Jak działa ochrona danych osobowych w Ukrainie?

Od lutego 2022 roku czytamy codziennie wiadomości z Ukrainy, śledzimy najnowsze wydarzenia oraz interesujemy się historią tego kraju. A co wiemy o ochronie danych osobowych w sąsiednim państwie? Czy w Ukrainie obowiązują przepisy o ochronie danych osobowych? Tak.

Czy działają poprawnie? Czy Ukraińcy i Ukrainki wiedzą o nich oraz ich postrzegają? Czy są im potrzebne? O tym dowiemy się niebawem. Ponieważ, jak to już jest w dziedzinie ochrony danych osobowych, przepisy te ciągle potrzebują zmian zgodnie z wymogami stanu obecnego w świecie ochrony danych.

Jak nazywają się akty prawne chroniące dane osobowe w Ukrainie?

Zacznijmy od listy obowiązujących przepisów dotyczących ochrony danych osobowych w Ukrainie:

1. Ustawa Ukrainy o ochronie danych osobowych nr 2297-VI z dnia 1 czerwca 2010 r. („UODO”, „Ustawa”). Najnowsze zmiany do ustawy – 16.09.2022 (podstawa 2075-IX dotycząca świadczenia usług w chmurze).
2. Wytyczne w sprawie przetwarzania danych osobowych przyjęte przez Rzecznika Praw Człowieka Ukrainy nr 1/02-14 z dnia 8 stycznia 2014 r.
3. Wytyczne w sprawie wykonywania kontroli przez Rzecznika Praw Człowieka nad przestrzeganiem przepisów o ochronie danych osobowych przyjęte przez Zarządzenie nr 1/02-14 Rzecznika Praw Człowieka parlamentu ukraińskiego z dnia 8 stycznia 2014 r.
4. Wytyczne dotyczące powiadamiania Rzecznika Praw Człowieka parlamentu ukraińskiego o przetwarzaniu danych osobowych wysokiego ryzyka, departamentu lub osoby odpowiedzialnej za organizację prac związanych z ochroną danych osobowych w związku z przetwarzaniem i publikowaniem takich danych, przyjęte przez Rzecznika Praw Człowieka ukraińskiego parlamentu rozporządzeniem nr 1/02-14 z dnia 8 stycznia 2014 r.

Na czym opiera się UODO w Ukrainie?

UODO, podobnie jak RODO, została napisana w oparciu o Dyrektywę 95/46/WE Parlamentu Europejskiego i Rady z dnia 24 października 1995 r. w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych. Jednak w przeciwieństwie do RODO, które opracowano tak, aby jego postanowienia pozostawały aktualne przez długi czas, niektóre przepisy ustawy ukraińskiej nie odpowiadają obecnemu poziomowi rozwoju technologii informatycznych oraz wymogom międzynarodowym w dziedzinie ochrony danych osobowych.

Zgodnie z UODO ustawodawstwo dotyczące ochrony danych osobowych składa się z Konstytucji Ukrainy, Ustawy, innych ustaw oraz podporządkowanych aktów prawnych, umów międzynarodowych, na które została wydana zgoda Rady Najwyższej Ukrainy. Naruszenie przepisów o ochronie danych osobowych pociąga za sobą odpowiedzialność określoną przez prawo.

Jakie instytucje stoją na straży danych osobowych w Ukrainie?

Jak już widzimy, przestrzeganie zasad w dziedzinie ochrony danych osobowych w Ukrainie kontrolowane jest przez urząd państwa. Zgodnie z UODO odpowiedzialnymi za ochronę danych osobowych są Rzecznik Praw Człowieka w zakresie ochrony danych osobowych („Rzecznik”) oraz sądy. Przy Rzeczniku działa Departament Ochrony Danych Osobowych, w którym zaangażowano nie więcej niż 20 pracowników. Z kolei urzędy ochrony danych osobowych państw członkowskich UE mają rozbudowaną strukturę i kilkuset pracowników zaangażowanych w różne aspekty wdrażania kontroli i monitorowania zgodności z RODO.

