До реєстр. № 5628 від 07.06.2021 Народні депутати України Є. Чернєв та інші
ВИСНОВОК на проект Закону України «Про захист персональних даних» У поданому проекті пропонується прийняти Закон України «Про захист персональних даних» з одночасним визнанням таким, що втратив чинність Закон України «Про захист персональних даних» від 01.06.2010 № 2297-VI (п. 2 розділу ХІІ «Прикінцеві та перехідні положення» проекту Закону). Відповідно до супровідних документів завданням законопроекту є приведення нормативного регулювання України в сфері захисту персональних даних у відповідність до нових міжнародних стандартів в цій сфері. Крім того, законопроект має на меті підвищити рівень захисту конституційного права на повагу до приватного життя через посилення стандартів обробки персональних даних та надати більше прав суб’єкту персональних даних для забезпечення можливості здійснення повноцінного контролю суб’єктом за обробкою його персональних даних (п. 3 пояснювальної записки). Законопроект на момент підготовки висновку не включений до Плану законопроектної роботи Верховної Ради України на 2021 рік, затвердженого постановою Верховної Ради України від 02.02.2021 № 1165-ІХ. Головне управління, розглянувши поданий законопроект у стислий термін, вважає за необхідне висловити щодо нього наступні зауваження. 1. Звертаємо увагу на недосконалість термінологічного апарату законопроекту. 1.1. У проекті Закону (наприклад, ч. 2 ст. 2, ст. 3) використовується термін «міжнародні акти», що не узгоджується з положеннями Закону України «Про міжнародні договори України», який оперує терміном «міжнародні договори України», що визначається «як укладений у письмовій формі з іноземною державою або іншим суб'єктом міжнародного права, який регулюється міжнародним правом, незалежно від того, міститься договір в одному чи декількох пов'язаних між собою документах, і незалежно від його
2 конкретного найменування (договір, угода, конвенція, пакт, протокол тощо)» (ч. 1 ст. 2). 1.2. У ч. 7 ст. 10 проекту зазначається, зокрема, про «відеоспостереження житлових будівель». Разом з тим, у зазначеній новелі не враховано, що відповідно до ст. 26-2 Закону України «Про регулювання містобудівної діяльності» до об’єктів закінченого будівництва віднесені будинки, будівлі, споруди (у тому числі в комплексі), в тому числі, які складаються з квартир, гаражних боксів, машиномісць, інших житлових та нежитлових приміщень. До того ж, у п. 1 ч. 7 ст. 10 проекту пропонується здійснювати відеоспостереження за «загальними приміщеннями будівлі». Зауважимо, що чинне законодавство оперує поняттями «місця загального користування» (ст. 15 Закону України «Про об’єднання співвласників багатоквартирних будинків») та «місця загального користування та допоміжні приміщення» (ч. 2 ст. 26-2 Закону України «Про регулювання містобудівної діяльності»). 1.3. Частина 1 ст. 12 проекту містить термін «передвиборча агітація». Натомість, Виборчий кодекс України оперує терміном «передвиборна агітація» (наприклад, ст.ст. 9, 12), що потребує врахування. 1.4. Використаний у ч.ч. 2, 3 ст. 16 проекту термін «нащадки» не узгоджується із термінологією Цивільного кодексу України (далі – ЦК), в якому використовується термін «спадкоємці» (наприклад, ст. 1222). 1.5. Пункт 5 ч. 1 ст. 35 проекту передбачає, що контролер та оператор зобов’язані вживати належні заходи технічного та організаційного характеру для забезпечення належної безпеки обробки персональних даних, до яких може бути включено забезпечення дотримання кодексу обробки персональних даних працівниками контролера та оператора. Проте, правова природа «кодексу обробки персональних даних» у проекті не визначена та такий термін більше не використовується. Натомість, ч. 2 ст. 28 та ст. 43 проекту врегульовує можливість затвердження контролером «кодексу поведінки з питань захисту персональних даних». 