Перспективні напрями удосконалення регулювання сфери захисту персональних даних в Україні

Размещено на http://www.allbest.ru/

Размещено на http://www.allbest.ru/

Перспективні напрями удосконалення регулювання сфери захисту персональних даних в Україні

Я.В. Котляревський, д-р екон. наук, проф.,

радник заступника Міністра фінансів України

М.В. Сірик, канд. екон. наук, старш. викладач

кафедри менеджменту підприємств,

Національний технічний університет України

«Київський політехнічний інститут імені Ігоря Сікорського»

М.О. Дяченко, координатор партнерської мережі

«Освіта для сталого розвитку», експерт ПМГ ГЕФ-ПРООН

Досліджено стан захисту персональних даних в ЄС та Україні. Визначено вразливості регулювання щодо захисту персональних даних, проаналізовано європейський досвід, який можна використати в Україні. Розроблено рекомендації, що мають покращити нормативне та інституційне забезпечення подальшого розвитку сфери захисту персональних даних.

Ключові слова: персональні дані, регулювання, інститу- ційне забезпечення, міжнародний досвід.

Ya.V. Kotlyarevskyy, M.V. Siryk, M.O. Diachenko

PROSPECTIVE DIRECTIONS FOR IMPROVING THE REGULATION OF PERSONAL DATA PROTECTION IN UKRAINE

The process of legislative settlement of issues related to the protection of personal data began in the European Union (EU) with the entry into force of Directive 95/46/EC of the European Parliament and of the Council on the protection of individuals regarding the processing of personal data and on the free movement of such data (Directive). After adoption the Charter of Fundamental Rights of the European Union (2000), which Article 8 defined the protection of personal data as a human right, establishment of the sufficient principles in the Lisbon Treaty (2009), there were amended two key EU acts: the Treaty on EU and the Treaty establishing the European Community. As a result, everyone in the EU was guaranteed the right to protect their personal data. In 2016 the EU adopted Regulation 2016/679/EC of the European Parliament and of the Council on the protection of natural persons regarding the processing of personal data and on the free movement of such data (Regulation), which radically updated the methods of collecting and processing personal data, and not only in the EU. As a result, to comply with its requirements, both EU-based companies and those operating in the EU or working with consumers from the EU market were forced to update their privacy/personal data policies.

In turn, in Ukraine, significant progress in the development of legal regulation of personal data protection occurred later. As of 2010, public relations regarding collection, storage, use and dissemination of information about a person were regulated by more than two dozen uncoordinated laws and secondary legislation. To specify and define the mechanisms for implementing the provisions of Article 32, Constitution of Ukraine, which proclaimed the right of a person to noninterference in its personal life and established a ban on the collection, storage, use and dissemination of confidential information about a person without its consent, the Verkhovna Rada of Ukraine in 2010 adopted the law of Ukraine “On Personal Data Protection”. Having played a vital role in the legislative codification of the rules for processing personal data, the law, like the Directive, failed to respond to technological changes and the processes caused by this in society, despite numerous amendments made by MPs.

Since the Association Agreement between EU and Ukraine came into power, there is noticeable arising necessity to harmonize the Ukrainian legislative framework with EU, as though contexts of adoption of the Regulation and the Law are different, so are the ways of resolving personal protection issues in Ukraine and the EU. Therefore, it is necessary to establish the new legislative amendments, the degree of compliance of personal data protection standards in Ukraine with the relevant standards in the EU. In this paper, as an outcome of estimations of relevant international research, further analytical and comparative analyses, there are some proposals to future institutional features of such modernization, affecting such issues as: clarification regarding material effects in order to limit legal regulation and avoid excessive legal burden on individuals, as well as in some cases on state authorities; providing new definitions of concepts that are not yet available in domestic regulation; establishment of fundamental guidelines for the processing of personal data in accordance with international standards; fostering more sustainable standards for the processing of sensitive personal data; in-depth structuring the issue of processing personal data for a different purpose than the one for which they were collected; regulating the implementation of the rights of personal data subjects, in particular, the right to information, the right to access, the right to correct personal data, the right to be forgotten, the right to personal data mobility, the right to restrict the processing of personal data, the right to protection from automated decision-making, the right of the data subject to protection of their rights and compensation for damage; clarifications regarding the definitions of the duties and responsibilities of the personal data controllers and operator; sustainable regulations concerning the issue of cross-border transfer of personal data.

Keywords: personal data, regulation, institutional support, international experience.

Вступ

Процес урегулювання питань, пов'язаних із захистом персональних даних, розпочався в Європейському Союзі із набранням чинності 13.12.1995 Директиви 95/46/ЄС Європейського Парламенту і Ради «Про захист фізичних осіб при обробці персональних даних і про вільне переміщення таких даних» (далі Директива), яка підлягала застосуванню до 2018 р. Директива за своєю природою не є законодавчим актом прямої дії, а її впровадження відбувається через ухвалення актів національного законодавства, спрямованих на досягнення визначених у Директиві цілей. Важливо, що країни -- члени ЄС імплементували Директиву відповідно до власних правових традицій та культурних особливостей щодо приватності і захисту персональних даних. Як зазначала Європейська Комісія, унаслідок цього правове регулювання захисту персональних даних не було достатньо уніфікованим серед країн -- членів ЄС [1]. Згодом, у грудні 2000 р., ухвалено Хартію ЄС про основні права, ст. 8 якої визначила захист персональних даних як право людини. Надалі принципи Хартії ЄС про основні права, що стосуються персональних даних, відображено в Лісабонській угоді від 01.12.2009, якою було внесено зміни до двох ключових актів ЄС: Угоди про ЄС і Угоди про заснування Європейської Спільноти. У результаті цього кожному у ЄС було гарантовано право на захист своїх персональних даних.

