Постійне впровадження європейських стандартів та процес наближення до повного членства в ЄС вимагають оновлення українського регулювання захисту персональних даних до європейських стандартів. Українське середовище конфіденційності даних дуже сильно змінилося з часу останнього оновлення Закону України «Про захист персональних даних», що був розроблений у 2010 році та ґрунтувався на Директиві 95/46/ЄС Європейського Парламенту і Ради «Про захист фізичних осіб при обробці персональних даних і про вільне переміщення таких даних» від 24 жовтня 1995 року, яка наразі скасована і замінена Регламентом Європейського Парламенту і Ради (ЄС) 2016/679 від 27 квітня 2016 року про захист фізичних осіб у зв’язку з опрацюванням персональних даних і про вільний рух таких даних, та про скасування Директиви 95/46/ЄС (далі – Загальний регламент про захист даних).
Через неабияке збільшення активності в обробці даних в Інтернеті, в тому числі і в Україні, особливо в галузі великих даних та соціальних медіа, законодавство України потребує повного оновлення практичного регулювання та його застосування. Україна стає все більш привабливою для бек-офісів або центрів, що займаються супроводом компаній зі штаб-квартирами в Європі чи Америці (головним чином, Канаді та США).
Український бізнес, на який найбільше впливають норми захисту персональних даних (наприклад, українська ІТ та телекомунікаційна індустрія), має свою основну клієнтську базу в Європі. Український бізнес оновлює свої потоки конфіденційності та внутрішню організацію обробки персональних даних не лише як наслідок очікування оновлення українського Закону про захист персональних даних та його приведення у відповідність до стандартів ЄС.
Українські підприємства знаходяться під впливом своїх європейських клієнтів і їх очікувань щодо відповідності стандартам Загального регламенту про захист даних.
За оцінкою McKinsey, повноцінна реалізація цифрового потенціалу країн Центральної та Східної Європи дозволить їм сумарно наростити додатковий ВВП у розмірі 200 млрд євро і досягти частки цифрової економіки у ВВП на рівні 16% до 2025 року (в іншому разі, частка цифрової економіки у ВВП до 2025 року складатиме всього 8,7%, а приріст ВВП буде втричі меншим – 60 млрд євро).
Використання цифрових технологій дозволить збільшити ВВП 10 найбільших економік світу на 1,36 трлн дол в 2020 році (Accenture).
10% приріст у проникненні фіксованого ШСД сприяє зростанню ВВП на 0,9-1,5 відсоткових пунктів (Deloitte/WB)
Інновації в сфері цифрової економіки сприяють створенню нової цінності (вартості) товарів і послуг (McKinsey).
Українську IT-сферу називають найперспективнішим сектором розвитку вітчизняної економіки. За даними Кабінету Міністрів, в 2019 році на частку інформаційних технологій доводилося 3,9% ВВП – 138 млрд грн.
Державна скарбниця поповнилася на 32 млрд грн податків. Це можна порівняти з податковими відрахуваннями зі сфери інфраструктури і транспорту, які склали 29,4 млрд. Кожен з працюючих ІТ-фахівців в середньому забезпечує зайнятість 11 осіб в інших галузях.
На сьогодні у нас більше 20 найбільших компаній-провайдерів ІТ-послуг в світі. На внутрішньому ринку основні споживачі продуктів – 35% – фінансовий сектор і банки, 16% – державний сектор, 12% – телекомунікації, 9% – промисловість, 8% – торгівля та інші сфери.
Ще в 2015-му українських програмістів налічувалося трохи більше 89 тис. Сьогодні в Україні працюють понад 4 тисячі компаній і майже 200 тис інженерів.
Більшість українських підприємств, для яких обробка персональних даних є ключовою вимогою для ведення бізнесу, потребують підвищення внутрішніх стандартів відповідності виключно з конкурентних міркувань. Український бізнес, який пропонує послуги та товари резидентам ЄС або здійснює моніторинг поведінки суб’єктів даних, розташованих в ЄС, також автоматично потрапляє до сфери дії Загального регламенту про захист даних відповідно до Статті 3(2). Сам Загальний регламент про захист даних вже передбачає можливість для контролюючих органів у сфері захисту персональних даних країн-членів ЄС застосовувати Загальний регламент про захист даних та накладати санкції екстериторіально, в тому числі на території України. Таким чином, правозастосування актів ЄС є неминучим.