1.6. У п. 3 ч. 5 ст. 69 проекту використовується поняття «особи, постраждалі внаслідок вчинення кримінального правопорушення або особи, щодо яких є обґрунтовані підстави вважати, що вони можуть стати постраждалими внаслідок вчинення кримінального правопорушення». Проте у кримінальному процесуальному законодавстві використовується поняття «потерпілий», яким згідно з ч. 1 ст. 55 Кримінального процесуального кодексу України (далі – КПК) він є фізичною особою, якій кримінальним правопорушенням завдано моральної, фізичної або майнової шкоди, юридичною особою, якій кримінальним правопорушенням завдано майнової шкоди, а також адміністратором за випуском облігацій, який відповідно до положень Закону України «Про ринки капіталу та організовані товарні ринки» діє в інтересах власників облігацій, яким кримінальним правопорушенням завдано майнової шкоди. 1.7. У ст. 70 проекту щодо особливостей реалізації прав суб'єктів персональних даних у зв'язку з обробкою персональних даних в цілях правоохоронної діяльності зазначається про «слідчі, розшукові, розвідувальні дії»
3 (п. 2 ч. 1), що не повною мірою узгоджується з чинними КПК та законами. Так, КПК оперує поняттям «слідчі (розшукові) дії» (глава 20) та «негласні слідчі (розшукові) дії» (глава 21). Закон України «Про оперативно-розшукову діяльність» містить терміни «оперативно-розшукова діяльність», «оперативнорозшукові заходи і засоби» (ст. 6), а Закон України «Про розвідку» – «розвідка», «розвідувальна діяльність», «розвідувальний захід» (ст. 1). 1.8. У ч. 1 ст. 2 проекту під терміном «біометричні дані» пропонується розуміти «персональні дані, які стосуються фізичних, фізіологічних чи поведінкових характеристик фізичної особи, які в результаті спеціальної технічної обробки надають можливість ідентифікувати або верифікувати фізичну особу». Згідно із пропозиціями у пп. 3 п. 4 розділу ХІІ проекту аналогічне визначення пропонується передбачити у новій редакції п. 2 ч. 1 ст. 3 Закону України «Про Єдиний державний демографічний реєстр та документи, що підтверджують громадянство України, посвідчують особу чи її спеціальний статус». Разом з цим, слід звернути увагу на те, що у п. 3 ч. 1 ст. 3 згаданого Закону міститься визначення поняття «біометричні параметри» - як «вимірювальні фізичні характеристики або особистісні поведінкові риси, що використовуються для ідентифікації (впізнання) особи або верифікації наданої ідентифікаційної інформації про особу». Звертаємо увагу на часткову тотожність зазначених визначень, що, у свою чергу, може обумовити ускладнення у подальшому правозастосуванні. 2. Звертаємо увагу на те, що деякі положення законопроекту не відповідають принципу правової визначеності. Відповідно до правової позиції Конституційного Суду України принцип правової визначеності вимагає чіткості, зрозумілості й однозначності правових норм, зокрема, їх передбачуваності (прогнозованості) та стабільності (абз. 6 п. 2.1 мотивувальної частини Рішення Великої палати Конституційного Суду України від 20.12.2017 № 2-р/2017); «юридичної визначеності будь-якого нормативного акта (або його окремого припису) неможливо досягти, якщо текст акта (його припису) є двозначним (багатозначним) … Юридична визначеність – це передовсім недвозначність» (п. 10 мотивувальної частини Рішення Великої палати Конституційного Суду України від 14.07.2021 № 1-р/2021). 2.1. У визначенні «широкомасштабна обробка персональних даних» (ч. 1 ст. 2 проекту) мова йде про обробку «значних обсягів персональних даних» та «значну кількість суб’єктів персональних даних», що, на нашу думку, носить оціночний характер та потребує визначення відповідних об’єктивних критеріїв. 2.2. У ч. 6 ст. 6 проекту зазначається про надання згоди на обробку персональних даних «незалежно від форм та способів її надання». На нашу думку, зазначені положення потребують конкретизації. 2.3. У п. 9 ч. 2 ст. 7 проекту одним з винятків, яким дозволяється обробка чутливих персональних даних, пропонується визначити обробку, яка «необхідна в цілях суспільного інтересу в сфері громадського здоров’я, такого як захист від серйозних транскордонних загроз для здоров’я». В той же час, з редакції проекту незрозуміло, що саме слід вважати такими загрозами.
