Обов'язкове інформування, контроль та великі штрафи: як новий законопроєкт змінює правила захисту персональних даних
Інтернет-банкінг, сервіси онлайн, держава у смартфоні, розумні будинки та розумні міста. Отримати соціальну допомогу, оформити пенсії чи субсидії, здати декларації — все це сьогодні можна зробити онлайн не виходячи з дому.
Проте чи часто громадяни вчитуються у текст Згоди про обробку персональних даних, яку підписують, залишаючи інформацію про себе? А що відбувається з інформацію про кожного з нас далі?
До 1991 року, в період Радянського Союзу, питання захисту персональних даних не було чітко окреслено. Існували певні правила та положення, що регулювали обробку інформації про громадян (наприклад, положення про діловодство).
Обробка інформації про громадян жорстко контролювалась державою. Громадяни не мали жодних прав щодо своїх персональних даних.
Конституція СРСР формально захищала певні аспекти особистого життя, наприклад, право на таємницю листування та телефонних розмов, гарантувала право на недоторканність особи (втім, дуже часто державні органи ці права порушували).
Починаючи з 1991 року, Конституція України (а потім і Конституція 1996 року) гарантує право громадян на недоторканність особистого і сімейного життя, включаючи право на захист від поширення відомостей про їхнє особисте життя без їхньої згоди.
У 1992 році закон про інформацію заклав основу подальшого захисту персональних даних – він запровадив заборону на використання і поширення інформації про громадянина без його згоди.
Загалом зміни у системі захисту персональних даних були викликані стрімким зростанням кількості інформації і, як наслідок, виникненням необхідності її зберігання, обробки та захисту.
Саме з появою великої кількості даних, їх комп’ютерної обробки та розвитком Інтернету у 1981 році була прийнята Конвенція 108 (пізніше оновлена Convention 108+) про захист осіб у зв'язку з автоматизованою обробкою персональних даних.
Наступним кроком у захисті персональних даних було ухвалення Директиви 95/46/ЄС. У 2018 році з метою захисту прав громадян при обробці інформації про них і вільного переміщення між країнами таких даних цю Директиву замінили на Регламент 2016/679 про захист даних (GDPR), який сьогодні є основним документом у цій сфері.
У 2010 році парламент України ратифікував Конвенцію 108, і з метою імплементації її і Директив ЄС ухвалив Закон "Про захист персональних даних", який визначає правила, права і обов’язки тих, хто надає, збирає, зберігає, передає, обробляє та захищає інформацію та персональні дані.
Однак як методи обробки даних, так і регулювання використання цих даних постійно змінюються. Тому зі змінами європейських норм потребують адаптації і українські закони.
Після того, як Україна у 2023 році отримала статус кандидата на членство в ЄС, питання гармонізації законодавства у сфері персональних даних з європейськими Директивами стало ще більш нагальним.
Наприклад, у рейтингу індексу кібербезпеки (National Cyber Security Index, NCSI) у вересні 2023 року Україна посіла 24 місце серед 176 країн світу і 22 місце серед країн Європи і колишніх країн СНД (див. рис. 1).
Примітка. Індекс кібербезпеки (NCSI) — це глобальний індекс, який вимірює готовність країн запобігати кіберзагрозам та управляти кіберінцидентами. Він включає 12 підкатегорій (наприклад, аналіз кіберзагроз та підвищення обізнаності, захист персональних даних, військовий кіберзахист) та охоплює 49 індикаторів.
Щоб наздогнати рівень захисту даних у європейських країнах, українські парламентарі розробили законопроєкти №8153 і №6177. Перший пропонує нову редакцію Закону "Про захист персональних даних" і регулюватиме відносини, права та обов’язки громадян, а також тих, кому передаються персональні дані, і тих, хто їх оброблятиме.
Також він передбачає створення незалежного контролюючого органу з питань захисту персональних даних (це норма ЄС). Деталі створення та роботи такого органу — Національної комісії з питань захисту персональних даних та доступу до публічної інформації — прописує законопроєкт №6177.
Наразі ці функції виконує Уповноважений з прав людини, але експерти з кібербезпеки зазначають, що він не встигає реагувати на всі випадки витоку та втрати даних.