Після трьох років впровадження Загального регламенту про захист даних в ЄС, європейські органи почнуть користуватись правозастосовними інструментами Загального регламенту про захист даних (в тому числі штрафними) щодо контролерів та процесорів, які перебувають за межами ЄС та потрапляють до екстериторіальної сфери дії цього акту ЄС.
Навіть бізнес, керований із США, все більше відповідає європейським стандартам, щоб залишатися конкурентоспроможними на міжнародному ринку. Останнє рішення Суду ЄС про захист конфіденційності США підтверджує необхідність дотримуватися Загального регламенту про захист даних. Наприклад, каліфорнійський закон про захист даних та майбутній Закон про права на конфіденційність у Каліфорнії (набирає чинності у 2023 році) передбачають впровадження ряду правил, подібних до європейських та Конвенції про захист фізичних осіб у зв’язку з автоматизованою обробкою персональних даних.
Чинним законодавством не охоплюється цілий ряд питань та правовідносин які виникають на практиці (наприклад спільна обробка персональних даних різними юридичними особами, відносини субпідряду при обробці персональних даних, обробка персональних даних у мережі Інтернет тощо). Така ситуація зумовлена тим, що технологічний розвиток значно випереджає законодавство. Водночас, застаріле законодавство гальмує та створює перепони в реалізації інноваційних рішень як у приватній (розвиток ІТ сфери) сфері так і у публічному секторі (електронна демократія, цифровізація адміністративних послуг).
На необхідність приведення законодавства в сфері захисту персональних даних також вказуєДоговір про асоціацію між Україною та Європейським Союзом. Так, розділом ІІІ Угоди про асоціацію передбачається співробітництво у сфері юстиції, свободи та безпеки. Згідно зі статтею 15 Угоди про асоціацію, «Україна та Європейський Союз погодились співпрацювати з метою забезпечення належного рівня захисту персональних даних відповідно до найвищих європейських та міжнародних стандартів, зокрема відповідних документів Ради Європи».
Угодою про співробітництво між Україною та Європейською організацією з питань юстиції(ратифікована у 2017 році), а саме статтею 11 Україна взяла на себе зобов’язання, щодогарантій рівня захисту персональних даних, еквівалентному тому, що випливає із застосування принципів, що містяться уКонвенції Ради Європи про захист осіб у зв’язку з автоматизованою обробкою персональних данихвід 28 січня 1981 року і наступних змін до неї, а також принципів, закладених у Рішенні щодо Євроюсту та у Регламенті Євроюсту щодо захисту даних.
Угода між Україною та Європейським поліцейським офісом про оперативне та стратегічне співробітництво, ратифікована у 2017 році зобов’язує Сторони надавати одна одній лише ту інформацію, що зібрана, зберігається і передається відповідно до їхніх відповідних правових актів та отримана без порушень їхнього чинного законодавства щодо захисту прав людини. У цьому контексті Європол буде зобов’язаний статтею 20(4) Рішення Ради Європейського Союзу від 30 листопада 2009 року про прийняття імплементаційних правил, які регулюють відносини Європолу з партнерами, включаючи обмін персональними даними та інформацією з обмеженим доступом.
Команда Мінцифри підготувала та опублікувала 24 лютого 2021 Законопроект , що пришвидшить інтеграцію України до Єдиного цифрового ринку ЄС. Це наблизить українське законодавство до європейських вимог у сферах електронної ідентифікації та електронних довірчих послуг.
Проект акта розроблено відповідно до пункту 4 статті 1 Указу Президента України від 29 липня 2019 року № 558/2019 “Про деякі заходи щодо поліпшення доступу фізичних та юридичних осіб до електронних послуг”, пункту 591 Плану законопроєктної роботи Верховної Ради України на 2020 рік, затвердженого Постановою Верховної Ради України від 16 червня 2020 року № 689-IX, пункту 45 плану пріоритетних дій Уряду на 2020 рік, затвердженого розпорядженням Кабінету Міністрів України від 9 вересня 2020 року № 1133-р.
Метою прийняття акта є пришвидшення інтеграції України до Єдиного цифрового ринку Європейського Союзу, а також максимальне наближення положень національного законодавства до європейських вимог у сферах електронної ідентифікації та електронних довірчих послуг.
