7 червня 2021 року у ВРУ зареєстровано проєкт Закону №5628 "Про захист персональних даних". Його авторами зо три десятки нардепи зі "Слуга народу".
Завантажити текст законопроєкту>>
Як зазначено у пояснювальній записці, необхідність прийняття цього проєкту Закону обумовлена тим, що стан законодавства не в повній мірі забезпечує захист персональних даних в Україні в світлі розвитку міжнародних стандартів у цій сфері.
Тож завданням проєкту Закону є приведення нормативного регулювання України в сфері захисту персональних даних у відповідність до нових міжнародних стандартів в цій сфері, які передбачені Конвенцієї 108+ та Загальним регламентом про захист персональних даних, а також врегулювати правові відносини, пов'язані з обробкою персональних даних, які не врегульовані чинним законом. Крім того, законопроєкт має на меті підвищити рівень захисту конституційного права на повагу до приватного життя через посилення стандартів обробки персональних даних та надати більше прав суб’єкту персональних даних для забезпечення можливості здійснення повноцінного контролю суб’єктом за обробкою його персональних даних.
Що передбачено проєктом Закону "Про захист персональних даних"?
Цей Закон визначає правові відносини, пов’язані із захистом і обробкою персональних даних, з метою забезпечення прав людини на захист персональних даних та повагу до особистого і сімейного життя. Поширюється він на відносини, пов’язані з обробкою персональних даних із застосуванням автоматизованих засобів, а також на обробку персональних даних, що містяться у картотеці чи призначені до внесення до картотеки, із застосуванням неавтоматизованих засобів.
Дія цього Закону поширюється на всіх суб’єктів, пов’язаних з обробкою та захистом персональних даних, крім випадків передбачених цим Законом. Водночас не поширюється на обробку персональних даних фізичними особами для особистих чи побутових потреб, які не пов’язані зі здійсненням професійної чи будь-якої іншої діяльності, що має на меті отримання прибутку.
Обробка персональних даних для особистих чи побутових потреб охоплює, зокрема, ведення кореспонденції та збереження поштових (електронних) адрес, підтримання соціальних контактів, а також комунікація у мережі Інтернет, яка здійснюється в контексті такої діяльності.
Загалом проєкт Закону складається з 12-ти розділів та 73 статей. Зокрема, передбачено:
- приведення термінології сфери захисту персональних даних у відповідність до нових міжнародних стандартів;
- деталізацію та більш зрозуміле формулювання принципів обробки персональних даних;
- більш чітке формулювання підстав обробки персональних даних;
- деталізовані та прозорі вимоги до згоди на обробку персональних даних, які дозволять уникнути зловживань та маніпуляцій;
- розширення прав суб’єктів персональних даних та механізм їх реалізації;
- чітке визначення обов’язків контролера і оператора персональних даних;
- порядок повідомлення про витік персональних даних;
- інститут відповідальної особи з питань захисту персональних даних, її функціональні обов'язки, вимоги та порядок призначення;
- врегулювання передачі персональних даних на територію іноземних держав та міжнародних організацій;
- фінансову відповідальність, адміністративно-господарські санкції, що застосовуються до контролера та/або оператора за порушення права на захист персональних даних, які дозволять забезпечити дієвість закону та виконання його вимог.
Законопроєктом визначено особливі вимоги до обробки персональних даних (чутливі персональні дані), а також обробки персональних даних, пов’язаних з притягненням до кримінальної відповідальності, обробки біометричних даних суб’єктами владних повноважень та обробки персональних даних з метою прямого маркетингу, передвиборчої агітації та політичної реклами.
Суттєво розширені права суб’єкта персональних даних у повній відповідності до вимог Загального регламенту про захист персональних даних та Конвенції 108, а саме визначено механізми для захисту:
- права на інформацію;
- права суб’єкта даних на доступ до персональних даних;
- права суб’єкта персональних даних на виправлення персональних даних;
- права суб’єкта персональних даних на забуття;
- права на заперечення проти обробки персональних даних;
- права на мобільність персональних даних;
- права на обмеження обробки персональних даних;
- права на захист від автоматизованого прийняття рішення;
- права суб’єкта даних на захист своїх прав та відшкодування шкоди;
Також встановлено порядок розгляду вимог суб’єкта персональних даних контролерами та операторами.
Коли набере чинності цей Закон?
У разі прийняття цей Закон набере чинності з дня опублікування та запрацює з 1 січня 2023 року.