В епоху цифрових технологій персональні дані стали важливим ресурсом. Їх збирають і обробляють практично всі компанії – від банків, ритейлерів та медичних установ до магазинів і соціальних мереж.

Це можуть бути навіть такі речі, як розумні термостати чи холодильники, які аналізують інформацію про користувачів.

Бізнес обробляє персональні дані на різних етапах, наприклад, акумулюючи інформацію про своїх співробітників – їхні контактні дані, банківські реквізити чи історію роботи.

Обговорення змін до законодавства про захист персональних даних в Україні триває вже кілька років.

Проте після того, як Україна стала кандидатом на вступ до ЄС, ця тема зрушила з місця.

У листопаді 2024 року Верховна Рада прийняла у першому читанні законопроєкт №8153, який пропонує запровадити зміни в захисті персональних даних, імплементувавши General Data Protection Regulation (GDPR) – загальний регламент про захист даних, який діє в ЄС.

Європейські правила захисту даних GDPR дозволяють країнам-членам ЄС адаптувати окремі аспекти до національних особливостей. Зокрема, це стосується таких питань:

• з якого віку можна давати згоду на обробку даних;
• як обробляти чутливу інформацію;
• чи можна обробляти дані в інтересах суспільства;
• як балансувати між правом на інформацію та правом на захист даних;
• а також санкції та штрафи.

В Україні розробники законопроєкту запевняють, що зміни відповідатимуть стандартам GDPR, але бізнес все одно має питання щодо реалістичності впровадження цих змін, наявності перехідних періодів для адаптації та можливості їх практичного виконання.

Одне з найбільших питань – це штрафи.

У GDPR максимальний штраф складає 4% загального річного обороту компанії за останній звітний рік, але в українському законопроєкті штрафи вдвічі більші – 8%.

Це створює додаткові ризики для бізнесу, який працює в складних умовах, зумовлених повномасштабною війною, і робить майбутнього регулятора в цій сфері одним із лідерів серед контролюючих органів за розміром штрафів на бізнес.

Також законопроєкт встановлює заборону на обробку персональних даних осіб, які не досягли 14 років, для цілей прямого маркетингу та профілювання. Це, без сумніву, правильна вимога, однак вона наразі є складною для реалізації в українських реаліях.

В Україні законодавчо закріплено право отримувати послуги мобільного зв’язку без ідентифікації особи. Зараз близько 85% абонентів користуються мобільними послугами анонімно.

Оператори мобільного зв'язку, не знаючи віку абонента, автоматично стануть порушниками вимог GDPR.

Законопроєкт також передбачає розкриття на вимогу одного абонента інформації про іншого, зокрема його персональних даних, у боротьбі з небажаною рекламою. Однак ця норма може порушувати права інших осіб, оскільки передбачає надання їхніх даних без згоди.

Враховуючи, що 85% абонентів користуються такими послугами анонімно, це може створити ризик для національної безпеки.

У країнах-членах ЄС вже є приклади регулювання поширення реклами без шкоди правам споживачів, тому це питання потребує перегляду в законопроєкті №8153.

Щоб адаптуватися до нових вимог, бізнесу потрібно провести аудит своїх процесів, розробити нові політики, навчити персонал і впровадити відповідні технічні заходи. Однак багато компаній в Україні наразі не мають необхідних інструментів та інструкцій для цього.

Опитування, проведене Американською торговельною палатою в Україні, показало: 41% опитаних компаній вважають, що оптимальний термін адаптації до нових вимог має становити три роки.

Водночас 76% респондентів зазначили, що в Україні відсутні необхідні локальні ІТ-продукти для виконання нових вимог, 71% вказали на нестачу стандартизованих документів для перевірки бізнес-процесів, а 59% звернули увагу на відсутність освітніх програм для фахівців у цій галузі.

Запровадження нових правил захисту персональних даних – це важливий етап на шляху України до ЄС. Однак для успішної імплементації необхідно знайти баланс між інтересами всіх сторін, забезпечити прозорість процесу та підтримати відкритий діалог.

Бізнесу потрібен чіткий план адаптації, передбачувані вимоги та доступ до детальної інформації про зміни, які будуть внесені до законопроєкту №8153 перед його другим читанням.

Без цього є ризик хаотичного внесення норм, що може в подальшому створити додаткові труднощі як для бізнесу, так і для держави.

Публікації в рубриці "Колонки" не є редакційними статтями та відображають винятково точку зору авторів