Кабінет Міністрів України ініціював подання до Верховної Ради законопроекту №2671 про внесення змін до Закону України «Про захист персональних даних» щодо форм та умов надання згоди на обробку персональних даних.
Як зазначив Міністр Кабінету Міністрів України Дмитро Дубілет: «При обробці персональних даних на підставі згоди суб’єкта персональних даних за пунктом 1 частини першої статті 11 Закону України «Про захист персональних даних», володільці персональних даних продовжують використовувати лише письмову форму згоди та, переважно, надають суб’єкту персональних даних для заповнення та підпису окремий документ під назвою «Згода на обробку персональних даних». Це не є доцільним з огляду на тенденцію цифрового розвитку в країні. Крім того, використання такого документа потребує ресурсів на його виготовлення. Для обробки персональних даних на підставі дозволу за пунктом 2 частини першої статті 11 Закону України, необхідно окремо законами закріплювати такий дозвіл за конкретним володільцем (органом державної влади, органом місцевого самоврядування) персональних даних. Така норма обмежує зазначені органи в обробці персональних даних та змушує їх застосовувати іншу підставу обробки – згоду, у звичній письмовій формі».
Таким чином, у випадку ухвалення законопроекту органам державної влади та органам місцевого самоврядування буде надана можливість обробляти персональні дані на підставі їх повноважень. Фактично у суб’єктів владних повноважень не буде необхідності в отриманні згоди особи на обробку її персональних даних.
Проектом закону передбачена деталізація форм надання згоди на обробку персональних даних.
Згода може надаватися, зокрема:
- у письмовій формі, в тому числі електронними засобами, якою може бути окремий документ, який підписує суб’єкт персональних даних, одна з умов договору, заява, анкета тощо;
- в електронній формі, якою може бути позначка на веб-сайті в Інтернеті, що проставляється суб’єктом персональних даних, передбачена інтерфейсом веб-сайту анкета для заповнення, технічні налаштування веб-сайту, операційної системи, програмного забезпечення, мобільного додатка, які передбачають обробку персональних даних, тощо;
- в іншій формі, що чітко та однозначно вказує про надання такої згоди суб’єктом персональних даних на обробку персональних даних.
Разом з тим тягар доведення надання суб’єктом персональних даних згоди на обробку його даних покладатиметься на володільця.
Закон України «Про захист персональних даних» пропонується доповнити статтею 11-1 наступного змісту:
«Стаття 11-1. Умови надання згоди на обробку персональних даних
1. Згода суб’єкта персональних даних на обробку його персональних даних надається таким суб’єктом шляхом вчинення чіткої стверджувальної дії, здійсненням якої суб’єкт персональних даних добровільно та однозначно погоджується на обробку його персональних даних. Реалізація прав та свобод суб’єкта персональних даних не може залежати від надання суб’єктом згоди на обробку його персональних даних.
2. Згода суб’єкта персональних даних на обробку його персональних даних повинна бути добровільною, конкретною, поінформованою, однозначною.
3. Згода поширюється на всі види обробки персональних даних, що здійснюється для однієї або кількох цілей. У разі коли обробка персональних даних передбачає досягнення кількох цілей, згода необхідна для них усіх.
4. У разі коли обробка персональних даних здійснюється на підставі згоди, володілець повинен бути спроможним довести те, що суб’єкт персональних даних надав згоду на обробку своїх персональних даних.
5. Не можуть розглядатися як згода суб’єкта персональних даних на обробку його персональних даних:
1) мовчазні та невизначені дії суб’єкта персональних даних;
2) автоматичне заповнення передбаченої інтерфейсом анкети або попереднє проставлення у відповідному полі позначки без безпосередньої участі конкретного суб’єкта персональних даних;
3) встановлені за замовчуванням налаштування веб-сайту, операційної системи, програмного забезпечення, мобільного додатка;
4) бездіяльність такого суб’єкта.
6. Суб’єкт персональних даних має право відкликати згоду в будь-який момент. Відкликання згоди не повинно впливати на законність обробки, що ґрунтувалася на згоді до її відкликання. Володілець повинен однаково забезпечити суб’єкту персональних даних можливість як відкликати, так і надати згоду».
Як підкреслив Дмитро Дубілет: «Прийняття закону дозволить зняти для органів державної влади та місцевого самоврядування обмеження обробляти дані лише при наявності дозволу в законі. Однак є ризики неправильного трактування органами своїх повноважень, які можуть бути використані як підстава для обробки персональних даних».