Впровадження стандартів GPDR в Україні: основні правила та вимоги Євросоюзу до обробки персональних даних

Зміст

Активізація євроінтеграційних процесів стимулювала українську владу до детального опрацювання тих напрямків, яким раніше приділяли небагато уваги. Среди них – впровадження норм і правил обробки та захисту персональних даних, які передбачені Загальним регламентом про захист даних 2016/679 від 27 квітня 2016 року та іншими документами. Важливим кроком до виконання країною своїх зобов’язань перед Євросоюзом в цій сфері стало подання до ВР законопроекту № 8153. Нараді він знаходиться на ознайомленні та обов’язково буде коригуватися, але зрушення в напрямку переходу на стандарти GPDR вже почалися.

Наразі українська нормативно-правова база є застарілою, адже не враховує сучасні технологічні реалії. Це призводить до неможливості забезпечення достатньо високого рівня захисту персональної інформації та ускладнює роботу державних органів, національних компаній у різних галузях, а також фізичних осіб підприємців. В довгостроковій перспективі така ситуація може призвести до наступних проблем:

Відмови від передачі персональних даних іншими країнами правоохоронним, податковим, судовим та іншим владним органам України.
Сповільнення темпів розвитку зовнішньоекономічного сектору через складнощі інформаційного обміну, які виникатимуть у іноземних та національних компаній.
Відтік представників ІТ індустрії, більшість з яких орієнтовані на створення цифрових продуктів та надання послуг саме іноземцям, тому мають відповідально ставитися до підтримання норм конфіденційності та виконувати вимоги міжнародних стандартів.

Зважаючи на вищезазначені моменти, питання удосконалення національного законодавства в сфері роботи с персональними даними можна вважати нагальним.

Принципи та стандарти GPDR

Загальний регламент передбачає, що персональні дані мають збиратися та оброблятися таким чином, щоб уникнути:

незаконного або несанкціонованого використання;
випадкової втрати;
завдання шкоди чи знищення.

Для захисту ПДН GPDR передбачає використання спеціальних технічних засобів та інструментів організації робочих процесів. Окрім цього, положення документу визначають необхідність:

Відстеження тривалості зберігання персональних даних – не можна зберігати ПДН після досягнення цілей їх отримання та опрацювання.
Мінімізації даних, тобто суб’єкт має отримувати, зберігати та використовувати виключно той об’єм персональних даних, який потрібний задля досягнення попередньо встановлених цілей обробки.
Забезпечення точності наданої власником інформації. Цей принцип передбачає уточнення та оновлення ПДН у разі їх зміни, а також видалення чи виправлення при виявленні неточностей.

Яких змін можна чекати в українському законодавстві?

Команда ініціаторів законопроекту пропонує внести сукупність змін в національне законодавство, аби зробити його сучасним та адаптованим під актуальні міжнародні стандарти. Майбутній документ передбачає:

чітке та зрозуміле визначення термінів, що пов’язані з персональними даними;
конкретизацію принципів обробки ПДН;
деталізацію механізму інформування щодо витоків конфіденційної інформації;
встановлення чіткого порядку обміну ПДН з суб’єктами за межами України;
максимальну чіткість визначення підстав для обробки ПДН, переліку обов’язків суб’єктів персональних даних, а також шляхи для їх виконання;
забезпечення прозорості та зрозумілості вимог до тексту згоди, яка дає право обробляти персональні дані задля попередження маніпуляцій та несанкціонованого використання ПДН;
призначення відповідальності за порушення встановлених правил щодо захисту ПДН для стимуляції до їх подальшого постійного виконання. Автори закону пропонують запровадити для порушників адміністративно-господарську та фінансову відповідальність, яку визначатиме контролюючий орган.