Законопроєкт про персональні дані: чого чекати українському бізнесу

У жовтні 2022 року у Верховній Раді був зареєстрований законопроєкт про захист персональних даних. У 2021 році зареєстровано окремий законопроєкт про незалежного регулятора у цій сфері, покликаний зробити так, щоб персональні дані було кому захищати. Що відбувається, чого чекати і коли — розбираємося у цій статті. Для тих, хто любить одразу до справи — листайте до інфографіки.

Законопроєкт про персональні дані: чого чекати українському бізнесу

1. Що зараз в Україні із захистом персональних даних?

Закон є, а практики — мізер.

Наше законодавство про захист даних визначається статусом України у міжнародній спільноті. Україна є членом Ради Європи та кандидатом ЄС з червня 2022 року. Україна не ратифікувала оновлену Конвенцію Ради Європи 108+ (протокол). Але ми ратифікували Конвенцію 108, а значить, визнали базові принципи обробки та передачі персональних даних.

Закон України 2010 року “Про захист персональних даних” побудований трохи на Конвенції 108, трохи на уже не чинній Директиві ЄС 95/46/ЄС. Але основна проблема не в тому, що наш закон встиг порости мохом. Більша проблема — це низька культура поваги до персональних даних і звʼязані руки регулятора. А звідси мінімум відповідальності та судової практики.

Український бізнес не має стимулу поважати персональні дані на внутрішньоукраїнському ринку. Комплаєнс з вимогами законодавства про приватність — це довго, адміністративно складно і дорого, і цим займаються в останню чергу. Тому українські бізнеси, яким доводиться виходити на ринок ЄС, Великобританії, Гонконгу, Бразилії, Канади чи навіть Каліфорнії (США) отримують льодяний душ від юриста зі сфери приватності. А все було би не так проблемно, якби внутрішні стандарти і практики на ринку вибудовувалися на основі найкращих стандартів поступово, а не коли горить-палає.

Задуматися варто хоча б зараз, коли почуєте більше про законопроєкт про захист персональних даних.

2. Законопроєкт про персональні дані — біда чи манна небесна?

І те, і інше.

Подібний проєкт проходив свій шлях до Верховної Ради і в 2021 році, в рамках Плану заходів з виконання Угоди про асоціацію між Україною та ЄС. Понад 5 років тривають спроби розробити акт, прийнятний і для бізнесу, і для Євросоюзу. На це пішло чимало грантових коштів та часу українських і міжнародних експертів. І у нас вже немає іншого шляху, ніж наблизити своє законодавство до європейського та отримати свій аналог GDPR (Загального регламенту про захист даних).

GDPR, це страшне в 2018 році слово у 2023 року для міжнародних компаній вже не таке страшне. А українському бізнесу новий законопроєкт все одно не подобається. Щоправда, не всьому бізнесу. Велика частина вже ітак дотримується поширених практик в рамках одного із напрямків комплаєнсу і має запитання лиш до окремих положень проєкту. Натомість для декого прийняття дієвого закону буде означати:

  • що пора відмовлятися від неконтрольованого спаму, викликів пацієнтів на прийом за іменами-прізвищами, зачитування деталей операцій за банківським рахунком на всю клієнтську зону,
  • чи навіть неможливість телефонувати за купленими базами із запитами на благодійність.

То що, від закону виграє лише користувач, пацієнт, громадянин? У довгостроковій перспективі, виграють і самі бізнеси. Буде легше адаптовуватися до нових ринків, глобалізуватися. Іноземні офіси швидше віднаходитимуть моделі роботи із персональними даними, які задовольняють і іноземне, і локальне законодавство, і місцевих споживачів. А ще Україна буде виглядати цивілізованою державою в очах інвесторів.

3. Що нового передбачає проєкт закону про захист персональних даних

Законопроєкт про захист персональних даних вносить зміни у термінологію в сфері приватності, в права субʼєктів персональних даних, обовʼязки компаній та державних органів та у відповідальність. Окремо визначили правила поводження із даними працівників та правила в рамках діяльності правоохоронців. Грубо кажучи, все стає з голови на ноги, а в деяких випадках — хоча би на одну.

Щоб закон працював, потрібен окремий регулятор — державний орган, що буде слідкувати за дотриманням закону, розʼяснювати його норми, підказувати людям, як реалізувати права щодо персональних даних. Створення спеціального незалежного регулятора та його повноваження визначені в окремому законопроєкті.

4. Що передбачає проєкт про регулятора

Зараз функцію регулятора виконує Омбудсмен — Уповноважений при Верховній Раді України, який займається правами людини загалом.

