Що передбачає новий законопроєкт про захист персональних даних

Що передбачає новий законопроєкт про захист персональних даних
22 November 2024 16:55

Днями Верховна Рада прийняла за основу законопроєкт №8153 «Про захист персональних даних». Його мета — адаптація українського законодавства до європейських стандартів, зокрема до Загального регламенту захисту даних (GDPR). Омбудсман України Дмитро Лубінець вже надав позитивну оцінку новому законопроєкту. А ось представники бізнесу, ЗМІ та громадськості його розкритикували, зазначаючи, що поточна редакція документа містить низку суперечливих положень. Докладніше про усе це – читайте в матеріалі КонструктивNEWS.

Що передбачає законопроєкт?

Основні положення поточної редакції законопроєкту «Про захист персональних даних»:

  • Визначення ключових термінів: запроваджуються такі терміни, як «персональні дані», «чутливі персональні дані», «згода на обробку персональних даних», «генетичні дані», «біометричні дані», «обробка персональних даних», «порушення безпеки персональних даних» тощо.
  • Принципи обробки персональних даних: має бути забезпечена законність, прозорість, обмеження мети, мінімізація обробки, точність даних, обмеження строку зберігання та забезпечення конфіденційності.
  • Права суб’єктів персональних даних: громадяни мають право на доступ до своїх даних, їх виправлення, видалення, обмеження обробки, право на заперечення проти обробки даних, право на перенесення даних, а також право на забуття.
  • Заборона на обробку чутливих персональних даних: дані, що стосуються расового або етнічного походження, політичних поглядів, релігійних або філософських переконань, стану здоров'я, статевого життя або сексуальної орієнтації, можуть оброблятися лише за чітко визначених обставин, таких як згода суб’єкта або законодавчі підстави.
  • Захист даних у роботодавців та правоохоронних органах: врегульовуються особливості обробки персональних даних роботодавцями, правоохоронними органами та під час журналістської або творчої діяльності.
  • Заборона використання даних із метою, відмінною від первинної: персональні дані можуть використовуватись виключно для тих цілей, для яких вони були зібрані.
  • Вимоги до згоди на обробку персональних даних: згода може бути надана письмово, електронно, через технічні налаштування в інтерфейсі або інші підтверджувальні дії.
  • Встановлення обов’язків контролерів та операторів даних: юридичні особи повинні призначити відповідальну особу за захист персональних даних, вести реєстри операцій із даними, здійснювати оцінку впливу на захист даних.
  • Регулювання автоматизованої обробки даних: передбачено захист прав суб'єктів при використанні технологій автоматизованої обробки, включаючи профілювання.
  • Високі штрафи за порушення: для фізичних осіб штрафи сягають до 20 млн грн, для юридичних осіб — до 150 млн грн або 8% річного обороту.
  • Механізм захисту персональних даних після смерті: передбачено збереження захисту даних померлих осіб протягом 10 років.
  • Розширення прав громадян у кіберзахисті: впроваджуються механізми для забезпечення захисту даних в умовах кіберзагроз, включаючи повідомлення про порушення безпеки даних.
  • Право на безкоштовне отримання копії даних: кожен громадянин має право один раз безкоштовно отримати копію своїх персональних даних.
  • Вимоги до органів державної влади: встановлюються особливі зобов’язання для державних органів щодо захисту даних громадян.
  • Особливості для журналістів: передбачено, що журналісти мають попереджати осіб про фото- чи відеозйомку в публічних місцях.

Читайте також: Захист персональних даних ціною в мільярди гривень. Ризики і загрози нових правил

Омбудсман України Дмитро Лубінець надав позитивну оцінку законопроєкту.

«Вказана редакція закону розширює обсяг прав суб’єктів персональних даних, а також посилює обов'язки осіб, відповідальних за обробку персональних даних. Також законопроєкт встановлює значно суворіші санкції за порушення законодавства в сфері захисту персональних даних, що є важливою складовою реформування цієї сфери в Україні»,сказав він.

Лубінець також зазначив, що відповідно до висновку експертів Ради Європи, наданих в межах проєкту «Підтримка впровадження європейських стандартів прав людини в Україні» вказаний законопроєкт імплементує положення Регламенту (ЄС) 2016/679 Європейського Парламенту і Ради від 27 квітня 2016 року, Директиви (ЄС) 2016/680 Європейського Парламенту та Ради від 27 квітня 2016 року та Директиви 2002/58 Європейського Парламенту та Ради від 12 липня 2002 року.

Водночас за даними Інституту масової інформації, у правовому висновку щодо законопроєкту, підготовленому Радою Європи, є вказівка на надмірно вузьку сферу дії статті 15, яка передбачає винятки для журналістської та творчої діяльності. Експерти РЄ рекомендують поширити сферу дії цієї статті на «свободу вираження поглядів, включно зі свободою журналістського, науково-освітнього, художнього чи літературного вираження поглядів, а також право отримувати та поширювати інформацію».

За що критикують законопроєкт?

Поточна версія законопроєкту № 8153 викликала численну критику серед представників громадського сектору, бізнесу та медіа, які наголошують на важливості його доопрацювання до другого читання.

Так, в Інституті масової інформації (ІМІ) зазначили, що наявна у документі вимога попереджати осіб у публічних місцях перед початком знімання може суттєво ускладнити роботу журналістів, особливо під час висвітлення масових заходів чи екстрених ситуацій.

«Уявіть, як журналіст має попередити кожного учасника багатотисячного заходу чи інциденту на вулиці? Це створює ситуацію, де журналіст ризикує стати порушником закону через технічну неможливість дотримання цих норм. Вимога отримувати дозвіл на знімання може бути використана для цензури або тиску на журналістів. Наприклад, публічні особи або учасники подій можуть навмисно відмовляти в дозволі, щоб перешкодити висвітленню небажаних для них матеріалів», – каже директорка ІМІ Оксана Романюк.

Тим часом представники української аналітичної системи YouControl, серед іншого, критикують надмірно високі штрафні санкції у законопроєкті, які можуть застосовуватися за порушення будь-яких правил обробки даних, зокрема неналежне збереження чи використання без згоди суб’єкта. Так, у документі встановлені штрафи до 20 мільйонів гривень для фізичних осіб і до 150 мільйонів гривень або 8% річного обороту для юридичних осіб. На думку експертів такі розміри є непропорційними й створюють надмірний фінансовий тиск на бізнес, особливо на малий і середній.

Також в YouControl та ІМІ виступають проти запровадження «права на забуття» через те, що це дозволяє особам вимагати видалення їхніх даних, навіть якщо вони мають суспільне значення. Аналітики наголошують, що це може призвести до зловживань, коли публічні особи чи колишні посадовці зможуть видаляти інформацію про свої дії або судові рішення, створюючи перепони для журналістів-розслідувачів.

Окрім цього, на думку експертів української аналітичної системи, у поточній версії законопроєкту №8153 недостатньо чітко визначено поняття «персональні дані», що створює простір для суб’єктивного трактування та корупційних зловживань з боку контролюючих органів. А ще у документі містяться положення, які можуть обмежити доступ до відкритих даних, які активно використовуються журналістами, бізнесом і банками. В YouControl зазначають, що це може негативно вплинути на прозорість державного управління та боротьбу з корупцією.