Мастер-класс “LAW OF RAISING US CAPITAL”

11-13 сентября будет проходить Мастер-класс от известного на весь мир американского юриста Гордона Эйнштейна на тему “LAW OF RAISING US CAPITAL”.
Мастер-класс Гордона – это уникальная возможность узнать о тонкостях проведения ICO, регулировании криптовалют в США и инвестиционных рисках от юриста с мировой практикой.
Гордон – управляющий партнёр юридической фирмы Crypto Law Partners, основатель AdaptiveSky, имеет более 15 лет опыта в технологической сфере, и является официальным советником правительственных учреждений в Литве, Турции, Мальте и США. Гордон работает над формированием правовой базы для определения токенов и ICO.

В программе мастер-класса:
• История происхождения ценных бумаг;
• Выдача ценных бумаг, регистрация SEC и регулирование деятельности публичной компании;
• Продажа ценных бумаг и правило 901;
• Правило A + и регулирование CF;
• Закон инвестиционных банкиров и брокеров-дилеров;
• Деятельность и регулирование биржи ценных бумаг;
• Закон об инвестиционных фондах;
• Связь закона о ценных бумагах с децентрализованными технологиями.

Детальнее о мастер-классе на официальном сайте: https://raisinguscapital.com
И на facebook странице: https://www.facebook.com/events/266254130827782

РЕГЛАМЕНТ ЄВРОПЕЙСЬКОГО ПАРЛАМЕНТУ І РАДИ (ЄС) 2016/679 від 27 квітня 2016 року

 

РЕГЛАМЕНТИ

РЕГЛАМЕНТ ЄВРОПЕЙСЬКОГО ПАРЛАМЕНТУ І РАДИ (ЄС) 2016/679

від 27 квітня 2016 року

про захист фізичних осіб у зв’язку з опрацюванням персональних даних і про вільний рух таких даних, та про скасування Директиви 95/46/ЄС (Загальний регламент про захист

даних) (Текст стосується ЄЕП)

ЄВРОПЕЙСЬКИЙ ПАРЛАМЕНТ І РАДА ЄВРОПЕЙСЬКОГО СОЮЗУ, Беручи до уваги Договір про функціонування Європейського Союзу, зокрема його статтю 16, Беручи до уваги пропозицію Європейської Комісії, Після передавання проекту законодавчого акта національним парламентам, Беручи до уваги висновок Європейського економічно-соціального комітету (), Беручи до уваги висновок Комітету регіонів (“), Діючи згідно зі звичайною законодавчою процедурою (Ф), Оскільки: (1) Захист фізичних осіб під час опрацювання персональних даних є фундаментальним

правом. Статтею 8(1) Хартії фундаментальних прав Європейського Союзу («Хартія») і статтею 16(1) Договору про функціонування Європейського Союзу (ДФЄС) встановлено,

що кожна особа має право на захист своїх персональних даних. Принципи і норми щодо захисту фізичних осіб у зв’язку з опрацюванням їхніх персональних даних передбачають, незалежно від їхнього громадянства або місця проживання, дотримання їхніх фундаментальних прав і свобод, зокрема їхнього права на захист персональних даних. Цей Регламент спрямовано на сприяння формуванню простору свободи, безпеки і правосуддя, економічного союзу, соціально-економічному прогресові, зміцненню та конвергенції економік у межах внутрішнього ринку, підтриманню добробуту фізичних осіб. Директиву Європейського Парламенту і Ради 95/46/ЄС (4) спрямовано на гармонізацію захисту фундаментальних прав і свобод фізичних осіб під час опрацювання персональних даних та забезпечення вільного руху персональних даних між державамичленами.

(2)

(3)

(4) OB C 229, 31.07.2012, с. 90. (4) OB C 391, 18.12.2012, с. 127. (2) Позиція Європейського Парламенту від 12 березня 2014 року (ще не опубліковано в Офіційному віснику) і

позиція Ради в першому читанні від 8 квітня 2016 року (ще не опубліковано в Офіційному віснику). Позиція

Європейського Парламенту від 14 квітня 2016 року. (1) Директива Європейського Парламенту і Ради 95/46/ЄС від 24 жовтня 1995 року про захист осіб у зв’язку з

опрацюванням персональних даних і про вільний рух таких даних (OB L281, 23.11.1995, с. 31).

04.05.2016 UA Офіційний вісник Європейського Союзу L 119/1

I

(Законодавчі акти)

РЕГЛАМЕНТИ

РЕГЛАМЕНТ ЄВРОПЕЙСЬКОГО ПАРЛАМЕНТУ І РАДИ (ЄС) 2016/679

від 27 квітня 2016 року

про захист фізичних осіб у зв’язку з опрацюванням персональних даних і про вільний рух таких даних, та про скасування Директиви 95/46/ЄС (Загальний регламент про захист даних)

(Текст стосується ЄЕП)

ЄВРОПЕЙСЬКИЙ ПАРЛАМЕНТ І РАДА ЄВРОПЕЙСЬКОГО СОЮЗУ,

Беручи до уваги Договір про функціонування Європейського Союзу, зокрема його статтю 16,

Беручи до уваги пропозицію Європейської Комісії,

Після передавання проекту законодавчого акта національним парламентам, Беручи до уваги висновок Європейського економічно-соціального комітету (1), Беручи до уваги висновок Комітету регіонів (2), Діючи згідно зі звичайною законодавчою процедурою (3),

Оскільки:

(1) Захист фізичних осіб під час опрацювання персональних даних є фундаментальним правом. Статтею 8(1) Хартії фундаментальних прав Європейського Союзу («Хартія») і статтею 16(1) Договору про функціонування Європейського Союзу (ДФЄС) встановлено, що кожна особа має право на захист своїх персональних даних.

(2) Принципи і норми щодо захисту фізичних осіб у зв’язку з опрацюванням їхніх персональних даних передбачають, незалежно від їхнього громадянства або місця проживання, дотримання їхніх фундаментальних прав і свобод, зокрема їхнього права на захист персональних даних. Цей Регламент спрямовано на сприяння формуванню простору свободи, безпеки і правосуддя, економічного союзу, соціально-економічному прогресові, зміцненню та конвергенції економік у межах внутрішнього ринку, підтриманню добробуту фізичних осіб. (3) Директиву Європейського Парламенту і Ради 95/46/ЄС (4) спрямовано на гармонізацію захисту фундаментальних прав і свобод фізичних осіб під час опрацювання персональних даних та забезпечення вільного руху персональних даних між державами- членами.

(4) Опрацювання персональних даних призначено для служіння людству. Право на захист персональних даних не є абсолютним правом; воно повинне розглядатися в зв’язку з

__________ (1) ОВ C 229, 31.07.2012, с. 90. (2) ОВ C 391, 18.12.2012, с. 127. (3) Позиція Європейського Парламенту від 12 березня 2014 року (ще не опубліковано в Офіційному віснику) і позиція Ради в першому читанні від 8 квітня 2016 року (ще не опубліковано в Офіційному віснику). Позиція Європейського Парламенту від 14 квітня 2016 року. (4) Директива Європейського Парламенту і Ради 95/46/ЄС від 24 жовтня 1995 року про захист осіб у зв’язку з

опрацюванням персональних даних і про вільний рух таких даних (ОВ L 281, 23.11.1995, с. 31).

його функцією в суспільстві та бути збалансованим з іншими фундаментальними правами згідно з принципом пропорційності. У цьому Регламенті дотримано всі фундаментальні права та свободи і принципи, визнані у Хартії, як це передбачено в Договорах, зокрема щодо поваги до приватного та сімейного життя, житла та спілкування, захисту персональних даних, свободи думки, совісті та віросповідання, свободи вияву поглядів та свободи інформації, свободи підприємництва, права на дієвий засіб правового захисту та справедливий суд, а також — культурного, релігійного та мовного різноманіття.

(5) Економічна та соціальна інтеграція як результат функціонування внутрішнього ринку спричинила істотне зростання транскордонних потоків персональних даних. Зріс обмін персональними даними між публічними та приватними суб’єктами, в тому числі фізичними особами, асоціаціями та підприємствами на рівні Союзу. Відповідно до законодавства Союзу, національні органи держав-членів закликають до співпраці та обміну персональними даними для надання їм можливості виконувати свої обов’язки або завдання від імені органу в іншій державі-члені.

(6) Стрімкий технологічний розвиток і глобалізація призводять до виникнення нових труднощів для захисту персональних даних. Масштаби збирання та спільного використання персональних даних суттєво зросли. Технології дозволяють як приватним компаніям, так і публічним органам користуватися персональними даними в безпрецедентних масштабах з метою реалізації своєї діяльності. Фізичні особи дедалі частіше надають доступ до персональної інформації для громадськості та в глобальному масштабі. Технології змінили як економіку, так і суспільне життя і повинні надалі стимулювати вільний рух персональних даних у межах Союзу та передавання їх до третіх країн і міжнародних організацій, забезпечуючи при цьому високий рівень захисту персональних даних.

(7) Такі зміни вимагають наявності міцних та більш узгоджених засад щодо захисту даних у Союзі, із запровадженням належного механізму виконання, беручи до уваги важливість формування довіри, що дозволить розвиток цифрової економіки на рівні внутрішнього ринку. Фізичні особи повинні мати контроль щодо власних персональних даних. Необхідно зміцнити правову та практичну визначеність для фізичних осіб, суб’єктів господарювання і органів публічної влади.

(8) Якщо цим Регламентом передбачено уточнення або обмеження його норм законодавством держав-членів, у такому разі останні можуть, мірою необхідності узгодження і забезпечення розуміння положень національного законодавства особами, на які вони поширюються, інкорпорувати елементи цього Регламенту у своє національне законодавство.

(9) Цілі та принципи Директиви 95/46/ЄС зберігають свою силу, проте це не запобігає фрагментації в процесі реалізації захисту даних у межах Союзу, правовій невизначеності чи широкому розповсюдженню громадської думки про існування значних ризиків для захисту фізичних осіб, зокрема у зв’язку з діяльністю онлайн. Відмінності в рівні захисту прав і свобод фізичних осіб, зокрема права на захист персональних даних, у зв’язку з опрацюванням персональних даних у державах-членах можуть перешкоджати вільному потоку персональних даних всередині Союзу. Відповідно, такі відмінності можуть перешкоджати веденню економічної діяльності на рівні Союзу, спотворювати конкуренцію та заважати органам влади виконувати свої обов’язки відповідно до законодавства Союзу. Така відмінність у рівнях захисту виникає внаслідок відмінностей в ході імплементації та застосування Директиви 95/46/ЄС.

(10) Для забезпечення сталого та високого рівня захисту фізичних осіб і усунення перешкод для потоків персональних даних у межах Союзу, у всіх державах-членах рівень захисту прав і свобод фізичних осіб у зв’язку з опрацюванням таких даних повинен бути однаковим. Необхідно забезпечити послідовне та однорідне застосування норм щодо захисту фундаментальних прав і свобод фізичних осіб у зв’язку з опрацюванням

персональних даних у всьому Союзі. Якщо опрацювання персональних даних здійснюють для відповідності встановленим законом зобов’язанням, для виконання завдання суспільних інтересів або для здійснення офіційних повноважень, покладених на контролера, державам-членам необхідно дозволити мати або вводити положення національного законодавства для більш детального уточнення застосування норм цього Регламенту. Разом із загальним і горизонтальним законодавством, що регулює питання захисту даних, за допомогою якого імплементують Директиву 95/46/ЄС, держави-члени мають декілька секторальних законів у сферах, що потребують більш уточнених положень. Цей Регламент також надає простір для маневру для держав-членів в уточненні своїх норм, зокрема щодо опрацювання спеціальних категорій персональних даних («чутливих даних»). Відповідно, цей Регламент не виключає законодавство держави-члена у визначенні обставин особливих ситуацій опрацювання, зокрема в уточненні умов, за яких опрацювання персональних даних є правомірним.

(11) Дієвий захист персональних даних у всьому Союзі вимагає зміцнення та детального опису прав суб’єктів даних і обов’язків осіб, які здійснюють опрацювання і приймають рішення щодо опрацювання персональних даних, а також надання рівнозначних повноважень з моніторингу і забезпечення дотримання норм щодо захисту персональних даних та застосування відповідних санкцій за порушення прав у державах-членах.

(12) Стаття 16(2) ДФЄС уповноважує Європейський Парламент і Раду встановити норми щодо захисту фізичних осіб у зв’язку з опрацюванням персональних даних і норми про вільний рух персональних даних.

(13) Для забезпечення послідовного рівня захисту фізичних осіб у всьому Союзі та запобігання виникненню розбіжностей, що ускладнюють вільний рух персональних даних у межах внутрішнього ринку, необхідно, щоб Регламент забезпечував правову визначеність та прозорість для суб’єктів господарювання, у тому числі мікропідприємств, малих і середніх підприємств, надавав фізичним особам у всіх державах-членах однаковий рівень прав і зобов’язань, що мають юридичну силу, та обов’язків для контролерів і операторів, забезпечував постійний моніторинг опрацювання персональних даних, належні санкції у всіх державах-членах, а також дієву співпрацю між наглядовими органами різних держав-членів. Належне функціонування внутрішнього ринку вимагає, щоб вільний рух персональних даних у всьому Союзі не було обмежено чи заборонено з причин, пов’язаних із захистом фізичних осіб у зв’язку з опрацюванням персональних даних. Щоб врахувати особливу ситуацію мікропідприємств, малих і середніх підприємств, для організацій з численністю штатних працівників менше 250 осіб цим Регламентом передбачено відступ у частині ведення обліку. Окрім того, установи та органи влади Союзу, держави-члени, а також їхні наглядові органи закликають враховувати особливі потреби мікропідприємств, малих і середніх підприємств у ході застосування цього Регламенту. Поняття мікропідприємтв, малих і середніх підприємств повинно відповідати означенню, яке містять положення статті 2 додатку до Рекомендації Комісії 2003/361/ЄС (1).

(14) Захист, передбачений цим Регламентом, поширюється на фізичних осіб, незалежно від їхнього громадянства чи місця проживання, під час опрацювання їхніх персональних даних. Цей Регламент не поширюється на опрацювання персональних даних юридичних осіб та, зокрема, підприємств, заснованих як юридичні особи, які містять інформацію про найменування, організаційно-правову форму юридичної особи і контактну інформацію юридичної особи.

(15) Для запобігання виникненню серйозного ризику правопорушення, захист фізичних осіб повинен бути технологічно нейтральним і незалежним від методів, які використовують. Захист фізичних осіб застосовують до опрацювання персональних даних за допомогою автоматизованих і ручних засобів, якщо персональні дані містяться або призначення для __________ (1) Рекомендація Комісії від 6 травня 2003 року щодо означення мікропідприємств, малих і середніх підприємств

(C(2003) 1422) (OВ L 124, 20.05.2003, с. 36).

внесення до картотеки. На файли або групи файлів, а також їхні титульні сторінки, які не структуровано за спеціальними критеріями, дія цього Регламенту не поширюється.

(16) Цей Регламент не застосовують до питань захисту фундаментальних прав і свобод або вільного потоку персональних даних, пов’язаних з діяльністю поза межами законодавства Союзу, наприклад, діяльністю щодо національної безпеки. Цей Регламент не застосовують до опрацювання персональних даних державами-членами у ході діяльності щодо спільної зовнішньої та безпекової політики Союзу. (17) Регламент Європейського Парламенту і Ради (ЄС) No 45/2001 (1) застосовують до опрацювання персональних даних установами, органами, офісами та агентствами Союзу. Регламент (ЄС) No 45/2001 та інші нормативно-правові акти Союзу, застосовні до такого опрацювання персональних даних, необхідно адаптувати до принципів і норм, встановлених цим Регламентом та застосовних у зв’язку з ним. Для забезпечення міцних та узгоджених засад щодо захисту даних у Союзі, необхідно здійснити адаптацію Регламенту (ЄС) No 45/2001 після адаптації цього Регламенту, що дозволяє його застосування одночасно із застосуванням цього Регламенту.

(18) Цей Регламент не застосовують до опрацювання персональних даних фізичною особою у ході суто особистої або побутової діяльності, а, отже, жодним чином не пов’язаної з професійною або комерційною діяльністю. Особисту або побутову діяльність може становити ведення кореспонденції та зберігання адрес, або ведення соціальних мереж і онлайн-діяльності, розпочатої у контексті такої діяльності. Проте цей Регламент застосовують до контролерів і операторів, які надають засоби для опрацювання персональних даних для такої особистої або побутової діяльності.

(19) На захист фізичних осіб у зв’язку з опрацюванням персональних даних компетентними органами для цілей запобігання, розслідування, виявлення або переслідування за скоєння кримінальних злочинів або для виконання кримінальних покарань, у тому числі захисту від або запобігання загрозам громадській безпеці та вільному руху таких даних, поширюється застосування спеціального нормативно-правового акта Союзу. Відповідно, цей Регламент не можна застосовувати до опрацювання даних для таких цілей. Проте питання щодо опрацювання персональних даних, яке здійснюють органи публічної влади згідно з цим Регламентом, у разі їх використання для таких цілей, підлягає врегулюванню уточненим спеціальним нормативно-правовим актом Союзу, зокрема Директивою Європейського Парламенту і Ради (ЄС) 2016/680 (2). Держави-члени можуть доручити компетентним органам у значенні Директиви (ЄС) 2016/680 завдання, які необов’язково виконують для цілей запобігання, розслідування, виявлення або переслідування за скоєння кримінальних злочинів або для виконання кримінальних покарань, у тому числі захисту від або запобігання загрозам громадській безпеці, тому на опрацювання персональних даних для таких інших цілей, в частині, що стосується сфери застосування законодавства Союзу, поширюється дія цього Регламенту.

У сфері опрацювання персональних даних такими компетентними органами для цілей, на які поширюється сфера застосування цього Регламенту, державам-членам необхідно дозволити мати або вводити більш уточнені положення для адаптації застосування норм цього Регламенту. Такими положеннями можна більш чітко визначити спеціальні вимоги до опрацювання персональних даних такими компетентними органами для зазначених інших цілей з огляду на конституційну, організаційну та адміністративну структуру відповідної держави-члени. Якщо на опрацювання персональних даних приватними __________ (1) Регламент Європейського Парламенту і Ради (ЄС) No 45/2001 від 18 грудня 2000 року про захист осіб у зв’язку з опрацюванням персональних даних установами та органами Співтовариства і про вільний рух таких даних (ОВ L 8, 12.01.2001, с. 1). (2) Директива Європейського Парламенту і Ради (ЄС) 2016/680 від 27 квітня 2016 року про захист фізичних осіб у зв’язку з опрацюванням персональних даних компетентними органами для цілей запобігання, розслідування, виявлення або переслідування за вчинення кримінальних злочинів або виконання кримінальних покарань і про вільний рух таких даних, а також скасування Рамкового рішення Ради 2008/977/JHA (див. с. 89 цього Офіційного вісника).

органами поширюється сфера застосування цього Регламенту, у такому разі цей Регламент повинен надавати державам-членам можливість за особливих обставин вводити обмеження на законодавчому рівні щодо деяких обов’язків та прав у разі, якщо таке обмеження є необхідним і пропорційним заходом для захисту особливих важливих інтересів в демократичному суспільстві, зокрема для громадської безпеки та запобігання, виявлення чи переслідування за скоєння кримінальних злочинів або виконання кримінальних покарань, у тому числі захисту від або запобігання загрозам громадській безпеці. Це є доцільним наприклад у контексті боротьби проти відмивання грошей або діяльності лабораторій судових експертиз.

(20) Оскільки дія цього Регламенту поширюється, між іншим, на діяльність судів і інших судових органів, у законодавстві Союзу або держав-членів можна чітко визначити операції і процедури опрацювання, пов’язані з опрацюванням персональних даних судами та іншими судовими органами. Компетенція наглядових органів не повинна поширюватися на опрацювання персональних даних у ситуаціях, коли суди діють як судові органи, для збереження їхньої незалежності у ході виконання ними судових функцій, у тому числі в процесі вироблення й ухвалення рішень. Необхідно надати можливість покладання обов’язків з нагляду за операціями опрацювання таких даних на спеціальні органи в рамках судової системи держави-члена, які повинні, зокрема, забезпечувати дотримання норм цього Регламенту, підвищувати інформованість представників судових органів про їхні обов’язки за цим Регламентом і розглядати скарги у зв’язку з операціями опрацювання таких даних.

