Нове Законодавство про захист персональних даних: Законопроект 5628

Упродовж 6 місяців юрособи та ФОП зобов’язані подати держреєстратору відомості про свою адресу офіційної електронної пошти (е-адреса): Законопроект 3860-д
14.06.2021
Аналіз Проектів Закону України “Про авторське право і суміжні права”: 5552, 5552-1, 5552-2, 5552-3, 5552-4
15.06.2021
Show all
Нове Законодавство про захист персональних даних: Законопроект 5628

Пошук / Search

Нове Законодавство про захист персональних даних: Законопроект 5628

07 червня 2021 року в Верховній Раді України зареєстровано Законопроект України за номером 5628 “Про захист персональних даних”, який оновлює чинне законодавство у цій сфері та впроваджує прогресивні європейські норми, які відповідають положенням Конвенції 108+ та GDPR.

Проект акта розроблено на виконання зобов’язання України, передбаченого статтею 15 Угоди про асоціацію між Україною, з однієї сторони, та Європейським Союзом, Європейським співтовариством з атомної енергії і їхніми державами-членами, з іншої сторони та завдання 11 Плану заходів з виконання Угоди про асоціацію між Україною та ЄС, затвердженого постановою Кабінету Міністрів України від 25 жовтня 2017 р. №1106.
Необхідність прийняття цього Законодавчого акту обумовлена тим, що стан законодавства не в повній мірі забезпечує захист персональних даних в Україні в світлі розвитку міжнародних стандартів у цій сфері.

Постійне впровадження європейських стандартів та процес наближення до повного членства в ЄС вимагають оновлення українського регулювання захисту персональних даних до європейських стандартів. Українське середовище конфіденційності даних дуже сильно змінилося з часу останнього оновлення Закону України «Про захист персональних даних», що був розроблений у 2010 році та ґрунтувався на Директиві 95/46/ЄС Європейського Парламенту і Ради «Про захист фізичних осіб при обробці персональних даних і про вільне переміщення таких даних» від 24 жовтня 1995 року, яка наразі скасована і замінена Регламентом Європейського Парламенту і Ради (ЄС) 2016/679 від 27 квітня 2016 року про захист фізичних осіб у зв’язку з опрацюванням персональних даних і про вільний рух таких даних, та про скасування Директиви 95/46/ЄС (далі – Загальний регламент про захист даних).

Через неабияке збільшення активності в обробці даних в Інтернеті, в тому числі і в Україні, особливо в галузі великих даних та соціальних медіа, законодавство України потребує повного оновлення практичного регулювання та його застосування. Україна стає все більш привабливою для бек-офісів або центрів, що займаються супроводом компаній зі штаб-квартирами в Європі чи Америці (головним чином, Канаді та США).

Український бізнес, на який найбільше впливають норми захисту персональних даних (наприклад, українська ІТ та телекомунікаційна індустрія), має свою основну клієнтську базу в Європі. Український бізнес оновлює свої потоки конфіденційності та внутрішню організацію обробки персональних даних не лише як наслідок очікування оновлення українського Закону про захист персональних даних та його приведення у відповідність до стандартів ЄС.

Українські підприємства знаходяться під впливом своїх європейських клієнтів і їх очікувань щодо відповідності стандартам Загального регламенту про захист даних.

За оцінкою McKinsey, повноцінна реалізація цифрового потенціалу країн Центральної та Східної Європи дозволить їм сумарно наростити додатковий ВВП у розмірі 200 млрд євро і досягти частки цифрової економіки у ВВП на рівні 16% до 2025 року (в іншому разі, частка цифрової економіки у ВВП до 2025 року складатиме всього 8,7%, а приріст ВВП буде втричі меншим – 60 млрд євро).

Використання цифрових технологій дозволить збільшити ВВП 10 найбільших економік світу на 1,36 трлн дол в 2020 році (Accenture).

10% приріст у проникненні фіксованого ШСД сприяє зростанню ВВП на 0,9-1,5 відсоткових пунктів (Deloitte/WB)

Інновації в сфері цифрової економіки сприяють створенню нової цінності (вартості) товарів і послуг (McKinsey).

Українську IT-сферу називають найперспективнішим сектором розвитку вітчизняної економіки. За даними Кабінету Міністрів, в 2019 році на частку інформаційних технологій доводилося 3,9% ВВП – 138 млрд грн.

