Законопроект предусматривает имплементацию в национальное законодательство основных положений Общего регламента о защите данных (GDPR):
- введено принципы обработки персональных данных (законность, добросовестность, прозрачность, минимизации обработки, ограничения цели и др.);
- пересмотрены и детализированы основные 6 оснований для обработки персональных данных;
- имплементирован весь перечень прав субъектов персональных данных по GDPR (право на информацию, на забвение, исправление, мобильность данных, защита от автоматизированного принятия решения и др.);
- детализировано условия законности и правомерности получения согласия на обработку;
- предложено понятие чувствительных персональных данных и их перечень на замену персональным данным, которые составляют особый риск для прав и свобод субъектов;
- предусмотрены отдельные положения по обработке персональных данных государственными органами, работодателями, в связи с осуществлением видеонаблюдения, аудио-, видеофиксации публичных мероприятий, с целью прямого маркетинга, предвыборной агитации и политической рекламы;
- имплементирована обязанность контроллера персональных данных по соблюдению принципов "privacy by default" и "privacy by design";
- предусмотрена обязанность контроллера осуществлять регистрацию операций по обработке персональных данных и составления соответствующих протоколов
- предусмотрена должность лица по вопросам защиты персональных данных и ее обязанности. В целом это должно быть лицо, имеющее опыт работы в сфере защиты персональных данных и степень образования не ниже бакалаврской. Для занятия должности ответственного лица по вопросам защиты персональных данных в государственных органах предусматривается необходимость сдачи квалификационного экзамена;
- предусмотрена возможность возмещения лицом вреда, причиненного в результате нарушения прав;
- для иностранных контролеров предусмотрена обязанность назначить представителя на территории Украины.
Есть в этом законопроекте необычные и интересные положения. Так, он предусматривает порядок получения информации о лицах, осуществляющих нежелательные или злонамеренные вызовы (звонки) и сообщения. Это означает, что пользователь (абонент) сможет законно получить от мобильного оператора идентифицирующую информацию о лице, которое осуществляет нежелательные вызовы и использовать ее в дальнейшем с целью защиты своих прав (например, при направлении заявления в полицию).
Законопроект не обходит и вопрос ответственности за нарушение законодательства в сфере охраны персональных данных, в частности, путем наложения штрафа:
- на физическое лицо в размере от 10000 до 30000 гривен;
- на юридическое лицо в размере от 0,05% до 0,1% от общегодового оборота, но не менее 30 000 гривен, а для некоторых категорий нарушений не менее 100 или 300 тысяч гривен.
Имеем положительные ожидания, что законопроект будет принят Верховной Радой Украины и заработает уже в 2023 году.