Верховна Рада за пропозицією народного депутата Єгора Чернєва, висловленою на погоджувальній раді з керівниками депутатських груп та фракцій, включить в порядок денний пленарного тижня, що розпочнеться з 15 лютого 2022 року, законопроект «Про захист персональних даних» № 5628 від 07.06.2021.
Законопроект розробляли під патронатом голови Верхової Ради Руслана Стефанчука на заміну діючому закону.
Автори пояснюють, що чинним законодавством не охоплюється цілий ряд питань та правовідносин, які виникають на практиці (наприклад, спільна обробка персональних даних різними юридичними особами, відносини субпідряду при обробці персональних даних, обробка персональних даних у мережі інтернет тощо). Така ситуація обумовлена тим, що технологічний розвиток значно випереджає законодавство. Водночас застаріле законодавство гальмує та створює перепони в реалізації інноваційних рішень як у приватній (розвиток ІТ-сфери) сфері, так і у публічному секторі (електронна демократія, цифровізація адміністративних послуг).
Одним із положень законопроекту є відповідальність за порушення законодавства у сфері захисту персональних даних.
Рішення про притягнення до відповідальності за правопорушення у сфері захисту персональних даних, а також про застосування інших заходів, передбачених законом, приймається контролюючим органом або судом.
До відповідальності можуть бути притягнені контролери або оператори персональних даних.
Зокрема, відповідальність у вигляді накладення штрафу на фізичних осіб в розмірі від 10 000 до 30 000 гривень, на юридичних осіб в розмірі від 0,05% до 0,1% загального річного обороту такої юридичної особи але не менше ніж 30 000 гривень за кожне окреме порушення, буде встановлена за:
- порушення правил відеоспостереження або обробки персональних даних у результаті аудіо-, відео- або фотофіксації публічних заходів;
- обробку персональних даних з іншою метою, ніж та, з якою вони збирались;
- використання технологій відстеження дій суб’єктів персональних даних у електронних комунікаціях та сервісах;
- порушення порядку доступу третіх осіб до персональних даних;
- порушення правил обробки персональних даних роботодавцем;
- за небажані виклики та повідомлення абоненту.
Більш сувора відповідальність у вигляді штрафу на фізичних осіб в розмірі від 30 000 до 100 000 гривень, на юридичних осіб в розмірі від 0,5% до 1% загального річного обороту такої юридичної особи але не менше ніж 100 000 гривень за кожне окреме порушення вимог Закону, передбачена за такі порушення, що призвели до порушення прав суб’єктів персональних даних:
- обробка персональних даних з метою прямого маркетингу, передвиборчої агітації та політичної реклами без згоди особи;
- порушення права на інформацію;
- порушення права суб’єкта персональних даних на доступ до них;
- порушення права на захист від автоматизованого прийняття рішення;
- порушення правил обробки даних про місцезнаходження споживача та/або кінцевого користувача;
- порушення порядку реєстрації операцій з обробки персональних даних.
Штраф на фізичних осіб в розмірі від 100 000 до 300 000 гривень, на юридичних осіб в розмірі від 3% до 5% загального річного обороту такої юридичної особи але не менше ніж 300 000 гривень за кожне окреме порушення, заплатять ті хто порушив:
- особливі вимоги до обробки персональних даних (чутливі персональні дані);
- порядок обробки персональних даних, пов’язаних з притягненням до кримінальної відповідальності, правопорушень, кримінальних проваджень та судимості, а також пов'язаних із цим заходів безпеки;
- процедуру обробки біометричних даних суб’єктами владних повноважень;
- порядок повідомлення контролюючого органу про витік персональних даних;
- не призначив відповідальну особу з питань захисту персональних даних;
- без підстав передав персональні дані на територію іноземної держави або міжнародній організації;
- порушив таємницю приватного спілкування.
Порушення інших положень, не зазначених вище, тягне за собою збільшення розміру вище перелічених штрафів на тридцять відсотків.
Кожне повторне порушення вимог Закону, вчинене упродовж року, тягне за собою накладення штрафу у розмірі двохсот відсотків від розміру раніше накладеного штрафу.
Якщо в межах однієї і тієї ж обробки персональних даних або кількох пов'язаних між собою операцій обробки персональних даних контролер або оператор персональних даних допустив порушення декількох вимог, сукупний розмір штрафу не повинен перевищувати розмір штрафу за найбільш серйозне порушення.