4 2.4. Згідно із ч. 10 ст. 10 проекту «у разі якщо в результаті відеоспостереження відеозаписи зберігаються, особа яка здійснює відеоспостереження, зобов'язана створити базу даних, призначену для зберігання відеозаписів. Разом з відеозаписами в системі повинна зберігатись інформація про дату, місце і час здійснення запису, а також відомості про осіб які переглядали збережені відеозаписи, дату, місце, час та підстави здійснення перегляду відеозапису». При цьому, необхідно врахувати, що у разі, якщо технічні засоби відеоспостереження не підтримують зазначені функції, відповідні суб’єкти будуть змушені створювати окрему автоматизовану систему для обробки такої інформації. Утім вимоги до такої інформаційної системи у проекті відсутні. 2.5. У ч. 6 ст. 27 проекту пропонується передбачити можливість контролера відмовити у задоволенні відповідної заяви суб’єкта персональних даних «у разі, якщо суб’єкт персональних даних зловживає своїми правами». Проте, у проекті не деталізовано, що саме слід вважати таким «зловживанням». 2.6. У проекті не деталізовано, що саме слід розуміти під «інтеграцією захисних гарантій в процес обробки персональних даних», про яку йдеться у п. 3 ч. 1 ст. 29 проекту. 2.7. У ч. 4 ст. 38 проекту у випадках витоку персональних даних пропонується зобов’язати контролера повідомляти суб’єкта персональних даних «з використанням засобів масової інформації, соціальних мереж та офіційних веб-сайтів». На нашу думку, запропоноване формулювання порядку інформування не дозволятиме однозначно його тлумачити, що в свою чергу, ускладнить подальше правозастосування. 2.8. У ч. 4 ст. 40 проекту пропонується зобов’язати контролера при здійсненні консультацій з контролюючим органом надавати «будь-яку» іншу інформацію, яку запитує контролюючий орган (п. 6), що необґрунтовано розширюватиме повноваження відповідного державного органу. 2.9. У п. 5 ч. 2 ст. 46 проекту «Передача персональних даних на територію іноземної держави або міжнародній організації на підставі наданих гарантій захисту персональних даних» зазначається, що належні гарантії захисту, передбачені частиною першою, без дозволу контролюючого органу можуть надаватись на підставі: затвердженого порядку сертифікації у поєднанні із зобов’язаннями контролера або оператора іноземної держави застосувати належні гарантії захисту, включаючи гарантії щодо прав суб’єкта персональних даних. Проте, проект Закону не регулює порядок затвердження такої сертифікації. 2.10. Незрозуміло, чиї саме дії або бездіяльність пропонується оскаржувати у п. 10 ч. 3 ст. 47 проекту. 2.11. Незрозуміло, що саме мається на увазі у ч. 3 ст. 59 проекту, відповідно до якої «Постачальник електронних комунікаційних мереж та/або послуг та інші особи, залучені у процес діяльності засобів електронних комунікацій будь-якого типу, передачу інформації системами електронних комунікацій, можуть отримуваати, використовувати та передавати іншим інформацію про приватне спілкування, в обсязі, необхідному для надання електронних комунікаційних
5 послуг». 3. Положенням ч. 5 ст. 10 проекту пропонується розміщувати попередження про здійснення відеоспостереження «офіційною державною мовою та однією із мов, яка є найбільш розповсюдженою у відповідному населеному пункті». На наш погляд, формулювання положення «однією із мов найбільш розповсюдженою у відповідному населеному пункті» не є коректним з огляду на те, що в мовному законодавстві, зокрема, Законі України «Про забезпечення функціонування української мови як державної», використовується поняття мови корінних народів і національних меншин України. Крім того, ч. 1 ст. 28 Закону України «Про забезпечення функціонування української мови як державної» визначено, що інформація для загального ознайомлення подається державною мовою, тому формулювання «офіційною державною мовою», запропоноване приписом проекту, доцільно замінити на «державною мовою». 4. У ч. 3 ст. 15 проекту «Обробка персональних даних для цілей журналістської чи творчої діяльності» пропонується передбачити, що для цілей цієї статті поняття журналістська діяльність підлягає тлумаченню з урахуванням практики Європейського суду з прав людини. На нашу думку, така редакція виглядає дещо спірною, адже питання журналістської діяльності належним чином унормовані в чинному законодавстві. Зокрема, у Законі України «Про державну підтримку засобів масової інформації та соціальний захист журналістів» та Законі України «Про інформацію». У разі, якщо вбачається потреба у вдосконаленні чинного законодавства у зазначеній сфері, відповідні зміни мали б викладатися в розділі «Прикінцеві та перехідні положення» цього законопроекту або в одночасно внесеному його ініціатором окремому законопроекті. 