(21) Цим Регламентом дотримано застосування Директиви Європейського Парламенту і Ради 2000/31/ЄС (1), зокрема норм статей 12–15 зазначеної Директиви про відповідальність надавачів посередницьких послуг. Зазначену Директиву спрямовано на сприяння належному функціонуванню внутрішнього ринку шляхом забезпечення вільного руху надання послуг інформаційного суспільства між державами-членами.

(22) Будь-яке опрацювання персональних даних у контексті діяльності осідку контролера або оператора в Союзі необхідно здійснювати відповідно до цього Регламенту, незалежно від того, чи відбувається власне опрацювання в межах Союзу. Ефективна і реальна діяльність осідку передбачає стабільну організацію. У контексті згаданого правова форма такої організації, чи то через відділення, чи то через філію зі статусом юридичної особи, не є у цьому зв’язку визначальним фактором.

(23) Для того, щоб забезпечити, що фізичних осіб не позбавлено захисту, на який вони мають право за цим Регламентом, на опрацювання персональних даних суб’єктів даних, які перебувають в Союзі, контролером або оператором, що не мають осідку в Союзі, повинна поширюватися сфера застосування цього Регламенту, якщо діяльність з опрацювання стосується надання товарів або постачання послуг таким суб’єктам даних, незалежно від того, чи пов’язані вони з платежем. Для встановлення факту пропонування товарів або постачання послуг таким контролером або оператором суб’єктам даних, що перебувають в Союзі, необхідно переконатися у тому, чи є очевидним те, що контролер або оператор передбачає постачання послуг суб’єктам даних в одній або декількох державах-членах Союзу. Оскільки власне доступність у рамках Союзу веб-сайту контролера, оператора або посередника, або електронної адреси чи іншої контактної інформації, або використання мови, що є загальновживаною в третій країні, де має осідок контролер, є недостатньою для встановлення такого наміру, такі фактори як використання мови або валюти, що є загальноприйнятими в одній або декількох державах-членах, із можливістю замовити товари чи послуги тією іншою мовою, або згадування споживачів чи користувачів, що перебувають у Союзі, підтверджують те, що контролер передбачає надання товарів або постачання послуг суб’єктам даних у Союзі.

__________ (1) Директива Європейського Парламенту і Ради 2000/31/ЄС від 8 червня 2000 року про деякі правові аспекти послуг інформаційного суспільства, зокрема електронної комерції, на внутрішньому ринку («Директива про електронну комерцію») (ОВ L 178, 17.07.2000, с. 1).

(24) Опрацювання персональних даних суб’єктів даних, які перебувають у Союзі, контролером або оператором, що мають осідок поза межами Союзу, необхідно також здійснювати з урахуванням цього Регламенту в частині моніторингу поведінки таких суб’єктів даних тією мірою, якою їхня поведінка має місце в межах Союзу. Для того, щоб визначити, чи можна вважати діяльність з опрацювання такою, яку здійснюють для моніторингу поведінки суб’єктів даних, необхідно встановити, чи є фізичні особи об’єктами відстежування в Інтернеті, у тому числі, чи може мати місце подальше використання методик опрацювання персональних даних, що складаються з профайлінгу фізичної особи, зокрема для прийняття рішення щодо неї або нього чи для проведення аналізу, або передбачення її або його особистих переваг, поведінки чи ставлення.

(25) Якщо законодавство держави-члена застосовують в силу норм публічного міжнародного права, цей Регламент необхідно також застосовувати до контролера, що має осідок поза межами Союзу, зокрема при дипломатичній місії держави-члена чи консульській установі.

(26) Принципи захисту даних необхідно застосовувати до будь-якої інформації про фізичну особу, яку ідентифіковано чи можна ідентифікувати. Персональні дані із використанням псевдоніму, що можна приписати фізичній особі після використання додаткової інформації, необхідно розглядати як інформацію про фізичну особу, яку можна ідентифікувати. Щоб встановити можливість ідентифікації фізичної особи, необхідно взяти до уваги всі способи, що будуть використані з високою імовірністю, такі як відокремлення, контролером або іншою особою для ідентифікації фізичної особи прямо чи опосередковано. Для встановлення достатньої ймовірності використання способів для ідентифікації фізичної особи, необхідно взяти до уваги всі об’єктивні фактори, такі як витрати та період часу, необхідні для ідентифікації, з огляду на технології, наявні станом на момент опрацювання, і технологічні розробки. Принципи захисту даних, відповідно, не можна застосовувати до анонімної інформації, зокрема інформації, що не стосується фізичної особи, яку ідентифіковано чи можна ідентифікувати, або персональних даних, що стали анонімними у такий спосіб, що суб’єкта даних неможливо чи більше неможливо ідентифікувати. Таким чином цей Регламент не стосується опрацювання такої анонімної інформації, у тому числі, для статистичних або дослідницьких цілей.

(27) Цей Регламент не застосовують до персональних даних померлих осіб. Держави-члени

можуть вводити норми щодо опрацювання персональних даних померлих осіб.

(28) Використання псевдонімів до персональних даних може зменшити ризики для відповідних суб’єктів даних та допомогти контролерам і операторам у виконанні своїх обов’язків із захисту даних. Пряме введення означення «використання псевдоніму» у цьому Регламенті не передбачає обмеження будь-яких інших заходів щодо захисту даних.

(29) Для створення стимулів використання псевдоніму під час опрацювання персональних даних, заходи щодо використання псевдоніму повинні, дозволяючи при цьому загальний аналіз, уможливлювати їхнє використання самим контролером, якщо такий контролер застосував технічно-організаційні інструменти, необхідні для забезпечення, у відповідній ситуації опрацювання, виконання цього Регламенту, а також якщо додаткову інформацію для приписування персональних даних до певного суб’єкта даних зберігають окремо. Контролер, що здійснює опрацювання персональних даних, повинен зазначити уповноважених осіб серед тих, що працюють з тим самим контролером.

(30) Фізичні особи можуть бути пов’язані з онлайн-ідентифікаторами за допомогою їхніх пристроїв, додатків, інструментів чи протоколів, зокрема IP-адрес, ідентифікаторів «cookie» (реп’яшків) або інших ідентифікаторів, таких як мітки радіочастотної ідентифікації. Це може залишити підказки, які, особливо в поєднанні з унікальними ідентифікаторами та іншою інформацією, отриманою з серверів, можна використати для створення профілів фізичних осіб та їхньої ідентифікації.

(31) Органи публічної влади, яким розкривають персональні дані відповідно до встановленого законом зобов’язання щодо виконання ними посадових функцій, такі як податкові та митні органи, служби фінансових розслідувань, незалежні адміністративні органи або органи державного регулювання фінансового ринку, відповідальні за регулювання та нагляд за фондовими ринками, не можна розглядати як одержувачів, якщо їм надають персональні дані, необхідні для проведення певного розслідування у загальних інтересах, відповідно до законодавства Союзу або держави-члена. Запити на розкриття, які надають органи публічної влади, повинні завжди бути оформлені в письмовій формі, вмотивовані та призначені для спеціального випадку; вони не повинні впливати на всю картотеку або спричиняти взаємозалежність картотек. Такі органи публічної влади повинні здійснювати опрацювання персональних даних відповідно до застосовних норм щодо захисту даних та цілей опрацювання.

(32) Згоду необхідно надавати шляхом чіткого ствердження, що становить вільно надане, конкретне, проінформоване та однозначне свідчення погодження суб’єкта даних на опрацювання його або її персональних даних, зокрема, у формі письмової заяви, в тому числі електронними засобами, або у формі усної заяви. Це може включати заповнення клітинки позначкою під час відвідування веб-сайту в мережі Інтернет, обрання технічних налаштувань для послуг інформаційного суспільства або іншу заяву чи поведінку, що чітко вказують на погодження суб’єктом даних із запропонованим опрацюванням персональних даних. Мовчання, автоматичне заповнення клітинок позначками або бездіяльність, відповідно, не становлять надання згоди. Згода повинна поширюватися на всі види опрацювання даних, що здійснюють для однакової цілі або цілей. У разі, якщо опрацювання передбачає досягнення множинних цілей, згода потрібна для кожної з них. Якщо згоду суб’єкта даних необхідно надати після електронного запиту, у такому разі запит повинен бути чітким, точним та не мати надмірно негативних наслідків для використання послуги, для якої його надають.

(33) Часто на момент збирання даних неможливо повністю визначити мету опрацювання персональних даних для цілей наукового дослідження. Тому, суб’єкти даних повинні мати дозвіл на надання згоди на деякі сфери наукових досліджень, якщо в них дотримано визнаних етичних норм для наукового дослідження. Суб’єкти даних повинні мати можливість надавати свою згоду лише на окремі сфери дослідження або частини дослідницьких проектів в обсязі, виправданому поставленою метою.

(34) Необхідно означити генетичні дані як персональні дані, що стосуються вроджених або набутих генетичних ознак фізичної особи та отримані в результаті аналізу біологічної проби, взятої у певної фізичної особи, зокрема хромосомного аналізу, аналізів дезоксирибонуклеїнової кислоти (ДНК) або рибонуклеїнової кислоти (РНК), чи аналізу іншого компоненту, що уможливлює отримання аналогічної інформації.

(35) Персональні дані стосовно стану здоров’я повинні містити всі дані, що пов’язані зі станом здоров’я суб’єкта даних та розкривають інформацію про минулий, поточний або майбутній стан фізичного або психічного здоров’я суб’єкта даних. Це включає інформацію про фізичну особу, зібрану під час реєстрації на надання послуг, або надання послуг, у сфері охорони здоров’я, як вказано у Директиві Європейського Парламенту і Ради 2011/24/ЄС (1), такій фізичній особі; номер, символьний знак або опис, що приписують фізичній особі для того, щоб однозначно ідентифікувати фізичну особу для цілей охорони здоров’я; інформацію, отриману внаслідок дослідження або огляду частини тіла чи речовини, що міститься в тілі, у тому числі з генетичних даних або біологічних проб; а також будь-яку інформацію, наприклад, про захворювання, недієздатність, ризик захворювання, історію хвороби, клінічне лікування або фізіологічний чи біомедичний стан здоров’я суб’єкта даних, незалежно від джерела її

__________ (1) Директива Європейського Парламенту і Ради 2011/24/ЄС від 9 березня 2011 року про забезпечення прав

пацієнтів на транскордонні послуги з охорони здоров’я (ОВ L 88, 4.04.2011, с. 45).

надходження, наприклад, від лікаря або іншого медичного працівника, від лікарні, медичного обладнання або тестів лабораторної діагностики.

(36) Головним осідком контролера в Союзі має бути місце розташування його центральної адміністрації в Союзі, за винятком прийняття рішень про цілі та засоби опрацювання в іншому осідку контролера в Союзі, у такому разі такий інший осідок необхідно вважати головним осідком. Головний осідок контролера в Союзі необхідно визначати за об’єктивними критеріями з огляду на результативну та фактичну управлінську діяльність, у ході якої ухвалюють ключові рішення щодо цілей та засобів опрацювання на основі стабільних домовленостей. Цей критерій не повинен залежати від того, чи здійснюють опрацювання персональних даних у такому місці. Наявність та використання технічних засобів та технологій опрацювання персональних даних або опрацювання даних не становлять як такі головний осідок та, відповідно, не є вирішальними критеріями для головного осідку. Головним осідком оператора повинно бути місце розташування його центральної адміністрації в Союзі або, якщо немає його центральної адміністрації в Союзі, місце, де виконують основні види опрацювання даних в Союзі. У випадках залучення і контролера, і оператора, компетентний головний наглядовий орган повинен залишатися наглядовим органом держави-члена, де має осідок контролер, але наглядовий орган оператора необхідно вважати відповідним наглядовим органом, і такий наглядовий орган повинен брати участь у процедурі співпраці, передбаченій цим Регламентом. У будь-якому разі наглядові органи держави-члена або держав-членів, у яких оператор має одне або декілька осідків, не можна вважати відповідними наглядовими органами, якщо проект рішення стосується лише контролера. Якщо опрацювання здійснює група підприємств, головний осідок підприємства, що здійснює контроль, необхідно вважати головним осідком групи підприємств, за винятком, якщо цілі та засоби опрацювання визначено іншим підприємством.

(37) Групу підприємств утворює підприємство, що здійснює контроль, і підприємства під його контролем, при цьому підприємство, що здійснює контроль, повинно бути підприємством, що має право здійснювати домінантний вплив на інші підприємства шляхом застосування, наприклад, права власності, фінансової участі чи правил, що її регулюють, або повноваження на застосування норм про опрацювання персональних даних. Підприємство, що контролює опрацювання персональних даних в афілійованих підприємствах, необхідно вважати разом з такими підприємствами групою підприємств.

(38) Діти потребують особливого захисту в питанні персональних даних, оскільки вони можуть бути менш обізнаними про відповідні ризики, наслідки та гарантії, а також про свої права щодо опрацювання персональних даних. Такий особливий захист повинен, зокрема, застосовуватися до використання персональних даних дітей для цілей маркетингу або створення профілів особистості чи користувача та збирання персональних даних щодо дітей під час користування послугами, що пропонують безпосередньо дитині. Згоду особи, що несе батьківську відповідальність, не можна вимагати в контексті надання профілактичних або консультаційних послуг безпосередньо дитині.

(39) Будь-яке опрацювання персональних даних повинно бути законним та правомірним. Фізичні особи повинні бути обізнані про те, що їхні персональні дані збирають, використовують, обговорюють або іншим чином опрацьовують, а також про те, якою мірою опрацьовують чи опрацьовуватимуть персональні дані. Принцип прозорості вимагає, щоб будь-яка інформація та повідомлення щодо опрацювання таких персональних даних були доступними і зрозумілими, з використанням чітких і простих формулювань. Цей принцип стосується, зокрема, інформування суб’єктів даних про особу контролера та цілі опрацювання і надання подальшої інформації для забезпечення правомірного і прозорого опрацювання в частині, що стосується відповідних фізичних осіб та їхнього права на отримання підтвердження та повідомлення про ті персональні дані, які їх стосуються та підлягають опрацюванню. Фізичні особи повинні бути обізнані про ризики, правила, гарантії та права щодо опрацювання персональних даних і про те,

як реалізувати свої права у зв’язку з таким опрацюванням. Зокрема, спеціальні цілі опрацювання персональних даних повинні бути прямо вираженими та законними, а також означеними на момент збирання персональних даних. Персональні дані повинні бути достатніми, відповідними та обмежуватися тим, що є необхідним для досягнення цілей, для яких їх опрацьовують. Це вимагає, зокрема, забезпечення того, що період, протягом якого зберігаються персональні дані, скорочений до абсолютного мінімуму. Персональні дані необхідно опрацьовувати, лише якщо мети опрацювання не можна досягнути розумним чином іншими засобами. Щоб забезпечити, що персональні дані не зберігаються довше, ніж це необхідно, контролер повинен установити часові рамки для стирання або періодичного перегляду. Необхідно вживати всіх відповідних заходів для забезпечення виправлення або видалення неточних персональних даних. Персональні дані необхідно опрацьовувати в спосіб, що забезпечує відповідний рівень безпеки та конфіденційності персональних даних, у тому числі для запобігання несанкціонованому доступу або використанню персональних даних, а також обладнання, необхідного для опрацювання.

(40) Для того, щоб опрацювання було законним, персональні дані необхідно опрацьовувати на підставі згоди відповідного суб’єкта даних або на іншій законній підставі, встановленій законом, або у цьому Регламенті, або в іншому нормативно-правовому акті Союзу або держави-члена, як вказано в цьому Регламенті, у тому числі за необхідності дотримання встановленого законом зобов’язання, яке поширюється на контролера, або за необхідності виконання договору, стороною якого є суб’єкт даних, або для вжиття заходів на запит суб’єкта даних до укладення договору.

(41) Якщо цей Регламент містить покликання на законодавчу базу або законодавчий інструмент, ухвалення парламентом законодавчого акту, з дотриманням вимог, що відповідають конституційному порядку відповідної держави-члена, є необов’язковим. Проте така законодавча база або такий законодавчий інструмент повинні бути чіткими та точними, а їхнє застосування повинно бути передбачуваним для осіб, яких вони стосуються, згідно з прецедентним правом Суду Європейського Союзу («Суд») і Європейського суду з прав людини.

(42) У разі, якщо опрацювання здійснюють на підставі згоди суб’єкта даних, контролер повинен бути спроможним довести те, що суб’єкт даних надав згоду на операцію опрацювання. Зокрема, в контексті письмової заяви з іншого питання, гарантії повинні забезпечувати те, що суб’єкт даних обізнаний про факт і межі надання згоди. Згідно з Директивою Ради 93/13/ЄЕС (1) заяву про надання згоди, попередньо сформульовану контролером, необхідно надавати в зрозумілій та доступній формі з використанням чітких і простих формулювань, а також вона не повинна містити неправомірні умови. Для того, щоб згода вважалася поінформованою, суб’єкт даних повинен бути обізнаним принаймні про особу контролера та цілі опрацювання, для яких призначено використання персональних даних. Згоду не можна вважати такою, що було добровільно надано, якщо суб’єкт даних не здійснює справжнього чи добровільного вибору, або неспроможний відмовити в наданні згоди або її відкликанні, не заподіюючи при цьому шкоди.

(43) Щоб забезпечити, що згоду було надано добровільно, вона не повинна передбачати необхідність застосування дійсних законних підстав опрацювання персональних даних у спеціальному випадку, коли існує помітний дисбаланс між суб’єктом даних і контролером, зокрема коли контролер є органом публічної влади і, тому, малоймовірно, що згоду було надано добровільно за усіх обставин такої спеціальної ситуації. Презумпція ненадання добровільної згоди виникає у разі відсутності окремого дозволу на здійснення різних операцій опрацювання персональних даних, незважаючи на її відповідність окремому випадку, або, якщо виконання договору, в тому числі, надання

__________ (1) Директива Ради 93/13/ЄЕС від 5 квітня 1993 року про несправедливі умови споживчих договорів (ОВ L 95,

21.04.1993, с. 29).

послуги, залежить від надання згоди, незважаючи на те, що така згода не є обов’язковою для такого виконання.

(44) Опрацювання необхідно вважати законним у разі його необхідності для укладення

договору або наміру щодо укладення договору.

(45) Якщо опрацювання здійснюють відповідно до встановленого законом зобов’язання контролера, або якщо це необхідно для виконання завдання в суспільних інтересах або здійснення офіційних повноважень, його необхідно проводити на підставі нормативно- правового акту Союзу чи держави-члена. Цей Регламент не вимагає ухвалення спеціального нормативно-правового акту для кожного окремого опрацювання. Нормативно-правового акту як основи для здійснення декількох операцій з опрацювання, що ґрунтуються на виконанні встановленого законом зобов’язання контролера, або, за умов необхідності, виконанні завдання в суспільних інтересах чи здійсненні офіційних повноважень, може бути достатньо. Ціль опрацювання повинен встановлювати безпосередньо нормативно-правовий акт Союзу або держави-члена. Крім того, такий нормативно-правовий акт може зазначати загальні умови цього Регламенту, що регулюють законність опрацювання персональних даних, встановлювати технічні вимоги до визначення контролера, тип персональних даних, що підлягають опрацюванню, відповідних суб’єктів даних, установи, яким можна розкривати персональні дані, цільові обмеження, період зберігання та інші заходи для забезпечення законного та правомірного опрацювання. Також саме нормативно-правовий акт Союзу або держави- члена визначає, чи повинен контролер, що виконує завдання в суспільних інтересах або для здійснення офіційних повноважень, бути органом публічної влади або ще однією фізичною або юридичною особою, діяльність якої регулюється публічним правом, або, якщо це є в суспільних інтересах, у тому числі для цілей здоров’я таких як охорона суспільного здоров’я та соціальний захист і управління послугами в сфері охорони здоров’я, приватним правом, зокрема професійною асоціацією.

