Ще торік Верховна Рада ухвалила в першому читанні законопроєкт №8153 «Про захист персональних даних» (далі – законопроєкт №8153).
Документ розроблено в першу чергу на захист прав осіб та на більш детальне трактування статті 32 Конституції України, а також на виконання міжнародних зобов’язань України та з метою забезпечення належного рівня захисту персональних даних як основи цифрового ринку ЄС.
Особливу увагу приділено окремим питанням, що не врегульовані раніше і потребують вдосконалення – обробка даних померлих осіб, робота з архівними даними, обігу даних у сфері електронних комунікацій, у трудовій та правоохоронній сфері.
Відповіді на будь-які кадрові запитання від провідних експертів kadroland протягом доби! Ваш Особистий Консультант вже очікує і готовий допомогти!
Законопроєкт №8153 складається з 11 розділів та 60 статей.
Документ передбачає:
1. Оновлення термінології законодавчого регулювання захисту персональних даних та її узгодження із термінологією Загального регламенту про захист персональних даних та Конвенції 108+.
2. Приведення принципів та підстав обробки персональних даних у відповідність до вимог Загального регламенту про захист персональних даних та Конвенції 108+.
Законопроєкт №8153 розширює та конкретизує положення стосовно принципів, які слід дотримуватися при обробці персональних даних, встановлює додаткові вимоги до згоди - як однієї з підстав обробки, порівняно із чинним законом.
3. Врегулювання обробки персональних даних у мережі Інтернет, обробки персональних даних під час здійснення відеоспостереження або відеофіксації публічних заходів, обробки персональних даних в цілях прямого маркетингу.
4. Посилення прав суб’єкта персональних даних щодо обробки його персональних даних (право на забуття, право на заперечення проти обробки персональних даних, на право на обмеження обробки персональних даних, право на мобільність персональних даних, право на захист від автоматизованого прийняття рішення та право на захист своїх прав та відшкодування шкоди) та механізм захисту прав у випадку їх порушення контролером або оператором.
5. Деталізовано і конкретизовано права та обов’язки контролера та оператора персональних даних щодо обробки персональних даних на території України та передачі персональних даних іншим державам або міжнародним організаціям.
Законопроєкт №8153 детально регламентує права, обов'язки та відповідальність контролера і оператора персональних даних.
Документ розмежовує відповідальність і обов'язки контролера і оператора персональних даних, зобов'язуючи контролера залучати лише тих операторів, які забезпечують «достатні гарантії впровадження належних технічних і організаційних заходів» на виконання вимог законопроєкту №8153 та заради захисту прав суб'єктів даних.
Законопроєкт №8153 заохочує контролерів та операторів впроваджувати технічні та організаційні заходи на ранніх етапах проєктування процесів обробки таким чином, щоб вони гарантували принципи приватності та захисту даних від самого початку («захист даних за призначенням»). За замовчуванням контролери та оператори повинні забезпечити обробку персональних даних з найвищим захистом приватності («захист даних за замовчуванням»).
Визначає основні критерії транскордонної передачі персональних даних для забезпечення належного рівня захисту даних.
6. Посилення захисту персональних даних через обов’язкове призначення суб’єктами владних повноважень посадової особи, відповідальної за захист персональних даних.
На посадову особу, відповідальну за захист персональних даних буде покладено завдання здійснювати моніторинг дотримання вимог Закону, в тому числі керівництва внутрішньо-організаційною діяльністю із захисту персональних даних, навчання персоналу, які залучені до процесу обробки персональних даних суб’єктів і проведення внутрішніх аудитів.
Також, службовець, відповідальний за захист персональних даних буде контактною особою для взаємодії з контролюючими органами.
7. Чітку процедуру повідомлення контролерами про витік персональних даних. передбачає систему повідомлення про витік персональних даних.
Законопроєкт №8153 встановлює зобов’язання контролера протягом 72 годин проінформувати про витік персональних даних контролюючий орган.
8. Порядок та підстави обробки персональних даних роботодавцем.
9. Особливості обробки персональних даних в правоохоронних цілях.
10. Особливості обробки персональних даних у сфері електронних комунікацій.
11. Види та розміри санкцій за порушення законодавства у сфері захисту персональних даних.
Очікується, що штрафні санкцій мають бути «ефективними, пропорційними й стримувальними». При вирішенні питання про накладання грошового стягнення і його розмір контролюючий орган має враховувати такі обставини як характер, тяжкість і тривалість порушення і його наслідки, заходи, вжиті для забезпечення виконання вимог законопроєкту №8153 та будь-які заходи, спрямовані на запобігання негативних наслідків, які виникли внаслідок порушення або на пом'якшення їхнього впливу.
Законопроєкт №8153 поки що не готовий до другого читання, отже робота над його змістом триває. У розкладі комітетських засідань на поточний момент він не фігурує. Ймовірно до обговорення цієї ініціативи народні депутати повернуться найближчим часом.
Джерело: ВРУ