5. Виглядає сумнівним включення до цього проекту Закону окремої статті з визначенням загальних правил відшкодування завданої особі шкоди (ст. 26 проекту). Це пояснюється тим, що у статті більша частина положень не містить спеціального правового регулювання, а загальні засади вже врегульовані в главі 82 Цивільного кодексу України (далі – ЦК). 6. У ч. 1 ст. 45 проекту, в контексті визнання належного рівня забезпечення захисту персональних даних державами та організаціями, міститься посилання на Конвенцію про захист осіб у зв'язку з автоматизованою обробкою персональних даних (далі - Конвенція) із змінами, внесеними Комітетом Міністрів Ради Європи у 2018 році. Звертаємо увагу на те, що оновлені положення Конвенції були викладені у Протоколі № 223 1, відкритому до підписання від 10.10.2018. Разом з тим, відповідно до ст. 37 Протоколу, на теперішній час він не набув чинності. Також у ч. 3 ст. 45 проекту пропонується передбачити оцінювання контролюючим органом стану дотримання прав людини та основоположних свобод під час встановлення відповідності рівня захисту у іноземній державі 1
URL: https://rm.coe.int/16808ac918
6 та/або міжнародній організації. Слід зауважити, що у проекті відсутня належна регламентація порядку проведення такої процедури. Крім того, простежується певна внутрішня неузгодженість окремих частин ст. 45 проекту. Зокрема, у ч. 5 йдеться про оприлюднення контролюючим органом на «його вебсайті» переліку держав та/або організацій і осіб, передбаченого ч. 3. В той же час, ч. 3 ст. 45 проекту містить критерії, які враховує контролюючий орган при встановленні відповідності рівня захисту іноземної держави та/або організації. Окрім того, словосполучення «його вебсайті» (ч. 5 ст. 45 проекту) доцільно уточнити словом «офіційний». 7. У ст. 50 проекту унормовується порядок доступу третіх осіб до персональних даних. Зокрема, передбачено звернення таких осіб до контролера із запитом, який подається «в письмовій формі» (ч. 3). Одночасно з цим п. 7 ч. 2 цієї статті, серед складових запиту містить, в тому числі, «електронний підпис запитувача», що потребує уточнення. 8. Запропонована редакція проекту передбачає окремий розділ VIII «Обробка персональних даних роботодавцем» (ст.ст. 51-55 проекту), положення якого викликають такі застереження. 8.1. У ч. 2 ст. 51 при визначенні суб’єктів відносин юридично коректнішим було б відсилання до норми ст. 3 Кодексу законів про працю України (далі – КЗпП), якою визначається регулювання трудових відносин «працівників усіх підприємств, установ, організацій незалежно від форм власності, виду діяльності і галузевої належності, а також осіб, які працюють за трудовим договором з фізичними особами», а не до ст. 3 Закону України «Про державну службу», якою передбачено в тому числі, коло осіб, дія Закону на яких не поширюється. 8.2. Викликає застереження ч. 12 ст. 52 проекту, згідно якої персональні дані, що стосуються суб’єкта персональних даних, уповноваженого на виконання функцій держави або місцевого самоврядування, посадових або службових повноважень, не є конфіденційною інформацією і можуть бути відкриті третім особам. Таке формулювання несе ризик порушення прав зазначених осіб. У цьому випадку доцільним було б уточнення «у випадках, визначених законом». 8.3. У ст. 54 визначаються особливі вимоги до обробки роботодавцем персональних даних працівників або кандидатів на працевлаштування, зокрема, ч. 4 передбачені умови, одночасне дотримання яких необхідне для можливості використання роботодавцем біометричних даних працівників. Проаналізувавши такі умови, зауважимо, що кожна з них (як то: для захисту законних прав та інтересів роботодавця; уникнення розголошення інформації з обмеженим доступом, або з метою забезпечення безпеки приміщень, у яких зберігаються матеріальні цінності або обладнання, яке забезпечує збереження конфіденційної інформації; права та інтереси роботодавця переважають ризики порушення прав суб'єкта персональних даних; досягнути мети неможливо без обробки біометричних даних) визначає пріоритетом захист законних прав та інтересів саме роботодавця. Особливо це актуально щодо п. 3 цієї ж частини за яким «інтереси роботодавця або інших осіб переважають ризики порушення прав суб'єкта
