Интернет-банкинг, онлайн сервисы, государство в смартфоне, умные дома и умные города. Получить социальное пособие, оформить пенсии или субсидии, сдать декларации — все это сегодня можно сделать онлайн не выходя из дома.

Однако часто ли граждане вчитываются в текст Соглашения об обработке персональных данных, которое подписывают, оставляя информацию о себе? А что происходит с информацией о каждом из нас дальше?

До 1991 года, в период Советского Союза, вопрос защиты персональных данных не был четко определен. Были определенные правила и положения, регулирующие обработку информации о гражданах (например, положение о делопроизводстве).

Обработка информации о гражданах жестко контролировалась государством. Граждане не имели никаких прав на свои персональные данные.

Конституция СССР формально защищала определенные аспекты личной жизни, например право на тайну переписки и телефонных разговоров, гарантировала право на неприкосновенность личности (впрочем, очень часто государственные органы эти права нарушали).

Начиная с 1991 года, Конституция Украины (а потом и Конституция 1996) гарантирует право граждан на неприкосновенность личной и семейной жизни, включая право на защиту от распространения сведений об их личной жизни без их согласия.

В 1992 году закон об информации заложил основу дальнейшей защиты персональных данных – он ввел запрет на использование и распространение информации о гражданине без его согласия.

В общем, изменения в системе защиты персональных данных были вызваны стремительным ростом количества информации и, как следствие, возникновением необходимости ее хранения, обработки и защиты.

Именно с появлением большого количества данных, их компьютерной обработки и развитием Интернета в 1981 году была принята Конвенция 108 (позднее обновленная Конвенция 108+ ) о защите лиц в связи с автоматизированной обработкой персональных данных.

Следующим шагом в защите персональных данных было принятие Директивы 95/46/ЕС . В 2018 году с целью защиты прав граждан при обработке информации о них и свободного перемещения между странами таких данных настоящую Директиву заменили на Постановление 2016/679 о защите данных ( GDPR ), который сегодня является основным документом в данной сфере.

В 2010 году парламент Украины ратифицировал Конвенцию 108, и в целях имплементации ее и Директив ЕС принял Закон « О защите персональных данных «, который определяет правила, права и обязанности предоставляющих, собирающих, хранящих, передающих, обрабатывающих и защищающих информацию и персональные данные.

Однако как методы обработки данных, так и регулирование использования данных постоянно меняются. Поэтому с изменениями европейских норм нуждаются в адаптации и украинские законы.

После того, как Украина в 2023 году получила статус кандидата на членство в ЕС, вопрос гармонизации законодательства в сфере персональных данных с европейскими Директивами стал еще более неотложным.

Например, в рейтинге индекса кибербезопасности (National Cyber ​​Security Index, NCSI) в сентябре 2023 года Украина заняла 24 место среди 176 стран мира и 22 место среди стран Европы и бывших стран СНГ (см. рис. 1).

Примечание. Индекс кибербезопасности (NCSI) – это глобальный индекс, измеряющий готовность стран предотвращать киберугрозы и управлять киберинцидентами. Он включает 12 подкатегорий (например, анализ киберугроз и повышение осведомленности, защиту персональных данных, военную киберзащиту) и включает 49 индикаторов.

Чтобы догнать уровень защиты данных в европейских странах, украинские парламентарии разработали законопроекты №8153 и №6177 . Первый предлагает новую редакцию Закона «О защите персональных данных» и будет регулировать отношения, права и обязанности граждан, а также тех, кому передаются персональные данные, и тех, кто будет их обрабатывать.

Также он предусматривает создание независимого контролирующего органа по защите персональных данных (это норма ЕС). Детали создания и работы такого органа — Национальной комиссии по защите персональных данных и доступа к публичной информации — прописывает законопроект №6177 .

Эти функции выполняет Уполномоченный по правам человека, но эксперты по кибербезопасности отмечают что он не успевает реагировать на все случаи утечки и потери данных.

Депутаты предлагают, чтобы Национальная комиссия по защите персональных данных и доступа к публичной информации осуществляла контроль за соблюдением законодательства о защите персональных данных, рассматривала жалобы субъектов персональных данных на нарушение их прав, а также налагала штрафы на нарушителей.

Также Комиссия будет рассматривать жалобы на отказ в доступе к публичной информации и выдавать обязательные решения о предоставлении публичной информации.

Кстати, с 2011 год к 2014 год года органом контроля в сфере защиты персональных данных была соответствующая государственная служба . Ее ликвидировали для приведения украинского законодательства в соответствие с международной конвенцией 108, которая предполагает что контролирующими органами могут быть единоличный уполномоченный или коллегиальный орган, но не орган, подчиненный Кабмину.

Ведь такой надзорный орган должен быть независимым и иметь достаточные полномочия для выполнения своих обязанностей.

Что предлагают изменить в области защиты персональных данных?

Детализация существующих норм. Проект №8153 гораздо подробнее, чем действующий закон, определяет права и обязанности субъектов данных (лиц, которым данные принадлежат), контролеров (в действующем законе владельцев, то есть лиц, определяющих цели обработки данных) и операторов (в действующем законе распорядителей – т.е. лиц, от имени контроллера обрабатывающих данные).

Так, граждане должны быть проинформированы о том, кто будет владеть и обрабатывать информацией о них, цель сбора и обработки данных. В случае изменения цели или адреса контролера или оператора граждан нужно будет сообщить об этом.

Также, например, в действующем законе права граждан только перечислены (право на доступ к своим персональным данным, право предъявлять мотивированную требование владельцу персональных данных с возражением против обработки, изменения или уничтожения своих персональных данных, право отзывать согласие на обработку персональных данных и право знать механизм автоматической обработки персональных данных).

Законопроект подробно расписывает каждое из прав граждан и обязанности контролера по соблюдению этих прав. Например, контролер обязан предоставить подробную информацию о себе, операторе данных, контактных данных ответственного за защиту персональных данных лица, основаниях для обработки данных и т.п.

Гармонизация терминологии с нормами ЕС. Перечень определений приводится в соответствии с европейскими нормами. Да, проект вводит определение биометрических (к примеру,…

прямой эфирпромо канала