Закон України “Про електронні довірчі послуги” спрямований на запровадження в Україні моделі та принципів надання електронних довірчих послуг, які застосовуються у Європейському Союзі, не руйнуючи систему взаємодії суб’єктів відносин у сфері електронного цифрового підпису, що склалась в Україні.
Приєднання України до Єдиного цифрового ринку ЄС потребуватиме вдосконалення законодавства у сфері захисту персональних даних до належного рівня, тобто аналогічного до рівня захисту даних в ЄС.
Гармонізація українського законодавства до європейських стандартів у сфері захисту персональних даних шляхом імплементації Регламенту Європейського парламенту та Ради про захист фізичних осіб в зв’язку з обробкою персональних даних і про вільний рух таких даних 2016/679 (Загальний регламент про захист персональних даних) є одним із ключових завдань України відповідно пункту 11 Плану заходів з виконання Угоди про асоціацію, затвердженого Постановою Кабінету Міністрів України від 25 жовтня 2017 р. № 1106, яке досі залишається невиконаним.
Крім того, Україна є стороною Конвенції про захист фізичних осіб у зв’язку з автоматизованою обробкою персональних даних (Конвенція 108). У травні 2018 року Рада Європи прийняла Протокол CETS № 223, яким було внесено зміни до Конвенції 108. Модернізована Конвенція 108+ враховує більшість викликів, спричинених розвитком інформаційних і комунікаційних технологій та посилює вимоги щодо її імплементації. Таким чином, перед Україною постало питання ратифікації вказаного Протоколу, та приведенням законодавства у відповідність до вимог оновленої Конвенції 108+. Чинний Закон України «Про захист персональних даних», прийнятий в 2011 році, не забезпечує необхідний рівень захисту персональних даних, який вимагається сучасними міжнародними стандартами. Про це свідчать низка експертних аналізів та рекомендацій міжнародних та національних експертів, зокрема, Ради Європи.
За даними UNCTAD 66% країн світу мають закони про захист даних і конфіденційність, 10% країни з проєктом закону, 19% країн не мають закону, ще по 5% країн відсутні дані.
Над розробкою законопроєкту щодо захисту персональних даних, засад створення незалежного органу для контролю у цій сфері та взаємоузгодження із законодавством у сфері доступу до публічної інформації працювала створена при Комітеті ВРУ з питань цифрової трансформації та Комітеті ВРУ з питань прав людини, деокупації та реінтеграції тимчасово окупованих територій у Донецькій, Луганській областях та Автономної Республіки Крим, міста Севастополя, національних меншин і міжнаціональних відносин робоча група. Робоча група включає провідних українських та міжнародних експертів, представників інституцій, відповідальних за реалізацію певної політики у сфері захисту персональних даних – Мінцифри, Уповноважений з прав людини, МВС, СБУтощо та складається більше ніж із семидесяти осіб.
Головна проблема у сфері захисту персональних даних в Україні полягає у відсутності законодавчих актів, які б забезпечували належний рівень захисту персональних даних в Україні у відповідності до оновлених міжнародних стандартів у цій сфері, насамперед стандартів, які передбачаються оновленою Конвенцією Ради Європи про захист фізичних осіб у зв’язку з автоматизованою обробкою персональних даних та Регламентом Європейського союзу 2016/679, взятих у Угодах, ратифікованих Верховною Радою України зобов’язаннях, належного контролю у сфері захисту персональних даних та адекватних відповідно до порушень санкцій.
Відсутність нового законодавства, яке б відповідало сучасним міжнародним стандартам у цій сфері та рівню технологічного розвитку, не тільки призводить до незадовільного рівня захисту конституційного права на повагу до приватного життя в Україні, але й призведе до визнання на міжнародному рівні України як держави, яка не забезпечує належний рівень захисту персональних даних. Це в свою чергу призведе до ризику відмови інших держав у передачі персональних даних в першу чергу органам влади України, особливо при обміні даних правоохоронними органами, та ускладнення у підтримці торгівельних зв’язків в секторі міжнародної підприємницької діяльності як з ЄС, так і іншими країнами, які мають належний рівень захисту персональних даних, аналогічний ЄС (Ізраїль, Японія тощо).
