За порушення законодавства у сфері захисту персональних даних пропонують запровадити багатомільйонні штрафи
В Україні пропонують посилити відповідальність за порушення законодавства у сфері захисту персональних даних, а максимальний штраф, який зможуть накласти на порушників серед юридичних осіб, сягає 150 мільйонів гривень.
З такою ініціативою виступили автори законопроєкту, поданого на розгляд Верховної Ради.
Чинне законодавство про захист персональних даних, як розповідають автори в пояснювальній записці, не відповідає міжнародним стандартам у цій сфері, зокрема Загальному регламенту про захист даних та Конвенції про захист фізичних осіб у зв’язку з автоматизованим обробленням персональних даних.
Ініціатори законопроєкту пропонують чіткіше сформулювати принципи та підстави оброблення персональних даних. Так, автори пропонують зазначити, що персональні дані мають збиратися для точно визначених, явних і легітимних цілей та не оброблятись у спосіб, що є несумісним з цими цілями. Суб’єкту даних пропонують надати право відкликати згоду на оброблення в будь-який час.
Як пояснюють фахівці Центру демократії та верховенства права, відповідно до законопроєкту, згода має бути:
- вільною (користувач повинен мати можливість відкликати згоду або отримати товари / послуги без надання згоди на оброблення персональних даних, а відмова від надання згоди не повинна мати негативних наслідків);
- інформованою (тобто до надання або в момент надання згоди потрібно повідомити користувача про підставу та мету оброблення його персональних даних, перелік даних, які мають бути оброблені, контактні дані контролера, а також права користувача стосовно його персональних даних);
- чіткою та однозначною.
Законопроєктом пропонують і заборонити, зокрема, оброблення персональних даних про расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в професійних спілках, а також генетичних та біометричних даних, даних, що стосуються здоров’я, статевого життя або сексуальної орієнтації, та психометричних даних.
Законопроєкт детально регулює й права, обов’язки та відповідальність тих, хто обробляє персональні дані. Зокрема, контролери зобов’язані вживати належних технічних і організаційних заходів захисту і залучати до роботи лише тих операторів, які можуть вжити таких заходів.
У деяких випадках контролерів хочуть зобов’язати призначати особу, відповідальну за захист персональних даних, наприклад якщо це суб’єкт владних повноважень. Така особа має спостерігати за дотриманням вимог закону, проводити внутрішні аудити, навчати персонал і контактувати з контролювальним органом у разі потреби. Законопроєкт також чітко встановлює обов’язок контролера повідомити контролювальний орган про витік персональних даних протягом 72 годин.
За порушення різних вимог пропонують встановити суворі штрафні санкції, наприклад до 150 мільйонів для юридичних осіб за неправомірне оброблення біометричних даних. За словами фахівців Центру демократії та верховенства права, такі розміри не суперечать міжнародним стандартам.
“Наприклад, відповідно до GDPR, контролювальні органи можуть накладати до 20 мільйонів євро (приблизно 660 мільйонів гривень). Звісно, під час накладення санкцій контролювальний орган враховуватиме характер, тяжкість і тривалість порушення і його наслідків, заходи, вжиті для забезпечення виконання вимог закону, та будь-які заходи, спрямовані на запобігання негативним наслідкам порушення”, – наголошують вони.
Ухвалення законопроєкту, як вважають експерти, дозволить громадянам контролювати оброблення своїх персональних даних, а Україні – виконати міжнародні зобов’язання і отримати статус держави, яка забезпечує належний захист персональних даних.
Автори документа обіцяють найближчим часом зареєструвати ще один законопроєкт, який стосуватиметься контролювального органу у сфері захисту персональних даних та доступу до публічної інформації. Наразі такі функції виконує Омбудсман, однак він не відповідає критеріям незалежності, яка має бути в такого органу, запевняють фахівці.
Нагадаємо, що наприкінці минулого року в Дніпрі з вини клініки стався витік персональних і медичних даних десятків тисяч пацієнтів, зокрема й результатів проведення ПЛР-тестів та списків хворих на ковід.
Минулого року також стався масштабний витік даних, коли в мережу також потрапили мільйони водійських посвідчень українців. Спочатку в ньому підозрювали МВС, Міграційну службу, Мінцифри та навіть платформу відкритих даних “Опендатабот”. Однак згодом підозри впали на приватні й державні банки, страхові та логістичні компанії, служби перевезень і поштові сервіси.
Фотографія обкладинки: sflc.in