Гармонізація законодавства України з європейськими правилами у сфері захисту даних стає реальністю. Український бізнес очікує на нову посилену редакцію закону “Про захист персональних даних”. Нова редакція закону вводить Інститут відповідальної особи з питань захисту персональних даних, висуває нові вимоги безпеки обробки даних і посилює відповідальність.
Юристи Legal Support розібралися з новаціями законопроекту №5628 від 07.06.2021 та готові поділитися висновками. Інформація викладена тезисно з акцентами на ключових змінах. Ураховуючи що проект закону №5628 від 07.06.2021 відтворює чимало правил General Data Protection Regulation 2016/679, ми прикріпимо посилання з рекомендаціями та роз’ясненнями, які повністю актуальні для оновленого українського законодавства.
Інститут відповідальної особи із захисту персональних даних.
З точки зору бізнесу, окрім введення нових вимог безпеки обробки даних, тотожних до європейських, і визначення ролі та відповідальності оператора і контролера персональних даних, увагу привертають 3 фундаментальні нововведення:
- Закріплення нових прав суб’єктів персональних даних і нових обов’язків оператора / контролера.
- Посилення і, вперше, запровадження реальної відповідальності за порушення правил обробки особистих даних.
- Введення інституту відповідальної особи з питань захисту персональних даних.
Остання новація привертає найбільше уваги. З новими правами, обов’язками та вимогами можна розібратися, не складно скласти уявлення про наслідки і вплив посилення законодавства у сфері захисту особистих даних на бізнес. Посилення відповідальності та передбачення штрафних санкцій аж до 300000 гривень за 1 окреме порушення – лише механізм реалізації вимог нового закону. Що ж до інституту відповідальної особи із захисту даних – це дійсно щось нове і раніше не притаманне законодавству України. Законопроект №5628 вводить нову посаду зі специфічними завданнями – посаду відповідальної особи з питань захисту персональних даних.
Хто така відповідальна особа з питань захисту персональних даних за новою редакцією закону? По суті це DPO (Data Protection Officer) за чинними правилами ЄС. Законопроект №5628 запозичив інститут Data Protection Officer з GDPR практично без змін. Юристи проекту Legal Support детально розкрили роль, функції та значення Data Protection Officer. Повторюватись сенсу немає, тож радимо ознайомитись з нашою відкритою консультацією – там всі відповіді про Data Protection Officer та його український аналог (відповідальну особу з питань захисту персональних даних).
Нова редакція закону, нові вимоги безпеки обробки даних, нова відповідальність
Законопроект №5628 від 07.06.2021 “Про захист персональних даних” – це друга реінкарнація однойменного закону, який діє на нинішній час. Нова редакція закону – це більше ніж косметичне доопрацювання чинних правил. Це – фундаментальні зміни. Законопроект №5628 передбачає запозичення європейського підходу, який вдало пройшов тестування та довів – чіткі приписи і реальне покарання за порушення приносять результат. Європейський бізнес (і не тільки європейський) зрозумів – краще дотримуватись правил GDPR, аніж наражатися на невідворотну відповідальність.
Ви маєте можливість самостійно пересвідчитись у практичній тотожності фундаментальних положень нового закону і європейських правил. Посилання для завантаження і перегляду офіційного тексту нової редакції закону – Текст проекту закону №5628. Якщо Ви приділили час і ознайомились з текстом законопроекту, то напевно звернули увагу – нові вимоги та нові обов’язки добре деталізовані, а за їх невиконання передбачена реальна відповідальність.
Відповідальність контролерів і операторів персональних даних.
Відповідальність контролерів і операторів ПД за порушення законодавства у сфері захисту персональних даних визначена статтями 71 – 72 нової редакції закону. Розмір штрафних санкцій варіюється. Мінімальний розмір штрафу становить – від 10000 грн за порушення вимог передбачених статтями 4, 5, 6, 10, 11, 13, 14, 17, 20-24, 29, 30-32, 36, частинами 1 – 3 статті 50, частиною 4 статті 51, статтями 52, 55, частиною 3 статті 57, статтями 60, 62, 67, що не призвело до порушення прав клієнтів і користувачів. Тобто це мінімальний розмір штрафу за сам факт формального порушення. Максимальний розмір штрафу – 300000 грн і вище (прив’язано до загального річного обороту порушника) за порушення вимог встановлених статтями 7, 8, 9, 33, 37, 38, частинами 1 – 3 та 5 – 9 статті 41, статтею 44, частиною 6 статті 45, статтями 48, 49, частиною 5 статті 51, статтею 54, частиною 1 статті 58, частинами 2 – 7 статті 59, статтями 63 – 65, статтею 68.