7 персональних даних (працівника) та ступінь втручання в його особисте і сімейне життя». Проте, метою законопроекту згідно його преамбули є «забезпечення прав людини на захист персональних даних та повагу до особистого і сімейного життя». Крім того, «інтереси роботодавця» є досить загальним поняттям, яке має ознаки правової невизначеності. 8.4. Стаття 55 потребує редакційного уточнення, зокрема, формулювання її ч. 3 щодо права працівника оскаржити «достовірність та/або повноту обставин, які було взято до уваги під час формування оцінки його здібностей, навичок та професійної підготовки до керівника роботодавця або до суду». 9. Розділ ІХ проекту присвячено питанням обробки персональних даних у сфері електронних комунікацій. На думку Головного управління, питання безпеки електронних комунікацій (ст. 57), комунікації постачальників електронних комунікаційних послуг із споживачами та користувачами електронних комунікаційних послуг (ст.ст. 58, 62), відстеження зловмисних або небажаних викликів та повідомлень абоненту (ст.ст. 66, 67) мали б унормовуватись у базовому Законі у сфері електронних комунікацій – Законі України «Про електронні комунікації» (набирає чинності 01.01.2022) та бути викладені у вигляді змін та доповнень до нього. Сумнівною вбачається пропозиція у ч. 4 ст. 57 щодо проведення «контролюючим органом» (в розумінні цього проекту) у затвердженому ним порядку перевірок постачальників електронних комунікаційних мереж та/або послуг. На думку Головного управління, контроль за організаційними та технічними заходами забезпечення стійкості засобів зв'язку, комп'ютерів, електронних комунікаційних мереж та/або електронних комунікаційних послуг належить до сфери компетенції постійно діючого центрального органу виконавчої влади із спеціальним статусом у сферах електронних комунікацій, радіочастотного спектра та надання послуг поштового зв’язку України, зазначеного у п. 104 ч. 1 ст. 2 Закону України «Про електронні комунікації». 10. У ч. 5 ст. 63 проекту пропонується зобов’язати постачальників електронних комунікаційних мереж та/або послуг надавати дані трафіку, в тому числі пов’язані з ним документи, контролюючому органу на його вимогу. Зазначений припис виглядає спірним, адже не узгоджуватиметься із вимогами ч. 1 ст. 121 Закону України «Про електронні комунікації» (набрання чинності відбудеться 01.01.2022), згідно з якими доступ до інформації про споживача, факти надання електронних комунікаційних послуг, у тому числі до даних, що обробляються з метою передачі такої інформації в електронних комунікаційних мережах, здійснюється виключно на підставі рішення суду, слідчого судді у випадках та порядку, передбачених законом. Аналогічні зауваження в повній мірі стосуються й передбаченого у ст. 65 проекту надання уповноваженим органам або особам даних про місцезнаходження споживача та/або кінцевого користувача постачальниками електронних комунікаційних мереж та/або послуг. 11. У запропонованій редакції ст. 66 проекту передбачена можливість операторам записувати впродовж трьох місяців походження всіх викликів до кінцевого термінального обладнання абонента чи кінцевих пунктів мережі (ч. 1)
8 та зберігати відповідну інформацію впродовж трьох років (ч. 4). Звертаємо увагу на необхідність уточнення у другому реченні ч. 1 цієї статті проекту, що відповідні записи можуть здійснюватися операторами лише на підставі відповідних запитів абонентів. 12. Законопроектом пропонується врегулювати питання обробки персональних даних правоохоронними органами та визначити вимоги до обробки таких даних (ст. 69 проекту), особливості реалізації прав суб’єктів персональних даних, у зв’язку з обробкою персональних даних в цілях правоохоронної діяльності (ст. 70 проекту). Погоджуючись з необхідністю здійснення такого регулювання, Головне управління у той же час звертає увагу на наявні у проекті невідповідності й неточності, що негативно впливатимуть на майбутнє застосування норм. Йдеться, зокрема, про таке. 12.1. У проекті надається визначення правоохоронного органу як державного органу, «на який покладаються завдання щодо: запобігання, виявлення, припинення, розкриття та розслідування кримінальних правопорушень, віднесених до його компетенції; забезпечення охорони прав і свобод людини, протидії злочинності, підтримання публічної безпеки і порядку; уповноважений виконувати кримінальні покарання; відкриття та проведення досудового розслідування і дізнання, процесуальне керівництво досудовим розслідуванням; державний орган спеціального призначення з правоохоронними функціями, який забезпечує державну безпеку України; розвідувальні та контррозвідувальні органи» (абз. 18 ч. 1 ст. 2 проекту). Проте, на нашу думку, таке