Аналіз останніх досліджень і публікацій. Уже у січні 2012 р. Європейська Комісія озвучила плани щодо уніфікації законодавства із захисту персональних даних. У ЄС шляхом ухвалення нового акта законодавства у сфері персональних даних Європейська Комісія визначила гармонізацію законодавства 27 країн -- членів ЄС в один нормативно-правовий акт, удосконалення передачі корпоративних даних поза територією ЄС та посилення контролю приватних осіб над власними персональними даними [2]. У квітні 2016 р. в ЄС ухвалено Регламент Європейського Парламенту і Ради 2016/679/ЄС про захист фізичних осіб у зв'язку з опрацюванням персональних даних і про вільний рух таких даних, застосування якого розпочалося 25.05.2018 (надалі Регламент).

Після ухвалення Регламенту з метою відображення на рівні національного законодавства стандартів захисту персональних даних, встановлених Регламентом, країни -- члени ЄС або ухвалили нові законодавчі акти щодо захисту персональних даних, або внесли істотні зміни до актів законодавства, що діяли на момент ухвалення Регламенту. Окрім цього, відповідно до вимог Регламенту країни -- члени ЄС повинні були проінформувати Європейську Комісію щодо положень національного законодавства, які стосуються: наглядового органу, відповідального за моніторинг дотримання Регламенту; санкцій, що підлягають застосуванню у випадку порушення Регламенту; узгодження права на захист персональних даних зі свободою на вираження поглядів та свободою інформації [3].

Регламент кардинально оновив способи збору та опрацювання персональних даних, до того ж не лише на території ЄС. Тому з метою дотримання відповідних вимог компанії як в ЄС, так і ті, хто ведуть свою діяльність на території ЄС або працюють зі споживачами з ринку ЄС, змушені оновлювати свої політики конфіденційності / персональних даних, закуповувати нове програмне забезпечення та оплачувати послуги правників. Утім, незважаючи на додаткові витрати корпоративного сектору, Регламент досягає важливих суспільних цілей, забезпечуючи громадянам ЄС найвищий рівень охорони та захисту прав на приватність.

Поряд із беззаперечними перевагами для захисту прав та інтересів громадян окремі експерти та дослідники наголошували, що головним недоліком Регламенту є його масштабність та складність. І природно, що оцінити інспіровані ним удосконалення щодо дотримання фундаментальних прав та справедливості можна буде лише під час реалізації відповідних положень у глобальному та національному вимірах, за результатами визначених періодів його використання на практиці [4].

З травня 2018 р. до березня 2021 р. національні органи контролю країн ЄС наклали приблизно 600 штрафів та санкцій на загальну суму понад 278,6 млн євро. Проте ці обсяги нерівномірно розподілено за країнами ЄС. Зокрема, найактивніший регулятор в Іспанії наклав понад 220 штрафних санкцій, водночас регулятори Словенії та Люксембургу не накладали за звітний період жодних штрафів. Хоча щодо останнього, вважаємо істотними елементи порівняльного аналізу деяких експертів, які обґрунтовано стверджують, що за бюджету у 5,7 млн євро національному регулятору Люксембургу вкрай важко розраховувати на успішні процесуальні та процедурні дії щодо відношення, наприклад, до корпорації Amazon як суб'єкта у сфері захисту персональних даних, адже такий обсяг фінансового ресурсу генерується в межах її комерційних операцій протягом 10 хвилин операційного часу [5]. Також кілька регуляторів спостерігають практику застосування процедурних схем подання скарг та/або зниження сум штрафів. Проте поки загальний обсяг штрафів зростає, великий обсяг заяв про порушення у сфері регулювання персональних даних залишається без належного реагування, особливо це стосується транскордонних справ і процесів. Зокрема, у цьому контексті національні регулятори європейських країн вбачають доцільною адаптацію таких операційних принципів у подальшій розбудові взаємодії та координації:

1) використання адекватних каналів та інструментів комунікації;

2) гармонізація та взаємна відповідність всіх національних процедур;

3) полегшення безпосередньої координації між інституціями;

4) чітке розмежування сфер відповідальності в ході координації [6].

Поряд з адміністративною складовою внут- рішньоєвропейської координації, дедалі більшою мірою увагу регуляторів і дослідників привертає проблематика транскордонної передачі даних, що є іманентним для цифрового середовища аспектом. Навіть за наявності відповідних механізмів у Регламенті, зокрема передбачених ст. 3 та 5, що позиційно визначають, яким чином може відбуватися трансфер даних до третіх країн. Проте відповідні елементи не є вичерпними та утворюють інституційну невизначеність щодо вирішення цих питань конкретними регуляторами та в межах конкретних процесів і процедур [7].

Іншими помітними, проте достатньою мірою контроверсійними в контексті європейської практики регулювання сфери персональних даних є дослідницькі гіпотези в основі яких є твердження, що по відношенню до мультинаціональних корпорацій в частині накладання масштабних санкцій і штрафів (понад 1 млн євро) країни Західної Європи застосовують активніше відповідні положення порівняно з регуляторними інституціями країн Східної Європи [8].

В Україні відчутний прогрес у розвитку правового регулювання захисту персональних даних відбувся пізніше. Станом на 2010 р. суспільні відносини, що пов'язані із збиранням, зберіганням, використанням та поширенням інформації про особу, врегульовано у понад двох десятках неузгоджених між собою законів та підзаконних актів [9].

Мета статті: визначити перспективні напрями удосконалення сфери регулювання захисту персональних даних в Україні, а також ідентифікувати найрелевантніші підходи до формування відповідного інституційного забезпечення на основі дослідження аспектів суспільної практики, міжнародного досвіду, можливостей його гармонізації та адаптації до національного контексту.

Результати дослідження

З метою конкретизації та визначення механізмів реалізації положень ст. 32 Конституції України, якою проголошено право людини на невтручання в її особисте життя та встановлено заборону збирання, зберігання, використання поширення конфіденційної інформації про особу без її згоди, 01.06.2020 Верховною Радою України було ухвалено Закон України «Про захист персональних даних» (далі Закон), який набрав чинності з 01.01.2011. У січні 2014 р. наказом Уповноваженого Верховної Ради України з прав людини затверджено підзаконні акти для практичної імплементації Закону, зокрема:

* Типовий порядок оброблення персональних даних;

* Порядок здійснення Уповноваженим Верховної Ради України з прав людини контролю за додержанням законодавства про захист персональних даних;

* Порядок повідомлення Уповноваженого Верховної Ради України з прав людини про оброблення персональних даних, що становить особливий ризик для прав і свобод суб'єктів персональних даних, про структурний підрозділ або відповідальну особу, що організовує роботу, пов'язану із захистом персональних даних під час їхнього оброблення, а також оприлюднення вказаної інформації [10].

Відігравши важливу роль у законодавчій кодифікації правил опрацювання персональних даних, Закон, як і Директива, не встигав реагувати на технологічні зміни та викликані цим процеси у суспільстві, незважаючи навіть на багаторазові ітерації змін до тексту цього нормативно-правового акта. Водночас необхідність оновлення правового регулювання захисту персональних даних в Україні і його приведення до міжнародних стандартів захисту була очевидною протягом тривалого часу -- і такий необхідний імпульс був наданий Угодою про Асоціацію між Україною та ЄС, зокрема згідно зі ст. 16 Україна та ЄС домовились співпрацювати з метою забезпечення належного рівня захисту персональних даних відповідно до найвищих європейських та міжнародних стандартів [11].

Безумовно, Регламент та Закон є нормативно-правовими актами, які доволі вагомо розрізняються між собою, що зумовлено як часом їхнього ухвалення, історичними передумовами, а також власне кількістю держав, для яких застосування цих законодавчих актів є обов'язковим. Порівняно з Законом Регламент урегульовує більший перелік питань, пов'язаних з обробленням персональних даних, має ширшу сферу застосування та глибшу деталізацію абсолютно усіх процесів та процедур щодо персональних даних.

Зазначимо, що Регламент застосовується екстериторіально, наповнений більшою кількістю понять, детальнішою регламентацією принципів оброблення персональних даних, прав, якими наділений суб'єкт персональних даних. На відміну від Закону Регламент прискіпливо визначає статус, права та обов'язки осіб, які обробляють персональні дані, вводить категорію посади «Офіцер із захисту даних», урегульовує питання транскордонного передавання даних, на детальнішому рівні визначає роль і завдання наглядового органу, відповідального за дотримання законодавства у сфері захисту персональних даних. Регламент присвячує більшу увагу питанням відповідальності за порушення персональних даних, диференціює санкції та чітко встановлює процедури їхнього накладення. Окрім цього, Регламент також містить певну кількість положень, які притаманні саме специфіці правової системи Європейського Союзу, наприклад, щодо співпраці контрольних органів країн -- членів ЄС з питань захисту персональних даних у межах ЄС або звітів Європейської Комісії до Європейського Парламенту та Ради щодо оцінювання та перевірки виконання Регламенту.

Водночас норми Закону характеризуються переважанням радше загальних вимог стосовно захисту персональних даних без достатнього рівня їхньої деталізації, що створює значні труднощі під час практичного застосування. Тоді як частина питань щодо опрацювання персональних даних врегульовується лише загальним чином, деякі питання взагалі не становлять предмет регулювання Закону, зокрема, питання, пов'язані з інтернет-маркетингом, транскордонною передачею даних тощо. Окремою контроверсійною характеристикою Закону є труднощі, пов'язані із належним забезпеченням контролю за його дотриманням: Уповноважений Верховної Ради України з прав людини, окрім здійснення контролю за дотриманням законодавства про захист персональних даних, також виконує й ряд інших визначених законодавством завдань. Унаслідок цього контрольна функція у сфері захисту персональних даних не забезпечена достатньою інституційною спроможністю, зокрема людськими ресурсами та експертизою, що безумовно негативно впливає на стан дотримання законодавства у сфері персональних даних в Україні [12]. Детальніший огляд спільних та відмінних положень Закону та Регламенту у розрізі окремих правових категорій наводиться утабл.1.

Оскільки Закон характеризується меншою кількістю вимог і зобов'язань для осіб, що здійснюють опрацювання персональних даних, дотримання законодавства для бізнесу в Україні є менш обтяжливим. Однак фізичним особам в Україні в контексті захисту їхніх інтересів надано менший обсяг прав, що стосуються персональних даних. Окрім того, реалізація таких прав не регламентована належно. Резиденти України позбавлені гарантій захисту своїх персональних даних, що надані резидентам ЄС, зокрема, зазначені вразливості можна відстежити за їхніми проявами на основі національної судово-юридичної практики, що ґрунтується на аналізі звітної документації уповноважених органів, даних Єдиного Реєстру Судових Рішень, релевантних публікацій у ЗМІ.

Зараз в Україні захистом персональних даних опікується лише Уповноважений Верховної Ради з прав людини та кіберполіція. Уповноважений може скласти адміністративний протокол на державний орган чи установу, якщо вони порушують право людини на захист персональних даних, а кіберполіція розслідує кримінальні правопорушення, зокрема, пов'язані з витоком даних із держреєстрів. За інформацією з Єдиного порталу судових рішень, у 2019--2020 рр. нараховано лише 15 вироків за такими справами. За минулі роки таких справ ще менше [13]. Провести детальніший аналіз судових рішень за кримінальними справами немає можливості, оскільки вказані судові рішення, як правило, є з обмеженим доступом.

За даними Департаменту кіберполіції, упродовж 2018 р. поліцейські виявили 6 тис. злочинів, вчинених у сфері використання високих інформаційних технологій, 7 % із них -- продаж та аналізування викрадених баз даних. Також омбудсменом проведено 36 перевірок розпорядників персональних даних і складено 26 приписів про усунення порушень [14].

Як зазначається у щорічному звіті, омбудсмен загалом розглянув майже удвічі більше повідомлень про порушення права на захист персональних даних -- 2031 у 2020 р. проти 1061 у 2019 р. [14, 15].

Категоріально-термінологічна база. Ширший предмет регулювання та новітнішій підхід до регламентації питань, пов'язаних з обробленням персональних даних, зумовив надання Регламентом більш ніж удвічі більшої кількості визначень, які застосовуються у ньому, порівняно із Законом. Менша кількість понять у Законі не лише свідчить про вужчий предмет його регулювання, а й має безпосередні практичні наслідки для його застосування. Відсутність значної кількості понять, що містяться у Регламенті, має прямий негативний вплив на передбачуваність та чіткість регулювання в Україні та, відповідно, якість гарантування та забезпечення прав суб'єктів персональних даних

Поширюється на діяльність з оброблення персональних даних, що здійснюється із застосуванням автоматизованих засобів, чи призначені до внесення до картотеки без застосування таких засобів. Містить перелік випадків, коли нормативно-правові акти не підлягають застосуванню. Обидва акти не застосовуються, якщо оброблення здійснюється фізичною особою винятково для особистих чи побутових потреб. Українські стандарти захисту персональних даних також спростовують застосування Закону, якщо оброблення здійснюється виключно для журналістських та творчих цілей, за умови забезпечення балансу між правом на повагу до особистого життя та правом на свободу вираження поглядів. Закон поширює свою дію лише на територію України

Закон надає визначення 11 поняттям, зокрема «база персональних даних», «володілець персональних даних», «згода суб'єкта персональних даних», «знеособлення персональних даних», «картотека», «оброблення персональних даних», «одержувач», «персональні дані», «розпорядник персональних даних», «суб'єкт персональних даних» і «третя особа»

Поширюється на діяльність з оброблення персональних даних, що здійснюється із застосуванням автоматизованих засобів чи призначені до внесення до картотеки без застосування таких засобів. Містить перелік випадків, коли нормативно-правові акти не підлягають застосуванню. Обидва акти не застосовуються, якщо оброблення здійснюється фізичною особою винятково для особистих чи побутових потреб. Регламент охоплює також діяльність з оброблення персональних даних не лише щодо резидентів ЄС, а й щодо резидентів інших країн, якщо опрацювання персональних даних пов'язано з пропонуванням товарів і послуг суб'єктам даних з ЄС або у випадку моніторингом поведінки суб'єктів даних в ЄС.

Отже, компанії, що здійснюють дослідження суб'єктів ринку ЄС, використовують персональні дані громадян ЄС для розроблення власних продуктів або ведуть будь-яку діяльність у ЄС, повинні також дотримуватися вимог Регламенту

Регламент має 26 визначень та охоплює додатково такі категорії як «обмеження оброблення персональних даних», «профілювання», «псевдомінізація», «файлова система», «контролер», «процесор», «витік персональних даних», «генетичні дані», «біометричні дані», «дані щодо здоров'я», «місце заснування», «представник», «підприємство», «група підприємств», «обов'язкові корпоративні правила», «наглядовий орган», «відповідний наглядовий орган», «транскордонна обробка», «послуга інформаційному суспільству» та «міжнародна організація»

У Законі такі права суб'єктів персональних даних перелічені одним реченням у відповідних частинах ст. 8: суб'єкт даних має право на інформацію про персональні дані, що охоплює інформацію про умови надання доступу до них, джерела збирання, їхнього місцезнаходження, мету оброблення, перебування володільця чи розпорядника, а також доступ до них. Законом не наділено суб'єкта даних правом обмежити опрацювання його даних контролером, тоді як Регламент передбачає, що таке право може бути реалізоване у випадку виникнення обставин, коли опрацювання даних є незаконним і суб'єкт надсилає запит щодо обмеження їхнього використання замість знищення, або контролеру більше не потрібні персональні дані для цілей опрацювання, але їх вимагає суб'єкт даних для формування чи здійснення правових вимог.

Хоча «право бути забутим» та право на обмеження опрацювання даних у Законі загалі не визначає окремо принципи оброблення персональних даних та не розкриває їхню суть. Опосередковано зміст принципів можна виокремити у положеннях ст. 6 Закону, яка встановлює вимоги щодо цільового призначення, правомірності і прозорості оброблення персональних даних, їхньої точності і достовірності, а також адекватності та не- надмірності. Окрім цього, згідно з вимогами Закону персональні дані повинні оброблятися у формі, що допускає ідентифікацію фізичної особи, якої вони стосуються, не довше, ніж це необхідно для законних цілей, у яких вони збиралися або надалі оброблялися. Закон лише на загальному рівні надає уявлення про зміст згоди на опрацювання персональних даних, не встановлює заборону на згоду за замовчуванням, не передбачає можливості відкликати згоду в будь-який момент та не встановлює обмеження щодо віку, з якого з'являється можливість надання дозволу на оброблення персональних

На рівні Регламенту принципам присвячено сім статей, в яких принципи оброблення персональних даних регламентовано на доволі детальному рівні:

«Законність, правомірність і прозорість». За своєю суттю цей принцип вимагає від особи, що збирає персональні дані, надання чітких пояснень, для чого збираються персональні дані суб'єкта та яким чином вони будуть використовуватися.

«Цільове обмеження». Опрацювання персональних даних має бути спрямоване для явних та законних цілей. Компанії не повинні збирати дані, які не відповідають визначеній меті. «Мінімізація даних». Дані мають бути адекватними, відповідними (до мети оброблення) та обмежуватись виключно тими цілями, з метою досягнення яких вони опрацьовуються. Компанії повинні бути переконаними, що вони не акумулюють надлишкові дані та зберігають мінімальний обсяг даних про особу, необхідних для їхнього використання. «Точність». За цим принципом, дані, що опрацьовуються, повинні залишатися точними та дійсними для цілей опрацювання. Неточні персональні дані має бути стерто чи виправлено без затримки.

«Обмеження зберігання». Цей принцип вимагає, аби дані зберігалися у формі, що дає змогу ідентифікувати суб'єкта даних, але не довше, ніж це є необхідним для цілей оброблення.

«Цілісність і конфіденційність». Дані обробляються так, що забезпечують належну безпеку персональних даних, зокрема захист проти несанкціонованого чи незаконного опрацювання та проти ненавмисної втрати, знищення чи завдання шкоди. Компанія, яка збирає та опрацьовує персональні дані, несе повну відповідальність за здійснення щодо них заходів безпеки.

Регламент на детальному рівні перелічує випадки, коли опрацювання даних є законним та встановлює ключові вимоги щодо надання згоди суб'єкта даних на оброблення його персональних даних. Так, контролер повинен мати здатність продемонструвати згоду суб'єкта даних, яка має здійснюватися у зрозумілій та доступній формі, з використанням чітких і простих формулювань.

Здебільшого Регламентом врегульовано питання умов, що застосовуються до згоди дитини в сфері послуг інформаційного суспільства: згода дитини без потреби залучити опікуна є законною у разі, якщо така дитина досягла віку 16 років.

Регламент присвячує цьому питанню окремий розділ та 12 статей із детальним розкриттям змісту й суті кожного з прав та відповідних ко- респондувальних обов'язків, а також способів та особливостей їхньої реалізації. Окрім цього, певні права, надані суб'єктам даних у ЄС згідно з Регламентом, взагалі не передбачені для українських суб'єктів персональних даних. Для цілей забезпечення реалізації права на інформацію Регламент розширює перелік інформації, що надається суб'єкту даних. Серед іншого, суб'єкт персональних даних у ЄС має право отримати інформацію про особу та контактні дані контролера (представника контролера), контактні дані співробітника з питань захисту даних, законодавчу базу для опрацювання, одержувача чи категорії одержувачів персональних даних, намір передати персональні дані до третьої країни чи міжнародної організації, період належно не регламентовані, Закон все ж наділяє суб'єкта даних правом пред'являти вмотивовану вимогу (1) щодо знищення своїх персональних даних будь-яким володільцем та розпорядником персональних даних, якщо ці дані обробляються незаконно (2) володільцю персональних даних із запереченням проти оброблення своїх персональних даних. Проте такі норми не можуть замінити детальну регламентацію «права бути забутим», як це врегульовано Регламентом. На сьогодні фактично єдиним доступним способом видалення даних щодо особи є набрання законної сили рішення суду щодо їхнього видалення або знищення.

В Україні обмеження прав суб'єктів даних допускається у випадках, передбачених законом, наскільки це необхідно у демократичному суспільстві в інтересах національної безпеки, економічного добробуту або захисту прав і свобод суб'єктів персональних даних чи інших осіб зберігання, можливість відкликання згоди на оброблення персональних даних та подання скарги до наглядового органу тощо. Окрім цього, для цілей реалізації права на доступ Регламентом покладено на контролера обов'язок надавати підтвердження суб'єкту персональних даних про сам факт опрацювання його даних. Регламентом також детально регламентовано реалізацію суб'єктом даних групи прав, що стосується виправлення та видалення персональних даних. До таких прав належить, зокрема, право на виправлення неточних персональних даних без будь-якої необґрунтованої затримки, що частково перегукується з визначеним у Законі правом суб'єкта даних пред'явити вмотивовану вимогу щодо зміни персональних даних, якщо ці дані є недостовірними.

Окремою новелою Регламенту є закріплення та регламентація особливостей реалізації «права бути забутим», тобто знищення персональних даних, яке повинен здійснити контролер без будь-якої безпідставної затримки. Також передбачено надання суб'єкту даних права отримувати на підставі запиту інформацію про будь-яке виправлення чи знищення персональних даних, а також регламентація питань, пов'язаних з мобільністю даних. Регламент передбачає ширший перелік випадків, коли може бути здійснене обмеження прав суб'єктів даних, розширеним є перелік таких випадків та окремо зазначається про можливість обмеження прав для цілей оборони, громадської безпеки, запобігання, розслідування, виявлення або переслідування за скоєння злочинів або для виконання кримінальних покарань, інших важливих цілей загального суспільного інтересу ЄС або країни- члена, а також захисту незалежності судових органів і судових процесів.

Статус, обов'язки та відповідальність суб'єктів оброблення персональних даних права. Однією з ключових відмінностей Закону і Регламенту є ступінь деталізації прав, обов'язків, відповідальності та вимог до осіб, що здійснюють опрацювання персональних даних. Загалом з метою забезпечення належного захисту персональних даних Регламент, на відміну від Закону, на детальному рівні визначає обов'язки, відповідальність та вимоги щодо оброблення персональних даних усіма особами, залученими до таких процедур.

Володілець персональних даних визначає мету оброблення персональних даних, встановлює склад цих даних та процедури їхнього оброблення. Розпорядником персональних даних є особа, якій володільцем персональних даних або законом надано право обробляти ці дані від імені володільця. На жаль, комплексно їхні права, обов'язки, відповідальність, а також формати взаємодії між собою, жорсткі вимоги до опрацювання даних не врегульовано Законом. Категорії «представник розпорядника /

Згідно з Регламентом особами, що обробляють персональні дані, є контролер (data controller) та оператор (dataprocessor) відповідно. Контролер виконує керівну функцію над оператором, а саме вказує останньому на порядок та правильність оброблення персональних даних. Оператор же виконує функцію виконавця, тобто здійснює процедури, необхідні для збереження персональних даних. Регламентом покладено на контролерів загальний обов'язок вживати належних технічних та організаційних заходів для забезпечення оброблення даних відповідно до вимог Регламенту та перелічено, якими ці заходи можуть бути. Бізнес-процеси контролера та оператора, відповідно до яких опрацьовуються персональні дані, повинні бути побудовані за принципом «приватність за призначенням і за замовчуванням», тобто з використанням псевдонімів чи повної анонімізації, налаштувань найвищого рівня приватності органами для забезпечення послідовності застосування та забезпечення виконання Регламенту, ухвалення зобов'язальних корпоративних правил та заохочення щодо розроблення кодексів поведінки.

Для виконання вказаних завдань наглядовий орган наділяється слідчими та виправними повноваженнями.

Слідчі повноваження включають розпорядження контролеру або оператору надати будь-яку інформацію, яку наглядовий орган потребує для виконання своїх завдань, проведення розслідувань у формі перевірок захисту даних, здійснення перегляду сертифікацій, отримання доступу до будь-яких приміщень контролера або оператора, у тому числі до будь-якого обладнання і засобів опрацювання даних. Серед виправних повноважень, якими наділяються відповідні наглядові органи, зокрема, є надсилання попередження контролеру або оператору про те, що призначені операції опрацювання ймовірно порушать положення Регламенту, винесення доган, наказів дотримуватися запитів суб'єкта даних, привести операції опрацювання у відповідність з положеннями Регламенту, повідомити суб'єкта даних про порушення захисту персональних даних, здійснити виправлення чи стирання персональних даних або обмеження опрацювання, а також відкликання сертифікації, накладення адміністративних штрафів тощо. Регламент приділяє значну увагу питанням забезпечення незалежності та інституційної спроможності наглядового органу, без чого ефективна реалізація наведених завдань і повноважень є неможливою. Так, наглядовий орган повинен залишатися вільним від зовнішнього впливу та не повинен запитувати, чи приймати вказівки від будь-якої особи. Незалежність наглядового органу забезпечується за рахунок прозорих процедур призначення його членів, встановлення вимог до їхньої компетентності, строковістю перебування на посаді та передбаченням запобіжників щодо конфліктів інтересів.

Для забезпечення інституційної спроможності наглядового органу Регламент передбачає такі гарантії: забезпеченість достатніми людськими, технічними та фінансовими ресурсами, приміщеннями та інфраструктурою, необхідними для виконання завдань та обов'язків; свобода у виборі власного персоналу, який буде підпорядковуватися лише наглядовому органу;

Відповідальність за порушення у сфері обробки персональних даних. Ефективна практика правозас- тосування у сфері захисту персональних даних потребує якісного врегулювання питань, пов'язаних із настанням відповідальності за вчинення правопорушень. На відміну від Регламенту, модель притягнення до відповідальності за порушення у сфері захисту персональних даних в Україні поряд з недостатньою інституційною спроможністю наглядового органу не виконують стримувальну функцію для запобігання правопорушенням та не дають змоги відновити справедливість у випадку порушень прав суб'єктів персональних даних.

Закон приділяє питанням відповідальності за порушення законодавства про захист персональних даних лише одне речення, зазначаючи, що такі порушення тягнуть за собою відповідальність, встановлену законом, відсилаючи так до інших актів законодавства, якими встановлена відповідальність.

У рамках українського правового поля діяння, які становлять порушення у сфері захисту персональних даних, а також відповідні санкції перелічені у статті 188-39 Кодексу України про адміністративні правопорушення. Так, до таких порушень відноситься, зокрема: неповідомлення або несвоєчасне повідомлення Уповноваженого Верховної Ради України з прав людини про оброблення персональних даних або про зміну відомостей, які підлягають повідомленню згідно із законом, повідомлення неповних чи недостовірних відомостей; невиконання законних вимог (приписів) Уповноваженого Верховної Ради України з прав людини наявність власного публічного бюджету, що може бути частиною загальнодержавного або національного бюджету.

Окрім цього, Регламентом утворюється Європейська рада із захисту даних як орган ЄС, що має правосуб'єктність. Її головним завданням є забезпечення послідовності застосування Регламенту, і для цих цілей Європейська рада із захисту даних, зокрема, консультує Європейську Комісію з будь-якого питання, пов'язаного із захистом персональних даних у ЄС, видає настанови, рекомендації та інформацію про кращі практики у сфері персональних даних для контролерів, процесорів і приватних осіб, сприяє ефективній співпраці між усіма наглядовими органами в ЄС тощо

Регламент присвячує питанням відповідальності окремий розділ. Так, суб'єкти даних наділені правом подання скарги будь-якому наглядовому органу в межах країн -- членів ЄС, якщо вони вважають, що їхні права було порушено у результаті опрацювання персональних даних. Регламентом також встановлені гарантії дієвого судового захисту проти наглядового органу та контролера і оператора. Принциповим положенням Регламенту є запровадження загального правила, згідно з яким кожен контролер або оператор несе відповідальність за усю шкоду, заподіяну з їхньої вини.

Штраф за порушення Регламенту може досягати 20 млн євро або 4 % від світового обороту порушника. Суб'єкт даних може одночасно звернутись як до оператора, так і до контролера для отримання компенсації.

Під час визначення санкцій за порушення прав щодо персональних даних враховуються чинники, серед яких: специфіка порушення, характер вини порушення, дії, вжиті контролером або оператором для зниження рівня шкоди, заподіяної суб'єктами даних, ступінь відповідальності контролера або оператора, будь-які належні попередні порушення з боку контролера або оператора, рівень співпраці з наглядовим органом для відшкодування порушення і скорочення можливих негативних наслідків порушення тощо направлено до суду менше на один протокол про адміністративне правопорушення за ч. 4 ст. 188-39 Кодексу про адміністративні правопорушення України (далі КУАП) (порушення законодавства у сфері захисту персональних даних) -- дев'ять 2020 р. проти десяти 2019 р. Найбільше такі порушення фіксувалися у сферах фінансових і банківських послуг, страхування, житлово-комунальних послуг, охорони здоров'я соціального захисту, освіти, а також у процесі оброблення персональних даних під час здійснення відеоспостереження, обліку адміністративних і кримінальних правопорушень [14]. Наявність 9--10 протоколів означає, що для повноцінного захисту персональних даних громадян України можливостей омбудсмена зовсім недостатньо, адже у відділі перевірок працює лише п'ять осіб, а загалом відповідний департамент налічує 22 працівники. Цього недостатньо для належного контролю. Додатково існує ще й законодавча обмеженість -- омбудсмен не може самостійно притягнути винних осіб до відповідальності, тільки у судовому порядку.

регулювання захист персональні дані

2019 р. у зв'язку з продовженням реформи децентралізації в Україні та активним утворенням об'єднаних територіальних громад постало питання забезпечення органами місцевого самоврядування дотримання прав і свобод людини і громадянина, зокрема питання забезпечення захисту права особи на приватність. Тому одним із Стратегічних напрямів діяльності Уповноваженого було здійснення моніторингу дотримання прав людини у сфері захисту персональних даних під час ведення та адміністрування органами місцевого самоврядування реєстрів об'єднаних територіальних громад. За результатами перевірок 16 виконавчих органів сільської, селищної, міської ради та центрів надання адміністративних послуг виявлено низку системних порушень щодо реалізації права особи на приватність, у зв'язку із чим Уповноваженим 2020 р. підготовлено Рекомендації щодо застосування законодавства про захист персональних даних для органів реєстрації (виконавчих органів сільської, селищної або міської ради, центрів надання адміністративних послуг) [16].

Також у другій половині 2019 р. Уповноваженим розпочато перевірки дотримання права на приватність під час функціонування електронної системи охорони здоров'я та комплексної системи відеоспостереження м. Києва, за результатами яких видано три приписи та надано рекомендації в дев'ятьох актах реагування щодо належного виконання вимог законодавства у сфері захисту персональних даних [14].

Проте судових рішень, відповідно до яких було б встановлено матеріальну, адміністративну та/або іншу відповідальність за порушення права на захист персональних даних у вітчизняній судовій практиці, майже немає. Здебільшого йдеться про усунення порушення.

Так, Верховний Суд України встановив порушення прав співробітника Чопської міськради на захист персональних даних. У березні 2015 р. особисте фото було опубліковано в одній із місцевих газет «з особою чоловічої статі» без відповідного дозволу. Суд підтвердив рішення першої інстанції, яким визнав, що публікація цього фото стосується особистого життя чиновниці та не несе жодної ролі для суспільства, а отже, не могло бути опубліковано без її згоди.

У березні 2019 р. Верховний Суд скасував рішення попередніх інстанцій і відправив на новий розгляд справу щодо відеоспостере- ження. Зокрема, позивач скаржився на те, що його сусід добудував прибудову до свого будинку і встановив чотири камери, дві з яких направлені в бік його ділянки, що є порушенням права на приватне життя. Нижчі інстанції ухвалили рішення, вказавши, що позивач не надав достатніх доказів. Утім, касація встановила порушення під час розгляду цієї справи і відправила її на новий розгляд [17].

Львівський окружний адміністративний суд у січні 2018 р. визнав порушення прав позивача і зобов'язав Міністерство внутрішніх справ видалити з баз даних інформацію про повідомлення йому три роки до того про підозру у кримінальному правопорушенні, оскільки інший суд закрив це провадження. Суд визнав, що після закриття справи зберігання цієї інформації є втручанням в його право на повагу до приватного життя, що не відповідає критерію «згідно із законом» [18].

Єдиний реєстр судових рішень містить також чимало скарг до омбудсмена щодо неналежного розгляду заяви про порушення прав людини. Так, одна з них стосувалася оприлюднення особою на іі сторінці в одній із соціальних мереж запиту на доступ до публічної інформації, що містив персональні дані позивача. Суд залишив заяву без руху, даючи позивачу можливість виправити допущені помилки у скарзі [19].

Також украй мало судових рішень щодо предметного розгляду справ про витоки інформації з баз персональних даних. Наприклад, до штрафу в 17 000 грн засудили раніше неодноразово судиму громадянку України, яка через месенджер продавала «базу мешканців України», яка містила ПІБ, адреси, паспортні дані, ІПН та іншу інформацію [20].

За підсумками 2019 р. Офіс омбудсмена повідомив про передачу однією навчальною установою персональних даних (прізвища, імена, номери телефонів, електронні адреси, IP-адреси, регіон, дата та час входу, а також за наявності посади, назви компаній, профілі в соціальних мережах та фото) адвокатів, помічників адвокатів, стажистів адвокатів, а також інших осіб без їхнього відома та однозначної згоди. Під час перевірки було встановлено, що фактично здійснювалося оброблення персональних даних користувачів онлайнових курсів в електронному вигляді за допомогою онлайнової платформи, хостинг якої фізично розташований на території інших юрисдикцій. 2019 р. Подільський районний суд Києва закрив це провадження, не побачивши складу адміністративного правопорушення. Зокрема, посилаючись на позицію відповідача, що представники омбудсмена не аналізували програмний код сайту, а тому не довели самого факту несанкціонованої передачі даних [21].

Також 2019 р. один із депутатів Черкаської міської ради VIII скликання за депутатським запитом отримав від Черкаської міської ради Будівельний паспорт одного з об'єктів будівництва, який містив персональні дані власника, та виклав його у вільному доступі на вебсторінці у соціальній мережі. Це призвело до незаконного доступу до них невстановле- ного кола осіб та безпідставного втручання у приватне життя. Постановою Соснівського районного суду м. Черкаси від 04.07.2019 порушника було притягнуто до адміністративної відповідальності та стягнуто штраф у розмірі 3400 грн. Проте питання про видалення цієї інформації не вирішувалося і не могло бути вирішеним у межах провадження у справах про адміністративні правопорушення. Водночас практика застосування законодавства про захист персональних даних інколи є достатньо контроверсійною та нетривіальною. Наприклад, використовуються окремі аспекти регулювання захисту персональних даних як підстава для оскарження чинності господарських договорів, як підстава для скасування (зупинення дії) регуляторних актів (справа щодо «функціонування ринку природного газу»), для уникнення виконання обов'язку оприлюднення документів [13].