Державна скарбниця поповнилася на 32 млрд грн податків. Це можна порівняти з податковими відрахуваннями зі сфери інфраструктури і транспорту, які склали 29,4 млрд. Кожен з працюючих ІТ-фахівців в середньому забезпечує зайнятість 11 осіб в інших галузях.

На сьогодні у нас більше 20 найбільших компаній-провайдерів ІТ-послуг в світі. На внутрішньому ринку основні споживачі продуктів – 35% – фінансовий сектор і банки, 16% – державний сектор, 12% – телекомунікації, 9% – промисловість, 8% – торгівля та інші сфери.

За кількістю аутсорсингових IT-компаній Україна посідає перше місце в Європі і четверте – в світі.

Ще в 2015-му українських програмістів налічувалося трохи більше 89 тис. Сьогодні в Україні працюють понад 4 тисячі компаній і майже 200 тис інженерів.

Більшість українських підприємств, для яких обробка персональних даних є ключовою вимогою для ведення бізнесу, потребують підвищення внутрішніх стандартів відповідності виключно з конкурентних міркувань. Український бізнес, який пропонує послуги та товари резидентам ЄС або здійснює моніторинг поведінки суб’єктів даних, розташованих в ЄС, також автоматично потрапляє до сфери дії Загального регламенту про захист даних відповідно до Статті 3(2). Сам Загальний регламент про захист даних вже передбачає можливість для контролюючих органів у сфері захисту персональних даних країн-членів ЄС застосовувати Загальний регламент про захист даних та накладати санкції екстериторіально, в тому числі на території України. Таким чином, правозастосування актів ЄС є неминучим.

Після трьох років впровадження Загального регламенту про захист даних в ЄС, європейські органи почнуть користуватись правозастосовними інструментами Загального регламенту про захист даних (в тому числі штрафними) щодо контролерів та процесорів, які перебувають за межами ЄС та потрапляють до екстериторіальної сфери дії цього акту ЄС.

Навіть бізнес, керований із США, все більше відповідає європейським стандартам, щоб залишатися конкурентоспроможними на міжнародному ринку. Останнє рішення Суду ЄС про захист конфіденційності США підтверджує необхідність дотримуватися Загального регламенту про захист даних. Наприклад, каліфорнійський закон про захист даних та майбутній Закон про права на конфіденційність у Каліфорнії (набирає чинності у 2023 році) передбачають впровадження ряду правил, подібних до європейських та Конвенції про захист фізичних осіб у зв’язку з автоматизованою обробкою персональних даних.

Чинним законодавством не охоплюється цілий ряд питань та правовідносин які виникають на практиці (наприклад спільна обробка персональних даних різними юридичними особами, відносини субпідряду при обробці персональних даних, обробка персональних даних у мережі Інтернет тощо). Така ситуація зумовлена тим, що технологічний розвиток значно випереджає законодавство. Водночас, застаріле законодавство гальмує та створює перепони в реалізації інноваційних рішень як у приватній (розвиток ІТ сфери) сфері так і у публічному секторі (електронна демократія, цифровізація адміністративних послуг).

На необхідність приведення законодавства в сфері захисту персональних даних також вказуєДоговір про асоціацію між Україною та Європейським Союзом. Так, розділом ІІІ Угоди про асоціацію передбачається співробітництво у сфері юстиції, свободи та безпеки. Згідно зі статтею 15 Угоди про асоціацію, «Україна та Європейський Союз погодились співпрацювати з метою забезпечення належного рівня захисту персональних даних відповідно до найвищих європейських та міжнародних стандартів, зокрема відповідних документів Ради Європи».

Угодою про співробітництво між Україною та Європейською організацією з питань юстиції(ратифікована у 2017 році), а саме статтею 11 Україна взяла на себе зобов’язання, щодогарантій рівня захисту персональних даних, еквівалентному тому, що випливає із застосування принципів, що містяться уКонвенції Ради Європи про захист осіб у зв’язку з автоматизованою обробкою персональних данихвід 28 січня 1981 року і наступних змін до неї, а також принципів, закладених у Рішенні щодо Євроюсту та у Регламенті Євроюсту щодо захисту даних.