Zgodnie z wytycznymi Rzecznik, poza innymi funkcjami, sprawuje nadzór nad przestrzeganiem przepisów o ochronie danych osobowych. W tym celu, na podstawie skarg osób prawnych oraz osób fizycznych, a także z własnej inicjatywy, przeprowadza kontrole zgodności z wymogami odpowiednich przepisów prawa. Podmiotami takiej kontroli są właściciele i administratorzy danych osobowych, którymi zgodnie Ustawą, mogą być przedsiębiorstwa, instytucje i organizacje wszelkich form własności, organy państwowe lub samorządowe, przedsiębiorcy indywidualni, którzy przetwarzają dane osobowe.

Rzecznik w swoim corocznym raporcie o stanie przestrzegania i ochrony praw i wolności człowieka i obywatela Ukrainy zamieszcza sprawozdanie o stanie przestrzegania ustawodawstwa w dziedzinie ochrony danych osobowych.

Jak w Ukrainie przestrzega się przepisów o ochronie danych osobowych? Praktyka sądowa

Zobaczymy przykłady praktyki sądowej, opisane w ogólnoukraińskim profesjonalnym wydaniu prawniczym Gazeta Prawna online.

W dniu 07.12.2019 r. Prezes Zarządu towarzystwa ogrodniczego „Zaliskie” działając wbrew wymogom przepisów o ochronie danych osobowych nie zapewnił odpowiedniego stopnia ochrony danych osobowych osoby i rozpowszechniał jej dane osobowe na czacie komunikatora Viber, zamieszczając kopię odwołania wnioskodawcy z dnia 24.12.2019 r. do podmiotu prawnego. W odwołaniu, oprócz nazwiska, imienia oraz imienia ojca wnioskodawcy, podane zostały adres zameldowania, numer telefonu komórkowego oraz adres e-mail. W wyniku działania Prezesa Zarządu, do danych osobowych tej osoby dotarła nieokreślona liczba osób, co znaczy, że zostało naruszone prawo do ochrony danych osobowych od nielegalnego przetwarzania.

Przedstawiciel Rzecznika Praw Człowieka skierował sprawę do sądu. Na podstawie wyników rozpatrzenia sprawy nr 361/1579/20 z dnia 09.04.2020 Sąd Rejonowy miasta Browary obwodu Kijowskiego zdecydował o uznaniu przewodniczącego za winnego popełnienia przestępstwa oraz nałożenie na niego kary administracyjnej w postaci grzywny w wysokości 300 wolnych od podatku minimalnych dochodów obywateli, czyli 5100 hrywien (jest to w przeliczeniu na ten czas około $190).

W analogicznej sprawie nr 761/23532/20 Szewczenkowskiego Sądu Rejonowego w Kijowie z dnia 15.09.2020 r. osobę uznano winną popełnienia wykroczenia administracyjnego.

W katalogu orzeczeń sądowych ilość podobnych spraw jest dość mała. Co ciekawe, często nawet w przypadkach uznania osoby za winną popełnienia wykroczenia administracyjnego sądy nie nakładały kar pieniężnych i umorzyły postępowanie w związku z upływem terminu ich nałożenia. W wypadku wielu wykroczeń termin ten stanowi 3 miesiące od dnia popełnienia wykroczenia administracyjnego, a jeżeli wykroczenie wciąż trwa – nie później niż 3 miesiące od dnia jego wykrycia.

Jak widzimy z opisanych powyżej spraw temat ochrony danych osobowych nie ma dużego zainteresowania w prasie, nie pojawia się “na pierwszych stronach” gazet, a kary stosunkowo nie są wysokie. Na danym etapie ochrona danych osobowych nie jest tematem, który bardzo angażuje społeczeństwo ukraińskie.

Jakie są czy były plany zmian przepisów o ochronie danych osobowych w Ukrainie?

Mimo że reforma ukraińska, wprowadzona w zakresie ochrony danych osobowych, miała na celu zbliżenie przepisów ukraińskich do przepisów unijnych, nadal istnieje szereg różnic, które powodują głównie niższy poziom ochrony danych osobowych w Ukrainie. Niektóre z istotnych obowiązków przewidzianych przez RODO nie są zawarte w Ustawie (np. powiadomienie osoby, której dane dotyczą, o przypadkach naruszenia danych). Ukraińska ustawa nie reguluje oddzielnie przetwarzania danych osobowych małoletnich. UODO nie gwarantuje również tzw. „prawa do bycia zapomnianym”.

Dyskusja nad ewentualnymi projektami ustawy trwa od listopada 2019. W prace grupy roboczej zaangażowane były zarówno organy władzy, jak i przedstawiciele biznesu oraz społeczeństwa. Rozważano wtedy kilka projektów ustaw, które m.in. opierały się na RODO i przewidywały tworzenie nowego, niezależnego organu nadzorczego.

W grudniu 2019 r. Gabinet Ministrów Ukrainy przedłożył Radzie Najwyższej Ukrainy projekt ustawy nr 2671, który przewidywał nowelizację obowiązującej Ustawy w zakresie zgody na przetwarzanie danych osobowych. W szczególności projekt przewidywał ustalenie na poziomie legislacyjnym formularzy zgody, w tym formularza elektronicznego, który byłby aktywnie wykorzystywany w praktyce. Obecna Ustawa obecnie stosowanie formularza elektronicznego tylko w zakresie handlu elektronicznego. Jednak w marcu 2020 r. nowy rząd wycofał z parlamentu szereg projektów ustaw, w tym projekt ustawy nr 2671. Status projektu ustawy na dzisiaj: odrzucono.

W czerwcu 2021 r. w parlamencie został zarejestrowany projekt ustawy nr 5628 o ochronie danych osobowych. Projekt ustawy przewidywał, m.in.:

• ujednolicenie standardów ochrony danych osobowych z wymogami RODO,
• obowiązki weryfikacji zgodności procesów przetwarzania danych osobowych z międzynarodowymi standardami w zakresie praw człowieka przez organizacje,
• opracowanie kodeksów postępowania w zakresie ochrony danych osobowych, które będą stanowić kompleks zasad, standardów i procedur dla branż, sektorów czy niektórych organizacji,
• normy ochrony danych osobowych w sferze prawa pracy, które ograniczą pracodawcom możliwość nadmiernej ingerencji w prywatność pracownika.

Oprócz tego, projekt ustawy proponował znaczne zwiększenie wysokości sankcji zarówno dla osób fizycznych, jak i osób prawnych, które naruszają prawo, a administratora danych, w tym przedstawicieli przedsiębiorców, zobowiązywał do powiadomienia podmiotu danych osobowych w przypadku ich wycieku. Niestety, status tego projektu ustawy na dzisiaj: odrzucono oraz odsunięto z przeglądu.

W sierpniu 2021 r. organizacja pozarządowej „Internews-Ukraine” przedstawiła badanie projektu ustawy nr 5628 w zakresie Online Space Regulation Index. Zespół projektu zbadał strony internetowe 20 dużych prywatnych firm Ukrainy, działających w dziedzinie telekomunikacji, świadczenia usług dostępu do Internetu oraz usług online. Ocena podsumowująca badania projektu ustawy nr 5628 wyniosła +0,87 w skali od –5 do +5. Indeks ochrony danych osobowych jest pierwszym takim badaniem w Ukrainie, które przedstawia do szerokiej dyskusji danych osobowych użytkowników ukraińskich przez sektor prywatny.

Zminimalizuj ryzyko naruszenia RODO w Twojej organizacji – przeszkól zespół.

Zależy Ci na tym aby Twoi pracownicy otrzymali certyfikat i poznali praktyczną wiedzę z zakresu RODO zamiast nużących regułek?

Sprawdź nasze interaktywne szkolenia e-learningowe.

Sprawdź

Jak wygląda współpraca firm ukraińskich z rynkiem UE?

RODO ma działanie eksterytorialne. Firma Ukraińska wchodząca na rynek UE musi spełniać dokładnie te same wymogi, co każda działalność gospodarcza w UE, która przetwarza dane osobowe. Więc duża część firm ukraińskich, głównie w IT lub sektorze finansowym ma obowiązek przestrzegania zasad RODO.

Firma ze strefy RODO, która współpracuje z firmą ukraińską sama wdraża zasady RODO, organizuje szkolenia dla pracowników outsourcingowych, sprawdza oraz dba by wykorzystywanie danych osobowych odbywało się zgodnie z zasadami przetwarzania danych osobowych. Jest to proces kompleksowy, który wymaga współpracy dużej liczby osób w obu firmach – kierownictwa, prawników oraz specjalistów technicznych.

Ukraińskie firmy IT z własnej inicjatywy umieszczają na swoich stronach internetowych informacje o RODO. Jest to dobrym wskaźnikiem rozwoju – zapoznanie się z zasadami RODO pomaga ułatwić dostęp do rynku pracy UE oraz zwiększyć przewagę konkurencyjną. Na przykład:

• Security, GDPR, and IT outsourcing: how to get it right?
• Загальний регламент захисту даних

Aby zwiększyć świadomość prawną społeczeństwa w zakresie prawa do prywatności, Rzecznik Praw Człowieka wraz z Urzędem Rady Europy w Ukrainie we współpracy z internetowym studiem edukacyjnym EdEra utworzyli kurs online „Ochrona danych osobowych”. Po ukończeniu kursu wystawiany jest certyfikat. Zaawansowana wersja kursu została również opracowana dla urzędników służby cywilnej oraz osób, które bezpośrednio pracują z danymi osobowymi. Kurs został niedawno uruchomiony i jest bezpłatny.

Kursy o chronie danych osobowych pojawiają się również na innych platformach edukacyjnych oraz prawniczych (np. Prometheus, Legal IT Group). Ciekawym do zapoznania się z tematem jest również ukraińskie forum o RODO na portalu społecznościowym Facebook.

W 2021 r. przy finansowym wsparciu Unii Europejskiej i Rady Europy w Ukrainie opublikowano podręcznik “Ochrona danych osobowych: regulacje prawne i aspekty praktyczne” (autorzy: Markiian Bem,  Ivan Horodyskyi). Podręcznik jest ogólnodostępny.

Podsumowanie

Ustawa Ukrainy o ochronie danych osobowych nr 2297-VI z dnia 1 czerwca 2010 r. jest obecnie głównym aktem prawnym w dziedzinie ochrony danych osobowych w Ukrainie. Rzecznik Praw Człowieka w zakresie ochrony danych osobowych, zgodnie z wymogami Konstytucji Ukrainy, podlega kontroli Rady Najwyższej. Departament Ochrony Danych Osobowych Ukrainy nie posiada odpowiednich zasobów finansowych i organizacyjnych dla zabezpieczenia skutecznej ochrony danych osobowych. Organy ochrony danych osobowych państw członkowskich UE, natomiast, zostają wyjęte spod kontroli rządu, parlamentu czy sądu, gdyż zgodnie ze standardami unijnymi taki organ sprawuje kontrolę również nad organami i strukturami państwowymi, a zatem musi być niezależny. Jest to największym problemem w dostosowaniu przepisów Ukrainy do wymogów RODO.

UODO wprowadziła skuteczny mechanizm ochrony naruszonych praw w zakresie ochrony danych osobowych. Jest to w szczególności odwołanie/wniosek osoby, której prawa zostały naruszone, bezpośrednio do właściciela lub administratora jego danych osobowych, gdyż taki właściciel lub administrator chętnie oraz niezwłocznie zaspokoi jego odwołanie/wniosek w całości. Zaś w przypadku, gdy takie odwołanie/wniosek nie zostanie zaspokojone przez właściciela lub administratora, podmiotowi zawsze przysługuje prawo odwołania się do Rzecznika lub do sądu.

Pytanie o projekty ustaw, które przewidywałyby wprowadzenie zmian do obowiązującej ustawy lub uchwalenie nowej, zostaje jednak wciąż otwartym.