визначення правоохоронного органу, в якому одні органи визначаються через завдання правоохоронного органу, а в інших вказані їхні види, є занадто громіздким, що ускладнює його сприйняття. Звертаємо також увагу, що в Законі України «Про державний захист працівників суду і правоохоронних органів» надається визначення правоохоронних органів. Зокрема, під ними розуміються органи прокуратури, Національної поліції, служби безпеки, Військової служби правопорядку у Збройних Силах України, Національне антикорупційне бюро України, органи охорони державного кордону, органи доходів і зборів, органи і установи виконання покарань, слідчі ізолятори, органи державного фінансового контролю, рибоохорони, державної лісової охорони, інші органи, які здійснюють правозастосовні або правоохоронні функції (ч. 1 ст. 2 вказаного Закону). Зважаючи на те, що законопроект не є спеціальним у сфері діяльності правоохоронних органів, на нашу думку, більш доцільно було б використовувати поняття правоохоронного органу, яке міститься в Законі України «Про державний захист працівників суду і правоохоронних органів». Крім того, у проекті зазначається, що «обробка персональних даних в правоохоронних цілях – обробка персональних даних правоохоронними органами, спрямована на запобігання, виявлення, припинення, розкриття та розслідування кримінальних правопорушень, виконання кримінальних покарань; забезпечення охорони прав і свобод людини, протидії злочинності, підтримання публічної безпеки і порядку; відкриття та проведення досудового розслідування і дізнання,
9 процесуальне керівництво досудовим розслідуванням; здійснення розвідувальної діяльності; забезпечення національної безпеки» (абз. 13 ч. 1 ст. 2 проекту). Очевидно, що поняття «обробка персональних даних правоохоронними органами» не розкриває його суть, а повторює визначення наданого у проекті правоохоронного органу, з чим не можна погодитись. Зважаючи на це, у такому разі більш доцільно було б вести мову про обробку персональних даних правоохоронними органами з метою виконання покладених на нього завдань. 12.2. У ч. 4 ст. 69 проекту вказується, що «обробка персональних даних в правоохоронних цілях, яка здійснюється в порядку, передбаченому Кримінальним процесуальним кодексом України здійснюється з урахуванням принципів, визначених цим Законом». Проте у КПК відсутній порядок здійснення обробки персональних даних. 12.3. Згідно з ч. 5 ст. 69 Закону правоохоронні органи повинні чітко розмежовувати та обробляти окремо у різних базах даних інформацію про різні категорії суб’єктів персональних даних, таких як: особи, щодо яких є обґрунтовані підстави вважати, що вони вчинили або збираються вчинити кримінальне правопорушення; особи, засуджені за вчинення кримінального правопорушення; особи, постраждалі внаслідок вчинення кримінального правопорушення або особи, щодо яких є обґрунтовані підстави вважати, що вони можуть стати постраждалими внаслідок вчинення кримінального правопорушення; інші учасники кримінального провадження. Аналіз зазначених категорій суб’єктів персональних даних дає підстави стверджувати, що ці суб’єкти стосуються здійснення правоохоронними органами завдань у кримінальному провадженні та виконання кримінальних покарань. Зважаючи на те, що завдання правоохоронних органів є значно ширшими за здійснення кримінального провадження, доцільно було б врахувати й інші категорії суб’єктів персональних даних, щодо яких повинні вестися різні бази даних (осіб, які притягаються до адміністративної відповідальності; осіб, щодо яких здійснюється оперативно-розшукова діяльність; осіб, щодо яких повинен вестися профілактичний облік тощо). 12.4. Згідно з ч. 1 ст. 70 проекту, у зв’язку з обробкою персональних даних в цілях правоохоронної діяльності, реалізація прав суб’єктів персональних даних, передбачених статтями 18, 19 та 21 - 24 цього Закону, може бути обмежена у випадках та порядку, передбачених законом і лише з метою недопущення: 1) розголошення інформації, що становить державну таємницю, таємницю слідства, розвідувальну таємницю; 2) перешкоджання проведенню слідчих, розшукових, розвідувальних дій; 3) загроз для громадської чи національної безпеки; 4) загроз для життя, здоров’я чи порушення прав і свобод інших осіб. Проте проектом не визначаються випадки та порядок здійснення такого обмеження, а вказується тільки його мета, що є прогалиною у регулюванні такого виду відносин. 13. Новелою проекту є пропозиція накладати на фізичних та юридичних осіб фінансові санкції за порушення вимог Закону (розділ ХІ проекту).