Загальні розміри штрафів, не можуть перевищувати такі межі:
1) для штрафів за порушення, що не призвело до порушення прав суб’єктів персональних даних, максимальний розмір штрафу становить:
на фізичних осіб - в розмірі до 10 мільйонів гривень;
на юридичних осіб - в розмірі до 50 мільйонів гривень або до 3% загального річного обороту такої юридичної особи за останній звітний рік, що передував року, в якому накладається штраф;
2) для штрафів за порушення, що призвели до порушення прав суб’єктів персональних даних, максимальний розмір штрафу становить:
на фізичних осіб - в розмірі до 20 мільйонів гривень;
на юридичних осіб - в розмірі до 90 мільйонів гривень або до 5% загального річного обороту такої юридичної особи за останній звітний рік, що передував року, в якому накладається штраф;
3) для інших штрафів, максимальний розмір штрафу становить:
на фізичних осіб - в розмірі до 20 мільйонів гривень;
на юридичних осіб - в розмірі до 150 мільйонів гривень або до 8% загального річного обороту такої юридичної особи за останній звітний рік, що передував року, в якому накладається штраф.
Особа не може бути притягнена до фінансової відповідальності за порушення законодавства про захист персональних даних, якщо минув строк давності притягнення до відповідальності.
Строк давності притягнення до відповідальності становить три роки з дня вчинення порушення, а в разі триваючого порушення - з дня виявлення порушення.
Перебіг строку давності зупиняється на час розгляду контролюючим органом справи про порушення законодавства у сфері захисту персональних даних, а також на час розгляду відповідної справи у суді.
Як, де і для чого дозволять здійснювати відеоспостереження
Здійснення суб’єктами владних повноважень, правоохоронними органами відеоспостереження в громадських та публічних місцях, інших місцях загального користування, зокрема і в громадському транспорті, допускається лише у випадках, передбачених законодавством, з метою попередження правопорушень та забезпечення громадської безпеки.
Здійснення відеоспостереження юридичними або фізичними особами допускається в цілях попередження правопорушень та захисту майна в будівлях та на територіях, які перебувають у їх власності або законному володінні чи користуванні, на підставі законодавства.
Відеоспостереження допускається лише у разі, якщо за конкретних обставин не можна досягнути легітимної мети іншими заходами, ступінь втручання у приватне життя осіб яких є меншим та якщо інші заходи не призведуть до непропорційних витрат.
Контролюючий орган (тобто уповноважений орган, який здійснює нагляд та контроль за дотриманням вимог цього Закону) буде затверджувати типовий порядок здійснення відеоспостереження.
Контролер зобов’язаний розмістити попередження про те, що здійснюється відеоспостереження, на доступному для кожного місці офіційною державною мовою та однією із мов, яка є найбільш розповсюдженою у відповідному населеному пункті. Попередження повинно містити назву та контактні дані контролера та особи, яка здійснює відеоспостереження, якщо вона є відмінною від контролера.
Відеоспостереження за житлом фізичних осіб або в приміщеннях, де особа проживає, особами, які там не проживають, не допускається, крім випадків, встановлених законом.
Відеоспостереження житлових будівель, крім того, що здійснюється в цілях розслідування злочину відповідно до кримінального процесуального законодавства, допускається виключно з метою забезпечення безпеки фізичних осіб та захисту майна на підставі згоди більше половини власників такої будівлі та за таких умов:
1) відеоспостереження може здійснюватися лише за входом та загальними приміщеннями будівлі;
2) перегляд збережених відеозаписів допускається лише у випадку протиправних дій або обґрунтованої підозри протиправних дій з метою встановлення обставин та/або осіб, винних у вчиненні таких дій.
Персональні дані, зібрані в результаті відеоспостереження, можуть зберігатись не більше 6 місяців.
Забороняється здійснення відеоспостереження в приміщеннях, в яких розумно очікується, що особа може здійснити повне або часткове оголення частин тіла, які зазвичай не підлягають оголенню в публічних місцях, а також в місцях, призначених для задоволення гігієнічних чи фізіологічних потреб.
