Уповноваженим ВРУ з прав людини надано практичні рекомендації щодо транскордонної передачі персональних даних у межах укладених Україною міжнародних договорів.
Створений застосунок "ДіЯ" насправді є базою даних, які будуть передані країнам Європи для використання.
Омбудсмен дослідила законодавство і зробила зауваження. Також виклала рекомендації, які потрібно втілити для захисту персональних даних.
Омбудсмен вважає, що механізм передачі персональних даних іншим державам не досконалий, а тому має бути вдосконалений.
Зважаючи на незворотність євроінтеграційного курсу України, закріпленого на рівні Конституції, наразі триває реформування законодавчого регулювання сфери захисту персональних даних з метою приведення національного законодавства у відповідність до кращих європейських стандартів.
Європейські стандарти у цій сфері ґрунтуються, зокрема, на:
Конвенції про захист осіб у зв’язку з автоматизованою обробкою персональних даних (далі – Конвенція 108);
Протоколі до Конвенції 108 (CETS 223);
Регламенті Європейського парламенту і Ради (ЄС) 2016/679 (далі - GDPR);
Директиві Європейського Парламенту і Ради (ЄС) 2016/680 про захист персональних даних для органів поліції та кримінальної юстиції (далі – Директива 2016/680);
Практиці Європейського суду з прав людини та Суду Європейського Союзу.
У пункті 11 Плану заходів з виконання Угоди про асоціацію між Україною, з однієї сторони, та Європейським Союзом, Європейським співтовариством з атомної енергії і їхніми державами-членами, з іншої сторони, затвердженого постановою Кабінету Міністрів України від 25.10.2017 № 1106, передбачено завдання щодо удосконалення законодавства про захист персональних даних з метою приведення його у відповідність до GDPR.
Наразі у Верховній Раді України зареєстровано проєкт оновленого Закону України про захист персональних даних, який розроблено із урахуванням більшості вимог, відображених у GDPR.
Також 18 жовтня цього року зареєстровано проєкт Закону України про Національну комісію з питань захисту персональних даних та доступу до публічної інформації. Ці досягнення є першими кроками на шляху до імплементації європейських стандартів в українське законодавство.
Тож з метою запобігання створенню перешкод у здійсненні Україною наступних євроінтеграційних кроків варто під час укладення та подальшого оновлення міжнародних договорів враховувати стандарти ЄС у цій сфері і створювати всі умови для посилення захисту персональних даних у контексті транскордонного обміну.
Чинним Законом України «Про захист персональних даних» (далі – Закон) передбачено, що передача персональних даних іноземним суб’єктам відносин, пов’язаних із персональними даними, здійснюється лише за умови забезпечення відповідною державою належного захисту персональних даних у випадках, встановлених законом або міжнародним договором України. При цьому Законом визнано, що держави-учасниці Європейського економічного простору, а також держави, які підписали Конвенцію 108, визнаються такими, що забезпечують належний рівень захисту персональних даних. Перелік держав, які підписали зазначену Конвенцію, розміщено на офіційному вебсайті Ради Європи: https://www.coe.int/en/web/conventions/full-list?module=signatures-bytreaty&treatynum=108.
Стосовно інших держав, то Закон передбачає, що перелік тих із них, які забезпечують належний захист персональних даних для здійснення передачі з території України, визначає Кабінет Міністрів України.
Проте наразі такий перелік відсутній.
Також варто зауважити, що як сторона Конвенції 108 в межах частини третьої статті 12 Україна має право заборонити транскордонну передачу даних, якщо:
- її законодавство містить конкретні положення для автоматизованої обробки певних категорій персональних даних або файлів персональних даних у зв'язку з особливостями цих даних або файлів, за винятком випадків, коли положення іншої Сторони забезпечують аналогічний захист;
- якщо передача даних здійснюється з її території на територію Держави, що не є Договірною Державою Конвенції 108, через територію іншої Сторони, для запобігання порушенню такою передачею законодавства України.
Отже, згідно з чинним законодавством станом на сьогодні передача персональних даних у рамках укладених Україною міжнародних договорів є правомірною лише до іноземних суб’єктів відносин тих держав, які є учасницями Європейського економічного простору та/або підписали Конвенцію 108.
Чинним законодавством України у сфері захисту персональних даних окремі вимоги до транскордонної передачі персональних даних іноземним суб’єктам у контексті співпраці з правоохоронною метою наразі не встановлено. Водночас у контексті євроінтеграції України є доцільним врахування європейського досвіду з метою подальшої імплементації високих стандартів, зокрема належного захисту персональних даних під час їх транскордонної передачі іноземним суб’єктам відносин із правоохоронною метою.
GDPR, положення якого застосовуються і поза територією ЄС у випадках передбачених пунктом 2 статті 3, визначають, що питання про опрацювання персональних даних, яке здійснюють органи державної влади для цілей запобігання, розслідування, виявлення або переслідування за вчинення кримінальних злочинів або для виконання кримінальних покарань, у тому числі захисту від або запобігання загрозам суспільній безпеці, підлягає врегулюванню уточненим спеціальним нормативно-правовим актом Союзу, а саме Директивою 2016/680.
Відповідно до параграфа 64 Преамбули Директиви 2016/680 передача персональних даних до третьої країни або міжнародної організації може мати місце у випадках, коли Європейська комісія вирішила, що третя країна або міжнародна організація, про яку йдеться, забезпечує належний рівень захисту, якщо були передбачені відповідні гарантії або коли застосовуються відступи для конкретних ситуацій.
Якщо персональні дані передаються із Союзу володільцям, розпорядникам або іншим одержувачам у третіх країнах або міжнародних організаціях, рівень захисту фізичних осіб, передбачений у Союзі Директивою, не повинен ставитися під загрозу, в тому числі у випадках, коли здійснюється подальша передача персональних даних такою третьою країною або міжнародною організацією іншим володільцям або розпорядникам в межах тієї самої третьої країни чи іншій третій країні або міжнародній організації.
Водночас у статті 37 Директиви 2016/680 передбачено, що у разі відсутності рішення Європейської комісії згідно зі статтею 36 (3) держави-члени забезпечують, щоб передача персональних даних до третьої країни або міжнародної організації мала місце у разі якщо:
(а) відповідні гарантії щодо захисту персональних даних передбачені в юридично зобов'язуючому документі; або (b) володілець оцінив усі обставини, пов’язані з передачею персональних даних, і дійшов висновку, що існують відповідні гарантії щодо захисту персональних даних. При цьому володілець повинен інформувати наглядовий орган про категорії даних, що передаються, згідно з пунктом (b). Крім того, коли передача здійснюється на підставі пункту (b), вона повинна бути задокументована, а відповідна документація надається наглядовому органу на його запит, включаючи дату та час передачі, інформацію про 7 компетентний орган, що отримує дані, обґрунтування передачі та переданих персональних даних.
У разі відсутності рішення Європейської комісії згідно зі статтею 36 (3) або належних гарантій відповідно до статті 37 держави-члени забезпечують, щоб передача або категорія передач персональних даних до третьої країни або міжнародної організації відбувалася винятково за умови її необхідності: (а) з метою захисту життєво важливих інтересів суб'єкта даних або іншої особи; (b) для захисту законних інтересів суб'єкта даних, якщо це передбачено законодавством держави-члена, що передає персональні дані; (c) для запобігання безпосередній і серйозній загрозі суспільній безпеці державичлена або третьої країни; (d) в окремих випадках для цілей, викладених у статті 1 (1); або (e) в окремій справі щодо встановлення, здійснення або захисту юридичних вимог, що стосуються цілей, викладених у статті 1 (1).
При цьому персональні дані не передаються, якщо компетентний орган, що передає інформацію, визначить, що фундаментальні права та свободи відповідного суб'єкта даних перевищують суспільний інтерес у передачі, встановленому пунктами (d) та (e).
Така передача також повинна бути задокументована, а відповідна документація надається наглядовому органу на його запит, включаючи дату та час передачі, інформацію про компетентний орган, що отримує дані, обґрунтування передачі та переданих персональних даних.
Ураховуючи викладене, у перехідний період до того, як європейські стандарти повною мірою стануть частиною українського законодавства, потребує врегулювання питання забезпечення належного захисту персональних даних іноземними суб’єктами відносин, які у розумінні українського законодавства наразі його не забезпечують під час імплементації міжнародних договорів.
Зважаючи на викладене, центральним органам виконавчої влади, що виконують правоохоронну функцію, рекомендується ініціювати розроблення та укладення Україною окремих міжнародних договорів про захист персональних даних, якими обмінюються з правоохоронною метою, із кожною країною, що не є учасницею Європейського економічного простору та/або не підписала Конвенцію 108.
Тому під час розробки проєктів міжнародних договорів, стороною яких є Україна, рекомендується включати до них такі положення:
Сторони здійснюють обмін персональними даними в межах цієї Угоди відповідно до вимог національного законодавства своїх держав із урахуванням взятих ними міжнародних зобов’язань у цій сфері та вимог, встановлюваних запитуваною Стороною.
У разі якщо окремі положення національного законодавства Сторін у сфері захисту персональних даних різняться, кожне таке питання вирішується індивідуально шляхом прийняття спільного рішення за результатами консультацій між компетентними органами Сторін за цією Угодою.
У запитах Сторін про передачу персональних даних зазначається мета передачі, обсяг персональних даних, які передаються, і порядок їх обробки. У разі відсутності таких відомостей Сторонам не дозволяється передавати персональні дані. Запитувана Сторона у відповіді на запит може встановити граничний строк та будь-які обмеження щодо обробки персональних даних запитуючою Стороною.
