Back Міжнародний день захисту персональних даних: чи відповідає міжнародним стандартам захист персональних даних в Україні?

Міжнародний день захисту персональних даних: чи відповідає міжнародним стандартам захист персональних даних в Україні?

28 січня світова спільнота відзначає Міжнародний день захисту персональних даних. Цей день відповідає даті річниці відкриття для підписання Конвенції Ради Європи про захист осіб у зв’язку з автоматизованою обробкою персональних даних (Конвенція 108), якій цьогоріч виповнюється 40 років.

Happy 40th Anniversary Convention 108! #dataprotection from Council of Europe OP Services on Vimeo.

«Міжнародний день захисту персональних даних є чудовою нагодою нагадати про міжнародні стандарти та підвищити обізнаність громадськості про важливість захисту персональних даних. Cприяння підвищенню в Україні рівня захисту персональних даних та реалізації права на приватність є одним з пріоритетних напрямів діяльності Ради Європи в Україні. Так, в межах Спільного проєкту «ЄС та Рада Європи працюють разом задля посилення операційної спроможності Омбудсмана у захисті прав людини» міжнародні та національні експерти надають рекомендації органам влади щодо узгодження українського законодавства відповідно до стандартів Ради Європи, проводяться навчальні та просвітницькі заходи для представників Офісу Омбудсмана щодо особливих  аспектів забезпечення права на захист персональних даних, здійснюється розробка навчальних курсів. Сам Проєкт став майданчиком для постійного діалогу і фахових дискусій за участі міжнародних експертів, урядовців, представників громадського сектору щодо удосконалення сфери захисту персональних даних в Україні»,- зазначає Олена Литвиненко, в.о. Голови Офісу Ради Європи в Україні.

Конвенція 108 стала першим міжнародним інструментом, який гарантує права фізичної особи на обробку її персональних даних. Всі сучасні національні або наднаціональні правила захисту персональних даних сформувалися на основі Конвенції 108. Україна ратифікувала Конвенцію 108 у 2010 році.

Проте у травні 2018 року Рада Європи прийняла Протокол CETS № 223, яким було внесено зміни до Конвенції 108. Модернізована Конвенція 108+ спрямована на вирішення проблем недоторканності приватного життя, що виникають у зв'язку з використанням нових інформаційно-комунікаційних технологій, і на зміцнення механізму виконання положень.

«Новий текст Конвенції (108+) було затверджено у 2018 році з урахуванням розвитку інформаційно-комунікаційних технологій та більш жорстких правил Загального регламенту про захист даних (GDPR). Зокрема використовується нова термінологія, Конвенція 108+ розповсюджується як на автоматизовану, так і на неавтоматизовану обробку, однак не розповсюджується на обробку фізичними особами для власних потреб. У Конвенцію 108+ інтегровано такі принципи, як: прозорість, пропорційність, підзвітність, мінімізація даних та конфіденційність за дизайном (privacy by design). Встановлено додаткові обов’язки держав-учасниць вживати необхідних заходів для дотримання вимог Конвенції 108+», - пояснює Борис Кормич, експерт Спільного проєкту ЄС та Ради Європи «Європейський Союз та Рада Європи працюють разом задля посилення операційної спроможності Омбудсмана у захисті прав людини».

Таким чином перед Україною постало питання ратифікації Протоколу, яким було внесено зміни до Конвенції 108. Це дозволить покращити ситуацію з дотриманням прав людини у сфері захисту персональних даних.

На думку експерта Спільного проєкту ЄС та Ради Європи «Європейський Союз та Рада Європи працюють разом задля посилення операційної спроможності Омбудсмана у захисті прав людини» Андрія Ніколаєва, хоча Закон України “Про захист персональних даних” містить практично всі ключові вимоги до обробки та захисту персональних даних, визначені Конвенцією 108 та GDPR, проте захист персональних даних в Україні далекий від європейських стандартів.

«Серед найбільших проблем захисту персональних даних в Україні можна виділити такі:  недосконалість законодавства, складнощі правозастосування, відсутність належного контролю за застосуванням законодавства, низький рівень обізнаності населення про право на захист персональних даних», - зазначає Андрій Ніколаєв.

Проблеми законодавства:

  • норми вітчизняного закону здебільшого містять загальні вимоги, більшості норм не вистачає деталізації, що значно ускладнює їх практичне застосування;
  • Закон України “Про захист персональних даних” прийнятий у 2010 році. Він не був новаторським. Технології обробки даних розвиваються дуже швидко і на сьогодні цей закон вже значно застарів та не відповідає багатьом практичним реаліям обробки персональних даних;
  • низька якість підзаконних нормативно-правових актів. Наприклад, Типовий порядок обробки персональних даних, який міг би допомогти вирішити деякі проблеми правозастосування, є мало інформативним та з моменту його прийняття в 2014 році не оновлювався.

Проблема правозастосування. Недосконалість законодавства призводить до складнощів у його застосуванні на практиці. Ряд питань обробки персональних даних врегульовано лише у загальних рисах, а деякі питання випали з регулювання взагалі, наприклад, питання профілювання. Крім того, недосконалість мови закону призводить до нерозуміння його норм та різних тлумачень, наприклад, правових підстав обробки.

Проблема контролю. Належне виконання вимог закону можливе за умови забезпечення ефективного контролю за його застосуванням. Нині контроль за дотриманням законодавства про захист персональних даних покладений на Омбудсмана України. Проте, в Омбудсмана не вистачає людських ресурсів задля ефективного виконання цієї функції.

Проблема обізнаності. Рівень обізнаності про право на приватність та захист персональних даних в українському суспільстві дуже низький, як серед - громадян (суб'єктів персональних даних), так і серед співробітників приватних та державних компаній й органів, які безпосередньо причетні до обробки персональних даних.

Олександр Шевчук, експерт Спільного проєкту «Європейський Союз та Рада Європи працюють разом задля посилення операційної спроможності Омбудсмана у захисті прав людини», зазначає що задля вдосконалення захисту персональних даних в Україні необхідно:

  • створити ефективний наглядовий орган із захисту персональних даних в Україні: незалежний наглядовий орган, відповідальний за розроблення методичних рекомендацій, моніторинг і контроль за додержанням законодавства в сфері захисту персональних даних;
  • привести термінологію Закону України «Про захист персональних даних» у відповідність до законодавства ЄС (Регламенту 2016/679);
  • деталізувати зміст принципів захисту персональних даних;
  • ввести та удосконалити ряд прав суб'єктів щодо їх персональних даних, зокрема право бути забутим та право на мобільність даних;
  • детально та чітко прописати повноваження, обов’язки, відповідальність розпорядника і володільця даних;
  • запровадити вимогу для компаній у певних випадках призначати співробітника з питань захисту персональних даних;
  • розробити та удосконалити кодекси поведінки з питань захисту персональних даних у відповідних сферах;
  • удосконалити процедуру повідомлення про витік даних.

Публікацію створено в межах Спільного проєкту «Європейський Союз та Рада Європи працюють разом задля посилення операційної спроможності Омбудсмана у захисті прав людини», який спрямований на підвищення рівня захисту прав людини в Україні та підсилення операційної спроможності Секретаріату Уповноваженого Верховної Ради України з прав людини, зокрема у забезпеченні захисту права на приватність та персональних даних.

Погляди, викладені в цьому матеріалі, не відображають офіційну позицію Європейського Союзу та Ради Європи.

Київ, Україна 27 січня 2021
  • Diminuer la taille du texte
  • Augmenter la taille du texte
  • Imprimer la page