Новий проект закону про захист персональних даних: як будуть отримувати згоду на доступ до даних про особу

Комітет з питань цифрової трансформації надав висновок стосовно законопроекту № 5628 від 07.06.2021 про захист персональних даних. Авторами цього проекту є народні депутати партії «Слуга народу», зокрема Чернєв Є.В., Тарасенко Т.П.,  Стефанчук Р.О. та інші. Разом з прийняттям нового закону Закон України «Про захист персональних даних» від 01.06.2010 № 2297-V втратить свою чинність.

Як зазначено у пояснювальній записці самого проекту, «законопроект має на меті підвищити рівень захисту конституційного права на повагу до приватного життя через посилення стандартів обробки персональних даних та надати більше прав суб’єкту персональних даних для забезпечення можливості здійснення повноцінного контролю суб’єктом за обробкою його персональних даних».

Взагалі, персональні дані – це будь-яка інформація, що стосується фізичної особи, яку ідентифіковано або може бути ідентифіковано. Щоб персональні дані будь-якої людини можна було законно обробляти, потрібно обов’язково мати на це згоду. Як зазначає стаття 6 законопроекту, згода суб’єкта персональних даних на обробку його персональних даних зможе бути надана:

1) у письмовій формі (заяви, анкети, заповнення бланку тощо), в тому числі поданої електронними засобами;

2) в електронній формі під час відвідування вебсайту або користування електронною інформаційною системою шляхом заповнення передбаченої інтерфейсом форми, проставлення у відповідному полі відмітки (позначки);

3) шляхом обрання відповідних технічних налаштувань в інтерфейсі вебсайту, операційній системі, програмному забезпеченні чи мобільному додатку, які передбачають обробку персональних даних;

4) через іншу ствердну дію чи поведінку, яка однозначно вказує на те, що суб’єкт персональних даних в конкретному випадку згоден на подальшу обробку його персональних даних.

При цьому не буде згодою суб’єкта персональних даних на обробку його персональних даних:

1) дії суб’єкта персональних даних, які не передбачають волевиявлення;

2) встановлені за замовчуванням налаштування вебсайту, операційної системи, програмного забезпечення, мобільного додатку, в тому числі автоматичне заповнення передбаченої інтерфейсом форми або попереднє проставлення у відповідному полі відмітки (позначки) без безпосередньої участі конкретного суб’єкта персональних даних;

3) бездіяльність такого суб’єкта.

Пропонується, що суб’єкт персональних даних матиме право звернутись із скаргою на порушення його прав, відшкодування матеріальної та/або моральної шкоди, завданої в результаті порушення його прав.

У цьому законопроекті є цікавою стаття 7 «Особливі вимоги до обробки персональних даних (чутливі персональні дані)».

Спочатку в ній йдеться про заборону обробки персональних даних про расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в професійних спілках, а також генетичних та біометричних даних, даних, що стосуються здоров'я, статевого життя або сексуальної орієнтації, психометричних даних. Однак вже наступний пункт статті зазначає, що така заборона не поширюється на обробку персональних даних, якщо вона «необхідна в цілях суспільного інтересу в сфері громадського здоров’я». За такої умови обробка біометричних даних суб’єктами владних повноважень є правомірною.

Крім того, порядок доступу третіх осіб до персональних даних автори законопроекту пропонують регулювати  Законом України «Про доступ до публічної інформації», тобто необхідно мати юридичні підстави. Також для отримання персональних даних третя особа виключно у письмовій формі зможе звернутися до контролера із запитом, який має містити:

1) відомості про запитувача, достатні для ідентифікації його особи, якщо запитувачем є фізична особа;

2) найменування, місцезнаходження юридичної особи, яка звертається із запитом, посада, прізвище, ім'я та по батькові особи, яка засвідчує запит, якщо запитувачем є юридична особа;

3) відомості, що дають змогу ідентифікувати фізичну особу, персональні дані якої запитуються;

4) перелік персональних даних, які запитуються;

5) мета та юридичні підстави для отримання персональних даних та обґрунтування їх застосовності в конкретному індивідуальному випадку;

6) зобов’язання використовувати отримані персональні дані виключно з легітимною метою, з якою вони були зібрані;

7) власноручний або електронний підпис запитувача.

За умови прийняття такого закону він зможе вступити в силу вже з 1 січня 2023 року.

Підписуйтесь на наш Telegram-канал та на Youtube Право ТВ, щоб бути в курсі найважливіших подій.