(46) Опрацювання персональних даних необхідно також вважати законним, якщо постає необхідність захистити інтерес, що є важливим для життя суб’єкта даних або життя ще однієї фізичної особи. Опрацювання персональних даних на підставі життєво важливого інтересу іншої фізичної особи повинно мати місце лише у випадку, коли опрацювання неможливо відкрито здійснювати на іншій законній підставі. Деякі типи опрацювання можуть ґрунтуватися на важливих підставах суспільного інтересу та життєво важливих інтересах суб’єкта даних, наприклад, якщо опрацювання є необхідним для гуманітарних цілей, у тому числі моніторингу епідемій та їхнього розповсюдження чи у випадку надзвичайних гуманітарних ситуацій, зокрема в ситуаціях стихійних лих і антропогенних катастроф.

(47) Законні інтереси контролера, в тому числі інтереси, задля яких можна розкрити персональні дані, або законні інтереси третьої сторони, можуть передбачати необхідність законодавчої бази опрацювання за умови, що інтереси чи фундаментальні права або свободи суб’єкта даних не є пріоритетними, враховуючи розумні очікування суб’єктів даних, засновані на їхніх відносинах з контролером. Такий законний інтерес може існувати, наприклад, якщо є відповідні та належні відносини між суб’єктом даних і контролером у ситуаціях, наприклад, коли суб’єкт даних є клієнтом або перебуває на службі в контролера. У будь-якому разі існування законного інтересу потребуватиме ретельного оцінювання, а саме, чи може суб’єкт даних відповідним чином очікувати ймовірного проведення опрацювання для такої цілі, на момент збирання і в контексті збирання персональних даних. Інтереси та фундаментальні права суб’єкта даних можуть, зокрема, переважати над інтересами контролера даних, якщо опрацювання персональних даних відбувається за обставин, коли суб’єкти даних відповідним чином не очікують на подальше опрацювання. З огляду на те, що саме законодавець повинен передбачити законом законодавчу базу для опрацювання персональних даних органами публічної влади, таку законодавчу базу не можна застосовувати до опрацювання даних органами публічної влади під час виконання своїх функцій. Опрацювання персональних даних, що

є необхідним винятково для цілей запобігання шахрайству також становить законний інтерес відповідного контролера даних. Опрацювання персональних даних для цілей прямого маркетингу можна вважати опрацюванням, що здійснюють для забезпечення законного інтересу.

(48) Контролери, які є частиною групи підприємств чи установ, афілійованих з центральним органом, можуть мати законний інтерес у передаванні персональних даних усередині групи підприємств для внутрішніх адміністративних цілей, у тому числі для опрацювання персональних даних клієнтів або працівників. Загальні принципи щодо передавання персональних даних, що діють всередині групи підприємств, до підприємства, розташованого в третій країні, залишаються без змін.

(49) Опрацювання персональних даних мірою, що є надзвичайно необхідною та пропорційною цілям забезпечення мережевої та інформаційної безпеки, тобто здатності мережі чи інформаційної системи чинити опір, на певному рівні довіри, випадковим подіям або незаконним чи зловмисним діям, що ставлять під загрозу наявність, автентичність, цілісність та конфіденційність збережених або переданих персональних даних, і безпеки пов’язаних послуг, які пропонують через такі мережі чи системи або надають за їхньою допомогою доступ органи публічної влади, групи з реагування на надзвичайні ситуації в комп’ютерній сфері (CERT), групи для реагування на інциденти в сфері комп’ютерної безпеки (CSIRT), провайдери електронних мереж і послуг зв’язку та провайдери технологій і послуг у сфері безпеки, становить законний інтерес відповідного контролера даних. Це, наприклад, може включати запобігання несанкціонованому доступу до електронних мереж зв’язку і розподіл шкідливого коду, припинення атак на «відмову в обслуговуванні», а також пошкодження комп’ютера та систем електронного зв’язку.

(50) Дозвіл на опрацювання персональних даних для інших цілей, на відміну від тих, для яких здійснювали первинне збирання персональних даних, необхідно надавати лише тоді, коли опрацювання є сумісним із первинними цілями збирання персональних даних. У такому разі немає необхідності в будь-якій законодавчій базі, окремій від такої, якою вже дозволено збирання персональних даних. Якщо опрацювання персональних даних є необхідним для виконання завдання в публічних інтересах або здійснення офіційних повноважень, покладених на контролера, законодавство Союзу або держави-члена може визначити та уточнити завдання і цілі, для виконання яких необхідно вважати сумісним та законним подальше опрацювання. Подальше опрацювання для архівних цілей у публічних інтересах, цілей наукового або історичного дослідження, статистичних цілей необхідно вважати сумісними законними операціями опрацювання. Законодавча база, передбачена законодавством Союзу або держави-члени щодо опрацювання персональних даних, може слугувати законодавчою базою для подальшого опрацювання. Для встановлення сумісності цілі подальшого опрацювання, для якого відбувається первинне збирання персональних даних, контролер, виконавши всі вимоги щодо законності первинного опрацювання, повинен враховувати, між іншим: будь-який зв’язок між тими цілями та цілями запланованого подальшого опрацювання; контекст, у якому збирають персональні дані, зокрема розумні очікування суб’єктів даних, засновані на їхніх домовленостях з контролером щодо їх подальшого використання; специфіку персональних даних; наслідки запланованого подальшого опрацювання для суб’єктів даних; та існування належних гарантій, як у первинній, так і в подальшій операціях опрацювання.

Якщо суб’єкт даних надав згоду, або якщо опрацювання здійснюють на основі законодавства Союзу чи держави-члена, що становить необхідний і пропорційний інструмент демократичного суспільства для охорони, зокрема, важливих цілей загального суспільного інтересу, контролер повинен отримувати дозвіл на подальше опрацювання персональних даних, незалежно від сумісності цілей. У будь-якому разі необхідно забезпечити застосування принципів, встановлених цим Регламентом, та, зокрема, інформування суб’єкта даних про такі інші цілі та про його або її права, у тому

числі про право на заперечення. Повідомлення контролера про можливі кримінальні діяння або загрози громадській безпеці, а також передавання компетентному органу відповідних персональних даних в окремих випадках або в декількох ситуаціях, що стосуються такого самого кримінального діяння або загроз громадській безпеці, необхідно вважати такими, що відповідають законному інтересу контролера. Проте таке передавання, що відповідає законному інтересу контролера, або подальше опрацювання персональних даних необхідно заборонити, якщо опрацювання є несумісним із встановленими законом, професійними або іншими обов’язковими до виконання зобов’язаннями щодо збереження таємниці.

(51) Персональні дані, що, за своєю специфікою, є особливо чутливими щодо фундаментальних прав і свобод, потребують особливого захисту, оскільки контекст їхнього опрацювання може створити істотні ризики для фундаментальних прав і свобод. Такі персональні дані повинні включати персональні дані, що розкривають расову або етнічну приналежність, а відтак використання терміну «расова приналежність» в цьому Регламенті не передбачає прийняття Союзом теорій, що намагаються визначити існування окремих людських рас. Опрацювання фотографій не можна систематично вважати опрацюванням спеціальних категорій персональних даних, оскільки термін «біометричні дані» на них поширюється, лише якщо їх опрацьовують за допомогою спеціальних технічних засобів, що дозволяють однозначну ідентифікацію або аутентифікацію фізичної особи. Такі персональні дані не можна опрацьовувати, за винятком, якщо це дозволено в спеціальних випадках, визначених у цьому Регламенті, беручи до уваги, що законодавство держави-члени може встановлювати спеціальні положення щодо захисту даних для того, щоб адаптувати застосування норм цього Регламенту з метою дотримання встановленого законом зобов’язання, виконання завдання в суспільних інтересах або здійснення офіційних повноважень, покладених на контролера. Додатково до спеціальних вимог щодо такого опрацювання необхідно застосовувати загальні принципи і норми цього Регламенту, зокрема в частині умов щодо правомірного опрацювання. Необхідно чітко окреслити відступи від загальної заборони на опрацювання таких спеціальних категорій персональних даних, зокрема, якщо суб’єкт даних надає свою чітку згоду або в разі виникнення особливих потреб, наприклад, коли опрацювання здійснюють у ході реалізації законних видів діяльності окремими асоціаціями або фондами, ціль якої полягає у тому, щоб дозволити реалізацію фундаментальних свобод.

(52) Також необхідно дозволити відступ від заборони на опрацювання спеціальних категорій персональних даних, якщо це передбачено нормативно-правовим актом Союзу або держави-члена та згідно з відповідними гарантіями, для того, щоб захистити персональні дані та інші фундаментальні права, якщо це відповідає суспільному інтересу, а саме опрацювання персональних даних у галузі трудового законодавства, законодавства про соціальний захист, у тому числі, про пенсійне забезпечення та забезпечення безпеки в галузі охорони здоров’я, цілей моніторингу та попередження, запобігання або контролю за інфекційними захворюваннями та іншими серйозними загрозами для здоров’я. Такий відступ можна зробити для цілей охорони здоров’я, у тому числі охорони суспільного здоров’я та управління послугами в сфері охорони здоров’я, особливо для того, щоб забезпечити якість та економію витрат на процедури щодо врегулювання претензій на пільги та послуги в системі медичного страхування або для досягнення цілей суспільного інтересу, цілей наукового чи історичного дослідження, статистичних цілей. Також відступ повинен дозволяти опрацювання таких персональних даних, якщо це необхідно для формування, здійснення або захисту правових претензій, під час судового провадження або в рамках адміністративної чи позасудової процедури.

(53) Опрацювання спеціальних категорій персональних даних, що потребують вищого ступеня захисту, необхідно здійснювати для цілей, пов’язаних з охороною здоров’я, лише якщо необхідно досягнути таких цілей в інтересах фізичних осіб та суспільства в цілому, зокрема в контексті управління послугами та системами з охорони здоров’я та

соціального забезпечення, у тому числі опрацювання таких даних органами з управління та центральними органами з охорони здоров’я для цілі проведення контролю якості, управління інформацією та загального національного і місцевого нагляду за системою охорони здоров’я чи соціального забезпечення, а також забезпечення безперервності охорони здоров’я чи соціального забезпечення та транскордонної охорони здоров’я або безпеки в сфері охорони здоров’я, цілей моніторингу та попередження чи для досягнення цілей в інтересах суспільства, цілей наукового чи історичного дослідження, статистичних цілей, на підставі законодавства Союзу чи держави-члена, що має відповідати цілі суспільного інтересу, а також для навчання, яке проводять в інтересах суспільства в сфері охорони суспільного здоров’я. Тому, цей Регламент повинен передбачати гармонізовані умови для опрацювання спеціальних категорій персональних даних стосовно стану здоров’я, з урахуванням особливих потреб, зокрема, якщо такі дані опрацьовують особи, на яких покладено встановлене законом зобов’язання щодо збереження професійної таємниці, для певних цілей, пов’язаних із здоров’ям. Законодавство Союзу чи держави-члена повинно передбачати спеціальні та належні гарантії для захисту фундаментальних прав і персональних даних фізичних осіб. Державам-членам необхідно дозволити мати або вводити подальші умови, в тому числі обмеження, у зв’язку з опрацюванням генетичних даних, біометричних даних або даних стосовно стану здоров’я. Проте це не повинно перешкоджати вільному потоку персональних даних в межах Союзу тоді, коли такі умови застосовують до транскордонного опрацювання таких даних.

(54) Опрацювання спеціальних категорій персональних даних може бути необхідним в цілях суспільних інтересів у галузях охорони суспільного здоров’я без згоди суб’єкта даних. На таке опрацювання поширюється застосування відповідних і спеціальних інструментів для захисту прав і свобод фізичних осіб. У такому контексті, «суспільне здоров’я» необхідно тлумачити так, як це означено в Регламенті Європейського Парламенту і Ради (ЄС) No 1338/2008 (1), зокрема, як усі елементи, що стосуються здоров’я, а саме стан здоров’я, у тому числі захворюваність і недієздатність, визначальні чинники, що впливають на стан здоров’я, потребу в послугах з охорони здоров’я, надання та універсальний доступ до охорони здоров’я, витрати на послуги з охорони здоров’я та їх фінансування, причини смертності. Таке опрацювання даних стосовно стану здоров’я для цілей суспільних інтересів не повинно призводити до опрацювання персональних даних для інших цілей третіми сторонами, такими як працедавці або страхові компанії чи банківські установи.

(55) Крім того, опрацювання персональних даних офіційними органами для досягнення цілей, встановлених конституційним правом або міжнародним публічним правом, офіційно визнаних релігійних об’єднань необхідно здійснювати на підставі суспільного інтересу.

(56) У ході виборчого процесу, функціонування демократичної системи в державі-члені вимагає збирання політичними партіями персональних даних про політичні переконання населення, дозвіл на опрацювання таких даних можна надавати для цілей суспільного інтересу, за умови впровадження відповідних заходів безпеки.

(57) Якщо персональні дані, які опрацьовує контролер, не надають йому можливості ідентифікувати фізичну особу, контролер даних не повинен бути зобов’язаним отримувати додаткову інформацію для того, щоб ідентифікувати суб’єкта даних винятково для цілей дотримання будь-якого положення цього Регламенту. Проте контролер не повинен відмовлятися від додаткової інформації, яку надає суб’єкт даних для підтримки реалізації своїх прав. Ідентифікація повинна включати цифрову ідентифікацію суб’єкта даних, наприклад за допомогою механізму аутентифікації, такого

__________ (1) Регламент Європейського Парламенту і Ради (ЄС) No 1338/2008 від 16 грудня 2008 року про статистику Співтовариства з охорони суспільного здоров’я, охорони здоров’я та безпеки на робочому місці (OВ L 354, 31.12.2008, с. 70).

як однакові облікові дані, які використовує суб’єкт даних для того, щоб увійти в онлайн- сервіс, запропонований контролером даних.

(58) Принцип прозорості вимагає, щоб будь-яка інформація, призначена для громадськості або суб’єкта даних, була стислою і зрозумілою, з використанням чітких і простих формулювань, а також, за необхідності, із застосуванням засобів візуалізації. Таку інформацію можна надавати в електронному форматі, наприклад, через веб-сайт, коли її адресовано громадськості. Це, зокрема, є доцільним у ситуаціях, коли збільшення кількості агентів і технологічна складність практичної діяльності перешкоджають обізнаності та розумінню суб’єкта даних того, чи збирають її або його персональні дані, хто їх збирає і для якої цілі, як, наприклад, у випадку онлайн-реклами. З огляду на те, що діти потребують особливого захисту, будь-яку інформацію та повідомлення, у випадку, якщо опрацювання призначено для дитини, необхідно формулювати чітко і просто, щоб дитина могла легко зрозуміти.

(59) Необхідно забезпечити умови для сприяння реалізації прав суб’єктів даних відповідно до цього Регламенту, в тому числі механізми надання запиту та, за необхідності, отримання, на безоплатній основі, зокрема, доступу до персональних даних, можливості їхнього виправлення та стирання, а також реалізацію права на заперечення. Контролер повинен також надати засоби для уможливлення подачі запитів у електронному форматі, особливо, якщо персональні дані опрацьовують електронними засобами. Контролер повинен бути зобов’язаним відповідати на запити суб’єкта даних без необґрунтованої затримки та щонайменше протягом одного місяця, а також зазначати причини, якщо контролер не має наміру виконувати будь-який такий запит.

(60) Принципи правомірного та прозорого опрацювання вимагають, щоб суб’єкта даних було проінформовано про наявність операції опрацювання та її цілі. Контролер повинен надавати суб’єкту даних будь-яку подальшу інформацію, необхідну для забезпечення правомірного та прозорого опрацювання, враховуючи конкретні обставини та контекст, що супроводжують опрацювання персональних даних. Крім того, необхідно проінформувати суб’єкта даних про наявність профайлінгу та наслідки такого профайлінгу. У разі отримання персональних даних від суб’єкта даних, його або її також необхідно проінформувати про те, чи зобов’язаний він або вона надати персональні дані, та про наслідки ненадання таких даних. Таку інформацію можна надавати в поєднанні зі стандартизованими іконками для того, щоб навести, у видимий, доступний для розуміння та чіткий спосіб, змістовний огляд запланованого опрацювання. У разі представлення іконок у електронному форматі, вони повинні легко зчитуватися машиною.

(61) Інформацію щодо опрацювання персональних даних про суб’єкта даних необхідно надавати йому або їй в момент отримання даних від суб’єкта даних або, якщо персональні дані отримано з іншого джерела, в розумний строк, залежно від обставин конкретної ситуації. Якщо персональні дані можна законним шляхом розкриті ще одному одержувачу, суб’єкта даних необхідно проінформувати під час первинного розкриття персональних даних одержувачу. Якщо контролер має намір опрацьовувати персональні дані для цілі, іншої ніж та, для якої їх збирали, контролер повинен надати суб’єкту даних, до моменту подальшого опрацювання, інформацію про таку іншу ціль та іншу необхідну інформацію. Якщо суб’єкту даних неможливо надати інформацію про походження персональних даних, оскільки були використані різні джерела, у такому разі необхідно надати загальну інформацію.

(62) Проте немає необхідності накладати обов’язок щодо надання інформації, якщо суб’єкт даних уже володіє інформацією, якщо реєстрація або розкриття персональних даних чітко встановлено в нормативно-правовому акті, або якщо надання інформації суб’єкту даних виявляється неможливим чи може викликати непропорційні наслідки. Остання ситуація може, зокрема, мати місце, якщо опрацювання здійснюють для досягнення цілей у суспільних інтересах, цілей наукового чи історичного дослідження, статистичних

цілей. У зв’язку з такими обставинами, необхідно враховувати кількість суб’єктів даних, тривалість існування даних і будь-які відповідні запобіжні заходи, яких було вжито.

(63) Суб’єкт даних повинен мати право доступу до персональних даних, які збирають щодо нього, і реалізовувати таке право вільно та через розумні проміжки часу для того, щоб бути обізнаним про законність опрацювання та перевірити її. Це включає право суб’єктів даних мати доступ до даних, що стосуються їхнього здоров’я, наприклад даних у їхніх медичних записах, що містять інформацію, таку як діагнози, результати обстеження, оцінювань, які проводять лікарі-куратори, і будь-які інше надане лікування або втручання. Кожен суб’єкт даних повинен, таким чином, мати право знати і отримувати інформацію, зокрема про цілі, для яких опрацьовують персональні дані; за можливості, період, протягом якого опрацьовують персональні дані; одержувачів персональних даних; логіку, що обумовлює будь-яке автоматизоване опрацювання персональних даних, і принаймні, що базується на профайлінгу; наслідки такого опрацювання. За можливості, контролер повинен бути спроможним надавати віддалений доступ до системи безпеки, яка б забезпечила суб’єкту даних прямий доступ до своїх персональних даних. Таке право не повинно негативно впливати на права чи свободи інших осіб, у тому числі комерційні таємниці чи інтелектуальну власність та, зокрема, авторське право в галузі захисту програмного забезпечення. Проте наслідком таких обговорень не повинна бути відмова надати усю інформацію суб’єкту даних. Якщо контролер опрацьовує великі обсяги інформації про суб’єкта даних, він повинен мати можливість надіслати запит про те, щоб до моменту надсилання інформації суб’єкт даних вказав інформацію або види опрацювання даних, яких стосується запит.

(64) Контролер повинен вживати усіх відповідних заходів для перевірки особи суб’єкта даних, який надсилає запит на отримання доступу, зокрема в контексті онлайн-сервісів та онлайн-ідентифікаторів. Контролер не повинен утримувати персональні дані лише з метою мати можливість відреагувати на потенційні запити.

(65) Суб’єкт даних повинен мати право на виправлення своїх персональних даних і «право бути забутим», якщо утримання таких даних порушує цей Регламент або законодавство Союзу чи держави-члени, яке поширюється на контролера. Зокрема, суб’єкт даних повинен мати право на видалення своїх персональних даних та припинення їхнього опрацювання, якщо персональні дані більше не є потрібними щодо цілей, для яких їх збирають або іншим чином опрацьовують, якщо суб’єкт даних відкликав свою згоду або заперечує проти опрацювання йог або її персональних даних, або якщо опрацювання його чи її персональних даних іншим чином не відповідає цьому Регламенту. Таке право є доцільним, зокрема, коли суб’єкт даних надав свою згоду, будучи дитиною, та не є повністю обізнаним про ризики, пов’язані з опрацюванням, а пізніше хоче видалити такі персональні дані, особливо з мережі Інтернет. Суб’єкт даних повинен мати можливість реалізовувати таке право, незважаючи на той факт, що він більше не є дитиною. Проте подальше утримання персональних даних повинно бути законним, за необхідності, для реалізації права на свободу вияву поглядів та свободу інформації, дотримання встановленого законом зобов’язання, виконання завдання в суспільних інтересах чи офіційних повноважень, покладених на контролера, на підставі суспільного інтересу в сфері охорони суспільного здоров’я, для досягнення цілей у суспільних інтересах, цілей наукового чи історичного дослідження, статистичних цілей, або для формування, здійснення або захисту законного права вимоги.

(66) Для посилення права бути забутим в електронному середовищі необхідно також розширити право на стирання таким чином, щоб контролер, який оприлюднив персональні дані, був зобов’язаний проінформувати контролерів, які опрацьовують такі персональні дані, стерти будь-які посилання на такі персональні, або їх копії чи відтворення. Тим самим, контролер повинен вживати відповідних заходів, враховуючи наявні технології та інструменти, доступні для контролера, в тому числі технічні інструменти, для інформування контролерів, які опрацьовують персональні дані на запит суб’єкта даних.

(67) Методи для обмеження опрацювання персональних даних можуть включати, між іншим, тимчасове перенесення обраних даних до іншої системи опрацювання, що робить їх недоступними для користувачів, або тимчасове видалення опублікованих даних зі сторінки в мережі Інтернет. В автоматизованих картотеках обмеження опрацювання необхідно, по суті, забезпечувати технічними інструментами у такий спосіб, що унеможливлює подальші операції опрацювання і зміни персональних даних. Необхідно чітко вказувати в системі те, що опрацювання персональних даних є обмеженим.

(68) Для посилення контролю за своїми власними даними, якщо персональні дані опрацьовують автоматизованими засобами, суб’єкт даних повинен мати право на отримання своїх персональних даних, які він надав контролеру в структурованому, широко вживаному форматі, що легко зчитується машиною, і на передавання їх іншому контролеру. Необхідно заохочувати контролерів даних розробляти сумісні формати, що уможливлюють мобільність даних. Таке право необхідно застосовувати, якщо суб’єкт даних надав персональні дані на підставі своєї згоди, або якщо опрацювання є необхідним для виконання договору. Його не можна застосовувати, якщо опрацювання ґрунтується на законній підставі, іншої ніж згода чи договір. За своєю специфікою таке право не потрібно реалізовувати проти контролерів, які здійснюють опрацювання персональних даних під час виконання своїх службових обов’язків. Тому, його не можна застосовувати, якщо опрацювання персональних даних є необхідним для дотримання встановленого законом зобов’язання контролера, для виконання завдання в суспільних інтересах або здійснення офіційних повноважень, покладених на контролера. Право суб’єкта даних передавати або одержувати свої персональні дані не повинно створювати для контролерів обов’язок розробити або зберегти технічно сумісні системи опрацювання. У випадку залучення декількох суб’єктів даних, в певному наборі персональних даних, право одержати персональні дані не повинно обмежувати права та свободи інших суб’єктів даних згідно з цим Регламентом. Крім того, таке право не повинно обмежувати право суб’єкта даних на видалення персональних даних і обмеження такого права, як встановлено в цьому Регламенті, та не повинно, зокрема, передбачати видалення персональних даних про суб’єкт даних, які були надані ним або нею для виконання договору мірою та протягом періоду необхідності персональних даних для виконання договору. За умов технічної доцільності, суб’єкт даних повинен мати право на те, щоб персональні дані було передано безпосередньо від одного контролера до наступного.

(69) Якщо персональні дані можна опрацьовувати на законних підставах, оскільки опрацювання є необхідним для виконання завдання в суспільних інтересах чи здійснення офіційних повноважень, покладених на контролера, або на підставах законних інтересів контролера чи третьої сторони, у такому разі суб’єкт даних повинен, тим не менше, мати право на заперечення проти опрацювання будь-яких персональних даних, що стосуються його або її конкретної ситуації. Відповідальністю контролера є доведення, що його вагомий законний інтерес переважає над інтересами або фундаментальними правами та свободами суб’єкта даних.

(70) У разі опрацювання персональних даних для цілей прямого маркетингу, суб’єкт даних повинен мати право на заперечення проти такого опрацювання, у тому числі профайлінгу, тією мірою, якою це стосується такого прямого маркетингу, у зв’язку з первинним чи подальшим опрацюванням, у будь-який час та на безоплатній основі. Таке право необхідно однозначно довести до відома суб’єкта даних і представити чітко та окремо від будь-якої іншої інформації.

(71) Суб’єкт даних повинен мати право не дотримуватися виконання рішення, що може передбачати вжиття заходу з оцінювання його або її персональних аспектів, винятково на підставі автоматизованого опрацювання, та яке породжує правові наслідки для нього чи неї або подібним чином істотно впливає на нього чи неї, а саме, автоматичну відмову в онлайн-заявці на кредит або практику наймання працівників за допомогою Інтернет- ресурсів без будь-якого втручання людини. Таке опрацювання включає «профайлінг»,

що складається з будь-якої форми автоматизованого опрацювання персональних даних із оцінюванням персональних аспектів, що стосуються фізичної особи, зокрема для аналізу або передбачення аспектів, що стосуються продуктивності суб’єкта даних на роботі, економічної ситуації, здоров’я, особистих переваг або інтересів, надійності або поведінки, місцезнаходження або пересування, якщо воно породжує правові наслідки, що стосуються його чи її, чи подібним чином істотно впливає на нього чи неї. Проте дозвіл на вироблення й ухвалення рішень на підставі такого опрацювання, в тому числі профайлінгу, необхідно надавати в разі, якщо це чітко передбачено законодавством Союзу чи держави-члена, яке поширюється на контролера, у тому числі для цілей моніторингу, запобігання шахрайству та ухиленню від сплати податків, що здійснюють відповідно до регламентів, стандартів і рекомендацій установ Союзу чи національних органів з нагляду і для гарантування безпеки і надійності послуги, яку постачає контролер, або необхідних для укладення чи виконання договору між суб’єктом даних і контролером, або якщо суб’єкт даних надав свою чітку згоду. У будь-якому разі таке опрацювання необхідно здійснювати згідно з відповідними гарантіями, що повинні включати надання конкретної інформації суб’єкту даних і право на втручання людини, висловлення своєї думки, отримання обґрунтування рішення, досягнутого після такого оцінювання, і оскарження рішення. Такий захід не повинен стосуватися дітей.

Для того, щоб забезпечити правомірне та прозоре опрацювання, що стосується суб’єкта даних, враховуючи конкретні обставини та контекст, у якому опрацьовують персональні дані, контролер повинен застосувати відповідні математичні або статистичні процедури для профайлінгу, вжити необхідних технічних і організаційних заходів, необхідних для гарантування, зокрема, того, що фактори, які спричиняють неточності в персональних даних, виправлено, а ризик помилок скорочено, охороняти персональні дані в спосіб, що враховує потенційні ризики, наявні для інтересів та прав суб’єкта даних, і запобігає, між іншим, дискримінаційним наслідкам для фізичних осіб на підставі расової чи етнічної приналежності, політичних переконань, релігії або вірувань, членства в професійних союзах, генетичного стану або стану здоров’я, чи сексуальної орієнтації, або того, що спричиняє вжиття заходів із такими наслідками. Дозвіл на автоматизовані вироблення й ухвалення рішень та профайлінг на підставі спеціальних категорій персональних даних необхідно надавати лише за спеціальних умов.

(72) Профайлінг регулюють норми цього Регламенту щодо опрацювання персональних даних, такі як законодавчі підстави принципів опрацювання або захисту даних. Необхідно уповноважити Європейську раду із захисту даних, засновану цим Регламентом («Рада»), надавати настанови у таких питаннях.

(73) Обмеження щодо спеціальних принципів та прав на інформацію, доступ до персональних даних, їх виправлення або стирання, права на мобільність даних, права на заперечення, рішень, що засновані на профайлінгу, а також повідомлення суб’єкта даних про порушення захисту персональних даних і інших пов’язаних зобов’язань контролерів можна накладати законодавством Союзу або держави-члена, наскільки це необхідно та пропорційно в демократичному суспільстві для гарантування громадської безпеки, в тому числі захисту життя людини, особливо у відповідь на стихійні лиха і антропогенні катастрофи, запобігання, розслідування і переслідування осіб за скоєння кримінальних злочинів або виконання кримінальних покарань, у тому числі захист від загроз громадській безпеці та запобігання їм, або за порушення етичних норм для регульованих професій, про інші важливі цілі загального суспільного інтересу Союзу або держави- члена, зокрема важливий економічний або фінансовий інтерес Союзу або держави-члена, ведення публічних реєстрів на підставі загального суспільного інтересу, подальше опрацювання архівних персональних даних для надання конкретної інформації, що стосується політичної поведінки під колишніми тоталітарними державними режимами або захисту суб’єктів даних або прав і свобод інших, у тому числі соціального захисту, цілей охорони здоров’я населення або гуманітарних цілей. Зазначені обмеження повинні

відповідати вимогам, установленим у Хартії та Європейській конвенції про захист прав людини та фундаментальних свобод.

(74) Необхідно визначити обов’язки та відповідальність контролера щодо будь-якого опрацювання персональних даних, яке здійснює контролер або яке здійснюють від імені контролера. Зокрема, контролер повинен бути зобов’язаним забезпечити вжиття необхідних та результативних заходів і бути спроможним довести відповідність діяльності з опрацювання даних цьому Регламенту, в тому числі дієвість заходів. Такі заходи повинні враховувати специфіку, масштаби, контекст і цілі опрацювання та ризик для прав і свобод фізичних осіб.

(75) Ризик для прав і свобод фізичних осіб, різної ймовірності та тяжкості, може стати результатом опрацювання персональних даних, що може призвести до фізичної, матеріальної та нематеріальної шкоди, зокрема: коли опрацювання може спричинити дискримінацію, крадіжку персональних даних або шахрайство, фінансові втрати, шкоду репутації, втрату конфіденційності персональних даних, що захищають як особисту таємницю, несанкціоноване скасування використання псевдонімів або будь-яку іншу істотну економічну або соціальну шкоду; коли суб’єкти даних можуть бути позбавлені своїх прав та свобод або можливості здійснювати контроль над своїми персональними даними; коли опрацьовують персональні дані, що розкривають расову або етнічну приналежність, політичні переконання, релігію або філософські переконання, членство в професійних союзах, і опрацьовують генетичні дані, дані стосовно стану здоров’я або дані щодо сексуального життя або судимостей та кримінальних злочинів або пов’язаних заходів безпеки; коли оцінюють персональні аспекти, особливо із аналізом або передбаченням аспектів, що стосуються продуктивності на роботі, економічної ситуації, здоров’я, особистих переваг або інтересів, надійності або поведінки, місцезнаходження або пересування, для створення або використання особистих профілів; коли опрацьовують персональні дані вразливих категорій фізичних осіб, зокрема дітей; або коли опрацювання передбачає використання великих обсягів персональних даних та впливає на велику кількість суб’єктів даних.

(76) Потрібно визначати ймовірність та тяжкість ризику для прав і свобод суб’єкта даних, спираючись на специфіку, масштаб, контекст та цілі опрацювання. Ризик необхідно визначати на основі об’єктивної оцінки, на підставі якої встановлюють, чи містять операції опрацювання даних ризик або високий ризик.

(77) Рекомендації щодо реалізації відповідних заходів та доведення відповідності контролером або оператором, особливо в тому, що стосується визначення ризику, пов’язаного з опрацюванням, його оцінюванням у контексті походження, специфіки, ймовірності та тяжкості, визначенням прикладів кращої практики для зниження ризику, можна надати, зокрема, за допомогою узгоджених кодексів поведінки, затвердженими сертифікатами, настановами, наданими Радою, або вказівками, наданими співробітником з питань захисту даних. Рада може також видавати настанови щодо операцій опрацювання, які розглядають як операції, що малоймовірно пов’язані з високим ризиком для прав і свобод фізичних осіб, і зазначати заходи, які можуть бути достатіми в таких ситуаціях для зниження такого ризику.

(78) Захист прав і свобод фізичних осіб у зв’язку з опрацюванням персональних даних вимагає застосування відповідних технічних та організаційних інструментів для забезпечення виконання вимог цього Регламенту. Для того, щоб мати можливість підтвердити відповідність цьому Регламенту, контролер повинен ухвалити норми внутрішньої політики та забезпечити застосування інструментів, що відповідають, зокрема, принципам захисту даних за призначенням та захисту даних за замовчуванням. Такі заходи можуть передбачати, між іншим, скорочення опрацювання персональних даних, якомога швидше використання псевдонімів до персональних даних, прозорість щодо функцій та опрацювання персональних даних, уможливлення суб’єкта даних відстежувати опрацювання даних, уможливлення контролера створювати та

вдосконалювати характеристики безпеки. Під час створення, розроблення, відбору та використання застосунків, сервісів та продуктів, що засновано на опрацюванні персональних даних, або опрацюванні персональних даних для виконання своїх завдань, необхідно заохочувати виробників продуктів, сервісів і застосунків враховувати право на захист даних під час створення та розроблення таких продуктів, сервісів і застосунків і, з належним дотриманням сучасного рівня розвитку, переконуватися, що контролери і оператори здатні виконувати свої зобов’язання щодо захисту даних. Принципи захисту даних за призначенням та захисту даних за замовчуванням необхідно також брати до уваги в контексті публічних тендерів.

(79) Захист прав і свобод суб’єктів даних, а також обов’язки та відповідальність контролерів і операторів, також у зв’язку з моніторингом наглядових органів та за допомогою їхніх засобів, вимагає чіткого розподілу обов’язків за цим Регламентом, у тому числі тоді, коли контролер визначає цілі та засоби опрацювання спільно з іншими контролерами або коли операцію з опрацювання здійснюють від імені контролера.

(80) Якщо контролер або оператор, що не має осідку в Союзі, опрацьовує персональні дані суб’єктів даних, які перебувають в Союзі, опрацювання даних яких стосується надання товарів чи постачання послуг, незалежно від необхідності здійснення оплати суб’єктом даних таким суб’єктам даних у Союзі або моніторингу їхньої поведінки мірою вираження їхньої поведінки в Союзі, контролер і оператор повинні призначити представника, за винятком ситуацій, коли опрацювання призначено для окремого випадку, включає опрацювання, у великих масштабах, спеціальних категорій персональних даних або опрацювання персональних даних щодо судимостей та кримінальних злочинів, та ймовірно створить ризик для прав і свобод фізичних осіб, враховуючи специфіку, масштаб і цілі опрацювання або якщо контролер є органом публічної влади. Представник повинен діяти від імені контролера або оператора, та до нього може звертатися будь-який наглядовий орган. Представника необхідно чітко призначати на підставі письмового доручення контролера або оператора діяти від його імені у контексті його зобов’язань згідно з цим Регламентом. Призначення такого представника не впливає на обов’язки або відповідальність контролера або оператора згідно з цим Регламентом. Такий представник повинен виконувати свої обов’язки згідно з повноваженнями, отриманими від контролера або оператора, в тому числі, співпрацюючи з компетентними наглядовими органами щодо будь-якої дії, вчиненої для забезпечення відповідності цьому Регламенту. На призначеного представника поширюється застосування виконавчого провадження у випадку порушень з боку контролера або оператора.

(81) Для забезпечення дотримання вимог цього Регламенту щодо опрацювання, яке буде здійснювати оператор від імені контролера, який доручив оператору опрацювання даних, контролер повинен використовувати послуги лише таких операторів, які надають достатніх гарантій, зокрема, щодо експертних знань, надійності та ресурсів, для реалізації технічних і організаційних інструментів, які відповідатимуть вимогам цього Регламенту, в тому числі щодо безпеки опрацювання. Дотримання оператором затвердженого кодексу поведінки чи затвердженого механізму сертифікації можна вважати елементом підтвердження відповідності зобов’язанням контролера. Виконання операцій опрацювання оператором необхідно регулювати договором або іншим нормативно-правовим актом згідно з законодавством Союзу або держави-члена, який встановлює зобов’язання оператора перед контролером, визначає предмет і тривалість опрацювання, специфіку і цілі опрацювання, тип персональних даних і категорії суб’єктів даних, з урахуванням спеціальних завдань і обов’язків оператора в контексті опрацювання, яке необхідно здійснити, та ризику для прав і свобод суб’єкта даних. Контролер і оператор можуть обрати використання індивідуального договору або стандартних положень договору, ухвалених відповідно до механізму послідовності або безпосередньо Комісією або наглядовим органом, а потім — Комісією. Після завершення опрацювання від імені контролера, оператор повинен, на розсуд контролера, повернути

або видалити персональні дані, за винятком відсутності вимоги щодо збереження персональних даних згідно з законодавством Союзу або держави-члена, яке поширюється на оператора.

(82) Щоб довести відповідність цьому Регламенту, контролер і оператор повинні зберігати записи щодо опрацювання даних, здійснені в межах їхніх обов’язків. Всі контролери і оператори повинні бути зобов’язані співпрацювати з наглядовим органом і надавати йому такі записи на запит для сприяння моніторингу таких операцій опрацювання.

(83) Для гарантування безпеки та запобігання опрацюванню, що порушує цей Регламент, контролер або оператор повинні оцінювати ризики, властиві опрацюванню, та вживати заходів для зниження таких ризиків, наприклад, шифрування. Такі заходи повинні гарантувати належний рівень безпеки, в тому числі конфіденційність, у тому числі, сучасний рівень розвитку та витрати на їхню реалізацію відносно ризиків і специфіки персональних даних, що підлягають захисту. Під час оцінювання ризику для захисту даних, необхідно розглянути ризики, спричинені опрацюванням персональних даних, таким як випадкове чи незаконне знищення, втрата, зміна, несанкціоноване розкриття або доступ до персональних даних, які передають, зберігають або іншим чином опрацьовують, що, зокрема, можуть призвести до фізичної, матеріальної та нематеріальної шкоди.

(84) Для посилення ступеня відповідності цьому Регламенту в ситуаціях, коли операції опрацювання ймовірно спричиняють високий ризик для прав і свобод фізичних осіб, контролер повинен нести відповідальність за проведення оцінювання впливу на захист даних з метою визначення, зокрема, походження, специфіки, особливості та ступеня тяжкості такого ризику. Необхідно враховувати результати оцінювання під час визначення належних заходів, яких необхідно вжити для підтвердження того, що опрацювання персональних даних відповідає цьому Регламенту. Якщо оцінка впливу на захист даних вказує на те, що операції опрацювання містять високий ризик, який контролер не може знизити належними засобами, зважаючи на наявну технологію та витрати на їхню реалізацію, в такому разі до початку опрацювання необхідно провести консультацію для наглядового органу.

(85) Порушення захисту персональних даних може, якщо не його не розглянути своєчасно та належним чином, призвести до нанесення фізичним особам фізичної, матеріальної та нематеріальної шкоди, такої як втрата контролю над їхніми персональними даними або обмеження їхніх прав, дискримінація, крадіжка персональних даних або шахрайство, фінансові втрати, несанкціоноване скасування використання псевдонімів, шкода репутації, втрата конфіденційності персональних даних, захищених як особисту таємницю, або будь-яка інша істотна економічна або соціальна шкода відповідній фізичній особі. Таким чином, як тільки контролеру стає відомо про порушення захисту персональних даних, він повинен повідомити наглядовий орган про порушення захисту персональних даних без неналежної затримки та, за можливості, не пізніше ніж за 72 години після того, як йому стало про це відомо, за винятком якщо контролер може довести, згідно з принципом підзвітності, що порушення захисту персональних даних малоймовірно створить ризик для прав і свобод фізичних осіб. Якщо неможливо здійснити таке повідомлення протягом 72 годин, у такому разі разом із повідомленням необхідно надати відомості про причини затримки; інформацію можна надати поетапно без неналежної подальшої затримки.

(86) Контролер повинен повідомити суб’єкту даних про порушення захисту персональних даних, без неналежної затримки, якщо таке порушення захисту персональних даних ймовірно створить високий ризик для прав і свобод фізичної особи для того, щоб дозволити їй вжити необхідних запобіжних заходів. У повідомленні необхідно описати специфіку порушення захисту персональних даних, а також надати рекомендації для зазначеної фізичної особи з метою зменшення потенційних негативних наслідків. Необхідно надавати такі повідомлення суб’єктам даних якомога швидше та в тісній

співпраці з наглядовим органом, дотримуючись настанов, наданих ним або іншими відповідними органами, такими як правоохоронні органи. Наприклад, потреба знизити безпосередній ризик нанесення шкоди потребує належної комунікації з суб’єктами даних, оскільки потреба в реалізації відповідних заходів проти тривалих або подібних порушень захисту персональних даних може бути підставою для необхідності додаткового часу для надання повідомлення.

(87) Необхідно переконатися, чи було реалізовано всі належні заходи технологічного захисту та організаційні заходи для того, щоб негайно встановити, чи відбулося порушення захисту персональних даних, а також повідомити наглядовий орган і суб’єкта даних належним чином. Необхідно встановити факт відсутності затримки в наданні повідомлення із врахуванням, зокрема, специфіки і тяжкості порушення захисту персональних даних, його наслідки та негативний вплив для суб’єкта даних. Таке надання повідомлення може спричинити втручання наглядового органу відповідно до його завдань та повноважень, встановлених у цьому Регламенті.

(88) Під час встановлення детальних правил щодо формату і процедур, застосовних до надання повідомлення про порушення захисту персональних даних, необхідно належним чином розглянути наслідки такого порушення, в тому числі, чи перебували персональні дані під захистом відповідних заходів технічного захисту, що у дієвий спосіб обмежують ймовірність крадіжки персональних даних або інші форми неправомірного використання. Більш того, у таких правилах і процедурах необхідно враховувати законні інтереси правоохоронних органів, якщо дострокове розкриття може невиправдано ускладнити розслідування обставин порушення захисту персональних даних.

(89) Директивою 95/46/ЄС передбачено загальний обов’язок повідомляти наглядові органи про опрацювання персональних даних. Незважаючи на те, що цей обов’язок породжує адміністративний та фінансовий тягарі, він необов’язково сприяв покращенню у сфері захисту персональних даних. Тому, такі недискримінаційні загальні обов’язки щодо надання повідомлення необхідно скасувати та замінити дієвими процедурами і механізмами, що, натомість, зосереджуються на тих типах операцій опрацювання, які ймовірно створять високий ризик для прав і свобод фізичних осіб в силу їхньої специфіки, масштабу, контексту та цілей. Такими типами операцій опрацювання можуть бути операції, які, зокрема, передбачають використання нових технологій або є новими і такими, щодо яких контролер раніше не проводив жодного оцінювання впливу на захист даних, або такими, що стають необхідними в аспекті часу, що минув з моменту первинного опрацювання.

(90) У таких випадках контролер повинен провести оцінювання впливу на захист даних до моменту опрацювання для того, щоб визначити конкретну ймовірність і ступінь тяжкості високого ризику, враховуючи специфіку, обсяг, контекст і цілі опрацювання та джерела ризику. У такій оцінці необхідно вказати, зокрема, заходи, гарантії та механізми, передбачені для зниження такого ризику, які забезпечують захист персональних даних і підтверджують відповідність цьому Регламенту.

(91) Це, зокрема, необхідно застосовувати до широкомасштабних операцій опрацювання, спрямованих на опрацювання значних обсягів персональних даних на регіональному, національному чи наднаціональному рівні, які можуть вплинути на велику кількість суб’єктів даних і ймовірно створити високий ризик, наприклад враховуючи їхню чутливість, у ході якого широкомасштабно використовують нову технологію відповідно до досягнутого стану технологічних знань, а також до інших операцій опрацювання, що створюють високий ризик для прав і свобод суб’єктів даних, зокрема, якщо такі операції ускладнюють реалізацію суб’єктами даних їхніх прав. Оцінювання впливу на захист даних також необхідно проводити, якщо персональні дані опрацьовують з метою ухвалення рішень щодо певних фізичних осіб після будь-якого систематичного та всебічного оцінювання персональних аспектів, що стосуються фізичних осіб, на підставі профайлінгу таких даних чи після опрацювання спеціальних категорій персональних

даних, біометричних даних або даних про судимості і кримінальні злочини або пов’язані заходи безпеки. Оцінювання впливу на захист даних є однаково необхідним для всебічного моніторингу загальнодоступних територій, особливо під час застосування оптико-електронних приладів або для будь-яких інших операцій, у ході виконання яких компетентний наглядовий орган вважає, що опрацювання ймовірно створить високий ризик для прав і свобод суб’єктів даних, зокрема, тому, що вони заважають суб’єктам даних реалізовувати право або користуватися послугою чи договором, або тому, що їх здійснюють систематично та широкомасштабно. Опрацювання персональних даних не можна вважати широкомасштабним, якщо опрацювання стосується персональних даних пацієнтів або клієнтів, які надає персональний лікар, інший медичний працівник або юрист. У таких випадках проведення оцінювання впливу на захист даних є необов’язковим.

(92) За деяких обставин, доцільним і раціональним для предмету оцінювання впливу на захист даних постає більш широке охоплення, аніж окремий проект, наприклад, коли органи публічної влади чи організації мають намір запровадити платформу єдиного застосування чи опрацювання, або коли декілька контролерів планують створити єдине середовище застосування чи опрацювання в межах сектору чи сегменту промисловості або для горизонтальної діяльності широкої сфери застосування.

(93) У контексті ухвалення нормативно-правового акту держави-члена, що слугує основою для виконання завдань органом публічної влади і регулює конкретну операцію опрацювання чи низку відповідних операцій, держава-член може вважати за необхідне провести таке оцінювання до початку опрацювання даних.

(94) Якщо у ході оцінювання впливу на захист даних виявляється, що опрацювання, за відсутності гарантій, заходів безпеки та механізмів зниження ризику, створить високий ризик для прав і свобод фізичних осіб, і контролер вважає, що ризик не можна знизити розумними засобами з огляду на наявну технологію та витрати на реалізацію, необхідно провести консультацію з наглядовим органом до початку опрацювання даних. Такий високий ризик, імовірно, є результатом окремих типів опрацювання даних, масштабів і періодичності опрацювання, що може також призвести до нанесення шкоди чи втручання в права та свободи фізичної особи. Наглядовий орган повинен відповісти на запит щодо консультації протягом визначеного строку. Проте відсутність реакції наглядового органу протягом такого строку не повинна обмежувати втручання наглядового органу згідно з його завданнями та повноваженнями, встановленими цим Регламентом, в тому числі, повноваженням забороняти операції опрацювання. Як частину такого консультаційного процесу, результати оцінювання впливу на захист даних, проведеного у зв’язку з відповідним опрацюванням, можна подати до наглядового органу, а саме, інформацію щодо заходів, передбачених для зниження ризику для прав і свобод фізичних осіб.

(95) Оператор повинен надавати допомогу контролеру, за необхідності та на запит, у забезпеченні відповідності зобов’язанням, що виникають в результаті проведення оцінювань впливу на захист даних та попередньої консультації з наглядовим органом.

(96) Консультацію наглядового органу необхідно також проводити під час підготування законодавчого чи регуляторного інструменту, що передбачає опрацювання персональних даних, для того, щоб забезпечити відповідність призначеного опрацювання цьому Регламенту та, зокрема, знизити ризик для суб’єкта даних.

(97) Якщо опрацювання здійснює орган публічної влади, окрім судів або незалежних судових органів, що діють як судові органи, якщо, в приватному секторі, опрацювання здійснює контролер, основні види діяльності якого становлять операції опрацювання, які вимагають регулярного, систематичного і широкомасштабного моніторингу суб’єктів даних, або якщо основні види діяльності контролера або оператора становлять широкомасштабне опрацювання спеціальних категорій персональних даних і даних про судимості і кримінальні злочини, у проведенні моніторингу внутрішньої відповідності цьому Регламенту контролеру або оператору повинна надавати допомогу особа, що

володіє експертними знаннями законодавства і процесуальних норм щодо захисту даних. У приватному секторі, основні види діяльності контролера пов’язані з його первинними видами діяльності та не пов’язані з опрацюванням персональних даних як допоміжним видом діяльності. Необхідно визначити необхідний рівень експертних знань, зокрема, відповідно до здійснюваних операцій опрацювання та необхідного захисту для опрацювання персональних даних контролером або оператором. Такі фахівці з питань захисту даних, незалежно від того, чи є вони працівниками контролера, повинні мати можливість виконувати свої обов’язки та завдання у незалежний спосіб.

(98) Необхідно заохочувати асоціації чи інші органи, що представляють категорії контролерів або операторів, розробляти кодекси поведінки, в межах цього Регламенту, для сприяння дієвому застосуванню цього Регламенту, враховуючи особливі характеристики опрацювання, яке проводять в окремих секторах, а також — особливі потреби мікропідприємств, малих і середніх підприємств. Зокрема, такі кодекси поведінки можуть врегулювати обов’язки контролерів і операторів із врахуванням ризику, що ймовірно виникає внаслідок опрацювання, для прав і свобод фізичних осіб.

(99) Під час розроблення кодексу поведінки або внесення змін до такого кодексу чи його розширення, асоціації та інші органи, що представляють категорії контролерів або операторів, повинні проводити консультації з відповідними стейкхолдерами, в тому числі суб’єктами даних, за можливості, та враховувати отримані матеріали та позиції, висловлені у відповідь на такі консультації.

(100) Для посилення прозорості та відповідності цьому Регламенту необхідно заохочувати запровадження механізмів сертифікації та штампів і знаків захисту даних, що дозволятимуть суб’єктам даних швидко оцінювати рівень захисту даних відповідних продуктів і сервісів.

(101) Потоки персональних даних до країн та з країн поза межами Союзу та міжнародних організацій є необхідними для розширення міжнародної торгівлі та міжнародної співпраці. Зростання таких потоків обумовило нові виклики та занепокоєння у сфері захисту персональних даних. Проте, якщо персональні дані передаються з Союзу до контролерів, операторів або інших одержувачів у третіх країнах або до міжнародних організацій, рівень захисту фізичних осіб, який забезпечує в Союзі цей Регламент, не повинен бути ослабленим, у тому числі у випадках подальших актів передавання персональних даних із третьої країни чи міжнародної організації до контролерів, операторів у тій самій чи іншій третій країні чи міжнародній організації. У будь-якому разі акти передавання до третіх країн та міжнародних організацій можна здійснювати лише за повної відповідності цьому Регламенту. Передавання може мати місце лише у разі, якщо згідно з іншими положеннями цього Регламенту, контролер або оператор дотримуються умов, встановлених у положеннях цього Регламенту щодо передавання персональних даних до третіх країн або міжнародних організацій.

(102) Цей Регламент не порушує міжнародні угоди, укладені між Союзом і третіми країнами щодо передавання персональних даних, у тому числі щодо гарантій для суб’єктів даних. Держави-члени можуть укладати міжнародні угоди, що передбачають передавання персональних даних до третіх країн або міжнародних організацій, доки такі угоди не впливають на цей Регламент або будь-які інші положення законодавства Союзу та передбачають належний рівень захисту для фундаментальних прав суб’єктів даних.

(103) Комісія може ухвалити рішення, дія якого поширюється на весь Союз про те, що третя країна, територія чи визначений сектор у межах третьої країни, або міжнародна організація забезпечує належний рівень захисту даних, таким чином гарантуючи правову визначеність і однорідність у межах Союзу в тому, що стосується третьої країни чи міжнародної організації, що, як вважається, забезпечує такий рівень захисту. У таких випадках акти передавання персональних даних до такої третьої країни чи міжнародної організації можуть відбуватися без потреби отримання подальшого дозволу. Комісія

може також ухвалити рішення, повідомивши та надавши повний звіт із викладенням причин для третьої країни чи міжнародної організації про скасування такого рішення.

(104) У світлі фундаментальних цінностей, на яких засновано Союз, зокрема, захисту прав людини, Комісія повинна, у своїй оцінці третьої країни чи території або визначеного сектору в межах третьої країни, враховувати те, як певна третя країна поважає верховенство права, доступ до правосуддя, а також міжнародні норми та стандарти прав людини і її загальне та секторальне право, в тому числі законодавство щодо громадської безпеки, оборони та національної безпеки, а також публічний порядок і кримінальне право. Під час ухвалення рішення про відповідність щодо території чи визначеного сектору в третій країні необхідно враховувати чіткі та об’єктивні критерії, такі як спеціальні види опрацювання даних та масштаб застосовних правових стандартів, а також — чинне законодавство в третій країні. Третя країна повинна надати гарантії, що забезпечують належний рівень захисту, який суттєво відповідає тому, що забезпечується в межах Союзу, зокрема в разі опрацювання персональних даних в одному або декількох визначених секторах. Зокрема, третя країна повинна забезпечити дієвий незалежний нагляд за захистом даних і передбачити механізми співпраці з органами із захисту даних держав-членів, а суб’єктам даних — надати дієві права, які можна реалізувати, та дієві адміністративні і судові засоби правового захисту.

(105) Крім міжнародних зобов’язань, що взяли на себе третя країна чи міжнародна організація, Комісія повинна брати до уваги зобов’язання, що виникають у ході участі третьої країни чи міжнародної організації в багатосторонній або регіональній системах, зокрема, в зв’язку з захистом персональних даних, а також виконання таких зобов’язань. Зокрема, необхідно враховувати приєднання третьої країни до Конвенції Ради Європи про захист фізичних осіб у зв’язку з автоматизованим опрацюванням персональних даних від 28 січня 1981 року та її додаткових протоколів. Комісія повинна провести консультації з радою, оцінюючи рівень захисту в третіх країнах або міжнародних організаціях.

(106) Комісія повинна відстежувати дієвість рішень щодо рівня захисту в третій країні, на території або у визначеному секторі в межах третьої країни, або міжнародній організації та відстежувати дієвість рішень, ухвалених на підставі статті 25(6) або статті 26(4) Директиви 95/46/ЄС. У своїх рішеннях про відповідність, Комісія повинна передбачити механізм періодичної перевірки їхньої дієвості. Таку періодичну перевірку необхідно проводити під час консультації з відповідною третьою країною чи міжнародною організацією, в ній необхідно врахувати всі відповідні розробки в третій країні чи міжнародній організації. Для цілей моніторингу та проведення періодичних перевірок, Комісія повинна враховувати думки та висновки Європейського Парламенту і Ради, а також інших відповідних органів і джерел. Комісія повинна оцінювати, протягом розумного строку, дієвість останніх рішень і звітувати про будь-які відповідні висновки до Комісії у значенні Регламенту Європейського Парламенту і Ради (ЄС) No 182/2011 (1), як встановлено цим Регламентом, до Європейського Парламенту і Ради.

(107) Комісія може визнати, що третя країна, територія чи визначений сектор у межах третьої країни, чи міжнародна організація більше не забезпечує належний рівень захисту даних. Відповідно, необхідно заборонити передавання персональних даних до такої третьої країни чи міжнародної організації, за винятком, якщо виконано вимоги цього Регламенту щодо актів передавання, що передбачають застосування відповідних гарантій, у тому числі зобов’язальних корпоративних правил, і дотримано відступів для спеціальних ситуацій. У такому разі необхідно забезпечити проведення консультацій між Комісією та такими третіми країнами чи міжнародними організаціями. Комісія повинна своєчасно повідомити третю країну чи міжнародну організацію про причини та розпочати консультації з ними для того, щоб виправити ситуацію.

__________ (1) Регламент Європейського Парламенту і Ради (ЄС) No 182/2011 від 16 лютого 2011 року про норми та загальні принципи механізмів контролю з боку держав-членів щодо реалізації Комісією виконавчих повноважень (ОВ L 55, 28.02.2011, с. 13).

(108) За відсутності рішення про відповідність, контролер або оператор повинні вживати заходів для компенсації недостатнього захисту даних у третій країні шляхом застосування відповідних гарантій до суб’єкта даних. Такі відповідні гарантії можуть становити застосування зобов’язальних корпоративних правил, стандартних положень про захист даних, ухвалених Комісією, стандартних положень про захист даних, ухвалених наглядовим органом, або договірних положень, дозвіл на які надано наглядовим органом. Ці гарантії повинні забезпечувати відповідність вимогам щодо захисту даних і правам суб’єктів даних, що відповідають опрацюванню в межах Союзу, в тому числі наявність прав суб’єкта даних, які можна реалізувати, та дієвих засобів правового захисту, в тому числі на отримання дієвих адміністративних чи судових засобів правового захисту та права вимоги відшкодування, в Союзі чи в третій країні. Вони повинні стосуватися, зокрема, відповідності загальним принципам щодо опрацювання персональних даних, принципам захисту даних за призначенням і за замовчуванням. Передавання також можуть здійснювати публічні органи до публічних органів у третіх країнах або міжнародних організацій з відповідними обов’язками чи функціями, в тому числі на підставі положень, що підлягають внесенню до адміністративних домовленостей, таких як меморандум про взаєморозуміння, що передбачають права, які можна реалізувати, та дієві права для суб’єктів даних. Необхідно отримати дозвіл компетентного наглядового органу у випадку, якщо гарантії передбачено адміністративними домовленостями, що не мають зобов’язальної сили.

(109) Можливість контролера або оператора застосовувати стандартні положення про захист даних, ухвалені Комісією чи наглядовим органом, не повинні утримувати контролерів або операторів ані від внесення стандартних положень про захист даних у більш всебічний договір, такий як договір між оператором і іншим оператором, ані від додавання інших положень або додаткових гарантій за умови, що вони не суперечать, прямо чи опосередковано, договірним положенням, ухваленим Комісією чи наглядовим органом, або не обмежують фундаментальні права чи свободи суб’єктів даних. Необхідно заохочувати контролерів і операторів надавати додаткові гарантії через договірні зобов’язання, що доповнюють стандартні положення про захист.

(110) Група підприємств або група підприємств, що здійснюють спільну господарську діяльність, повинні мати можливість застосовувати зобов’язальні корпоративні правила для здійснення ними міжнародного передавання з Союзу до організацій у межах тієї самої групи підприємств або групи підприємств, що здійснюють спільну господарську діяльність, за умови, що такі корпоративні правила містять усі суттєві принципи та права, які можна реалізувати, з метою надання відповідних гарантій для передавання або категорій передавання персональних даних.

(111) Необхідно передбачити можливість передавання за певних обставин, коли суб’єкт даних надав свою чітку згоду, коли передавання призначене для окремого випадку а є необхідною у зв’язку з договором або судовим позовом, незалежно від того, чи здійснюють його у порядку судової процедури, або в адміністративному чи будь-якому позасудовому порядку, в тому числі в рамках процедур регуляторних органів. Необхідно також передбачити можливість передавання у випадку, коли цього вимагають важливі підстави суспільного інтересу, встановлені законодавством Союзу чи держави-члена, чи коли передавання здійснюють з реєстру, запровадженого законом та призначеного для доступу громадськості чи осіб, що мають законний інтерес. В останньому випадку таке передавання не повинне поширюватися на всі персональні дані чи всі категорії даних, що містяться в реєстрі, та, якщо реєстр призначений для доступу осіб, які мають законний інтерес, передавання необхідно здійснювати лише на запит таких осіб або, якщо вони повинні бути одержувачами, повністю враховуючи інтереси та фундаментальні права суб’єкта даних.

(112) Такі відступи необхідно, зокрема, застосовувати до передавання даних, що є необхідним для важливих цілей суспільного інтересу, наприклад у випадках міжнародного обміну даними між компетентними органами, податковими чи митними відомствами, між

органами фінансового нагляду, між службами, що займаються питаннями соціального забезпечення або охорони суспільного здоров’я, наприклад у випадку відстеження контактів осіб з інфекційними захворюваннями чи для того, щоб зменшити та/або викорінити допінг у спорті. Опрацювання персональних даних необхідно також розглядати як законне у випадку, коли необхідно захистити інтерес, що є істотним для життєво важливих інтересів суб’єкта даних або іншої особи, в тому числі, фізичну недоторканність або життя, якщо суб’єкт даних не спроможний надати згоду. За відсутності рішення про відповідність, нормативно-правовий акт Союзу чи держави- члена може, для важливих цілей суспільного інтересу, чітко встановлювати обмеження на передавання спеціальних категорій даних до третьої країни чи міжнародної організації. Держави-члени повинні повідомляти Комісію про такі положення. Будь-яке передавання персональних даних суб’єкта даних, який є фізично чи юридично неспроможним надати згоду, до міжнародної гуманітарної організації з метою виконання завдання, покладеного Женевськими конвенціями, чи забезпечення відповідності нормам міжнародного гуманітарного права, застосовного в збройних конфліктах, можна вважати необхідним для важливих цілей суспільного інтересу або через те, що це відповідає життєво важливим інтересам суб’єкта даних.

(113) Передавання, яке можна кваліфікувати таким, що не повторюється і стосується лише обмеженої кількості суб’єктів даних, є також призначеним для цілей суттєвих законних інтересів контролера, якщо інтереси чи права та свободи суб’єкта даних не переважають над такими інтересами, та якщо контролер оцінив усі обставини, пов’язані з передаванням даних. Контролер повинен приділити особливу увагу специфіці персональних даних, цілі та тривалості запропонованої операції чи операцій опрацювання, а також ситуації в країні походження, третій країні та країні кінцевого призначення та надавати відповідні гарантії для захисту фундаментальних прав і свобод фізичних осіб у зв’язку з опрацюванням їхніх персональних даних. Таке передавання повинно бути можливим лише в залишкових випадках, коли жодна з інших підстав для передавання не є застосовною. Для цілей наукового, історичного дослідження або статистичних цілей необхідно брати до уваги правомірні очікування суспільства щодо підвищення рівня знань. Контролер повинен повідомити наглядовий орган та суб’єкта даних про факт передавання.

(114) У будь-якому разі, якщо Комісія не ухвалює рішення щодо належного рівня захисту даних у третій країні, контролер або оператор повинні застосувати рішення, які забезпечують суб’єктів даних правами, які можна реалізувати, та дієвими правами щодо опрацювання їхніх даних у Союзі, одразу після передавання таких даних для надання можливості подальшого отримання переваг від їхніх фундаментальних прав і гарантій.

(115) Деякі треті країни ухвалюють закони, регламенти та інші нормативно-правові акти, призначені безпосередньо для врегулювання питання щодо опрацювання персональних даних фізичних і юридичних осіб, що перебувають під юрисдикцією держав-членів. Це може включати рішення судів або трибуналів, рішення адміністративних органів у третіх країнах, що вимагають від контролера або оператора передати чи розкрити персональні дані, які ґрунтуються на міжнародній угоді, такій як договір про взаємну правову допомогу, що є чинною для третьої країни, яка подає запит, і Союзом або державою- членом. Екстериторіальна сфера застосування таких законів, регламентів та інших нормативно-правових актів може порушувати міжнародне право та може ускладнювати досягнення цілей захисту фізичних осіб, який гарантовано в Союзі цим Регламентом. Дозволено здійснювати лише передавання, під час якого дотримуються умови цього Регламенту щодо передавання до третіх країн. Це може мати місце, між іншим, коли розкриття є необхідним для важливих цілей суспільного інтересу, визнаних законодавством Союзу чи держави-члена, сфера застосування якого поширюється на контролера.

(116) Якщо персональні дані перетинають кордони за межами Союзу, це може викликати підвищений ризик для здатності фізичних осіб реалізовувати права щодо захисту даних,

зокрема, для захисту від незаконного використання чи розкриття такої інформації. Водночас, наглядові органи можуть встановити, що вони неспроможні розглядати скарги чи проводити розслідування, що стосуються видів діяльності, які здійснюють поза їхніми кордонами. Їхні зусилля співпрацювати в транскордонному контексті можуть також ускладнюватися недостатніми запобіжними чи виправними повноваженнями, непослідовними нормативно-правовими режимами та практичними перешкодами, такими як недостатність ресурсів. Таким чином, існує потреба в сприянні тісної співпраці між органами, що здійснюють нагляд за захистом даних, щоб допомогти їм в обміні інформацією та проведенні розслідувань з їхніми міжнародними партнерами. Для цілей розроблення механізмів міжнародної співпраці для сприяння та надання взаємної міжнародної допомоги в забезпеченні виконання положень законодавства щодо захисту персональних даних, Комісія та наглядові органи повинні обмінюватися інформацією та співпрацювати у ході діяльності, пов’язаної з реалізацією їхніх повноважень, з компетентними органами в третіх країнах, за принципом взаємності та згідно з цим Регламентом.

(117) Заснування наглядових органів у державах-членах, наділених правом виконувати свої завдання та реалізовувати свої повноваження у повній незалежності, є істотним компонентом захисту фізичних осіб у зв’язку з опрацюванням їхніх персональних даних. Держави-члени повинні мати можливість заснувати декілька наглядових органів з метою відображення їхньої конституційної, організаційної та адміністративної структури.

(118) Незалежність наглядових органів не повинна означати те, що наглядові органи не можуть підлягати дії механізмів контролю чи моніторингу щодо їхніх фінансових витрат або судовій перевірці.

(119) Якщо держава-член засновує декілька наглядових органів, вона повинна в законодавчому порядку запровадити механізми забезпечення результативної участі таких наглядових органів у механізмі послідовності. Така держава-член повинна, зокрема, призначити наглядовий орган, що діятиме як єдиний координаційний центр для результативної участі таких органів у механізмі, щоб забезпечити оперативну та безперервну співпрацю з іншими наглядовими органами, радою і Комісією.

(120) Кожному наглядовому органу необхідно надати фінансові та людські ресурси, приміщення та інфраструктуру, необхідні для результативного виконання своїх завдань, у тому числі тих, що пов’язані зі взаємною допомогою та співпрацею з іншими наглядовими органами в межах Союзу. Кожний наглядовий орган повинен мати окремий, публічний річний бюджет, що може бути частиною загальнодержавного або національного бюджету.

(121) Загальні умови для члена чи членів наглядового органу необхідно встановлювати у законодавчому порядку в кожній державі-члені; зокрема, вони повинні гарантувати призначення таких членів на основі прозорої процедури, парламентом, урядом або главою держави в державі-члені на підставі пропозиції, внесеної урядом, членом уряду, парламентом або палатою парламенту, або незалежним органом, наділеним такими повноваженнями відповідно до законодавства держави-члена. Для забезпечення незалежності наглядового органу, член або члени повинні діяти добросовісно, утримуватися від будь-якої дії, що є несумісною з іншими їхніми обов’язками, та не повинні, протягом строку їхніх повноважень, займатися будь-якою несумісною діяльністю, прибутковою чи ні. Наглядовий орган повинен мати свій власний персонал, відібраний наглядовим органом або незалежним органом, заснованим за законодавством держави-члена, який повинен підпорядковуватися безпосередньому керівництву члена чи членів наглядового органу.

(122) Кожний наглядовий орган повинен володіти компетенцією на території своєї держави- члена для реалізації повноважень та виконання завдань, покладених на нього згідно з цим Регламентом. Вона повинна охоплювати, зокрема, опрацювання в контексті діяльності осідку контролера або оператора на території своєї власної держави-члена,

опрацювання персональних даних, що здійснюють публічні органи чи публічні органи, що діють в цілях суспільного інтересу, опрацювання, яке впливає на суб’єктів даних на його території чи опрацювання, що здійснює контролер або оператор, які не мають осідку в Союзі, коли його спрямовано на суб’єктів даних, що проживають на його території. Це повинно включати розгляд скарг, поданих суб’єктом даних, проведення розслідувань щодо застосування цього Регламенту та сприяння громадській обізнаності про ризики, правила, гарантії та права в зв’язку з опрацюванням персональних даних.

(123) Наглядові органи повинні здійснювати моніторинг застосування положень відповідно до цього Регламенту та сприяти його послідовному застосуванню в межах Союзу, для того, щоб захистити фізичних осіб у зв’язку з опрацюванням їхніх персональних даних і сприяти вільному потоку персональних даних у межах внутрішнього ринку. З цією метою наглядові органи повинні співпрацювати один з одним і з Комісією, без потреби в будь-якій угоді між державами-членами щодо надання взаємної допомоги чи щодо такої співпраці.

(124) Якщо опрацювання персональних даних відбувається в контексті діяльності осідку контролера або оператора в Союзі, а контролер або оператор мають осідки в більше ніж одній державі-члені, або якщо опрацювання, що відбувається в контексті діяльності єдиного осідку контролера або оператора в Союзі, істотно впливає чи ймовірно істотно вплине на суб’єктів даних у більш, ніж одній державі-члені, наглядовий орган за головним осідком контролера або оператора чи за єдиним осідком контролера чи оператора повинен діяти як керівний орган. Він повинен співпрацювати з іншими відповідними органами, оскільки контролер або оператор має осідок на території їхньої держави-члена, оскільки суб’єкти даних, що проживають на їхній території, зазнають істотного впливу або тому, що до них було подано скаргу. Також, якщо суб’єкт даних, який не проживає в цій державі-члені, подав скаргу, наглядовий орган, до якого було подано таку скаргу, повинен також діяти як відповідний наглядовий орган. У межах своїх завдань щодо видання настанов з будь-якого питання, що охоплює застосування цього Регламенту, рада повинна мати можливість видавати настанови, зокрема, щодо критеріїв, які необхідно враховувати для того, щоб переконатися, чи має відповідне опрацювання істотний вплив на суб’єктів даних у декількох державах-членах, а також — щодо того, що становить відповідне та обґрунтоване заперечення.

(125) Керівний орган повинен бути компетентним в ухваленні зобов’язальних рішень щодо заходів із застосування повноважень, покладених на нього згідно з цим Регламентом. Як керівний орган, наглядовий орган повинен активно залучати та координувати наглядові органи, залучені в процесі вироблення й ухвалення рішень. Якщо рішення полягає у відхиленні скарги, поданої суб’єктом даних, повністю або частково, таке рішення повинен ухвалити наглядовий орган, до якого було подано скаргу.

(126) Рішення необхідно узгоджувати у співпраці керівного наглядового органу і відповідних наглядових органів та направляти його до головного або єдиного осідку контролера або оператора, воно повинно бути зобов’язальним для контролера або оператора. Контролер або оператор повинні вживати необхідних заходів для забезпечення відповідності цьому Регламенту та виконання рішення, про яке керівний наглядовий орган повідомив в головний осідок контролера або оператора щодо опрацювання даних в Союзі.

(127) Кожний наглядовий орган, що не діє як керівний наглядовий орган, повинен бути компетентним у розгляді місцевих справ, якщо контролер або оператор мають осідки в більше ніж одній державі-члені, а предмет спеціального опрацювання стосується лише опрацювання, що здійснюють в єдиній державі-члені із залученням лише суб’єктів даних такої єдиної держави-члена, наприклад, якщо предмет стосується опрацювання персональних даних працівників у спеціальному контексті зайнятості в рамках держави- члена. У таких випадках наглядовий орган повинен повідомляти керівний наглядовий орган без затримки щодо суті питання. Після того, як його повідомили, керівний наглядовий орган повинен вирішити, чи розглядатиме він справу відповідно до

положення про співпрацю між керівним наглядовим органом та іншими відповідними наглядовими органами (механізм «єдиного вікна»), або чи повинен наглядовий орган, який про це повідомив, розглядати справу на місцевому рівні. Під час прийняття рішення про те, чи буде він розглядати справу, керівний наглядовий орган повинен взяти до уваги, чи має контролера або оператора осідок в державі-члені наглядового органу, який про це повідомив, для забезпечення результативного виконання рішення щодо контролера або оператора. Якщо керівний наглядовий орган вирішує розглядати справу, наглядовий орган, який повідомив про неї, повинен мати можливість подати проект рішення, на який керівний наглядовий орган повинен звернути максимальну увагу під час підготування свого проекту рішення в рамках зазначеного механізму єдиного вікна.

(128) Правила щодо керівного наглядового органу та механізму єдиного вікна не можна застосовувати, якщо опрацювання здійснюють публічні органи чи приватні органи для цілей суспільного інтересу. У таких випадках єдиним наглядовим органом, компетентним здійснювати повноваження, покладені на нього згідно з цим Регламентом, повинен бути наглядовий орган держави-члена, в якій засновано публічний орган або приватний орган.

(129) Для забезпечення послідовного моніторингу і виконання цього Регламенту в межах Союзу, наглядові органи повинні мати в кожній державі-члені однакові завдання та дієві повноваження, в тому числі повноваження на розслідування, виправні повноваження та санкції, дозвільні та консультативні повноваження, зокрема, у випадках подання скарг фізичними особами, і без обмеження повноважень органів прокуратори за законодавством держави-члена, доводити інформацію про порушення цього Регламенту до відома судових органів та брати участь у судовому процесі. Такі повноваження повинні також включати повноваження накладати тимчасове або остаточне обмеження, в тому числі заборону, на опрацювання. Держави-члени мають право визначати інші завдання, пов’язані з захистом персональних даних за цим Регламентом. Повноваження наглядових органів необхідно реалізовувати відповідно до належних процедурних гарантій, встановлених законодавством Союзу та держави-члена, неупереджено, правомірно та в розумний строк. Зокрема, кожний захід має бути доцільним, необхідним і пропорційним в аспекті забезпечення відповідності цьому Регламенту, з огляду на обставини кожної індивідуальної справи, поважати право кожної особи бути вислуханою до вжиття будь-якого індивідуального заходу, що негативно вплине на неї, та уникати зайвих витрат і надмірних незручностей для відповідних осіб. Слідчі повноваження щодо доступу до приміщень необхідно реалізовувати відповідно до спеціальних вимог процесуального права держави-члена, зокрема, вимоги щодо отримання попереднього судового дозволу. Кожний юридично зобов’язальний інструмент наглядового органу необхідно оформлювати у письмовій формі, чітко й однозначно, із зазначенням наглядового органу, який ухвалив інструмент, дати ухвалення інструменту, він повинен містити підпис голови чи члена наглядового органу, уповноваженого ним, обґрунтування інструменту, а також повинен вказувати на право щодо дієвого засобу правового захисту. Це не виключає можливість додаткових вимог згідно з процесуальним правом держави- члена. Ухвалення юридично зобов’язального рішення передбачає, що воно може призвести до судового перегляду в державі-члені наглядового органу, який ухвалив рішення.

(130) Якщо наглядовий орган, до якого було подано скаргу, не є керівним наглядовим органом, керівний наглядовий орган повинен тісно співпрацювати з наглядовим органом, до якого було подано скаргу, згідно з положеннями щодо співпраці та послідовності, встановленими в цьому Регламенті. У таких випадках керівний наглядовий орган повинен, вживаючи заходів, спрямованих на породження правових наслідків, у тому числі накладення адміністративних штрафів, звертати максимальну увагу на думку наглядового органу, до якого було подано скаргу та який повинен зберігати компетентність у проведенні будь-якого розслідування на території своєї власної держави-члена у взаємодії з компетентним наглядовим органом.

(131) Якщо інший наглядовий орган повинен діяти як керівний наглядовий орган щодо опрацювання даних, яке здійснює оператор або процесор, але конкретний предмет скарги чи можливе порушення стосується лише опрацювання даних, яке здійснює оператор або процесор у державі-члені, де скаргу було подано або можливе порушення було виявлене, а справа не впливає істотно чи ймовірно істотно не впливатиме на суб’єктів даних у інших державах-членах, у такому разі наглядовий орган, що отримує скаргу чи виявляє ситуацію або якого повідомляють іншим чином про ситуації, що тягнуть за собою можливі порушення цього Регламенту, повинен прагнути укладення мирової угоди з контролером і, якщо це виявляється невдалим, реалізувати повний спектр його повноважень. Це включає: спеціальне опрацювання, що здійснюють на території держави-члена наглядового органу чи щодо суб’єктів даних на території тієї держави- члена; опрацювання, що здійснюють в контексті пропонування товарів або послуг, що спеціально призначені для суб’єктів даних на території держави-члена наглядового органу; чи опрацювання, що має бути оцінено, виходячи з відповідних встановлених законом зобов’язань за законодавством держави-члена.

(132) Діяльність щодо підвищення рівня обізнаності громадськості, яку здійснюють наглядові органи, повинна передбачати спеціальні заходи, спрямовані на контролерів і операторів, у тому числі, мікропідприємств, малих і середніх підприємств, а також фізичних осіб, зокрема, в освітньому контексті.

(133) Наглядові органи повинні сприяти один одному у виконанні своїх завдань та надавати взаємну допомогу для того, щоб забезпечити послідовне застосування та виконання цього Регламенту на внутрішньому ринку. Наглядовий орган, що надсилає запит про взаємну допомогу, може ухвалювати застосування тимчасового інструменту, якщо не отримує відповіді на запит про взаємну допомогу протягом одного місяця з дати отримання такого запиту іншим наглядовим органом.

(134) Кожний наглядовий орган повинен, за необхідності, брати участь у спільних операціях з іншими наглядовими органами. Наглядовий орган, який отримав запит, зобов’язаний відповісти на запит протягом визначеного періоду часу.

(135) Для забезпечення послідовного застосування цього Регламенту в межах Союзу, необхідно запровадити механізм послідовності для співпраці між наглядовими органами. Такий механізм необхідно, зокрема, застосовувати, якщо наглядовий орган має намір ухвалити інструмент, спрямований на створення правових наслідків щодо операцій опрацювання, які істотно впливають на значну кількість суб’єктів даних у декількох державах-членах. Його необхідно також застосувати, якщо будь-який відповідний наглядовий орган або Комісія надсилає запит про те, що таку справу необхідно розглядати згідно з механізмом послідовності. Такий механізм не повинен обмежувати будь-які заходи, які Комісія може вживати під час реалізації своїх повноважень за Угодами.

(136) Застосовуючи механізм послідовності, рада повинна, протягом визначеного періоду часу, ухвалити висновок, якщо так вирішить більшість її членів або якщо існує запит відповідного наглядового органу чи Комісії. Рада повинна також мати повноваження ухвалювати юридично зобов’язальні рішення в разі суперечок між наглядовими органами. З цією метою вона повинна ухвалювати, як правило, більшістю в дві третини голосів її членів, юридично зобов’язальні рішення в чітко визначених ситуаціях, якщо є суперечливі думки наглядових органів, зокрема, в механізмі послідовності між керівним наглядовим органом і відповідними наглядовими органами по суті справи, зокрема щодо наявності порушення цього Регламенту.

(137) Може виникнути нагальна потреба діяти з метою захисту прав та свобод суб’єктів даних, зокрема якщо існує загроза того, що реалізація права суб’єкта даних може бути істотно ускладненою. Наглядовий орган повинен, таким чином, бути спроможним ухвалювати застосування належним чином обґрунтованих тимчасових інструментів на своїй території з визначеним строком дії, що не повинен перевищувати три місяці.

(138) Застосування такого механізму повинно бути умовою законності інструменту, спрямованого на породження наглядовим органом правових наслідків у тих випадках, коли його застосування є обов’язковим. В інших випадках транскордонного значення, необхідно застосовувати механізм співпраці між керівним наглядовим органом і відповідними наглядовими органами, а надання взаємної допомоги і здійснення спільних операцій може відбуватися між відповідними наглядовими органами на двосторонній чи багатосторонній основі без застосування механізму послідовності.