Наведені у законі штрафи застосовуються за 1 факт порушення – реальні штрафи за декілька порушень будуть значно більші від вказаного розміру. Як розраховуються штрафи за повторні порушення? Частина 5 статті 72 визначає – кожне повторне порушення вимог закону вчинене впродовж року тягне за собою накладення штрафу у розмірі 200% від розміру раніше накладеного штрафу.
Як уникнути штрафів та несприятливих наслідків? Вихід один – виконувати нові вимоги і забезпечувати дотримання прав суб’єктів персональних даних. Тобто прав користувачів, клієнтів, пацієнтів тощо на захист їх даних. По суті, це ті самі вимоги, які передбачені європейським законодавством. Ознайомитись і зрозуміти суть цих вимог і обов’язків можна вже зараз. Додаємо повний перелік нових для українського бізнесу заходів, які обов’язкові за уніфікованим законодавством та європейськими правилами – Обов’язкові GDPR заходи.
Гармонізація українського законодавства у сфері захисту особистих даних з європейськими правилами.
Гармонізація українського законодавства з європейськими правилами захисту ПД – очікуваний процес. І хоча законопроект №5628 привносить низку фундаментальних змін, значна частина українського бізнесу вже призвичаїлась до них. Як можливо призвичаїтись до правил, які ще не набули змін? Тут не можна не згадати, що український IT та чимала частина e-commerce бізнесу вже встигли налагодити свої процеси у відповідності до GDPR.
Виходить, що і оновлене українське законодавство не стане проблемою для переформатування відносин з суб’єктами персональних даних (клієнтами) та способів обробки їх даних. Уніфікація та стандартизація регуляторних правил – безумовний плюс у світлі поглиблення глобалізаційних процесів. Цей плюс особливо відчутний для бізнесу, який пов’язаний з інформаційною сферою або використовує можливості дистанційного обслуговування клієнтів для продажу товарів та надання послуг.
У центрі всіх нововведень – принцип вичерпної поінформованості суб’єктів персональних даних та отримання контролером \ оператором їх усвідомленої згоди на обробку особистих даних. Нинішніми нормами українського законодавства також передбачено аналогічний принцип і відповідний комплекс прав – Дозвіл на використання персональних даних в Україні та ЄС. Чому ж необхідна нова редакція закону і нові вимоги? Нинішній механізм відповідальності працює неефективно. Новий механізм та нова міра відповідальності діятимуть так само ефективно, як і у ЄС. І це достатня підстава для того, щоб бізнес перестав ігнорувати права суб’єктів персональних даних та почав вибудовувати бізнес-процеси відповідно до нових вимог безпеки.
Коли очікувати нову редакцію закону про захист особистих даних? Законопроект 5628 від 07.06.2021 вже отримав позитивний висновок профільного комітету ВРУ – проект нової редакції прийнято за основу. Політична воля є, адже Україна прийняла на себе обов’язки у рамках приєднання до єдиного цифрового простору ЄС. Прийняття нової редакції закону про захист особистих даних очікується у першій половині 2022 року.
Нові вимоги безпеки обробки особистих даних в Україні.