10 У зв’язку з цим звертаємо увагу, що наразі передбачена адміністративна відповідальність за порушення законодавства у сфері захисту персональних даних, зокрема, за: неповідомлення або несвоєчасне повідомлення Уповноваженого Верховної Ради України з прав людини про обробку персональних даних або про зміну відомостей, які підлягають повідомленню згідно із законом, повідомлення неповних чи недостовірних відомостей (ч. 1 ст. 188-39 Кодексу України про адміністративні правопорушення; далі – КУпАП), невиконання законних вимог (приписів) Уповноваженого Верховної Ради України з прав людини або визначених ним посадових осіб секретаріату Уповноваженого Верховної Ради України з прав людини щодо запобігання або усунення порушень законодавства про захист персональних даних (ч. ч. 2, 3 ст. 188-39 КУпАП), недодержання встановленого законодавством про захист персональних даних порядку захисту персональних даних, що призвело до незаконного доступу до них або порушення прав суб’єкта персональних даних (ч.ч. 4, 5 ст. 188-39 КУпАП). З огляду на це, КУпАП потребує змін як в частині перегляду складів адміністративних правопорушень, за які передбачається адміністративна відповідальність у сфері захисту персональних даних, так і в частині повноважень органів державної влади, зокрема, Уповноваженого Верховної Ради України з прав людини, оскільки у проекті не передбачаються виконання ним повноважень у сфері захисту персональних даних. Проте такі зміни разом з законопроектом на розгляд Верховної Ради України не вносилися. 14. У той час як редакція ч. 1 ст. 1 проекту поширює дію законодавчої пропозиції на відносини, пов’язані з обробкою персональних даних, що містяться у картотеці чи призначені до внесення до картотеки, із застосуванням неавтоматизованих засобів, та ст. 2 проекту містить визначення «картотека персональних даних», далі по тексту зазначені питання не унормовуються. Проте, обробка відповідної інформації у картотеках, вочевидь, має певні особливості у порівнянні із опрацюванням даних у електронних інформаційнотелекомунікаційних системах. 15. Окремі положення проекту викладені редакційно невдало та потребуватимуть техніко-юридичного виправлення. 15.1. У ч. 1 ст. 2 проекту у визначення «контролюючий орган» зазначається «Закон про орган». 15.2. У п. 1 ч. 1 ст. 4 проекту йдеться про «поінформованість суб’єкта … про обробку їхніх персональних даних». 15.3. Потребує корегування редакція ч. 1 ст. 28 проекту, відповідно до якої «контролери та оператори вживати належні технічні та організаційні заходи для забезпечення обробки персональних даних». 15.4. У п. 1 ч. 4 ст. 37 проекту у повідомленні про витік пропонується включати серед іншого «кількість реєстраційний записів персональних даних, яких стосується витік». Проте, в тексті проекту не визначено поняття «реєстраційні записи персональних даних». 15.5. Потребує уточнення ч. 6 ст. 39 проекту, що містить посилання на п.п. 3, 5 ст. 5 проекту, адже ст. 5 складається з п’яти частин, а ч. 1 поділена на
11 6 пунктів. 15.6. Не можна однозначно зрозуміти, що саме мається на увазі під «витратами надання електронних комунікаційних послуг, які виникли в зв’язку з порушенням», про якій йдеться у ч. 2 ст. 58 проекту. Керівник Головного управління Вик.: О. Макаренко, О. Куціпак, Л. Демчук, Т. Ткач, М. Лубська, В. Грицак
С. Тихонюк