(139) Для того, щоб сприяти послідовному застосуванню цього Регламенту, раду необхідно заснувати як незалежний орган Союзу. Для досягнення своїх цілей, рада повинна володіти правосуб’єктністю. Раду повинен представляти її Голова. Вона повинна замінити Робочу групу із захисту осіб у сфері опрацювання персональних даних, засновану Директивою 95/46/ЄС. Вона повинна складатися з голови наглядового органу кожної держави-члена та Європейського інспектора із захисту даних або їхніх відповідних представників. Комісія повинна брати участь в діяльності ради без права голосу, а Європейський інспектор із захисту даних повинен мати особливе право голосу. Рада повинна сприяти послідовному застосуванню цього Регламенту в межах Союзу, в тому числі надаючи консультації Комісії, зокрема, щодо рівня захисту в третіх країнах або міжнародних організаціях, та сприяючи співпраці наглядових органів в межах Союзу. Рада повинна діяти незалежно під час виконання своїх завдань.

(140) Раді повинен допомагати секретаріат, який забезпечує Європейський інспектор із захисту даних. Персонал Європейського інспектора із захисту даних, залучений до виконання завдань, покладених на нього радою згідно з цим Регламентом, повинен виконувати свої завдання виключно за дорученням Голови Ради та звітуючи їй.

(141) Кожний суб’єкт даних повинен мати право подати скаргу до єдиного наглядового органу, зокрема, в державі-члені за місцем його постійного проживання, та право на дієві засоби судового захисту згідно зі статтею 47 Хартії, якщо суб’єкт даних вважає, що його або її права за цим Регламентом було порушено, або якщо наглядовий орган не розглядає скаргу, частково чи повністю відхиляє або відмовляє в розгляді скарги, або демонструє бездіяльність у разі необхідності вжити відповідних заходів для захисту прав суб’єкта даних. Після отримання скарги необхідно провести розслідування, що підлягає судовому перегляду, тією мірою, що є необхідною для конкретної справи. Наглядовий орган повинен повідомити суб’єкта даних про стан і результати розгляду скарги протягом розумного строку. Якщо справа потребує подальшого розслідування чи координації з іншим наглядовим органом, суб’єкту даних необхідно надати попередню інформацію. Щоб полегшити подання скарг, кожний наглядовий орган повинен вживати заходів, наприклад, надання форми подання скарги, яку також можна оформити в електронному форматі, без обмеження застосування інших засобів зв’язку.

(142) Якщо суб’єкт даних вважає, що його або її права за цим Регламентом порушено, він або вона повинні мати право уповноважити неприбутковий орган, організацію чи асоціацію, засновані за законодавством держави-члена, які мають статутні цілі у сфері суспільних інтересів та здійснюють активну діяльність в сфері захисту персональних даних, подати до наглядового органу скаргу від його або її імені, реалізувати право на засоби судового захисту від імені суб’єктів даних або, якщо це передбачено законодавством держави- члена, реалізувати право на отримання відшкодування від імені суб’єктів даних. Держава-член може надати такому органу, організації чи асоціації право подати скаргу в такій державі-члені, незалежно від мандату суб’єкта даних, і право на дієві засоби судового захисту, якщо вона має підстави вважати, що права суб’єкта даних було порушено в результаті опрацювання персональних даних з порушенням положень цього Регламенту. Такий орган, організація чи асоціація не можуть вимагати компенсації від імені суб’єкта даних незалежно від мандату суб’єкта даних.

(143) Будь-яка фізична чи юридична особа має право подавати позов за анулювання рішень ради до Суду на умовах, передбачених статтею 263 ДФЄС. Як адресати таких рішень,

зацікавлені наглядові органи, що бажають їх оскаржити, повинні подати позов протягом двох місяців після того, як їх було повідомлено про них, згідно зі статтею 263 ДФЄС. У разі, якщо рішення ради безпосередньо та в індивідуальному порядку стосуються контролера, оператора чи заявника, останній може подати позов на анулювання таких рішень протягом двох місяців з дати їх опублікування на офіційній сторінці Ради в мережі Інтернет, згідно зі статтею 263 ДФЄС. Без обмеження цього права відповідно до статті 263 ДФЄС, кожна фізична чи юридична особа повинна мати дієвий засіб судового захисту в компетентному національному суді щодо рішення наглядового органу, що породжує правові наслідки щодо такої особи. Таке рішення стосується, зокрема, реалізації слідчих, виправних і дозвільних повноважень наглядовим органом або відхилення чи відмови у задоволенні скарг. Проте право на дієвий засіб судового захисту не передбачає заходів, яких вживають наглядові органи та які не є юридично зобов’язальними, наприклад, ухвалення висновків або надання наглядовим органом консультацій. Провадження щодо наглядового органу необхідно здійснювати в судах держави-члена, де засновано наглядовий орган, та відповідно до процесуального права тієї держави-члена. Такі суди повинні здійснювати повну юрисдикцію, що охоплює юрисдикцію щодо розгляду всіх питань факту та права, які стосуються відповідного спору.

У разі відмови у задоволенні скарги чи її відхилення з боку наглядового органу, заявник може звернутися до судів тієї самої держави-члена. У контексті засобів судового захисту, що стосуються застосування цього Регламенту, національні суди, що розглядають рішення з питання, необхідного для надання їм повноваження винести рішення, можуть, або у випадку, передбаченому статтею 267 ДФЄС, повинні, надіслати запит до Суду про винесення попередньої ухвали щодо тлумачення нормативно-правового акту Союзу, в тому числі цього Регламенту. Більш того, якщо рішення наглядового органу, на основі якого здійснюють виконання рішення ради, оскаржують в національному суді, а законність рішення ради є спірною, такий національний суд не має повноваження оголошувати рішення ради незаконним, але повинен передати питання щодо законності до Суду згідно зі статтею 267 ДФЄС, відповідно до тлумачення Суду, якщо він вважає рішення незаконним. Проте національний суд може не передавати питання щодо законності рішення ради на запит фізичної чи юридичної особи, яка мала можливість подавати позов на анулювання такого рішення, особливо, якщо таке рішення безпосередньо стосувалося особисто її, але не зробила цього протягом строку, встановленого в статті 263 ДФЄС.

(144) Якщо суд, який розпочав провадження щодо рішення наглядового органу, має підстави вважати, що провадження щодо того самого опрацювання, зокрема, того самого предмету, що стосується опрацювання тим самим контролером або оператором, або тієї самої підстави для подання позову, передають до компетентного суду в іншій державі- члені, він повинен звернутися до такого суду для того, щоб підтвердити факт такого суміжного провадження. Якщо суміжне провадження перебуває на розгляді в суді в ще одній державі-члені, будь-який суд, що не є судом, який першим розпочав провадження, може продовжити провадження або, на запит однієї зі сторін, відмовитися від юрисдикції на користь суду, який першим розпочав провадження, якщо такий суд має юрисдикцію щодо відповідного провадження, і об’єднання таких суміжних проваджень дозволено його законодавством. Провадження вважаються суміжними, якщо вони пов’язані настільки тісно, що їхній спільний розгляд та вирішення стає доцільним для уникнення ризику ухвалення суперечливих рішень, винесених у рамках окремих проваджень.

(145) У провадженні щодо контролера або оператора, заявник повинен мати вибір щодо подання позову або до судів держав-членів, де має осідок контролер або оператор, або — де проживає суб’єкт даних, за винятком, якщо контролер є публічним органом держави- члена, що виконує свої публічні повноваження.

(146) Контролер або оператор повинні відшкодувати будь-яку шкоду, заподіяну особі в результаті опрацювання із порушенням цього Регламенту. Контролера або оператора

необхідно звільнити від відповідальності у разі доведення, що вони жодним чином не несуть відповідальності за заподіяну шкоду. Поняття шкоди необхідно тлумачити у широкому сенсі в світлі прецедентного права Суду у спосіб, що повністю відображає цілі цього Регламенту. Воно не обмежує будь-які позови про відшкодування шкоди, що виникають внаслідок порушення інших норм нормативно-правового акту Союзу чи держави-члена. Опрацювання, що порушує цей Регламент, також означає опрацювання, що порушує делеговані акти та імплементаційні акти, ухвалені згідно з цим Регламентом і нормативно-правовим актом держави-члена, що уточнює норми цього Регламенту. Суб’єкти даних повинні отримати повне та результативне відшкодування за заподіяну їм шкоду. У випадку залучення контролерів або операторів до того самого опрацювання, кожний контролер або оператор повинен нести відповідальність за нанесення шкоди у повному обсязі. Проте, у разі їхньої спільної участі в одному провадженні, згідно із законодавством держави-члена, відшкодування може бути розподілено з урахуванням відповідальності кожного контролера або оператора за шкоду, заподіяну внаслідок опрацювання, за умови забезпечення в повному обсязі результативного відшкодування суб’єкту даних, якому було заподіяно шкоду. Будь-який контролер або оператор, що виплатив відшкодування у повному обсязі, може, відповідно, розпочати процедуру оскарження щодо інших контролерів або операторів, залучених до того самого опрацювання.

(147) Якщо цей Регламент містить спеціальні норми щодо юрисдикції, зокрема, в частині провадження, у питанні судового засобу правового захисту, в тому числі відшкодування, щодо контролера або оператора, загальні норми щодо юрисдикції, наприклад, норми Регламенту Європейського Парламенту і Ради (ЄС) No 1215/2012 (1), не повинні обмежувати застосування таких спеціальних норм.

(148) З метою посилення ступеня застосування норм цього Регламенту, санкції, в тому числі, адміністративні штрафи, необхідно накладати за будь-яке порушення цього Регламенту, окрім або замість відповідних заходів, застосованих наглядовим органом відповідно до цього Регламенту. У разі незначного порушення або якщо штраф, який ймовірно буде накладено, становитиме надмірний тягар для фізичної особи, замість штрафу можна винести догану. Необхідно належним чином враховувати специфіку, тяжкість і тривалість порушення, навмисний характер порушення, дії, яких було вжито для пом’якшення заподіяної шкоди, ступінь відповідальності чи будь-які відповідні попередні порушення, спосіб, у який наглядовий орган дізнався про порушення, відповідність інструментам, передбаченим щодо контролера або оператора, дотримання кодексу поведінки та будь-який інший обтяжувальний або пом’якшувальний фактор. На накладення штрафів, у тому числі адміністративних штрафів, повинні поширюватися відповідні процесуальні гарантії згідно із загальними принципами законодавства Союзу та Хартії, в тому числі дієвий судовий захист та належна правова процедура.

(149) Держави-члени повинні мати можливість встановлювати норми щодо кримінальних покарань за порушення цього Регламенту, в тому числі за порушення національних норм, ухвалених відповідно до та з урахуванням обмежень цього Регламенту. Такі кримінальні покарання можуть також допускати позбавлення переваг, отриманих внаслідок порушення цього Регламенту. Проте призначення кримінальних покарань за порушення таких національних правил та адміністративних санкцій не повинні призводити до порушення принципу ne bis in idem, як його тлумачить Суд.

(150) Щоб посилити та гармонізувати адміністративні санкції за порушення цього Регламенту, кожний наглядовий орган повинен мати повноваження накладати адміністративні штрафи. Цей Регламент повинен зазначати порушення і верхню межу та критерії встановлення пов’язаних адміністративних штрафів, які повинен визначити компетентний наглядовий орган у кожному окремому випадку, беручи до уваги всі

__________ (1) Регламент Європейського Парламенту і Ради (ЄС) No 1215/2012 від 12 грудня 2012 року про юрисдикцію,

визнання і забезпечення виконання рішень у цивільних і комерційних справах (ОВ L 351, 20.12.2012, с. 1).

відповідні обставини конкретної ситуації, з належним врахуванням, зокрема, специфіки, тяжкості, тривалості порушення і його наслідків та інструментів, що було застосовано для забезпечення відповідності обов’язкам за цим Регламентом та запобігання чи пом’якшення наслідків порушення. Якщо адміністративні штрафи було накладено на підприємство, його необхідно розуміти як підприємство згідно зі статтями 101 і 102 ДФЄС для цих цілей. Якщо адміністративні штрафи було накладено на осіб, що не є підприємством, наглядовий орган повинен враховувати загальний рівень доходу в державі-члені, а також економічну ситуацію особи, під час визначення необхідного рівня штрафу. Механізм послідовності також можна використовувати для сприяння послідовному застосуванню адміністративних штрафів. Саме держави-члени мають визначити, чи повинні органи публічної влади підлягати накладенню адміністративних штрафів та якою мірою. Накладення адміністративного штрафу чи попередження не впливає на застосування інших повноважень наглядових органів або інших санкцій за цим Регламентом.

(151) Правовими системами Данії та Естонії не передбачено накладення адміністративних штрафів, як встановлено у цьому Регламенті. Правила щодо адміністративних штрафів можна застосовувати у спосіб, аналогічний практиці Данії, де компетентні національні суди накладають штраф як кримінальне покарання, та — Естонії, де штраф накладає наглядовий орган в рамках процедури незначних правопорушень, за умови, що таке застосування правил у таких державах-членах має наслідки, аналогічні накладенню адміністративних штрафів наглядовими органами. Тому, компетентні національні суди повинні враховувати рекомендацію наглядового органу, який порушує питання щодо стягнення штрафу. У будь-якому разі накладені штрафи повинні бути дієвими, пропорційними і стримувальними.

(152) Якщо цей Регламент не гармонізує адміністративні санкції чи, за необхідності в інших випадках, наприклад, у разі серйозних порушень цього Регламенту, держави-члени повинні забезпечувати застосування системи, що передбачає дієві, пропорційні та стримувальні санкції. Сутність таких санкцій, кримінальних чи адміністративних, повинно визначати законодавство держави-члени.

(153) Держави-члени повинні узгоджувати норми, що регулюють свободу вияву поглядів та свободу інформації, в тому числі журналістику, наукову, художню чи літературну діяльність із правом на захист персональних даних відповідно до цього Регламенту. На опрацювання персональних даних винятково для цілей журналістики чи цілей наукової, художньої чи літературної діяльності повинна поширюватися дія відступів чи винятків від деяких положень цього Регламенту, якщо це необхідно для узгодження права на захист персональних даних із правом на свободу вияву поглядів та свободу інформації, як закріплено в статті 11 Хартії. Це необхідно застосовувати, зокрема, до опрацювання персональних даних у сфері аудіовізуальних послуг, архівах новин і бібліотеках. Тому держави-члени повинні ухвалити законодавчі інструменти, що встановлюють винятки та відступи, необхідні для узгодження цих фундаментальних прав. Держави-члени повинні ухвалити такі винятки і відступи щодо загальних принципів, прав суб’єкта даних, контролера і оператора, передавання персональних даних до третіх країн чи міжнародних організацій, незалежних наглядових органів, співпраці і послідовності, та спеціальних ситуацій з опрацювання даних. Якщо такі винятки чи відступи відрізняються в декількох державах-членах, необхідно застосовувати законодавство держави-члени, яке поширюється на контролера. Щоб врахувати важливість права на свободу вияву поглядів у кожному демократичному суспільстві, поняття такої свободи, наприклад в журналістиці, необхідно тлумачити у широкому сенсі.

(154) Цей Регламент передбачає врахування принципу публічного доступу до офіційних документів під час застосування цього Регламенту. Публічний доступ до офіційних документів можна вважати таким, що відповідає суспільним інтересам. Необхідно забезпечити можливість публічного розкриття персональних даних, що містяться в документах, які зберігає публічний орган або організація, таким органом або

організацією, якщо таке розкриття передбачено законодавством Союзу чи держави- члена, яке поширюється на публічний орган чи організацію. Таке законодавство повинно узгодити питання публічного доступу до офіційних документів та повторного використання інформації публічної сфери із правом на захист персональних даних і може, відтак, передбачати необхідне узгодження з правом на захист персональних даних відповідно до цього Регламенту. Покликання на публічні органи та організації має в такому контексті включати усі органи чи інші організації, на яких поширюється сфера дії законодавства держави-члена про публічний доступ до документів. Директива Європейського Парламенту і Ради 2003/98/ЄС (1) залишає без змін і жодним чином не впливає на рівень захисту фізичних осіб у зв’язку з опрацюванням персональних даних згідно з положеннями законодавства Союзу чи держави-члена, та, зокрема, не змінює обов’язки та права, встановлені цим Регламентом. Зокрема, цю Директиву не застосовують до документів, доступ до яких виключено чи обмежено в силу режимів доступу на підставах захисту персональних даних, і частин документів, доступ до яких дозволено в силу таких режимів, що містять персональні дані, повторне використання яких було передбачено на законодавчому рівні як таке, що є несумісним із законодавством щодо захисту фізичних осіб у зв’язку з опрацюванням персональних даних.

(155) У законодавстві держави-члена чи колективних угодах, в тому числі «трудових договорах», може бути передбачені спеціальні норми щодо опрацювання персональних даних працівників у контексті зайнятості, зокрема, умови, за яких персональні дані в контексті зайнятості можна опрацьовувати на підставі згоди працівника, цілі працевлаштування, виконання трудового договору, в тому числі виконання обов’язків, установлених законом або колективними угодами, управління, планування та організацію праці, рівність та різноманітність на робочому місці, здоров’я та безпеку на робочому місці, для цілей реалізації та користування, індивідуально чи колективно, правами та перевагами, пов’язаними із зайнятістю, та для цілей припинення трудових відносин.

(156) Опрацювання персональних даних для досягнення цілей суспільних інтересів, цілей наукового чи історичного дослідження або статистичних цілей повинно підлягати застосуванню відповідних гарантій для прав і свобод суб’єкта даних відповідно до цього Регламенту. Такі гарантії повинні забезпечувати наявність технічних і організаційних інструментів для гарантування, зокрема, принципу мінімізації даних. Подальше опрацювання персональних даних для досягнення цілей суспільних інтересів, цілей наукового чи історичного дослідження або статистичних цілей потрібно здійснювати, якщо контролер оцінив можливість реалізації таких цілей за допомогою опрацювання даних, що не дозволяє чи більше не дозволяє ідентифікацію суб’єктів даних, за умови, що існують відповідні гарантії (такі як, наприклад, використання псевдонімів до даних). Держави-члени повинні передбачити відповідні гарантії для опрацювання персональних даних для досягнення цілей суспільних інтересів, цілей наукового і історичного дослідження або статистичних цілей. Держав-членів необхідно уповноважити надавати, за спеціальних умов і з урахуванням відповідних гарантій для суб’єктів даних, уточнення та відступи, що стосуються вимог до інформації та прав на виправлення, стирання, права бути забутим, обмеження опрацювання, мобільності даних і заперечення, коли опрацьовують персональні дані для досягнення цілей суспільних інтересів, цілей наукового чи історичного дослідження або статистичних цілей. Відповідні умови та гарантії можуть тягти за собою спеціальні процедури для суб’єктів даних для реалізації таких прав, якщо це є належним у світлі цілей, яких прагнуть досягти в результаті спеціального опрацювання разом з технічними та організаційними інструментами, спрямованими на мінімізацію опрацювання персональних даних відповідно до принципів пропорційності та необхідності. Опрацювання персональних даних для наукових цілей

__________ (1) Директива Європейського Парламенту і Ради 2003/98/ЄС від 17 листопада 2003 року про повторне використання

інформації публічного сектора (ОВ L 345, 31.12.2003, с.90).

необхідно також здійснювати з дотриманням іншого відповідного законодавства, наприклад, законодавства про клінічні випробування.