Угода між Україною та Європейським поліцейським офісом про оперативне та стратегічне співробітництво, ратифікована у 2017 році зобов’язує Сторони надавати  одна одній лише ту інформацію, що зібрана, зберігається і передається відповідно до їхніх відповідних правових актів та отримана без порушень їхнього чинного законодавства щодо захисту прав людини. У цьому контексті Європол буде зобов’язаний статтею 20(4) Рішення Ради Європейського Союзу від 30 листопада 2009 року про прийняття імплементаційних правил, які регулюють відносини Європолу з партнерами, включаючи обмін персональними даними та інформацією з обмеженим доступом.

Команда Мінцифри підготувала та опублікувала 24 лютого 2021 Законопроект , що пришвидшить інтеграцію України до Єдиного цифрового ринку ЄС. Це наблизить українське законодавство до європейських вимог у сферах електронної ідентифікації та електронних довірчих послуг.

Проект акта розроблено відповідно до пункту 4 статті 1 Указу Президента України від 29 липня 2019 року № 558/2019 “Про деякі заходи щодо поліпшення доступу фізичних та юридичних осіб до електронних послуг”, пункту 591 Плану законопроєктної роботи Верховної Ради України на 2020 рік, затвердженого Постановою Верховної Ради України від 16 червня 2020 року № 689-IX, пункту 45 плану пріоритетних дій Уряду на 2020 рік, затвердженого розпорядженням Кабінету Міністрів України від 9 вересня 2020 року № 1133-р.

Метою прийняття акта є пришвидшення інтеграції України до Єдиного цифрового ринку Європейського Союзу, а також максимальне наближення положень національного законодавства до європейських вимог у сферах електронної ідентифікації та електронних довірчих послуг. 

Закон України “Про електронні довірчі послуги” спрямований на запровадження в Україні моделі та принципів надання електронних довірчих послуг, які застосовуються у Європейському Союзі, не руйнуючи систему взаємодії суб’єктів відносин у сфері електронного цифрового підпису, що склалась в Україні.

Приєднання України до Єдиного цифрового ринку ЄС потребуватиме вдосконалення законодавства у сфері захисту персональних даних до належного рівня, тобто аналогічного до рівня захисту даних в ЄС.

Гармонізація українського законодавства до європейських стандартів у сфері захисту персональних даних шляхом імплементації Регламенту Європейського парламенту та Ради про захист фізичних осіб в зв’язку з обробкою персональних даних і про вільний рух таких даних 2016/679 (Загальний регламент про захист персональних даних) є одним із ключових завдань України відповідно пункту 11 Плану заходів  з виконання Угоди про асоціацію, затвердженого Постановою Кабінету Міністрів України від 25 жовтня 2017 р. № 1106, яке досі залишається невиконаним.

Крім того, Україна є стороною Конвенції про захист фізичних осіб у зв’язку з автоматизованою обробкою персональних даних (Конвенція 108). У травні 2018 року Рада Європи прийняла Протокол CETS № 223, яким було внесено зміни до Конвенції 108. Модернізована Конвенція 108+ враховує більшість викликів, спричинених розвитком інформаційних і комунікаційних технологій та посилює вимоги щодо її імплементації. Таким чином, перед Україною постало питання ратифікації вказаного Протоколу, та приведенням законодавства у відповідність до вимог оновленої Конвенції 108+. Чинний Закон України «Про захист персональних даних», прийнятий в 2011 році, не забезпечує необхідний рівень захисту персональних даних, який вимагається сучасними міжнародними стандартами. Про це свідчать низка експертних аналізів та рекомендацій міжнародних та національних експертів, зокрема, Ради Європи.

За даними UNCTAD 66% країн світу мають закони про захист даних і конфіденційність, 10% країни з проєктом закону, 19% країн не мають закону, ще по 5% країн відсутні дані.

Над розробкою законопроєкту щодо захисту персональних даних, засад створення незалежного органу для контролю у цій сфері та взаємоузгодження із законодавством у сфері доступу до публічної інформації працювала створена при Комітеті ВРУ з питань цифрової трансформації та Комітеті ВРУ з питань прав людини, деокупації та реінтеграції тимчасово окупованих територій у Донецькій, Луганській областях та Автономної Республіки Крим, міста Севастополя, національних меншин і міжнаціональних відносин робоча група. Робоча група включає провідних українських та міжнародних експертів, представників інституцій, відповідальних за реалізацію певної політики у сфері захисту персональних даних – Мінцифри, Уповноважений з прав людини, МВС, СБУтощо  та складається більше ніж із семидесяти осіб.