Депутати пропонують, щоб Національна комісія з питань захисту персональних даних та доступу до публічної інформації здійснювала контроль за дотриманням законодавства про захист персональних даних, розглядала скарги суб'єктів персональних даних на порушення їхніх прав, а також накладала штрафи на порушників.
Також Комісія буде розглядати скарги на відмову в доступі до публічної інформації та видавати обов'язкові для виконання рішення про надання публічної інформації.
До речі, з 2011 до 2014 року органом контролю у сфері захисту персональних даних була відповідна державна служба. Її ліквідували для приведення українського законодавства у відповідність із міжнародною конвенцією 108, яка передбачає що контролюючими органами можуть бути одноосібний уповноважений або колегіальний орган, але не орган, підпорядкований Кабміну.
Адже такий наглядовий орган повинен бути незалежним і мати достатні повноваження для виконання своїх обов'язків.
Що пропонують змінити у сфері захисту персональних даних?
Деталізація існуючих норм. Проєкт №8153 набагато детальніше, ніж чинний закон, окреслює права та обов'язки суб'єктів даних (осіб, яким дані належать), контролерів (у чинному законі володільців, тобто осіб, які визначають цілі обробки даних) та операторів (у чинному законі розпорядників — тобто осіб, які від імені контролера обробляють дані).
Так, громадяни мають бути проінформовані про того, хто буде володіти та обробляти інформацією про них, мету збирання та обробки даних. У разі змін мети або адреси контролера чи оператора громадян потрібно буде повідомити про це.
Також, наприклад, у чинному законі права громадян лише перелічені (право на доступ до своїх персональних даних, право пред’являти вмотивовану вимогу володільцю персональних даних із запереченням проти обробки, щодо зміни або знищення своїх персональних даних, право відкликати згоду на обробку персональних даних та право знати механізм автоматичної обробки персональних даних).
Натомість законопроєкт детально розписує кожне з прав громадян та обов’язки контролера з дотримання цих прав. Наприклад, контролер зобов’язаний надати детальну інформацію про себе, оператора даних, контактні дані відповідальної за захист персональних даних особи, підстави для обробки даних тощо.
Гармонізація термінології з нормами ЄС. Перелік визначень приводиться у відповідність до європейських норм. Так, проєкт запроваджує визначення біометричних (наприклад, відбитки пальців, відцифроване обличчя) та генетичних даних (зокрема інформації про стан здоров'я).
Цільовий підхід. Зараз закон визначає особливості обробки певних типів даних (їх називають чутливими) — дані про релігійну, політичну та іншу самоідентифікацію людини, біологічні та генетичні дані, інформацію про стан здоров’я тощо.
Їх можна обробляти при певних умовах: у разі надання згоди громадянином, задля охорони його здоров’я, в цілях забезпечення ведення військового обліку призовників, військовозобов’язаних та резервістів тощо.
Законопроєкт розмежовує підходи до обробки даних залежно від мети такої обробки. Зокрема в цілях значного суспільного інтересу, а також для розкриття чи покарання злочинів, можна обробляти чутливі дані.
Однак не можна обробляти такі дані, наприклад, для ведення військового обліку чи збереження інформації в державних реєстрах. Працювати з такою інформацією будуть лише посадові особи, які несуть відповідальність за розголошення конфіденційної інформації.
Проєкт розширюює права суб’єктів даних, включаючи право на забуття (вилучення, знищення), право на заперечення (зміни), право на обмеження обробки, право на мобільність даних (вимога надати дані, зібрані в мережі Інтернет) та інші; значно деталізуються умови отримання згоди на обробку персональних даних.
Посмертне використання персональних даних. Окремо проєкт визначає порядок обробки даних після смерті суб’єкта персональних даних, чого немає в чинному законі. Так, дані загиблої особи можна буде використовувати чи обробляти зі згоди близьких родичів цієї особи: дітей, вдови (вдівця), а якщо їх немає – батьків, братів та сестер.
Відповідальність за захист даних та чітка процедура повідомлення про витік. Проєкт передбачає обов’язок контролерів та операторів впроваджувати технічні та організаційні заходи для гарантування приватності та захисту даних.