За результатами більш глибокого аналізу законодавства Європейського Союзу у сфері захисту даних та кібербезпеки можна дійти висновку, що інституції та політики ЄС не розглядають окремо заходи з кібербезпеки від заходів захисту конфіденційності мереж та/або інформаційних систем, а мають на меті узгоджені дії щодо захисту засобів, інформації та конфіденційності як частини екосистеми кібербезпеки та довіри.
Найважливішими залишаються документи Ради Європи, членом якої Україна є з 1995 року, а саме —Конвенція Ради Європи про захист осіб у зв’язку з автоматизованою обробкою персональних даних (Конвенція 108+), Конвенція про кіберзлочинність (Будапештська конвенція) та інші акти Європейського Союзу щодо забезпечення безпеки даних, основними з яких є Директиви Європейського Парламенту і Ради (ЄС) 2016/1148 від 6 липня 2016 року про заходи для високого спільного рівня безпеки мережевих та інформаційних систем на території Союзу, Загальне положення про захист даних, Регламент Європейського Парламенту та Ради від 17 квітня 2019 року про ENISA (Агентство Європейського Союзу з кібербезпеки) про сертифікацію кібербезпеки інформаційних та комунікаційних технологій та про скасування Регламенту (ЄС) No 526/2013 (Закон про кібербезпеку ) 2019/881 (далі – Регламент 881), та Директива (ЄС) 2016/680 Європейського Парламенту та Ради від 27 квітня 2016 року про захист фізичних осіб щодо обробки персональних даних компетентними органами з метою запобігання, розслідування, виявлення або притягнення до відповідальності за кримінальні злочини чи виконання кримінальних покарань, а також про вільний рух таких даних та скасування Рамкового рішення Ради 2008/977/ JHA .
Однією з цілей законопроєкту є посилення захист прав осіб, пов’язаних з обробкою персональних даних, механізми для реалізації таких прав, в тому числі для боротьби із кіберзлочинністю.
Саме через євроінтеграційні зобов’язання міжнародні конвенції Ради Європи, які є вже частиною законодавства України з огляду на їх ратифікацію законами, є головними міжнародно-правовими стандартами захисту даних для України.
Завданням проєкту Закону є приведення нормативного регулювання України в сфері захисту персональних даних у відповідність до нових міжнародних стандартів в цій сфері, які передбачені Конвенцієї 108+ та Загальним регламентом про захист персональних даних, а також врегулювати правові відносини, пов’язані з обробкою персональних даних, які не врегульовані чинним законом. Крім того, законопроєкт має на меті підвищити рівень захисту конституційного права на повагу до приватного життя через посилення стандартів обробки персональних даних та надати більше прав суб’єкту персональних даних для забезпечення можливості здійснення повноцінного контролю суб’єктом за обробкою його персональних даних.
Законопроект передбачає:
Законопроєктом визначено особливі вимоги до:
Суттєво розширені права суб’єкта персональних даних у повній відповідності до вимог Загального регламенту про захист персональних даних та Конвенції 108, а саме визначено механізми для захисту:
Також встановлено порядок розгляду вимог суб’єкта персональних даних контролерами та операторами.
Прийняття проєкту Закону свідчить про новий підхід до захисту основних прав та свобод осіб, зокрема тих, що стосуються захисту приватного життя, включаючи право на захист персональних даних та надання особам більшого контролю над своїми персональними даними.
Проект Закону передбачає:
Крім того, прийняття цього проекту Закону:
– створить сприятливі умови для роботи відчизняних компаній на ІТ ринку Європейсткого Союзу та Світу і, як наслідок надходження іноземних інвестицій;
– наблизить Україну до отримання статусу держави, яка забезпечує належний захист персональних даних, що у свою чергу пришвидшить та полегшить входження нашої держави до Єдиного цифрового ринку Європейського Союзу.
Українські підприємства, які не почали приймати відповідні правила, нове регулювання змусить підняти стандарти захисту даних до європейського рівня. Як результат, вони зможуть вийти на європейський ринок та бути більш конкурентоспроможними ринку ЄС. Цеможе відкрити українським підприємствам нові можливості для отримання більшої частки бізнесу в Європі.
Інформація взята з офіційного web-порталу Верховної ради України.
Читайте також про: