Юридические компании

Авторизация

Логин:
Пароль:
  
Регистрация
Забыли свой пароль?

Консультация
юриста on-line

Вопрос юристу на "Status-Quo"


поиск юриста

Юристы и адвокаты

GDPR и Украина: quo vadis?

GDPR и Украина: quo vadis? 17.11.2018

GDPR и Украина: quo vadis?

Засылки SMS-сообщениями с рекламой служб такси, «базы данных жителей Украины» в сети Интернет и отдельные факты «торговли» данным из закрытых государственных реестров - примерно таков нынешнее состояние защиты персональных данных в Украине и реализации соответствующего Закона Украины «О защите персональных данных »от 01.06.2010 г.. №2297-VI (далее - Закон №2297-VI). Закон №2297-VI был принят в 2010 г.. По образцу действующей в то время Директивы ЕС №95 / 46 / EC. Сначала он вызвал настоящий переполох. Повсеместные сборы подписей в «согласии на обработку персональных данных», регистрация «баз персональных данных» и проверки Государственной службы Украины по вопросам защиты персональных данных (далее - ГСЗПД) заставляли бизнес тщательно следить за соблюдением такого нового и необычного законодательства.

Однако переполох длился недолго. Со временем подписана «согласие» перешла в разряд документов «для галочки», а дальнейшее институциональное ослабление органов в сфере защиты персональных данных завершили свое дело - защита персональных данных перестал быть «горячей» темой. ДСЗПД, которая сначала активно отрабатывала свои задачи, была ликвидирована в 2014 с передачей функций к Уполномоченному Верховной Рады Украины по защите прав человека (далее - Уполномоченный). Уполномоченный, который сосредотачивается прежде всего на защите конституционных прав (в частности, в местах несвободы), не может предоставлять тематике защиты персональных данных приоритетного значения (это вполне понятно). Следовательно, в таком мимикрованому виде находится украинская правоприменительная система в сфере персональных данных - не единственная в Европе без специального независимого органа по защите персональных данных (англ. - Data Protection Authority, DPA).

В то же время в рамках ЕС росло недовольство относительно несоответствия Директивы №95 / 46 / ЕС, принятой в 1995г., Реалиям с вездесущим интернет-маркетингом, GPS-трекингом и целыми массивами Big Data, постоянно собирают так называемые технологические гиганты. Вылилось это недовольство в принятие хорошо известного Общего регламента по защите персональных данных №2016 / 679, или GDPR. Этот революционный документ изменил подход к основаниям для обработки данных на основе «согласия», урегулировал использование cookies для интернет-маркетинга, ввел детальные процедуры для защиты персональных данных и расследования фактов их нарушения с очень серьезными мерами ответственности. Хотя GDPR было принято еще в мае 2016 с отсрочкой начала его применения на 2 года, только осенью 2017 к этому документу потянулся взгляд украинского законодателя, точнее Правительства, который поставил себе амбициозную задачу - имплементировать GDPR в Украине.

Курс на GDPR

Международно-правовые обязательства Украины (в частности, План действий по либерализации ЕС визового режима для Украины или соглашение об ассоциации между Украиной и ЕС) не содержали требования по имплементации GDPR, которого просто не существовало на тот момент. В то же время, подписав в июне 2014 Соглашение об ассоциации, Украина по ст. 15 Соглашения обязалась сотрудничать с целью достижения надлежащего уровня защиты персональных данных в соответствии с «высоким европейским и международным стандартам».

Однако 25.10.2017 г.. Украина в лице Кабинета Министров сама определила для себя задачу - имплементировать GDPR в отечественное законодательство. В этот день были внесены изменения в правительственной Плана мероприятий по выполнению Соглашения об ассоциации. Измененным Планом предусматривалось совершенствование законодательства о защите персональных данных - имплементация GDPR в Украине. Правда, определенный Кабмином дедлайн для подготовки соответствующего проекта Закона был достаточно амбициозным - до 25.05.2018 г., т. К дате начала применения GDPR в ЕС. Ответственными за реализацию этого амбициозного задачи определены Уполномоченного, Минюст, Минфин, МЭРТ и МВД.

Неудивительно, что в запланированную дату Кабмин, а тем более аппарат Верховной Рады, не увидели проекта этого Закона. В то же время несправедливо будет не упомянуть официальный украинский перевод GDPR, который увидел свет 08.05.2018 г.., Благодаря усилиям Правительственного офиса координации европейской и евроатлантической интеграции. Этот документ немного порадовал украинский юридическое сообщество своей не совсем юридической терминологией. Чего стоит одно только понятие «главного резиденции» (англ. - main establishment). Однако при поддержке европейских экспертов проекта Twinning по усилению институционального потенциала Уполномоченного, под патронатом Уполномоченного все же был создан координационный рабочую группу с единственной целью - разработать проект Закона, который бы общим идеям и принципам, закрепленным в GDPR.

Авторам удалось посетить встречу с представителями этой группы и узнать, на каком этапе находится разработка украинского аналога GDPR.

GDPR made in Ukraine. Какой он?

Хотя срок подготовки проекта Закона о имплементации GDPR уже истек, работа над проектом продолжается. Первый «драфт» разработали эксперты проекта Twinning, включив в него основные нормы, заложенные в GDPR. В частности, речь идет о фундаментальных переменах, которые имеют потенциал стать основой украинского законодательства в сфере защиты персональных данных.

Во-первых, предлагается повысить требования к получению согласия лица на обработку его персональных данных. По аналогии с положениями GDPR, проект требует составлять запрос на получение согласия в более понятном и четком формате. К тому же согласие лица на обработку его персональных данных, в соответствии с проектом, должна быть выражена в форме утвердительных, активных действий пользователя. Такое положение полностью исключает использование так называемых «pre-ticked boxes», которые предусматривали согласие лица по умолчанию. Лицо также наделяется безоговорочным правом на отзыв своего согласия в любое время и без всякой для себя вреда.

Последнее положение о праве на отзыв согласия на обработку персональных данных очень тесно связано с еще одним нововведением, имплементация которого предусмотрена новым проектом - правом на забвение или «стирание» данных (англ. - right to be forgotten). Такое право позволяет отслеживать весь процесс обработки персональных данных, а также в случае нарушений, истечение сроков или исчерпания цели такой обработки позволяет прекратить обработку с удалением соответствующей информации, в том числе из сети Интернет.

Во-вторых, проект предлагает повысить требования по проведению организационно-технических мероприятий для обеспечения защиты персональных данных. Прежде всего, это касается назначения лица, ответственного за защиту персональных данных (англ. - Data Protection Officer, DPO), которая обеспечивает и имеет право проверять качество и законность обработки в конкретной компании. Дополнительно на компании возлагается обязанность внедрять надежные механизмы безопасности персональных данных (шифрование, псевдонимизацию, обеспечение ограниченного доступа к местам хранения информации).

Пожалуй, самой интересной частью проекта для представителей бизнеса в Украине является положение об ответственности. GDPR удивил весь мир, предусмотрев многомиллионные штрафы за нарушение правил обработки персональных данных. Чего же ждать украинским компаниям? К сожалению, пока нет четкого ответа на этот вопрос. Хотя проект, предложенный европейскими экспертами, предполагает схожий механизм применения штрафов ( «административный штраф» - фиксированная сумма или процент от годового мирового оборота компании или группы компаний), представители Уполномоченного не высказывают уверенности в возможности функционированию такого института, предпочитая механизма привлечения должностных лиц к административной ответственности, который существует сегодня.

На самом деле, проект изменений в украинское законодательство в сфере защиты персональных данных, предложенный европейскими экспертами, предполагает прогрессивные положения, почти аналогичными тем, что содержатся в GDPR. Конечно, первый «драфт» увидит еще не одно обновление, когда за него возьмутся органы, ответственные за внедрение GDPR соответствии с Планом мероприятий Кабмина. Уполномоченный уже сегодня предлагает представителям бизнес-сообщества предоставлять свои предложения к проекту. К тому же во время рассмотрения в Верховной Раде (если к тому дойдет) проект рискует измениться настолько, что трудно будет узнать в нем начальный «драфт» европейских экспертов (который, безусловно, нуждается в совершенствовании как с позиции терминологии и законодательной техники, так и с позиции включения тех или иных основных положений).

Однако может текущая проблемная ситуация в сфере защиты персональных данных (прежде всего, с отсутствием надлежащего правоприменения) решаться только производством нового законодательства и копированием европейского примеру? Или законодательные меры должны одновременно поддерживаться усилением институционной способности государства в этой сфере с налаживанием эффективного механизма надзора и привлечения к ответственности? Так какие перспективы имеет предложенный проект в будущем?

GDPR и Украины: Quo Vadis?

Получается, Украина сама обязалась имплементировать GDPR в рамках Соглашения об ассоциации и сейчас «хлопает скалу» в этом направлении. Однако какие же «бенефиты» от имплементации GDPR, кроме «у нас тоже есть», виднеются перед нами на горизонте? В случаях с Планом действий по либерализации ЕС визового режима для Украины или Соглашения об ассоциации «бенефиты», предусмотренные за их надлежащее исполнение, были более очевидными: предоставление Безвизовые, расширение зоны свободной торговли, углубления взаимной интеграции. Стоит отметить, что мы здесь не находимся в позиции того, кто просит, ведь обязательства «сотрудничать с целью достижения надлежащего уровня защиты персональных данных в соответствии с высочайшими европейскими и международными стандартами», закрепленное в Соглашении об ассоциации, является взаимным и двусторонним как для Украина, так и для ЕС.

Первой на ум приходит возможность усиления институциональной способности Украины в сфере защиты персональных данных путем привлечения международной помощи ЕС. Объективно неудовлетворительное состояние реализации государственной политики в этой сфере через Уполномоченного, для которого вообще неприсущая эта функция. По аналогии с программой финансирования ЕС новой государственной службы в виде Генеральных директоратов при министерствах, усиление институциональной способности могло бы произойти через финансирование принципиально нового органа - настоящего украинского Data Protection Authority со штатом и ресурсами, которые были бы адекватны целям и задачам, выдвигаемых перед таким органом.

Другой возможностью от сотрудничества Украина-ЕС в сфере защиты персональных данных и имплементации GDPR в Украине, безусловно, могло бы быть признание Украины как «GDPR-compliant state», как это предусмотрено ст. 45 GDPR. Такой статус открывает огромные возможности для украинского бизнеса (прежде всего, для ИТ-сектора). Это объясняется тем, что европейские компании очень тщательно относятся к выбору контрагента за пределами ЕС, которому доверят обработку персональных данных резидентов ЕС. Трансграничная передача данных остается чувствительным вопросом, а проверка способности украинской компании обеспечить европейский уровень защиты данных может потребовать значительного времени и ресурсов. Зато предоставления Украине статуса «GDPR-compliant state» снимает эти барьеры, позволяя европейским компаниям привлекать украинских подрядчиков без дополнительных гарантий и проверок.

К сожалению, указанные возможные преимущества для Украины от имплементации GDPR является лишь нашим представлениям этого процесса. Каких-либо официальных комментариев чиновников Украины или ЕС относительно того, ведутся подобные переговоры, пока нет. Таким образом, сегодня разработка проекта Закона выглядит как «имплементация для имплементации» без какого-либо стимулирующего маркера от ЕС, на который мы должны ориентироваться. Также не будем забывать, что неоднократно упомянутая в этой статье слабая институциональная способность Украины в сфере защиты персональных данных является одной из первых препятствий для применения не только новых, но и сейчас действующих правовых норм.

Итак, Украина хотя и неуверенно, но все же стала на путь имплементации GDPR в национальное законодательство. Без стимулирования кнутом или пряником от европейских партнеров эта работа происходит медленно, но продвигается усилиями офиса Уполномоченного и экспертов из ЕС. От реальной и эффективной имплементации GDPR нас отделяет продолжалась и тяжелая работа над проектом Закона, прохождения законодательной процедуры и создание действенного механизма защиты персональных данных с усилением институционной способности государства в этой сфере, что позволило бы нашей стране стоять рядом с государствами-членами ЕС по этому показателю . Надеемся, что наличие такой инициативы, заинтересованность украинских и иностранных экспертов помогут крайней мере улучшить нынешнюю ситуацию с правоприменением, а также приведут Украину к тому, что когда-то мы сможем похвастаться своим GDPR, который на самом деле работает.


Количество показов: 343
Автор:  Александр Мельник «Василь Кисиль и Партнеры, ЮФ» юрист Дмитрий Изотов «Василь Кисиль и Партнеры, ЮФ» младший юрист

Возврат к списку