Які нові вимоги передбачає нова редакція закону? Законопроект №5628 від 07.06.2021 вводить вимоги, з якими європейський бізнес працює не перший рік. Для частини українських підприємств і підприємців ці вимоги теж не нові. Щоб працювати з європейськими клієнтами вже зараз слід дотримуватись низки обов’язків, у числі яких:
- повне вичерпне інформування суб’єктів персональных даних про їх права, про способи реалізації цих прав, про відомості, що стосуються контролера та оператора ПД та які необхідні для надсилання запитів і реалізації визначених законом прав;
- здійснення обробки особистих даних виключно на законних підставах, у числі яких отримання поінформованої та однозначної згоди суб’єкта персональних даних;
- проектування бізнес-процесів за огляду на вимоги у сфері захисту ПД;
- документування (реєстрація) операцій з обробки ПД, у тому числі відомостей щодо: категорій ПД, які обробляються, категорій суб’єктів ПД, цілей обробки особистих даних, строків зберігання ПД кожної категорії та обґрунтування цих строків, відомостей про підрядників (операторів), які залучаються для обробки ПД, мети їх залучення тощо;
- укладення письмових контрактів з підрядниками (операторами) – положення цих контрактів направлені на дотримання гарантій забезпечення прав суб’єктів особистих даних та окреслення оператору чітких задач з обробки ПД;
- застосування актуальних програмних та/або апаратних засобів, призначених для захисту ПД, включаючи псевдонімізацію та шифрування персональних даних;
- своєчасне сповіщення органу контролю про випадки витоку ПД (не пізніше семидесяти двох годин з моменту, коли контролеру стало відомо про витік ПД);
- повідомлення споживачів та користувачів електронних комунікаційних послуг про виникнення ризику порушення стану безпеки, зокрема ризику для безпеки електронних комунікаційних мереж;
- проведення оцінки впливу обробки ПД на захист ПД до початку такої обробки, якщо використання нових технологій або характер, обсяг, контекст та цілі обробки ймовірно призведуть до настання ризику високого рівня;
- призначення, у випадках визначених статтею 41 закону, відповідальної особи з питань захисту персональних даних;
- інші обов’язкові заходи, які наразі передбачені GDPR, у тому числі тренінги та навчання персоналу.
Новий орган контролю у сфері безпеки обробки особистих даних в Україні.
Законопроект №5628 вводить новий орган контролю у сфері безпеки обробки особистих даних. На відміну від нинішнього Департаменту у сфері захисту персональних даних секретаріату Уповноваженого Верхової Ради України з прав людини, новий орган контролю матиме достатньо ресурсів і повноважень для швидкого проведення перевірок та притягнення порушників до відповідальності.
Запозичення бізнесом практики законної роботи з особистими даними клієнтів невідворотне. Новий орган контролю і система жорстких санкцій забезпечать напрацювання нових практик, аналогічних європейським.
Ураховуючи посилені вимоги, посилений контроль і відповідальність, які визначені новою редакцією закону про захист особистих даних, доцільно залучати допомогу відповідальної особи з захисту особистих даних не тільки у випадках визначених статтею 41. Інститут відповідальної особи з питань захисту персональних даних покликаний допомогти бізнесу безболісно адаптуватися до нових вимоги безпеки і дотримуватись їх у процесі здійснення підприємницької діяльності.
Відповідальна особа з питань захисту персональних даних на аутсорсі.
Хто може займати посаду відповідальної особи з питань захисту персональних даних? Які кваліфікаційні вимоги до такого спеціаліста? Чи можна залучити його до роботи без укладення трудового договору? Відповідальна особа з питань захисту персональних даних – це юрист з глибокими знаннями законодавства у сфері захисту персональних даних, необхідними організаційними навичками та достатнім розумінням сутності процесів обробки даних. Укладати трудовий договір не обов’язково – спеціаліста із захисту персональних даних можна залучити на аутсорсі. Наприклад, на підставі договору цивільно-правового характеру.
Спеціалісти Legal Support забезпечують розробку і реалізацію обов’язкових GDPR-процедур з 2018 року. Повний пакет GDPR-документів для сайтів та мобільних додатків швидко і якісно напрацьовується виходячи з особливостей бізнес-моделі замовника. І все це за розумну винагороду. Наприклад, для складання юридично-коректної редакції Політики Конфіденційності замовнику достатньо лише надати відомості, викладені за посиланням – Як отримати GDPR Compliant Політику Конфіденційності?
До того ж, є формат постійного абонентського GDPR-сompliance супроводу для ІТ та e-commerce. По суті, це – відповідальний спеціаліст із захисту персональних даних на аутсорсі. Абонентське обслуговування також охоплює супровід в контексті відповідності вимогам оновленого українського законодавства про захист особистої інформації. Контактні дані фахівців Legal Support наведені у однойменному розділі нашого сайту.
Інформація викладена у дописі призначена, в першу чергу, для бізнесу. Розуміння суті нових вимог та мінімально-обов’язкових заходів для відповідності новим правилам – запорука юридичної безпеки будь-якої бізнес-моделі. Наступний допис розрахований зовсім на іншу аудиторію – на звичайних користувачів, клієнтів і споживачів, персональні дані яких обробляються. Новий матеріал буде викладено максимально просто і зрозуміло. Він міститиме різні поради – від елементарних очевидних рекомендацій до складних юридичних інструментів впливу на порушників.
