Зміни в Законі «Про захист персональних даних»
- Розширення сфери дії Закону. Відтепер законом регулюються всі правові відносини, пов’язані із захистом і обробкою персональних даних, а не тільки з обробкою даних в базах персональних даних. Дія Закону спрямована на захист основоположних прав і свобод людини і громадянина, зокрема права на невтручання в особисте життя, у зв’язку з обробкою персональних даних. Винятками зі сфери дії закону залишається обробка даних, яка здійснюється фізичною особою виключно для особистих чи побутових потреб, а також творчим чи літературним працівником, у тому числі журналістом, у професійних цілях, за умови забезпечення балансу між правом на невтручання в особисте життя та правом на самовираження (зміни до ст. 1 Закону № 2297-VI).
- Розширення кола правових підстав для обробки персональних даних. Поряд з уже існуючими підставами для обробки персональних даних – згоди суб’єкта персональних даних і дозволу на обробку, у новій редакції Закону з’явилися нові підстави, а саме: укладення та виконання правочину, стороною якого є суб’єкт персональних даних або який укладено на користь суб’єкта персональних даних чи для здійснення заходів, що передують укладенню правочину на вимогу суб’єкта персональних даних, а також необхідність захисту законних інтересів володільців персональних даних, третіх осіб, крім випадків, коли суб’єкт персональних даних вимагає припинити обробку його персональних даних та потреби захисту персональних даних переважають такий інтерес (зміни до ст. 11 Закону № 2297-VI). Це спрощує документообіг та адміністрування збору згод на обробку персональних даних.
- Розширення переліку прав суб’єктів персональних даних, зокрема, наділення особи правом вносити застереження щодо обмеження обробки його персональних даних під час надання згоди, правом відкликати згоду на обробку персональних даних, правом знати механізм автоматизованої обробки персональних даних і правом на захист від автоматизованого рішення, яке має для нього правові наслідки (зміни до ст. 8 Закону № 2297-VI).
- Оскарження рішення про відстрочення або відмову в доступі до персональних даних, яке тепер може відбуватися лише в судовому порядку (зміни до ст. 18 Закону № 2297-VI). Нагадаємо, що раніше такі рішення можна було оскаржити зверненням як до суду, так і до Державної служби з питань захисту персональних даних.
- Звільнення власника бази персональних даних від зобов’язання реєстрації баз персональних даних, ведення яких пов’язане із забезпеченням та реалізацією трудових відносин, а також членів громадських, релігійних організацій, професійних спілок, політичних партій (зміни до ч. 2 ст. 9Закону № 2297-VI). Оскільки відповідно до попередньої редакції Закону передбачалась відповідальність за ухилення реєстрації баз персональних даних, то майже кожна юридична особа чи фізична особа-підприємець, побоюючись накладення на них штрафів, почали масово подавати заявки на реєстрацію баз персональних даних до Державної служби з питань захисту персональних даних. У минулій редакції Закону не конкретизувались види чи групи баз даних, тому підприємства реєстрували бази персональних даних працівників, клієнтів та усі інші можливі бази персональних даних. У зв’язку з надзвичайною перевантаженістю Державної служби з питань захисту персональних даних законодавець зробив крок назад та полегшив підприємствам роботу по адмініструванню працівників, звільнивши компанії від реєстрації баз персональних даних зазначених категорій осіб, проте, вони не звільнені від обов’язку реєстрації баз персональних даних, наприклад, клієнтів, акціонерів, респондентів та інших осіб. У таких випадках володільцю відповідної бази персональних даних доведеться вказати додатково склад персональних даних, які обробляються, інформацію про третіх осіб, яким передаються персональні дані, та інформацію про транскордонну передачу персональних даних.
- Зміна форми згоди суб’єкта персональних даних. Відповідно до чинної редакції Закону, це добровільне волевиявлення фізичної особи (за умови її поінформованості) щодо надання дозволу на обробку персональних даних відповідно до сформульованої мети їх обробки, висловлене у письмовій формі або у формі, що дає змогу зробити висновок про її надання (зміни до п. 4 ст. 2 Закону № 2297-VI). Власник персональних даних може отримати згоду фізичної особи на обробку його персональних даних у будь-якій формі, що дозволяє зробити висновок про надання такої згоди, раніше ж була допустимою тільки документована форма. Крім того, власник персональних даних може будь-яким способом передати фізичній особі обов’язкове повідомлення у зв’язку з обробкою персональних даних. У минулій редакції Закону передбачалася тільки письмова форма повідомлення, що створювало практичні проблеми передачі відповідних повідомлень через Інтернет та інші засоби зв’язку.
- Забезпечення реалізації принципів «прозорості» і «чесності» обробки персональних даних. Відтепер на законодавчому рівні визнано, що обробка персональних даних здійснюється відкрито й прозоро із застосуванням засобів та у спосіб, що відповідають визначеним цілям такої обробки (зміни до ч. 1 ст. 6 Закону № 2297-VI).
- Надання права Державній службі з питань захисту персональних даних видавати рекомендації щодо практичного застосування положень законодавства про захист персональних даних (зміни до п. 11 ч. 2 ст. 18 Закону № 2297-VI). Також Державна служба з питань захисту персональних даних звільняється від обов’язку повідомляти про факт отримання заяви про реєстрацію відповідної бази, а сама реєстрація може затягнутися до 30 робочих днів.
- Наділення Державної служби з питань захисту персональних даних повноваженнями проводити виїзні та безвиїзні перевірки володільців та/або розпорядників ПД, здійснювати моніторинг нових практик, тенденцій і технологій захисту персональних даних, видавати рекомендації щодо практичного застосування положень законодавства про захист персональних даних, а також погоджувати корпоративні кодекси поведінки професійних об’єднань (зміни до п. 4 ч. 2 ст. 18 Закону № 2297-VI).
- Врегулювання питання транскордонної передачі персональних даних. Передбачається, що на практиці можуть виникнути складнощі при транскордонній передачі персональних даних, яка вимагає напрацювання новітніх комплексних методів та підходів для вирішення всіх імовірних проблем (зміни до ст. 29 Закону № 2297-VI).
Отже, удосконалення законодавства із захисту персональних даних та приведення його до міжнародних вимог є позитивним внеском у розвиток українського суспільства. Проте під збільшенням обсягу прав суб’єктів персональних даних приховується розширення повноважень Державної служби з питань захисту персональних даних, що посилює контроль держави за законодавством у даній сфері.
Олександр ЗУБРИЦЬКИЙ, молодший юрист ЮФ «САБІКОМ»