Головна проблема у сфері захисту персональних даних в Україні полягає у відсутності законодавчих актів, які б забезпечували належний рівень захисту персональних даних в Україні у відповідності до оновлених міжнародних стандартів у цій сфері, насамперед стандартів, які передбачаються оновленою Конвенцією Ради Європи про захист фізичних осіб у зв’язку з автоматизованою обробкою персональних даних та Регламентом Європейського союзу  2016/679, взятих у Угодах, ратифікованих Верховною Радою України зобов’язаннях, належного контролю у сфері захисту персональних даних та адекватних відповідно до порушень санкцій.

Відсутність нового законодавства, яке б відповідало сучасним міжнародним стандартам у цій сфері та рівню технологічного розвитку, не тільки призводить до незадовільного рівня захисту конституційного права на повагу до приватного життя в Україні, але й призведе до визнання на міжнародному рівні України як держави, яка не забезпечує належний рівень захисту персональних даних. Це в свою чергу призведе до ризику відмови інших держав у передачі персональних даних в першу чергу органам влади України, особливо при обміні даних правоохоронними органами, та ускладнення у підтримці торгівельних зв’язків в секторі міжнародної підприємницької діяльності як з ЄС, так і іншими країнами, які мають належний рівень захисту персональних даних, аналогічний ЄС (Ізраїль, Японія тощо).

За результатами більш глибокого аналізу законодавства Європейського Союзу у сфері захисту даних та кібербезпеки можна дійти висновку, що інституції та політики ЄС не розглядають окремо заходи з кібербезпеки від заходів захисту конфіденційності мереж та/або інформаційних систем, а мають на меті узгоджені дії щодо захисту засобів, інформації та конфіденційності як частини екосистеми кібербезпеки та довіри.

Найважливішими залишаються документи Ради Європи, членом якої Україна є з 1995 року, а саме —Конвенція Ради Європи про захист осіб у зв’язку з автоматизованою обробкою персональних даних (Конвенція 108+), Конвенція про кіберзлочинність (Будапештська конвенція) та інші акти  Європейського Союзу щодо забезпечення безпеки даних, основними з яких є Директиви Європейського Парламенту і Ради (ЄС) 2016/1148 від 6 липня 2016 року про заходи для високого спільного рівня безпеки мережевих та інформаційних систем на території Союзу, Загальне положення про захист даних, Регламент Європейського Парламенту та Ради від 17 квітня 2019 року про ENISA (Агентство Європейського Союзу з кібербезпеки) про сертифікацію кібербезпеки інформаційних та комунікаційних технологій та про скасування Регламенту (ЄС) No 526/2013 (Закон про кібербезпеку ) 2019/881  (далі – Регламент 881), та Директива (ЄС) 2016/680 Європейського Парламенту та Ради від 27 квітня 2016 року про захист фізичних осіб щодо обробки персональних даних компетентними органами з метою запобігання, розслідування, виявлення або притягнення до відповідальності за кримінальні злочини чи виконання кримінальних покарань, а також про вільний рух таких даних та скасування Рамкового рішення Ради 2008/977/ JHA .

Однією з цілей законопроєкту є посилення захист прав осіб, пов’язаних з обробкою персональних даних, механізми для реалізації таких прав, в тому числі для боротьби із  кіберзлочинністю.

Саме через євроінтеграційні зобов’язання міжнародні конвенції Ради Європи, які є вже частиною законодавства України з огляду на їх ратифікацію законами, є головними міжнародно-правовими стандартами захисту даних  для України.


Завданням проєкту Закону є приведення нормативного регулювання України в сфері захисту персональних даних у відповідність до нових міжнародних стандартів в цій сфері, які передбачені Конвенцієї 108+ та Загальним регламентом про захист персональних даних, а також врегулювати правові відносини, пов’язані з обробкою персональних даних, які не врегульовані чинним законом. Крім того, законопроєкт має на меті підвищити рівень захисту конституційного права на повагу до приватного життя через посилення стандартів обробки персональних даних та надати більше прав суб’єкту персональних даних для забезпечення можливості здійснення повноцінного контролю суб’єктом за обробкою його персональних даних.

Законопроект передбачає:

  • приведення термінології сфери захисту персональних даних у відповідність до нових міжнародних стандартів;
  • деталізацію та більш зрозуміле формулювання принципів обробки персональних даних;
  • більш чітке формулювання підстав обробки персональних даних;
  • деталізовані та прозорі вимоги до згоди на обробку персональних даних, які дозволять уникнути зловживань та маніпуляцій; 
  • розширення прав суб’єктів персональних даних та механізм їх реалізації; 
  • чітке визначення обов’язків контролера і оператора персональних даних; 
  • порядок повідомлення про витік персональних даних;
  • інститут відповідальної особи з питань захисту персональних даних, її функціональні обов’язки, вимоги та порядок призначення;
  • врегулювання передачі персональних даних на територію іноземних держав та міжнародних організацій;
  • фінансову відповідальність, адміністративно-господарські санкції, що застосовуються до контролера та/або оператора за порушення права на захист персональних даних, які дозволять забезпечити дієвість закону та виконання його вимог.

Законопроєктом визначено особливі вимоги до:

  • обробки персональних даних (чутливі персональні дані),
  • обробки персональних даних, пов’язаних з притягненням до кримінальної відповідальності, обробки біометричних даних суб’єктами владних повноважень та обробки персональних даних з метою прямого маркетингу, передвиборчої агітації та політичної реклами.

Суттєво розширені права суб’єкта персональних даних у повній відповідності до вимог Загального регламенту про захист персональних даних та Конвенції 108, а саме визначено механізми для захисту:

  • права на інформацію;
  • права суб’єкта даних на доступ до персональних даних;
  • правасуб’єкта персональних даних на виправлення персональних даних;
  • права суб’єкта персональних даних на забуття;
  • права на заперечення проти обробки персональних даних;
  • права на мобільність персональних даних;
  • права на обмеження обробки персональних даних;
  • права на захист від автоматизованого прийняття рішення;
  • права суб’єкта даних на захист своїх прав та відшкодування шкоди.

Також встановлено порядок розгляду вимог суб’єкта персональних даних контролерами та операторами.


Прийняття цього проєкту  Закону є значним кроком на шляху виконання Україною міжнародних зобов’язань у сфері захисту персональних даних.

Прийняття проєкту Закону свідчить про новий підхід до захисту основних прав та свобод осіб, зокрема тих, що стосуються захисту приватного життя, включаючи право на захист персональних даних та надання особам більшого контролю над своїми персональними даними.

Проект Закону передбачає:

  • надання можливості суб’єктам персональних даних контролювати обробку їх персональних даних, зокрема, через наділення громадян такими правами, як право бути забутим, право на портативність даних та право бути поінформованим про порушення персональних даних;
  • посилення прав та обов’язків тих, хто відповідає за обробку персональних даних, і наділяє їх відповідними повноваженнями для моніторингу та забезпечення дотримання правил із захисту персональних даних, і застосування санкцій до порушників;
  • встановлення чітких обов’язків контролера та оператора даних дотримуватися вимог Закону та заохочення користувачів даних запровадити внутрішні заходи, які дозволяють їм, як контролерам даних, довести факт виконання нормативних вимог;
  • впровадження суворіших санкцій, що підлягають застосуванню у випадку порушення законодавства в сфера захисту персональних даних.

Крім того, прийняття цього проекту  Закону:

створить сприятливі умови для роботи відчизняних компаній на ІТ ринку Європейсткого Союзу та Світу і, як наслідок надходження іноземних інвестицій;

наблизить Україну до отримання статусу держави, яка забезпечує належний захист персональних даних, що у свою чергу пришвидшить та полегшить входження нашої держави до Єдиного цифрового ринку Європейського Союзу.

Українські підприємства, які не почали приймати відповідні правила, нове регулювання змусить підняти стандарти захисту даних до європейського рівня. Як результат, вони зможуть вийти на європейський ринок та бути більш конкурентоспроможними ринку ЄС. Цеможе відкрити українським підприємствам нові можливості для отримання більшої частки бізнесу в Європі.


Проект закону 5628 складається з дванадцяти розділів та семидесяти трьох статей та доступний до завантаження:
Відповідно до Стратегії інтеграції України до Єдиного цифрового ринку Європейського Союзу («Дорожня карта»), яка була нещодавно узгоджена  з ЄС законодавче закріплення права на захист персональних даних серед основних прав і свобод фізичних осіб, а також положення про вільний рух персональних даних, приведення у відповідність до права ЄС принципів обробки персональних даних, та термінології має відбутись до грудня 2023 року.

Інформація взята з офіційного web-порталу Верховної ради України.

Читайте також про:

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *