Перспективні напрями удосконалення регулювання сфери захисту персональних даних в Україні

Дещо цікавішою є практика Європейського суду з прав людини (ЄСПЛ) щодо порушення права на захист персональних даних роботодавцем. У рішенні «Суріков проти України» (2017) суд зазначив, що роботодавець заявника довільно збирав, зберігав та використовував дані стосовно його психічного здоров'я у зв'язку із заявою останнього про підвищення, а також відкрив ці дані колегам заявника та суду під час відкритого розгляду справи. ЄСПЛ вказав, що це непропорційне втручання у право заявника, що не було необхідним у демократичному суспільстві, тому вважається порушенням [22].

Зазначене є свідченням нагальної потреби удосконалення вітчизняної сфери регулювання захисту персональних даних, а також використання у цьому контексті найадекватніших європейських стандартів, їхньої гармонізації та адаптації до національного контексту із урахуванням придатності для найуразливіших аспектів захисту інтересів приватності й безпеки особистості, зокрема у добу технологічного панування даних й накопичення протиріч щодо регулювання прав, пов'язаних з їхнім використанням у пандемічну й постпандемічну добу. Тому важливим видається оновлення Закону на основі всебічного урахування норм Регламенту, Угоди про Асоціацію між Україною та ЄС, зокрема пропонується така структуризація напрямів, за якими вбачається доцільність гармонізації законодавства (табл. 2).

Висновки

До магістральних напрямів удосконалення регулювання у сфері захисту персональних даних в Україні, зокрема стосовно зменшення інституційних вразливостей та реалізації потенціалу євроінтеграційних прагнень, пропонується зосередити фахову дискусію у ключових сферах. Так, доцільні консенсусні напрацювання таких змін до законодавства щодо захисту персональних даних:

* розроблення проєкту змін до ст. 4 188-39 КУАП. Передбачити відповідальність за деякі порушення положень Закону, зокрема урахування можливості розширити межі санкцій та залишити це питання на розсуд органу, що виносить рішення про притягнення до відповідальності;

* передбачити створення окремого органу, який наглядав би за дотриманням законодавства щодо захисту персональних даних на кшталт європейського регулятора;

* розглянути доцільність комплексного вирішення проблем регулювання захисту персональних даних в контексті перспективного напряму Національної економічної стратегії на період до 2030 р. «Цифрова економіка» за стратегічною ціллю «Створення нових можливостей для реалізації людського капіталу, розвитку інноваційних, креативних та «цифрових» індустрій і бізнесу», що передбачає проведення затвердження та імплементації цифрових прав, а саме забезпечення гармонізації цифрових прав з найкращими практиками ЄС [23];

* сприяння інноваційно-інституційним перетворенням, пов'язаним із інклюзивним розвитком цифрової інфраструктури, зокрема інтенсифікації секторальної взаємодії із глобальними ініціативами та громадськими рухами щодо ствердження цифрової довіри та прав, пов'язаних із використанням даних на кшталт Open Digital Trust Initiative [24];

* випереджальне формування технологічної та організаційної спроможності, зокрема шляхом долучення до спільної дослідницької діяльності у розробленні прикладних проєктів на кшталт Business Process Re-engineering and functional toolkit for GDPR compliance (https:// www.bpr4gdpr.eu/), Data Governance for Supporting GDPR (https://www.defendproject.eu/), GDPR Compliance Cloud Platform for Micro Enterprises (https://smoothplatform.eu/), Methods and tools for GDPR compliance through Privacy and Data Protection Engineering (https://www.pdp4e-project. eu/), PlAtform for PrivAcY preserving data Analytics (https://www.papaya-project.eu/), Protection and control of Secured Information by means of a privacy enhanced Dashboard (https://www.poseidon-h2020. eu/) [25];

* розробити редакцію докорінного оновлення Закону на основі всебічного урахування норм Регламенту, Угоди про Асоціацію між Україною та ЄС, із структуризацією напрямів, за якими вбачається доцільність гармонізації законодавства.

Водночас деякі концепції та положення Регламенту не повинні бути перенесені до нової редакції Закону. Так, українські реалії не потребують функціонування наглядових установ, які створюються Регламентом з урахуванням особливостей системи ЄС, як-то Європейської ради із захисту даних. Іншим прикладом положень Регламенту, які не повинні бути враховані повною мірою у новій редакції Закону, є розміри штрафних санкцій за порушення у сфері захисту персональних даних, адже система відповідальності за певні порушення повинна відповідати доктрині правової відповідальності за українським правом. Насамкінець, нова редакція Закону не повинна містити положень Регламенту, які є характерними суто для системи ЄС. Прикладом таких норм є ст. ст. 92 і 93 Регламенту, які стосуються здійснення контролю країн -- членів ЄС над Європейською Комісією під час реалізації нею імплементаційних повноважень. Для цілей забезпечення ефективного контролю за дотриманням законодавства у сфері персональних даних необхідно також створити ефективний наглядовий орган, який буде забезпечений достатніми гарантіями незалежності і самостійності і якому на належному рівні буде забезпечена інституційна спроможність для реалізації регуляторних і контрольних функцій. Законом відповідні повноваження покладені на Уповноваженого Верховної Ради з питань прав людини, який наразі не є спроможним забезпечувати на належному рівні реалізацію державною політики у цій сфері.

Отже, існує потреба утворення нового органу державного контролю у сфері персональних даних, який буде інституційно спроможним виконувати завдання та реалізовувати відповідні повноваження для забезпечення належного захисту персональних даних в Україні. У новій редакції Закону з урахуванням стандартів, передбачених Регламентом, мають бути визначені модель функціонування такого органу та його правовий статус із наданням особливої уваги питанням забезпечення його незалежності і самостійності. Така мета може бути досягнута шляхом встановлення особливих вимог до членів органу контролю, упровадження прозорої процедури їхнього призначення, забезпечення фінансової незалежності органу та надання йому достатніх повноважень.

Забезпечення функціонування органу державного контролю у сфері персональних даних є важливим, особливо з огляду на необхідність отримання Україною рішення Європейської Комісії про адекватність захисту персональних даних, що дозволить здійснювати безперешкодно передачу персональних даних з ЄС до України. Існування та ефективне функціонування незалежного органу контролю, який забезпечує виконання правил стосовно захисту персональних даних, є одним із факторів, що враховуються Європейською Комісією під час ухвалення рішення про адекватність. Іншими факторами є законодавство, судова практика, ефективні адміністративні та судові інструменти захисту прав суб'єктів даних, а також міжнародні зобов'язання України щодо захисту персональних даних. Рішення Європейської Комісії про адекватність захисту персональних даних в Україні підлягатиме перегляду кожні чотири роки. У разі оновлення українського правового регулювання відповідно до вимог Регламенту, а також якісного забезпечення функціонування наглядового органу, стандарти захисту персональних даних в Україні будуть істотно наближені до європейських.

Таблиця 2. Систематизація пріоритетних напрямів гармонізації європейського та національного регулювання сфери захисту персональних даних

Список літератури

1. First report on the implementation of the Data Protection Directive (95/46/EC). Official website of the European Union. URL: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex%3A52003DC0265 (дата звернення: 06.11.2021).

2. Proposal for a Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation). Official website of the European Union. URL: https://data.consilium.europa.eu/doc/document/ST-9565-2015-INIT/ en/pdf (дата звернення: 06.11.2021).

3. EU Member States notifications to the European Commission under the GDPR. Official website of the European Union. URL: https://ec.europa.eu/info/law/law-topic/data-protection/data-protection-eu/eu-countries-gdpr-specific- notifications_en (дата звернення: 06.11.2021).

4. Chris Jay Hoofnagle, Bart van der Sloot & Frederik Zuiderveen Borgesius. The European Union general data protection regulation: what it is and what it means. Information & Communications Technology Law. 2019. Vol. 28. No.1. P. 65--98. https://doi.org/10.1080/13600834.2019.1573501

5. Satariano А. Europe's Privacy Law Hasn't Shown Its Teeth, Frustrating Advocates. The New York Times. 2020. URL: https://www.nytimes.com/2020/04/27/technology/GDPR-privacy-law-europe.html (дата звернення: 06.11.2021).

6. Three years under the EU GDPR an implementation progress report. Access Now. URL: https://www.accessnow.org/ cms/assets/uploads/2021/05/Three-Years-Under-GDPR-report.pdf (дата звернення: 06.11.2021).

7. Kuner C. Territorial Scope and Data Transfer Rules in the GDPR: Realising the EU's Ambition of Borderless Data Protection. University of Cambridge Faculty of Law Research Paper No. 20/2021. April 16, 2021. http://dx.doi. org/10.2139/ssrn.3827850

8. Daigle B., Khan M. EU GDPR: An Analysis of Enforcement Trends by EU Data Protection Authorities. Journal of International Commerce and Economics. June, 2020. URL: https://wwwusitc.gov/publications/332/journals/jice_ gdpr_enforcement.pdf (дата звернення: 06.11.2021).

10. Пояснювальна записка до проєкту Закону України «Про захист персональних даних» (реєстр. № 5628 від 07.06.2021) Офіційний портал Верховної Ради України. URL: http://wLcLrada.gov.ua/pls/zweb2/webproc34?id= &pf3511=32124&pf35401 = 119742 (дата звернення: 06.11.2021).

11. Про затвердження документів у сфері захисту персональних даних: наказ Уповноваженого Верховної Ради України з прав людини від 08.01.2014 № 1/02-14. Офіційний портал Верховної Ради України. URL: https:// zakon.rada.gov.ua/laws/show/v1_02715-14#Text (дата звернення: 06.11.2021).

12. Угода про асоціацію між Україною, з однієї сторони, та Європейським Союзом, Європейським співтовариством з атомної енергії і їхніми державами-членами, з іншої сторони. Офіційний портал Верховної Ради України. URL: https://zakon.rada.gov.Ua/laws/show/984_011#Text (дата звернення: 06.11.2021).

13. Венгер В., Заярний О. Правовий аналіз основних моделей інституалізації державного контролю у сфері персональних даних та доступу до публічної інформації. Council of Europe. 2020. URL: https://rm.coe.int/ legal-analysis-data-ua/16809ee077 (дата звернення: 06.11.2021).

14. Козлов С. Скандал! Цифра? Дія... Юридична газета. 2020. 2 черв. URL: https://yur-gazeta.com/publications/ practice/informaciyne-pravo-telekomunikaciyi/skandal-cifra-diya.html (дата звернення: 06.11.2021).

15. Щорічна доповідь Уповноваженого Верховної Ради України з прав людини про стан додержання та захисту прав і свобод людини і громадянина в Україні за 2019 рік. Уповноважений Верховної Ради України з прав людини. URL: https://ombudsman.gov.ua/files/Dopovidi/zvit%20za%202019.pdf (дата звернення: 06.11.2021).

16. Щорічна доповідь Уповноваженого Верховної Ради України з прав людини про стан додержання та захисту прав і свобод людини і громадянина в Україні за 2020 рік. Уповноважений Верховної Ради України з прав людини. URL: https://ombudsman.gov.ua/files/2021/zvit_2020_rik_.pdf (дата звернення: 06.11.2021).

17. Матола В. «Баги» державних реєстрів, або як захистити персональні дані. LB.ua. URL: https://lb.ua/ pravo/2020/05/19/457892_bagi_derzhavnih_reiestriv_abo_yak.html (дата звернення: 06.11.2021).

18. Постанова Верховного Суду від 30.01.2019 у справі № 308/5318/15-ц. Єдиний державний реєстр судових рішень. URL: http://reyestr.court.gov.ua/Review/79744914 (дата звернення: 06.11.2021).

19. Рішення Львівського окружного адміністративного суду від 21.01.2019 у справі № 813/2804/18. Єдиний державний реєстр судових рішень. URL: http://reyestr.court.gov.ua/Review/79279901?fbclid=IwAR3ghlUuzjsm88qk mjPlhloHwLa3-itR1Dd-2yzTalxiZcVZJze9qgASvXM (дата звернення: 06.11.2021).

20. Ухвала Окружного адміністративного суду м. Києва від 18.10.2019 у справі № 640/19197/19. Єдиний державний реєстр судових рішень. URL: http://reyestr.court.gov.ua/Review/85054313 (дата звернення: 06.11.2021).

21. Вирок Заводського районного суду м. Дніпродзержинська від 25.07.2019 у справі № 200/6814/19. Єдиний державний реєстр судових рішень. URL: http://reyestr.court.gov.ua/Review/83313961 (дата звернення: 06.11.2021).

22. Постанова Подільського районного суду м. Києва від 07.022020 у справі № 758/14158/19. Єдиний державний реєстр судових рішень. URL: http://reyestr.court.gov.ua/Review/87632133 (дата звернення: 06.11.2021).

23. «Суріков проти України»: Зберігання роботодавцем медичних даних співробітників можливе лише за умови їх строгої конфіденційності, постійного оновлення та використання виключно з метою їх збору (ст. 6 та 8 Конвенції, заява № 42788/06 від 26.01.2017). Протокол. Юридичний інтернет ресурс. URL: https://protocol. ua/ua/surikov_proti_ukraini (дата звернення: 06.11.2021).

24. Національна економічна стратегія на період до 2030 року, затверджена постановою Кабінету Міністрів України від 03.03.2021 № 179. Офіційний портал Верховної Ради України. URL: https://zakon.rada.gov.ua/laws/ file/text/88/f503442n31.doc (дата звернення: 06.11.2021).

25. Open Digital Trust Initiative. Institute of International Finance. URL: https://www.iif.com/Innovation/Open-Digital- Trust-Initiative (дата звернення: 06.11.2021).

26. de Carvalho R.M., Del Prete C., Martin YS. et al. Protecting Citizens' Personal Data and Privacy: Joint Effort from GDPR EU Cluster Research Projects. SN Computer Science. 2020. No. 1. Art. No. 217. https://doi.org/10.1007/ s42979-020-00218-8

References

1. First report on the implementation ofthe Data Protection Directive (95/46/EC). Official website of the European Union. URL: https://eur-lex.europa.eu/legal-content/EN/TXT/?uri=celex%3A52003DC0265

2. Proposal for a Regulation of the European Parliament and of the Council on the protection of individuals with regard to the processing of personal data and on the free movement of such data (General Data Protection Regulation). Official website ofthe European Union. URL: https://data.consilium.europa.eu/doc/document/ST-9565-2015-INIT/en/pdf

3. EU Member States notifications to the European Commission under the GDPR. Official website of the European Union. URL: https://ec.europa.eu/info/law/law-topic/data-protection/data-protection-eu/eu-countries-gdpr- specific-notifications_en

4. Chris Jay Hoofnagle, Bart van der Sloot & Frederik Zuiderveen Borgesius. The European Union general data protection regulation: what it is and what it means. Information & Communications Technology Law. 2019. Vol. 28. No. 1. P. 65-98. https://doi.org/10.1080/13600834.2019.1573501

5. Satariano А. Europe's Privacy Law Hasn't Shown Its Teeth, Frustrating Advocates. The New York Times. 2020. URL: https://www.nytimes.com/2020/04/27/technology/GDPR-privacy-law-europe.html

6. Three years under the EU GDPR an implementation progress report. Access Now. URL: https://www.accessnow.org/ cms/assets/uploads/2021/05/Three-Years-Under-GDPR-report.pdf

7. Kuner, C. Territorial Scope and Data Transfer Rules in the GDPR: Realising the EU's Ambition of Borderless Data Protection. University of Cambridge Faculty of Law Research Paper No. 20/2021. April 16, 2021. http://dx.doi. org/10.2139/ssrn.3827850

8. Daigle, B., Khan, M. EU GDPR: An Analysis of Enforcement Trends by EU Data Protection Authorities. Journal of International Commerce and Economics. June, 2020. URL: https://www.usitc.gov/publications/332/journals/jice_ gdpr_enforcement.pdf

9. Poiasniuvalna zapyska do proiektu Zakonu Ukrainy “Pro zakhyst personalnykh danykh” (reiestr. No. 5628 vid 07.06.2021) Ofitsiinyiportal Verkhovnoi Rady Ukrainy. URL: http://w1.c1.rada.gov.ua/pls/zweb2/webproc34?id=&p f3511=32124&pf35401 = 119742 [in Ukrainian].

10. Pro zatverdzhennia dokumentiv u sferi zakhystu personalnykh danykh: nakaz Upovnovazhenoho Verkhovnoi Rady Ukrainy z prav liudyny vid 08.01.2014 No. 1/02-14. Ofitsiinyi portal Verkhovnoi Rady Ukrainy. URL: https://zakon. rada.gov.ua/laws/show/v1_02715-14#Text [in Ukrainian].

11. Uhoda pro asotsiatsiiu mizh Ukrainoiu, z odniiei storony, ta Yevropeiskym Soiuzom, Yevropeiskym spivtovarystvom z atomnoi enerhii i yikhnimy derzhavamy-chlenamy, z inshoi storony. Ofitsiinyi portal Verkhovnoi Rady Ukrainy. URL: https://zakon.rada.gov.ua/laws/show/984_011#Text [in Ukrainian].

12. Venher V, Zaiarnyi O. Pravovyi analiz osnovnykh modelei instytualizatsii derzhavnoho kontroliu u sferi personalnykh danykh ta dostupu do publichnoi informatsii. Council of Europe. 2020. URL: https://rm.coe.int/legal-analysis-data- ua/16809ee077 [in Ukrainian].

13. Kozlov S. Skandal! Tsyfra? Diia... Yurydychna hazeta. 2020. 2 chervnia. URL: https://yur-gazeta.com/publications/ practice/informaciyne-pravo-telekomunikaciyi/skandal-cifra-diya.html [in Ukrainian].

14. Shchorichna dopovid Upovnovazhenoho Verkhovnoi Rady Ukrainy z prav liudyny pro stan doderzhannia ta zakhystu prav i svobod liudyny i hromadianyna v Ukraini 2019 rik. Upovnovazhenyi Verkhovnoi Rady Ukrainy z, prav liudyny. URL: https://ombudsman.gov.ua/files/Dopovidi/zvit%20za%202019.pdf [in Ukrainian].

15. Shchorichna dopovid Upovnovazhenoho Verkhovnoi Rady Ukrainy z prav liudyny pro stan doderzhannia ta zakhystu prav i svobod liudyny i hromadianyna v Ukraini 2020 rik. Upovnovazhenyi Verkhovnoi Rady Ukrainy z, prav liudyny. URL: https://ombudsman.gov. ua/files/2021/zvit_2020_rik_.pdf [in Ukrainian].

16. Matola V. “Bahy” derzhavnykh reiestriv, abo yak zakhystyty personalni dani. LB.ua. URL: https://lb.ua/pravo/ 2020/05/19/457892_bagi_derzhavnih_reiestriv_abo_yak.html [in Ukrainian].

17. Postanova Verkhovnoho Sudu vid 30.01.2019 u spravi No. 308/5318/15-ts. Yedynyi derzhavnyi reiestr sudovykh rishen. URL: http://reyestr.court.gov.ua/Review/79744914 [in Ukrainian].

18. Rishennia Lvivskoho okruzhnoho administratyvnoho sudu vid 21.01.2019 u spravi No. 813/2804/18. Yedynyi derzhavnyi reiestr sudovykh rishen. URL: http://reyestr.court.gov.ua/Review/79279901?fbclid=rwAR3ghlUuzjsm88q kmjPlhloHwLa3-itR1Dd-2yzTalxiZcVZJze9qgASvXM [in Ukrainian].

19. Ukhvala Okruzhnoho administratyvnoho sudu m. Kyieva vid 18.10.2019 u spravi No. 640/19197/19. Yedynyi derzhavnyi reiestr sudovykh rishen. URL: http://reyestr.court.gov.ua/Review/85054313 [in Ukrainian].

20. Vyrok Zavodskoho raionnoho sudu m. Dniprodzerzhynska vid 25.07.2019 u spravi No. 200/6814/19. Yedynyi derzhavnyi reiestr sudovykh rishen. URL: http://reyestr.court.gov.ua/Review/83313961 [in Ukrainian].

21. Postanova Podilskoho raionnoho sudu m. Kyieva vid 07.022020 u spravi No. 758/14158/19. Yedynyi derzhavnyi reiestr sudovykh rishen. URL: http://reyestr.court.gov.ua/Review/87632133 [in Ukrainian].

22. “Surikov proty Ukrainy”: Zberihannia robotodavtsem medychnykh danykh spivrobitnykiv mozhlyve lyshe za umovy yikh strohoi konfidentsiinosti, postiinoho onovlennia ta vykorystannia vykliuchno z metoiu yikh zboru (st. 6 ta st.8 Konventsii, zaiava No. 42788/06 vid 26.01.2017). Protokol. Yurydychnyi internet resurs. URL: https://protocol. ua/ua/surikov_proti_ukraini [in Ukrainian].

23. Natsionalna ekonomichna stratehiia na period do 2030 roku, zatverdzhena postanovoiu Kabinetu Ministriv Ukrainy vid 03.03.2021 No. 179. Ofitsiinyi portal Verkhovnoi Rady Ukrainy. URL: https://zakon.rada.gov.ua/laws/file/text/88/ f503442n31.doc [in Ukrainian].

24. Open Digital Trust Initiative. Institute of International Finance. URL: https://wwwiif.com/Innovation/Open-Digital- Trust-Initiative

25. de Carvalho, R.M., Del Prete, C., Martin, Y.S. et al. Protecting Citizens' Personal Data and Privacy: Joint Effort from GDPR EU Cluster Research Projects. SNComputer Science. 2020. No. 1. Art. No. 217. https://doi.org/10.1007/ s42979-020-00218-8

Размещено на Allbest.ru