close
МЕНЮ

Новости

Ключевые контакты
14 июня 2021

Законопроект о защите персональных данных подан в украинский Парламент

7 июня 2021 года проект Закона о защите персональных данных № 5628 (Законопроект) был подан в Верховную Раду Украины. Целью Законопроекта является:

  • выполнение Украиной своих обязательств по Соглашению об ассоциации между ЕС и Украиной относительно приведения в соответствие украинского законодательства со стандартами ЕС (в том числе GDPR);
  • повышение доверия инвесторов и привлечение инвестиций в украинскую экономику, особенно в секторы ИТ и телекоммуникаций.

Кого это коснется

По аналогии с действующим законом о защите персональных данных, Законопроект будет применяться ко всем действиям по обработке данных на территории Украины.

Каждое лицо, будь то частная коммерческая компания или орган государственной власти, обрабатывают по крайней мере данные своих работников и бизнес-партнеров. Даже этого достаточно, чтобы Законопроект применялся к таким лицам.

В отличие от GDPR, Законопроект не должен иметь экстерриториального действия.

Поскольку законодательство ЕС в сфере конфиденциальности и кибербезопасности существует параллельно и дополняет друг друга, можно ожидать, что Законопроект в определенной мере повлияет на ожидаемое законодательство в украинском секторе кибербезопасности.

Основные ожидаемые изменения

Большинство положений Законопроекта основаны на положениях GDPR, а также отдельных судебных решениях и лучших практиках ЕС. Нижеприведенные ключевые изменения должны учитываться всеми участниками обработки в Украине.

Ответственность и штрафы

Значительное увеличение уровня штрафов за нарушения Законопроекта нацелено на побуждение участников обработки относиться к персональным данным и их защите значительно серьезнее.

Уровень различных финансовых штрафов за совершение одного нарушения Законопроекта отличается в зависимости от вида нарушения:

  • для физических лиц – от 10 000 грн (приблизительно 300 евро) до 300 000 грн (приблизительно 9 000 евро); и
  • для юридических лиц – от 30 000 грн (приблизительно 900 евро) или 0,05 % общего годового оборота до 5 % общего годового оборота (но не менее 300 000 грн (приблизительно 9 000 евро)).

Повторное совершение нарушений в течение года потенциально может привести к наложению штрафа в размере 200 % от размера ранее наложенного штрафа.

Если участник обработки в пределах одной и той же обработки персональных данных или нескольких связанных между собой операций по обработке персональных данных допустил несколько разных нарушений Законопроекта, совокупный размер штрафа не должен превышать размер штрафа за наиболее серьезное нарушение.

Максимальный размер штрафов за нарушение может достигать:

  • для физических лиц – до 20 млн грн (приблизительно 606 000 евро); и
  • для юридических лиц – до 150 млн грн (приблизительно 4,5 млн евро) или 8 % общего годового оборота за предыдущий отчетный год.

Контролирующий орган в сфере защиты персональных данных

Хотя Законопроект не определяет независимый статус и полномочия контролирующего органа Украины в сфере защиты персональных данных (data protection authority, DPA) после перезапуска (что, вероятно, найдет свое отображение в отдельном нормативно-правовом акте), он демонстрирует широкий спектр сфер, где DPA, вероятно, будет привлечен, в частности:

  • установление соответствия уровня защиты иностранного государства/международной организации;
  • утверждение обязательных корпоративных правил;
  • разработка и утверждение рекомендаций касательно квалификационного экзамена на должность ответственного лица по вопросам защиты персональных данных (data protection officer, DPO) субъекта властных полномочий;
  • проведение предварительных консультаций для контролеров в рамках оценки влияния обработки персональных данных (data protection impact assessment, DPIA);
  • получение уведомлений об утечке персональных данных;
  • получение доступа к документам и помещениям участников обработки;
  • утверждение типичного порядка осуществления видеонаблюдения;
  • осуществление контроля за обработкой персональных данных, связанных с привлечением лиц к уголовной ответственности;
  • рассмотрение жалоб;
  • согласование проектов нормативно-правовых актов, которые предусматривают обработку персональных данных субъектами властных полномочий;
  • утверждение типичного договора с оператором (аналог processor в GDPR);
  • проведение периодических проверок; и
  • наложение штрафов за нарушение положений Законопроекта.

Трансграничные передачи данных

Законопроект предусматривает несколько правовых оснований для передачи данных за границу. Перечень таких правовых оснований теперь будет больше соответствовать стандартам ЕС:

  • передачи с должным уровнем безопасности:
    1. принимающее иностранное государство или международная организация обеспечивает должный уровень защиты персональных данных:
      • государства/организации, подпадающие под действие GDPR и/или Конвенции 108+;
      • иные государства/организации, относительно которых DPA установил соответствие их уровня защиты персональных данных (аналог решения об адекватности, предоставляемого Европейской комиссией);
    2. контролер/оператор предоставляют должные гарантии защиты персональных данных (с или без согласования с DPA);
    3. утверждены обязательные корпоративные правила в соответствии с требованиями Законопроекта, если передача осуществляется в пределах одной группы компаний;
  • передачи без должного уровня безопасности могут осуществляться при определенных обстоятельствах (известных как отступления (derogations) в GDPR), которые взяты из GDPR, в том числе передача для реализации права на свободу выражения взглядов.

Новая обязанность касательно уведомления об утечке данных

Аналогично с GDPR, Законопроект устанавливает обязанность для контролеров уведомлять украинский DPA об утечке данных, если вероятно, что утечка может привести к риску для прав и свобод субъекта данных.

Уведомления также необходимо будет отправлять субъектам данных, если существует вероятность высокого уровня риска для их прав и свобод в результате такой утечки.

Оценка влияния обработки персональных данных

Другой новой обязанностью для контролеров станет обязанность проводить DPIA до начала любых операций по обработке, если вероятно, что использование новых технологий или характер, объем, контекст и цели обработки приведут к наступлению высокого риска для прав и свобод субъектов данных.

Отдельно стоит упомянуть, что Законопроект устанавливает некоторые правила, которые прямо не отображены в GDPR, но которые предусмотрены в некоторых руководствах, выданных органами ЕС (например, EDPB), к примеру, касательно:

  • обработки персональных данных в сети Интернет, во время осуществления видеонаблюдения или видеофиксации публичных мероприятий;
  • вопросов прямого маркетинга;
  • обработки данных работодателями;
  • особенностей обработки персональных данных правоохранительными органами; и
  • особенностей обработки персональных данных в сфере электронных коммуникаций.

Когда ожидать

Сейчас Законопроект находится на начальной стадии рассмотрения парламентскими комитетами. Ожидается, что Законопроект вступит в силу 1 января 2023 года, а у Правительства будет три месяца после вступления в силу Законопроекта для принятия необходимых подзаконных актов для эффективного применения Законопроекта.

Обращайтесь к команде по защите данных Sayenko Kharenko для получения правовой поддержки вашей компании для подготовки к новым стандартам обработки данных в Украине. Мы также предоставляли помощь рабочей группе Верховной Рады Украины и поддерживали ее в попытках финализировать Законопроект.

Поделиться:

Больше Новости
Показать больше