Персональні дані можуть передаватись лише компетентним органам держав Сторін, визначеним в цій Угоді, та уповноваженим ними посадовим особам. Персональні дані можуть передаватись тільки з метою, зазначеною у цій Угоді, та в обсязі, що є пропорційним до цієї мети.
Сторони не здійснюватимуть передачі персональних даних з іншою метою, 10 ніж зазначено в Угоді, та вживатимуть необхідних заходів для забезпечення здійснення подальшої обробки даних винятково з такою метою. При цьому Сторони враховують заборони щодо передачі даних, встановлені національним законодавством своїх держав.
Передача даних не відбувається у разі якщо запитувана Сторона має підстави вважати, що така передача суперечить вимогам національного законодавства її держави, взятим нею міжнародним зобов’язанням або може завдати шкоди правам суб'єктів персональних даних.
У разі передачі персональних даних, що не підлягали передачі, запитуюча Сторона терміново повідомляється про це та зобов’язується знищити такі дані, про що надсилає відповідне повідомлення запитуваній Стороні.
Сторони гарантують дотримання принципу обмеженого зберігання даних, який полягає в тому, що персональні дані не зберігатимуться у формі, що дає змогу ідентифікувати суб’єктів, довше, ніж це необхідно для досягнення мети, визначеної у цій Угоді.
Запитуюча Сторона може передавати отримані в межах цієї Угоди персональні дані третій стороні лише з письмового дозволу запитуваної Сторони та за умови, що третя сторона забезпечує належний рівень захисту персональних даних у розумінні національного законодавства запитуваної Сторони.
У запиті на письмовий дозвіл запитуюча Сторона повинна надати інформацію про обсяг і категорії даних, які вона має намір передати третій стороні, про третю сторону, якій передаються дані, а також про правові підстави та цілі передачі.
Запитуюча Сторона може також передавати персональні дані третій стороні без попереднього дозволу запитуваної Сторони, лише якщо це обумовлено захистом життєво важливих інтересів суб'єкта персональних даних або інших фізичних осіб. У такому разі запитуюча Сторона невідкладно інформує запитувану Сторону про обсяг і категорії персональних даних, про третю сторону, якій передано дані, відповідні правові підстави, ціль передачі та порядок подальшої комунікації з третьою стороною.
Для цілей цієї статті «третя сторона» розуміється як будь-яка особа, орган, установа, організація, в тому числі міжнародна, не включена до переліку компетентних органів за цією Угодою, за винятком власне суб’єкта персональних даних та наглядових органів Сторін у сфері захисту персональних даних.
Передача і обробка особливих категорій персональних даних (чутливих), зокрема, про расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та 11 професійних спілках, засудження до кримінального покарання, а також даних, що стосуються здоров’я, статевого життя, біометричних або генетичних даних, в межах цієї Угоди заборонена. Зазначені категорії даних можуть передаватись і оброблятись лише у виняткових випадках, чітко передбачених національним законодавством запитуваної Сторони.
Сторони забезпечують належний рівень захисту персональних даних, переданих і отриманих за цією Угодою, шляхом вжиття визначених ними організаційних та технічних заходів безпеки, а також класифікації персональних даних на загальні та особливі категорії, суворого обмеження доступу до даних, встановлення порядку зберігання даних відповідно до їх категорії та із вжиттям пропорційних заходів безпеки та конфіденційності, а також використання методів псевдонімізації або шифрування даних. Сторони гарантують, що захист особливих категорій даних передбачатиме забезпечення посилених організаційних і технічних заходів безпеки.
Сторони вживають усіх необхідних заходів для достовірності, точності та актуальності персональних даних, що передаються, а також для їх пропорційності цілям. У разі якщо після передачі даних будь-якій Стороні стане відомо про їх недостовірність/непропорційність вона має терміново повідомити про це іншу Сторону з метою внесення необхідних змін.
Отримані персональні дані знищуються або виправляються в таких випадках:
1) якщо було виявлено неточність персональних даних або їх непропорційність цілям обробки;
2) якщо запитувана Сторона повідомила, що раніше здійснена передача персональних даних визнана такою, що не відповідає вимогам національного законодавства її держави;
3) персональні дані більше не потрібні для досягнення цілей, визначених у цій Угоді;
4) у разі закінчення строку для обробки, що був безпосередньо встановлений запитуваною Стороною у відповіді на запит;
5) у разі припинення дії цієї Угоди.
Сторони гарантують ведення реєстру передачі та знищення персональних даних. Записи у реєстрі містять інформацію про обсяг персональних даних, що передавались, дату, час та цілі їх передачі, а також про компетентний орган/особу, який/яка передає, отримує або знищує персональні дані.
