопроект предлагает ограничить основания для осуществления видеонаблюдения. В частности, предусматривает такие цели для осуществления видео наблюдения как обеспечение безопасности и защиты имущества в зданиях и на территории. Согласно GDPR, видеонаблюдение может осуществляться для обеспечения легитимного обеспечения контролера (легитимный интерес может быть связан, в том числе, с охраной здоровья).

Согласно законопроекту, контролирующий орган должен утвердить типовой порядок осуществления видеонаблюдения, т.е. нужно будет полностью соответствовать ему. Кроме того, персональные данные, которые будут собраны в результате такого видеонаблюдения, должны будут храниться всего лишь 6 месяцев (но, если, например, эти данные понадобятся при расследовании какого-либо правонарушения, то такого срока хранения может быть недостаточно).

При хранении файлов, связанных с видеонаблюдением, необходимо будет создать файловую систему, в которой должно быть указанно, когда была произведена видеозапись, её дата, время и место осуществления. Также должна храниться информация о лицах, которые просматривали видеозапись.

 Права субъекта персональных данных

Законопроект предполагает установить перечень прав субъекта персональных данных, который аналогичен GDPR. Отличием является то, что у нас прямо выделено «право субъекта персональных данных на защиту своих прав и возмещение вреда».

Субъект данных, согласно законопроекту имеет право на: информацию, доступ к персональным данным, исправление персональных данных, забвение, возражение против обработки персональных данных, мобильность персональных данных, ограничение обработки персональных данных, защиту от автоматизированного принятия решения.

 Обязанности контролера и оператора

Основные обязанности контролера и оператора — обеспечивать надлежащие технические и операционные действия. Кроме того, можно предусмотреть утверждение контролером кодекса поведения по вопросам защиты персональных данных.

При разработке каких-либо новых продуктов, контролер должен обеспечивать защиту персональных данных по проектированию и по умолчанию. То есть, должны быть обеспечены целостность, конфиденциальность и соблюдение всех принципов и прав субъекта персональных данных, а персональные данные должны обрабатываться в минимальном необходимом объеме.

Стоит отметить, касательно оператора персональных данных — важным обязательством, особенно для айти компаний является обеспечение соблюдения технических и организационных мер, необходимых для защиты персональных данных, в процессе их обработки. В практике применения GDPR надзорные органы в ЕС уже применяли штрафы к операторам за необеспечение технических и организационных мер.

Контролер и оператор должны будут заключить договор, в котором будет предусматриваться определенный перечень информации в соответствии с Примерным договором, который должен будет утвердить надзорный орган.

В случае если контролер и оператор созданы в других государствах, но обрабатывают персональные данные граждан Украины – они будут обязаны назначить представителя контролера или оператора в Украине.

 Регистрация операций по обработке персональных данных

Необходима будет регистрация операций по обработке персональных данных, которая будет осуществляться путем ведения Протокола. Она будет обязательна в случае, если работает 10 и более человек. Вести Протокол будут контролер и оператор при обработке соответствующих персональных данных.

 

  Утечка персональных данных

В случае, если будет происходить утечка персональных данных – контролеру и оператору необходимо будет уведомить надзорный орган в течении 72 часов, а также субъекта данных.

 

 Оценка влияния обработки персональных данных

В случае, если обработка персональных данных влечет высокие риски для прав и свобод физического лица, контролер должен будет провести оценку влияния обработки персональных данных. И если контролер при оценке влияния обработки персональных данных придет к выводу, что имеется высокий риск для прав и свобод субъектов данных, он должен проконсультироваться с контролирующим органом, а тот, в свою очередь, дать рекомендации в течении 45 дней после такого обращения.

 Ответственное лицо по вопросам защиты персональных данных

При наличии определенных оснований, необходимо назначить ответственное лицо по вопросам защиты персональных данных. Речь идет о широкомасштабной обработке персональных или чувствительных данных или данных об уголовной ответственности. Такое лицо должно иметь опыт в сфере защиты персональных данных и еще ряд квалификационных требований.

 Передача персональных данных на территорию иностранного государства

Ограничиваются основания для передачи персональных данных на территорию иностранного государства. Допускается передача данных в страны ЕС или страны-участницы Конвенции №108+, а также при соблюдении требований, установленных законопроектом.

 Обработка персональных данных работодателем

Что касается обработки персональных данных работодателем, работодатель обязан обрабатывать только те персональные данные субъектов, которые необходимы для реализации трудовых правоотношений. Но также он может обрабатывать персональные данные на основании согласия субъекта персональных данных, если такое согласие является добровольным и не приводит к негативным последствиям для субъекта.

 Ответственность контролеров и операторов за нарушение законодательства в сфере защиты персональных данных предусматривает:

— за нарушение незначительных требований данного закона предлагается установить штраф: для физических лиц — от 10 000 до 30 000 грн, для юридических лиц – от 0,05% до 0,1% годового оборота, но не менее 30 000грн за каждое отдельно нарушение.

— за существенные нарушения: для физических лиц от 30 000 до 100 000 грн, для юридических лиц — от 0,5% до 1% годового оборота, при этом не менее 100 000 грн за каждое отдельно нарушение.

Нарушение иных положений предусматривает увеличение штрафов, а каждое повторное нарушение требований закона, совершенное в течение года, влечет за собой наложение штрафа в размере 200% от размера ранее наложенного штрафа.

 Срок давности привлечения к ответственности составляет 3 года со дня совершения нарушения, а в случае длящегося нарушения – 3 года со дня выявления нарушения.

ru_RUРусский