close
МЕНЮ

Новини

Ключові контакти
14 Червня 2021

Законопроєкт про захист персональних даних подано до Верховної Ради України

7 червня 2021 року проєкт Закону про захист персональних даних № 5628 (Законопроєкт) було подано до Верховної Ради України. Метою Законопроєкту є:

  • виконання Україною своїх зобов’язань за Угодою про асоціацію між ЄС та Україною щодо приведення у відповідність українського законодавства до стандартів ЄС (у тому числі GDPR);
  • підвищення довіри інвесторів та залучення інвестицій до української економіки, особливо в сектори ІТ та телекомунікацій.

Кого це стосуватиметься

Аналогічно до діючого закону про захист персональних даних, Законопроєкт застосовуватиметься до всіх дій із обробки на території України.

Кожна особа, чи то приватна комерційна компанія чи орган державної влади, обробляє принаймні дані своїх працівників та ділових партнерів. Навіть цього достатньо, щоб Законопроєкт застосовувався до таких осіб.

На відміну від GDPR, Законопроєкт не повинен мати екстериторіальної дії.

Оскільки законодавство ЄС у сфері конфіденційності та кібербезпеки існує паралельно та доповнює одне одного, можна очікувати, що Законопроєкт певною мірою вплине на очікуване законодавство в українському секторі кібербезпеки.

Основні очікувані зміни

Більшість положень Законопроєкту засновані на положеннях GDPR, а також окремих судових рішеннях та кращих практиках ЄС. Нижченаведені ключові зміни повинні бути враховані всіма учасниками обробки даних в Україні.

Відповідальність та штрафи

Значне збільшення рівня штрафів за порушення Законопроєкту має на меті заохочувати учасників обробки ставитися до персональних даних та до їх захисту значно серйозніше.

Рівень ймовірних фінансових штрафів за вчинення одного порушення Законопроєкту відрізняється залежно від виду порушення:

  • для фізичних осіб – від 10 000 грн (приблизно 300 євро) до 300 000 грн (приблизно 9 000 євро); та
  • для юридичних осіб – від 30 000 грн (приблизно 900 євро), або 0,05 % загального річного обороту до 5 % загального річного обороту (але не менше 300 000 грн (приблизно 9 000 євро)).

Повторне вчинення порушень протягом року потенційно може призвести до накладення штрафу у розмірі 200 % від розміру раніше накладеного штрафу.

Якщо учасник обробки в межах однієї і тієї ж обробки персональних даних або кількох пов’язаних між собою операцій обробки персональних даних допустив кілька різних порушень Законопроєкту, сукупний розмір штрафу не повинен перевищувати розмір штрафу за найбільш серйозне порушення.

Максимальний розмір штрафів за порушення може досягати:

  • для фізичних осіб – до 20 млн грн (приблизно 606 000 євро); та
  • для юридичних осіб – до 150 млн грн (приблизно 4,5 млн євро) або 8 % загального річного обороту за попередній звітний рік.

Контролюючий орган у сфері захисту персональних даних

Хоча Законопроєкт не визначає незалежний статус та повноваження контролюючого органу України у сфері захисту персональних даних  (data protection authority, DPA) після перезапуску (що, ймовірно, знайде своє відображення в окремому нормативно-правовому акті), він демонструє широкий спектр сфер, де DPA, вірогідно, буде залучений, зокрема:

  • встановлення відповідності рівня захисту іноземної держави/міжнародної організації;
  • затвердження обов’язкових корпоративних правил;
  • розробка та затвердження рекомендацій щодо кваліфікаційного іспиту на посаду відповідальної особи з питань захисту персональних даних (data protection officer, DPO) суб’єкта владних повноважень;
  • проведення попередніх консультацій для контролерів у межах оцінки впливу обробки персональних даних (data protection impact assessment, DPIA);
  • отримання повідомлень про витік персональних даних;
  • отримання доступу до документів та приміщень учасників обробки;
  • затвердження типового порядку здійснення відеоспостереження;
  • здійснення контролю за обробкою персональних даних, пов’язаних із притягненням осіб до кримінальної відповідальності;
  • розгляд скарг;
  • погодження проєктів нормативно-правових актів, які передбачають обробку персональних даних суб’єктами владних повноважень;
  • затвердження типового договору з оператором (аналог processor за GDPR);
  • проведення періодичних перевірок; та
  • накладення штрафів за порушення положень Законопроєкту.

Транскордонні передачі даних

Законопроєкт передбачає кілька правових підстав для передачі даних за кордон. Перелік таких правових підстав відтепер буде більше відповідати стандартам ЄС:

  • передачі з належним рівнем безпеки:
    1. приймаюча іноземна держава або міжнародна організація забезпечує належний рівень захисту персональних даних:
      • держави/організації, що підпадають під дію GDPR та/або Конвенції 108+;
      • інші держави/організації, щодо яких DPA встановив відповідність їхнього рівня захисту персональних даних (аналог рішення про адекватність, що надається Європейською комісією);
    2. контролер/оператор надають належні гарантії захисту персональних даних (із або без погодження з DPA);
    3. затверджені обов’язкові корпоративні правила у відповідності до вимог Законопроєкту, якщо передача здійснюється в межах однієї групи компаній;
  • передачі без належного рівня безпеки можуть здійснюватися за певних обставин (відомі як відступи (derogations) за GDPR), які взяті з GDPR, у тому числі передача для реалізації права на свободу вираження поглядів.

Новий обов’язок щодо повідомлення про витік даних

Аналогічно до GDPR, Законопроєкт встановлює обов’язок для контролерів повідомляти український DPA про витік даних, якщо ймовірно, що витік може призвести до ризику для прав та свобод суб’єкта даних.

Повідомлення також необхідно буде надсилати суб’єктам даних, якщо існує ймовірність високого ступеню ризику для їхніх прав та свобод у результаті такого витоку.

Оцінка впливу обробки персональних даних

Іншим новим обов’язком для контролерів стане обов’язок проводити DPIA до початку будь-яких операцій із обробки, якщо ймовірно, що використання нових технологій або характер, обсяг, контекст та цілі обробки призведуть до настання ризику високого рівня для прав та свобод суб’єктів даних.

Окремо слід зазначити, що Законопроєкт встановлює певні правила, які прямо не відображені в GDPR, але які передбачені у деяких керівництвах, виданих органами ЄС (наприклад, EDPB), наприклад, щодо:

  • обробки персональних даних у мережі Інтернет, під час здійснення відеоспостереження або відеофіксації публічних заходів;
  • питань прямого маркетингу;
  • обробки даних роботодавцями;
  • особливостей обробки персональних даних правоохоронними органами; та
  • особливостей обробки персональних даних у сфері електронних комунікацій.

Коли очікувати

Зараз Законопроєкт знаходиться на початковій стадії розгляду парламентськими комітетами. Очікується, що Законопроєкт набере чинності 1 січня 2023 року, а Уряд матиме три місяці після набрання Законопроєктом чинності для прийняття необхідних підзаконних актів для ефективного застосування Законопроєкту.

Звертайтеся до команди із захисту даних Sayenko Kharenko для отримання правової підтримки вашої компанії з метою підготовки до нових стандартів обробки даних в Україні. Ми також надавали допомогу робочій групі Верховної Ради України та підтримували її у спробах фіналізувати Законопроєкт.

Поділитися:

Далі Новини
Показати більше