У разі якщо в результаті відеоспостереження відеозаписи зберігаються, особа яка здійснює відеоспостереження, зобов'язана створити базу даних, призначену для зберігання відеозаписів. Разом з відеозаписами в системі повинна зберігатись інформація про дату, місце і час здійснення запису, а також відомості про осіб, які переглядали збережені відеозаписи, дату, місце, час та підстави здійснення перегляду відеозапису.
Вимоги до здійснення відеоспостереження застосовуються до фото- та відеозйомки, яка здійснюється в аналогічний спосіб з такими ж цілями.
Як, де і для чого дозволять записувати аудіо, відео або робити фотофіксацію публічних заходів
У разі здійснення аудіозапису, відеозйомки, кінозйомки, фотозйомки або будь-якої іншої фіксації зображення або голосу суб'єкта персональних даних, незалежно від технології, що використовувалася, відкрито на вулиці або на заходах публічного характеру (публічних зборах, конференціях тощо), контролер зобов’язаний завчасно вжити достатніх заходів для повідомлення суб’єктів персональних даних про здійснення аудіозапису, відеозйомки, кінозйомки, фотозйомки або будь-якої іншої фіксації зображення або голосу суб'єкта персональних даних у спосіб, який надає можливість суб’єкту персональних даних заперечити проти обробки його персональних даних.
Оприлюднення, у тому числі публічний показ матеріалів відеозйомки, кінозйомки або фотозйомки, на яких можна ідентифікувати суб'єктів персональних даних, допускається за умови, що оприлюднення є пропорційним відносно легітимної цілі, яка переслідується, враховує принцип поваги до суті права на захист персональних даних та передбачає належні та відповідні засоби захисту основоположних прав та інтересів суб’єкта персональних даних.
Що дозволять журналістам
До обробки персональних даних для цілей журналістської та творчої діяльності не застосовуються положення Закону щодо принципів добросовісності та прозорості, точності персональних даних, забезпечення їх цілісності та конфіденційності, розділу IV Закону «Права суб’єкта персональних даних», порядку реєстрації персональних даних, оцінки впливу та низки інших зобов’язань.
При цьому необхідно умовою є обробка персональних даних винятково для цілей журналістської та творчої діяльності та впевненість, що оприлюднення інформації здійснюється в суспільних інтересах, а шкода від оприлюднення такої інформації не переважає суспільний інтерес в її отриманні.
Поняття «журналістська діяльність», з точки зору авторів законопроекту, підлягає тлумаченню з урахуванням практики Європейського суду з прав людини.
Заборона стеження в соціальних мережах
Відстеження дій суб'єктів персональних даних за допомогою програмного забезпечення, мобільних чи інших застосунків, вебсайтів, інших технологій електронних комунікацій та сервісів, а також за допомогою пристроїв, які належать чи використовуються суб'єктом персональних даних, буде заборонено.
При цьому обробка персональних даних буде вважатися правомірною у випадку:
1) надання суб’єктом персональних даних явної згоди на таку обробку;
2) якщо обробка є необхідною для забезпечення функціонування програмного забезпечення, мобільного чи іншого застосунку, вебсайту чи іншої телекомунікаційної технології;
3) якщо обробка є виключно необхідною для надання послуги суб’єкту персональних даних за його замовленням.
Контролери та оператори, які здійснюють обробку персональних даних, передбачених частиною першою цієї статті, повинні забезпечити, щоб кожний суб'єкт, чиї дані будуть оброблятися, ознайомився з повідомленням про таку обробку до її початку. Повідомлення має містити:
1) опис технології відстеження;
2) роз’яснення про те, що суб’єкт персональних даних має право обрати, на яку технологію він надає згоду, у разі якщо обробка відбувається на підставі згоди.
Заборонять відмовляти суб’єкту персональних даних у наданні доступу до вебсайту (його окремих частин) або обмежувати використання програмного забезпечення, мобільного чи іншого застосунку, чи іншої телекомунікаційної технології або сервісу на підставі його відмови у наданні згоди на обробку персональних даних.
Більш того, особам, на яких накладено санкції, дозволять платити податки, а податкова інформація про них стане публічною.
Підписуйтесь на наш telegram-канал t.me/sudua, на Youtube Право ТВ, а також на нашу сторінку у Facebook, Viber та в Instagram, щоб бути в курсі найважливіших подій.