Запровадження воєнного стану в Україні та відповідні зміни в Кримінальному процесуальному кодексі (КПК) суттєво вплинули на обробку персональних даних. Особливу увагу привертає їхня передача з Європейської економічної зони (ЄЕЗ) в Україну, що підпадає під суворе регулювання транскордонних передач відповідно до стандартів GDPR.
Транскордонна передача даних: ключові аспекти
Європейський Союз (ЄС) вимагає, щоб рівень захисту персональних даних у країні-одержувачі відповідав європейським стандартам. Для цього застосовується оцінка впливу передачі даних (Transfer Impact Assessment), яка аналізує, чи забезпечує законодавство країни-одержувача достатні гарантії для недопущення державного втручання у приватність осіб.
Як зазначено в рекомендаціях Європейської ради із захисту даних (EDPB), компанії мають розглядати як технічні, так і організаційні заходи для захисту переданих даних. Водночас у разі виявлення невідповідностей в оцінці ризиків передачі, необхідно вживати додаткових заходів.
Зміни в КПК та вплив на приватність
Останні зміни в кримінальному процесуальному законодавстві України значно розширили можливості правоохоронних органів у доступі до персональних даних:
- Розширення повноважень слідчих і прокурорів. У деяких випадках дозволяється обхід участі слідчого судді. Наприклад, прокурор може надати тимчасовий доступ до медичних, банківських та телекомунікаційних даних без судового дозволу.
- Обробка комп’ютерних даних. Законодавство визнає такі дані документами, що дозволяє проводити дії з копіювання, вилучення та огляду без окремого судового дозволу.
- Нові слідчі дії. Введено процедури зняття показань технічних пристроїв, копіювання відеозаписів із публічних місць та огляд інформації на комп’ютерних системах.
Такі нововведення створюють ризик зловживання повноваженнями в умовах воєнного стану. Зокрема, відсутність участі незалежного нагляду може суперечити стандартам ЄС щодо транскордонної передачі даних.
Рекомендації бізнесу щодо передачі даних
Міжнародний бізнес, що працює з Україною, має переоцінити свої політики передачі даних, зокрема:
- Проведення нової оцінки впливу передачі даних із урахуванням змін у КПК та воєнного стану.
- Розробка технічних заходів захисту, таких як шифрування та псевдонімізація даних.
- Посилення договірних гарантій із контрагентами в Україні, що забезпечать відповідність рівню захисту даних у ЄС.
У підсумку розширення повноважень правоохоронців під час воєнного стану змінює підхід до приватності та обробки персональних даних в Україні. Це потребує ретельної переоцінки політик міжнародного бізнесу для забезпечення відповідності європейським стандартам.
Автор статті: Дмитро Лещенко, PhD, адвокат, доцент.
Дмитро Лещенко буде лектором на курсі «GDPR і захист персональних даних», де детально розгляне практичні аспекти обробки персональних даних у різних юрисдикціях.
Першоджерело: https://telegra.ph/