Проєкт передбачає новий орган — Національну комісію з питань захисту персональних даних та доступу до публічної інформації. Орган має бути незалежним та професійним та займатися вузьким напрямком роботи. У складі Нацкомісії будуть не тільки голова та члени комісії, але і апарат, а також інспектори, покликані ефективно реалізувати її повноваження.

Основні функції Нацкомісії — це регулювання, нагляд та контроль, що в перекладі на людську мову означає:

  • Розʼяснювати законодавство про захист персональних даних, консультувати та допомагати організаціям виконувати вимоги законодавства;
  • Розробляти підзаконні нормативно-правові акти;
  • Проводити перевірки;
  • Притягувати до відповідальності за порушення, попереджувати порушення, вимагати їх усунення;
  • Розглядати звернення, затверджувати правила кваліфікаційного іспиту для відповідального з захисту даних, затверджувати корпоративні правила, договори, список держав, що забезпечують належний рівень захисту даних і інші повноваження.

Нацкомісія зможе починати перевірки як за зверненнями осіб, так і за власною ініціативою. Рішення про накладення штрафів можна буде оскаржувати у суді.

Фактично це означає: вдихнути життя в законопроєкт про захист персональних даних, щоб він не тільки був красиво написаний, а і реально запрацював.

5. Які перспективи у законопроєктів

Чи запустить Верховна Рада ці правила в обіг — однозначно. Питання в тому, коли саме та на які поступки доведеться піти, щоб знайти баланс між інтересами бізнесу та планами на євроінтеграцію. У самому законопроєкті про захист персональних даних відправна точка (дата набуття чинності) — 1 січня 2024 року. Однак у це мало віриться.

Більш реалістично, що у 2024 році законопроєкти будуть лише прийняті. Це могло би трапитися швидше, однак бюджет на 2023 рік не передбачає коштів, аби створити регулятора і впровадити нові практики. Процес налаштування відповідно до нових правил займе певний час. Та коли би не прийняли законопроєкти, скоріш за все буде немалий перехідний період — рік-два, якщо не більше. Це потрібно не тільки бізнесу, це потрібно самій державі. Адже у державних установ також зʼявиться цілий ряд обовʼязків.

6. Чи варто щось робити українському бізнесу

Варто. Вже зараз український бізнес може подбати про:

  1. карту руху даних (реєстр операцій з обробки даних): варто зробити інвентаризацію тих даних, які компанія збирає та для чого, щоб розуміти, як і з чим саме працювати;
  2. виявлення слабких місць: на основі карти руху даних можна скласти перелік проблем з обробкою даних: незрозуміло, кому передаються дані, немає належних підстав обробки (в “кращому” випадку — для всього збирається згода), немає договорів із підрядниками та партнерами, немає політик поводження працівників з даними, дані зберігаються цілу вічність тощо;
  3. скласти план заходів на мінімізацію ризиків: визначити, які пріоритетні питання в компанії і що можна зробити вже зараз, а що відкласти до прийняття закону;
  4. права субʼєктів даних: претензії людей — це завжди перший і найімовірніший ризик, тому варто подбати, щоб і працівники, і користувачі сервісів:
    • були впевнені, що компанія відповідально ставиться до даних (це вирішує публічно доступна політика приватності та налаштування cookies-банера відповідно до найкращих стандартів);
    • знали про свої права (це можна зробити через політику приватності на вебсайті та політику всередині компанії, положення в договорах із людьми) та
    • могли реалізувати ці права на практиці (індивідуально у кожній компанії);
  5. відповідальну особу за приватність: в багатьох великих українських компаніях вже є така особа просто тому, що це найкраща практика; для цього не обовʼязково чекати на прийняття закону;
  6. безпеку даних: аудит з інформаційної безпеки — справа не юриста, а спеціаліста в сфері інформаційної безпеки; сертифікат типу ISO 27001/27701, SOC 2 — це знак для клієнтів і партнерів, що компанія вміє обережно поводитися з даними, і не тільки з персональними, та серйозно налаштована щодо безпеки даних.

Отож, глянувши на законопроєкт про захист даних та регулятора, бізнес в Україні має декілька варіантів. Можна чекати і сподіватися, що, як і в ситуації із антикорупційними, антиолігархічними та судовими законами, ми ще довго не побачимо закон про захист персональних даних прийнятим. А можна починати займатися налаштуваннями практик приватності вже зараз. Щоб коли закон приймуть, не було поспіху і більших витрат. Все одно всі там будемо. Питання лише коли.

Оксана Задніпровська

0 Підписатись на новини