Готують зміни до Закону про захист персональних даних: законопроект № 8153

У ВРУ зареєстровано проект Закону про захист персональних даних (законопроект від 25.10.2022 № 8153).

Згідно з пояснювальною запискою метою законопроекту є приведення нормативного регулювання України в сфері захисту персональних даних у відповідність до нових міжнародних стандартів, а також врегулювати правові відносини, пов'язані з обробкою персональних даних, які не врегульовані чинним законом.

Фактично проектом пропонується викласти у новій редакції Закон про захист персональних даних. Проект закону складається з одинадцяти розділів та шестидесяти статей.

Зокрема, законопроект передбачає:

• приведення термінології сфери захисту персональних даних у відповідність до нових міжнародних стандартів;
• деталізацію та більш зрозуміле формулювання принципів обробки персональних даних;
• більш чітке формулювання підстав обробки персональних даних;
• деталізовані та прозорі вимоги до згоди на обробку персональних даних, які дозволять уникнути зловживань та маніпуляцій;
• розширення прав суб’єктів персональних даних та механізм їх реалізації;
• чітке визначення обов’язків контролера і оператора персональних даних;
• порядок повідомлення про витік персональних даних;
• інститут відповідальної особи з питань захисту персональних даних, її функціональні обов'язки, вимоги та порядок призначення; врегулювання передачі персональних даних на територію іноземних держав та міжнародних організацій;
• фінансову відповідальність, адміністративно-господарські санкції, що застосовуються до контролера та/або оператора за порушення права на захист персональних даних, які дозволять забезпечити дієвість закону та виконання його вимог.

Штрафні санкцій мають бути «ефективними, пропорційними й стримувальними». При вирішенні питання про накладання грошового стягнення і його розмір контролюючий орган має враховувати такі обставини як характер, тяжкість і тривалість порушення і його наслідків.

Законопроектом визначено особливі вимоги до:

• обробки персональних даних (чутливі персональні дані);
• обробки персональних даних, пов’язаних з притягненням до кримінальної відповідальності, обробки біометричних даних суб’єктами владних повноважень та обробки персональних даних з метою прямого маркетингу, передвиборчої агітації та політичної реклами.

Суттєво розширені права суб’єкта персональних даних у повній відповідності до вимог Загального регламенту про захист персональних даних та Конвенції 108, а саме визначено механізми для захисту:

• права на інформацію;
• права суб’єкта даних на доступ до персональних даних;
• права суб’єкта персональних даних на виправлення персональних даних;
• права суб’єкта персональних даних на забуття;
• права на заперечення проти обробки персональних даних;
• права на мобільність персональних даних;
• права на обмеження обробки персональних даних;
• права на захист від автоматизованого прийняття рішення;
• права суб’єкта даних на захист своїх прав та відшкодування шкоди.

Також встановлено порядок розгляду вимог суб’єкта персональних даних контролерами та операторами.

Планується, що цей Закон набере чинність з дня опублікування та вступає в силу з 1 січня 2024 року.