Вони мають оцінювати ризики втрати або знищення даних та забезпечувати їхній надійний захист, а у разі виникнення загроз повідомляти як громадян, так і контролюючий орган.
Контролер має повідомити контролюючий орган не пізніше, ніж за 72 години після того, як йому стало відомо про порушення безпеки персональних даних, крім випадків, якщо порушення безпеки персональних даних малоймовірно може призвести до ризику для прав та свобод фізичної особи.
Також контролер буде зобов’язаний повідомити про порушення безпеки даних суб’єкта персональних даних, якщо існує високий ризик порушення для прав та свобод фізичної особи.
Контролер не зобов’язаний повідомляти суб’єкта персональних даних, якщо (1) контролер вжив відповідних і достатніх заходів захисту даних до витоку цих даних, або (2) контролер вжив заходів для запобігання ризиків високого ступеню для прав та свобод суб’єкта, або якщо (3) повідомлення становить надмірний тягар для контролера.
Проте в проєкті не деталізується, що мається на увазі під тягарем, і яким чином його вимірювати.
Передача даних до інших країн. Чинний закон каже лише, що дані можуть бути передані за умови забезпечення державою-отримувачем належного захисту таких даних. Перелік країн, що можуть забезпечити потрібний рівень захисту, визначає уряд своєю Постановою (у проєкті пропонується, щоб це робила новостворена Комісія). Сьогодні це 58 країн — так званий "білий список" — зокрема країни ЄС, США, Канада, Туреччина.
У виключних обставинах може бути здійснена передача даних у країни поза списком за згодою суб’єкта персональних даних (тобто людини, якої ці дані стосуються), для забезпечення його життєво важливих інтересів, забезпечення суспільних інтересів чи якщо володілець персональних даних гарантує невтручання в особисте і сімейне життя суб’єкта персональних даних (без деталізації того, що такі гарантії передбачають).
Новий законопроєкт передбачає уточнення та розширення переліку тих, кому можуть бути передані персональні дані за кордоном. До переліку додали міжнародні організації та транснаціональні корпорації. А для країн, що не потрапили до "білого списку", уточнили перелік гарантій, які вони мають надати для отримання даних.
Передача даних у такі країни має бути дозволена рішенням контролюючого органу — Національної комісії з питань захисту персональних даних та доступу до публічної інформації.
Обробка персональних даних у правоохоронних цілях. Проєкт встановлює вимогу до правоохоронних органів чітко розмежовувати та обробляти окремо у різних базах даних інформацію про різні категорії суб’єктів — підозрювані, засуджені, потерпілі та інші учасники кримінального провадження.
Штрафні санкції. Проєкт пропонує встановити різні види та розміри штрафів за порушення законодавства у сфері захисту персональних даних — від 10 тис грн до 150 млн грн, або до 8% загального річного обороту юридичної особи. Зараз максимальний штраф становить 34 тис грн.
Більше про відмінності законопроєкту від чинного закону можна почитати в таблицях у додатку.
Висновки
Ухвалення та реалізація зазначених законопроєктів адаптуватиме чинне законодавство до європейських норм, а також посилить захист персональних даних громадян. Водночас ризиком законопроєкту 8153 є те, що він залишає забагато дискреції органам влади та їхнім працівникам. Це нормально для законодавства ЄС, де закони задають лише загальну рамку чи принципи дій чиновників.
Однак для української традиції характерне чітке прописування в законах термінів, критеріїв тощо. Тому на практиці з визначенням великих/малих ризиків, "надмірного тягаря", "необхідних і достатніх заходів" можуть виникнути проблеми.
Створення незалежного колегіального органу із захисту персональних даних замість державної служби чи уповноваженого з прав людини (проєкт 6177) також можна вітати.
Втім, для неї, як і для інших незалежних регуляторів, таких як Антимонопольний комітет України чи Національна комісія, що здійснює державне регулювання у сферах енергетики та комунальних послуг (НКРЕКП), існує ризик "захоплення" — коли одна з політичних груп починає фактично керувати цим незалежним органом.
Якщо це трапиться, то значні повноваження Нацкомісії — наприклад, накладати штрафи — можуть бути використані для тиску на бізнес.