(157) Об’єднуючи інформацію з реєстрів, дослідники можуть отримати нові знання важливого значення щодо широко розповсюджених медичних станів, таких як серцево-судинне захворювання, рак і депресія. На підставі реєстрів можна посилити результати досліджень, оскільки вони охоплюють більшу кількість населення. У суспільній науці дослідження на підставі реєстрів дає можливість дослідникам отримати необхідні знання про довготривалий взаємозв’язок певної кількості суспільних умов, таких, як безробіття та освіта, з іншими життєвими умовами. Результати дослідження, отримані через реєстри, надають міцні, високоякісні знання, що можуть становити основу для розроблення та реалізації політики, заснованої на знаннях, покращити якість життя для певної кількості людей і підвищити ефективність постачання соціальних послуг. Сприяючи науковому дослідженню, персональні дані можна опрацьовувати для цілей наукового дослідження, за дотримання відповідних умов і гарантій, встановлених законодавством Союзу чи держави-члена.

(158) Якщо персональні дані опрацьовують для архівних цілей, цей Регламент необхідно застосовувати до такого опрацювання, враховуючи, що цей Регламент не застосовують до померлих осіб. Публічними органами або публічними чи приватними органами, що ведуть записи суспільного інтересу, повинні бути служби, що, згідно з законодавством Союзу чи держави-члена, мають встановлене законом зобов’язання отримувати, зберігати, оцінювати, проводити, описувати, повідомляти, сприяти веденню, розповсюджувати та надавати доступ до записів тривалого значення в інтересах суспільства. Держави-члени повинні також мати повноваження на забезпечення подальшого опрацювання персональних даних для цілей архівації, наприклад, для надання спеціальної інформації, що стосується політичної поведінки в умовах колишніх режимів тоталітарних держав, геноциду, злочинів проти людяності, зокрема, Голокосту, або воєнних злочинів.

(159) Якщо персональні дані опрацьовують для цілей наукових досліджень, цей Регламент необхідно також застосовувати до такого опрацювання. В рамках цього Регламенту, опрацювання персональних даних для цілей наукового дослідження необхідно тлумачити в широкому сенсі, у тому числі, наприклад, в аспекті технологічних розробок і демонстрації, фундаментального дослідження, прикладного дослідження і дослідження за фінансової підтримки з боку приватного сектору. Крім того, необхідно брати до уваги мету Союзу, відображену в статті 179(1) ДФЄС щодо формування Європейського дослідницького простору. Цілі наукового дослідження повинні також включати навчання, що проводять в суспільних інтересах у сфері охорони суспільного здоров’я. Зважаючи на особливості характеристики опрацювання персональних даних для цілей наукового дослідження, необхідно застосовувати спеціальні умови, зокрема, в тому, що стосується опублікування чи іншого розкриття персональних даних у контексті цілей наукового дослідження. Якщо результат наукового дослідження, зокрема, в контексті здоров’я надає підстави для вжиття подальших заходів в інтересах суб’єкта даних, необхідно застосувати загальні норми цього Регламенту на підставі таких заходів.

(160) Якщо персональні дані опрацьовують для цілей історичних досліджень, цей Регламент необхідно також застосовувати до такого опрацювання. Це також передбачає історичне дослідження і дослідження для генеалогічних цілей, зважаючи на те, що цей Регламент не застосовують до померлих осіб.

(161) Для цілі надання згоди на участь у науково-дослідницькій діяльності в ході клінічних випробувань необхідно застосовувати відповідні положення Регламенту Європейського Парламенту і Ради (ЄС) No 536/2014 (1).

(162) Якщо персональні дані опрацьовують для статистичних цілей, цей Регламент необхідно також застосовувати до такого опрацювання. У законодавстві Союзу чи держави-члена необхідно, в межах цього Регламенту, визначити статистичний зміст, контроль за доступом, особливості опрацювання персональних даних для статистичних цілей, відповідні заходи для захисту прав і свобод суб’єкта даних та забезпечення статистичної конфіденційності. Статистичні цілі означають будь-яку операцію щодо збирання та опрацювання персональних даних, необхідних для статистичних спостережень або для підготування статистичних результатів. Такі статистичні результати можна надалі використовувати для різних цілей, у тому числі для цілей наукового дослідження. Статистична ціль передбачає, що результат опрацювання для статистичних цілей є не персональними даними, а агрегованими даними, та що цей результат або персональні дані не використовують задля підтримки заходів або рішень щодо будь-якої визначеної фізичної особи.

(163) Необхідно захистити конфіденційну інформацію, яку Союз і національні органи статистики збирають для підготування офіційної європейської та офіційної національної статистики. Європейську статистику необхідно розробляти, готувати та розповсюджувати згідно зі статистичними принципами, як встановлено в статті 338(2) ДФЄС, а національну статистику також — відповідно до законодавства держави-члена. Регламент Європейського Парламенту і Ради (ЄС) No 223/2009 (2) надає детальні уточнення щодо статистичної конфіденційності для європейської статистики.

(164) Щодо повноважень наглядових органів отримувати від контролера або оператора доступ до персональних даних і доступ до їхніх приміщень, держава-член може ухвалити на законодавчому рівні, в межах цього Регламенту, спеціальні норми для охорони професійних зобов’язань або інших рівноцінних зобов’язань щодо конфіденційності мірою необхідності цього для узгодження права на захист персональних даних із обов’язком збереження професійної таємниці. Це не обмежує чинні зобов’язання держави-члена ухвалювати норми щодо професійної таємниці, якщо це необхідно за законодавством Союзу.

(165) Цей Регламент поважає та не обмежує статус церков і релігійних асоціацій чи спільнот за

чинним конституційним правом держав-членів, як це визнано у статті 17 ДФЄС.

(166) Для виконання цілей цього Регламенту, а саме, захисту фундаментальних прав і свобод фізичних осіб і, зокрема, їхнього права на захист персональних даних, а також для забезпечення вільного руху персональних даних у всьому Союзі, Комісії необхідно делегувати повноваження ухвалювати акти згідно зі статтею 290 ДФЄС. Зокрема, делеговані акти необхідно ухвалювати на основі критеріїв і вимог для механізмів сертифікації, інформацію необхідно надавати у форматі стандартизованих іконок та процедур для надання таких іконок. Особливо важливим є проведення Комісією відповідних консультації під час своєї підготовчої роботи, в тому числі, — на рівні експертів. Комісія, під час підготування та розроблення делегованих актів, повинна забезпечувати одночасне, вчасне та належне передавання відповідних документів до Європейського Парламенту і Ради.

__________ (1) Регламент Європейського Парламенту і Ради (ЄС) No 536/2014 від 16 квітня 2014 року про клінічні випробування лікарських препаратів, призначених для використання людиною, та скасування Директиви 2001/20/ЄС (OВ L 158, 27.05.2014, с. 1). (2) Регламент Європейського Парламенту і Ради (ЄС) No 223/2009 від 11 березня 2009 року про європейську статистику та про скасування Регламенту Європейського Парламенту і Ради (ЄС, Євратом) No 1101/2008 про передавання конфіденційних статистичних даних до Статистичного управління Європейських Співтовариств, Регламенту Ради (ЄС) No 322/97 про статистику Співтовариства, та Рішення Ради 89/382/ЄЕС, Євратом, про створення Комітету статистичної програми Європейських Співтовариств (ОВ L 87, 31.03.2009, с. 164).

(167) Для забезпечення єдиних умов імплементації цього Регламенту Комісії необхідно надати виконавчі повноваження, якщо це передбачено цим Регламентом. Реалізацію таких повноважень необхідно здійснювати відповідно до Регламенту (ЄС) No 182/2011. У такому контексті Комісія повинна розглянути спеціальні інструменти для мікропідприємств, малих і середніх підприємств.

(168) Необхідно застосовувати експертну процедуру для ухвалення імплементаційних актів щодо стандартних договірних положень між контролерами і операторами та між операторами; кодексів поведінки; технічних стандартів і механізмів сертифікації; належного рівня захисту, що надає третя країна, територія чи спеціальний сектор у межах тієї третьої країни, або міжнародна організація; стандартних положень про захист; форматів і процедур для обміну інформацією електронними засобами між контролерами, операторами та наглядовими органами щодо зобов’язальних корпоративних правил; взаємної допомоги; домовленостей для обміну інформацією електронними засобами між наглядовими органами та між наглядовими органами і радою.

(169) Комісія повинна негайно ухвалити застосовні імплементаційні акти, якщо наявні докази відображають, що третя країна, територія чи спеціальний сектор у межах такої третьої країни, або міжнародна організація не забезпечують належного рівня захисту, та якщо це необхідно невідкладно і терміново.

(170) Оскільки мету цього Регламенту, зокрема щодо забезпечення належного рівня захисту фізичних осіб та вільного потоку персональних даних у всьому Союзі, не можна досягти достатньою мірою на рівні держав-членів, але, з огляду на масштаб запропонованої ініціативи, її можна досягти на рівні Союзу, Союз може ухвалити інструменти відповідно до принципу субсидіарності, як це передбачено в статті 5 Договору про Європейський Союз. Відповідно до принципу пропорційності, встановленого зазначеною статтею, цей Регламент не виходить за межі необхідного для досягнення такої цілі.

(171) Директиву 95/46/ЄС необхідно скасувати цим Регламентом. Опрацювання, що вже було розпочато станом на дату застосування цього Регламенту, необхідно привести у відповідність з цим Регламентом протягом дворічного періоду з дати набуття чинності цим Регламентом. Якщо опрацювання засновано на згоді відповідно до Директиви 95/46/ЄС, немає потреби для суб’єкта даних надавати свою повторну згоду, якщо спосіб, у який було надано згоду, відповідає умовам цього Регламенту, і таким чином дозволяє контролеру продовжувати таке опрацювання після дати застосування цього Регламенту. Ухвалені Комісією рішення та дозволи, надані наглядовими органами на підставі Директиви 95/46/ЄС, залишаються чинними, поки їх не буде змінено, замінено або скасовано.

(172) З Європейським інспектором із захисту даних було проведено консультацію згідно зі статтею 28(2) Регламенту (ЄС) No 45/2001, він надав висновок від 7 березня 2012 року (1).

(173) Цей Регламент необхідно застосовувати до усіх питань, що стосуються захисту фундаментальних прав і свобод у зв’язку з опрацюванням персональних даних, що не є предметом конкретних зобов’язань з тією самою метою, яку визначено в Директиві Європейського Парламенту і Ради 2002/58/ЄС (2), у тому числі зобов’язань, покладених на контролера, і прав фізичних осіб. Для того, щоб роз’яснити взаємозв’язок між цим Регламентом і Директивою 2002/58/ЄС, необхідно внести відповідні зміни та доповнення до зазначеної Директиви. Після ухвалення цього Регламенту, Директиву 2002/58/ЄС необхідно переглянути, зокрема, з метою забезпечення її відповідності цьому Регламенту,

__________ (1) ОВ C 192, 30.06.2012, с. 7. (2) Директива Європейського Парламенту і Ради 2002/58/ЄС від 12 липня 2002 року щодо опрацювання персональних даних і захисту приватності в секторі електронних комунікацій (Директива про приватність та електронні комунікації) (ОВ L 201, 31.07.2002, с. 37).

УХВАЛИЛИ ЦЕЙ РЕГЛАМЕНТ:

ГЛАВА I

Загальні положення

Стаття 1

Предмет і цілі

  1. Цей Регламент установлює норми щодо захисту фізичних осіб у зв’язку з опрацюванням

персональних даних і норми про вільний рух персональних даних.

  1. Цей Регламент захищає фундаментальні права і свободи фізичних осіб, зокрема їхнє

право на захист персональних даних.

  1. Вільний рух персональних даних у всьому Союзі не повинно бути обмежено чи заборонено із причин, пов’язаних із захистом фізичних осіб у зв’язку з опрацюванням персональних даних.

Стаття 2

Матеріальна сфера дії

  1. Цей Регламент поширюється на опрацювання персональних даних повністю чи частково із застосуванням автоматизованих засобів та до опрацювання персональних даних із застосуванням неавтоматизованих засобів, які формують частину картотеки або призначені для внесення до картотеки.
  2. Цей Регламент не застосовують до опрацювання персональних даних:

(a) в ході діяльності, що виходить за межі дії права Союзу;

(b) державами-членами під час реалізації діяльності, що виходить за межі глави 2 розділу V

Договору про ЄС;

(c) фізичною особою під час задоволення особистих або побутових потреб;

(d) компетентними органами для цілей запобігання, розслідування, виявлення або переслідування за вчинення кримінальних злочинів або для виконання кримінальних покарань, у тому числі, для захисту від загроз громадській безпеці або запобігання таким загрозам.

  1. До опрацювання персональних даних установами, органами, службами та агенціями Союзу застосовують Регламент (ЄС) No 45/2001. Регламент (ЄС) No 45/2001 та інші нормативно-правові акти Союзу, що застосовні до такого опрацювання персональних даних, необхідно адаптувати до принципів і правил цього Регламенту відповідно до статті 98.
  2. Цей Регламент не перешкоджає застосуванню Директиви 2000/31/ЄС, зокрема, норм щодо відповідальності надавачів послуг, передбачених у статтях 12-15 зазначеної Директиви.

Стаття 3

Територіальна сфера дії

  1. Цей Регламент застосовують до опрацювання персональних даних в контексті діяльності осідку контролера або оператора в Союзі, незалежно від того, чи відбувається власне опрацювання в межах Союзу чи ні.
  2. Цей Регламент застосовують до опрацювання персональних даних суб’єктів даних, які перебувають у Союзі, контролером або оператором, який має осідок поза межами Союзу, якщо опрацювання даних пов’язано з:

(a) постачанням товарів чи наданням послуг таким суб’єктам даних у Союзі, незалежно від

того, чи вимагають оплату від таких суб’єктів даних; або

(b) моніторингом поведінки суб’єктів даних, якщо така поведінка має місце у межах Союзу.

  1. Цей Регламент застосовують до опрацювання персональних даних контролером, що має осідок поза межами Союзу, але в місці, де застосовується законодавство держави-члена в силу публічного міжнародного права.

Стаття 4

Терміни та означення

Для цілей цього Регламенту:

(1) «персональні дані» означає будь-яку інформацію, що стосується фізичної особи, яку ідентифіковано чи можна ідентифікувати («суб’єкт даних»); фізична особа, яку можна ідентифікувати, є такою особою, яку можна ідентифікувати, прямо чи опосередковано, зокрема, за такими ідентифікаторами як ім’я, ідентифікаційний номер, дані про місцеперебування, онлайн-ідентифікатор або за одним чи декількома факторами, що є визначальними для фізичної, фізіологічної, генетичної, розумової, економічної, культурної чи соціальної сутності такої фізичної особи;

(2) «опрацювання» означає будь-яку операцію або низку операцій з персональними даними або наборами персональних даних з використанням автоматизованих засобів або без них, такі як збирання, реєстрація, організація, структурування, зберігання, адаптація чи зміна, пошук, ознайомлення, використання, розкриття через передавання, розповсюдження чи надання іншим чином, упорядкування чи комбінування, обмеження, стирання чи знищення;

(3) «обмеження опрацювання» означає позначення збережених персональних даних з метою

обмеження їх опрацювання в майбутньому;

(4) «профайлінг» означає будь-яку форму автоматизованого опрацювання персональних даних, що складається із використання персональних даних для оцінювання окремих персональних аспектів, що стосуються фізичної особи, зокрема, для аналізу або прогнозування аспектів, що стосуються продуктивності суб’єкта даних на роботі, економічної ситуації, здоров’я, особистих переваг, інтересів, надійності, поведінки, місцезнаходження або пересування;

(5) «використання псевдонімів» означає опрацювання персональних даних у такий спосіб, що персональні дані більше не можна віднести до конкретного суб’єкта даних без використання додаткової інформації, за умови, що таку додаткову інформацію зберігають окремо, і на неї поширюється застосування технічних і організаційних інструментів для забезпечення того, що персональні дані не віднесено до фізичної особи, яку ідентифіковано чи можна ідентифікувати;

(6) «картотека» означає будь-який структурований набір персональних даних, доступ до якого надають відповідно до спеціальних критеріїв, є централізованим, децентралізованим або розосередженим на функціональній або географічній основі;

(7) «контролер» означає фізичну чи юридичну особу, орган публічної влади, агентство чи інший орган, який самостійно чи спільно з іншими визначає цілі та засоби опрацювання персональних даних; якщо цілі та засоби такого опрацювання визначаються законодавством Союзу чи держави-члена, контролер або спеціальні критерії його призначення може бути передбачено законодавством Союзу чи держави-члена;

(8) «оператор» означає фізичну чи юридичну особу, орган публічної влади, агентство чи

інший орган, який опрацьовує персональні дані від імені контролера;

(9) «одержувач» означає фізичну чи юридичну особу, орган публічної влади, агентство чи інший орган, якому розкривають персональні дані, незалежно від того, чи є вони третьою

стороною. Проте органів публічної влади, що можуть отримувати персональні дані в рамках конкретного запиту згідно з законодавством Союзу чи держави-члена, не вважають одержувачами; опрацювання таких даних такими органами публічної влади повинно відповідати застосовним нормам про захист даних відповідно до цілей опрацювання;

(10) «третя сторона» означає фізичну чи юридичну особу, орган публічної влади, агентство чи орган, який не є суб’єктом даних, контролером, оператором та особами, які, під безпосереднім керівництвом контролера або оператора, уповноважені опрацьовувати персональні дані;

(11) «згода» суб’єкта даних означає будь-яке вільно надане, конкретне, поінформоване та однозначне зазначення бажань суб’єкта даних, яким він або вона, шляхом оформлення заяви чи проявом чітких ствердних дій, підтверджує згоду на опрацювання своїх персональних даних;

(12) «порушення захисту персональних даних» означає порушення безпеки, що призводить до випадкового чи незаконного знищення, втрати, зміни, несанкціонованого розкриття або доступу до персональних даних, які передано, збережено або іншим чином опрацьовано;

(13) «генетичні дані» означає персональні дані, що стосуються вроджених або набутих генетичних ознак фізичної особи, надають унікальну інформацію про фізіологію чи здоров’я такої фізичної особи та такі, що отримані, зокрема, в результаті аналізу біологічної проби, взятої у відповідної фізичної особи;

(14) «біометричні дані» означають персональні дані, отримані в результаті спеціального технічного опрацювання, що стосується фізичних, фізіологічних чи поведінкових ознак фізичної особи, таких як, зображення обличчя чи дактилоскопічні дані, що дозволяють однозначно ідентифікувати або підтверджують однозначну ідентифікацію фізичної особи;

(15) «дані стосовно стану здоров’я» означає персональні дані, що стосуються стану фізичного чи психічного здоров’я фізичної особи, в тому числі надання медичних послуг, що відображають інформацію про її стан здоров’я;

(16) «головний осідок» означає:

(a) щодо контролера, що має осідки в декількох державах-членах, — осідок його центральної адміністрації в Союзі, за винятком випадків, коли рішення про цілі та засоби опрацювання персональних даних ухвалено в іншому осідку контролера в Союзі, і якщо такий інший осідок має повноваження забезпечувати виконання таких рішень; у такому разі, осідок, де було ухвалено такі рішення, необхідно вважати головним;

(b) щодо оператора що має осідки в декількох державах-членах, — осідок його центральної адміністрації в Союзі, або, якщо оператор не має центральної адміністрації в Союзі, осідок оператора в Союзі, де відбувається основне опрацювання даних в контексті діяльності осідку оператора тією мірою, якою на оператора поширюються конкретні обов’язки за цим Регламентом;

(17) «представник» означає фізичну чи юридичну особу, що перебуває чи має осідок в Союзі, та призначена контролером або оператором у письмовій формі згідно зі статтею 27, представляє контролера або оператора у питанні, що стосується їхніх відповідних обов’язків за цим Регламентом;

(18) «підприємство» означає фізичну чи юридичну особу, що займається господарською діяльністю, незалежно від організаційно-правової форми, в тому числі партнерства чи асоціації, що займаються господарською діяльністю на постійній основі;

(19) «група підприємств» означає підприємство, що контролює, і підприємства, що

перебувають під його контролем;

(20) «зобов’язальні корпоративні правила» означає політику захисту персональних даних, якої дотримується контролер або оператор, що має осідок на території держави-члена, для здійснення передавання або низки актів передавання персональних даних контролеру або оператору в одній або декількох третіх країнах у межах групи підприємств, або групи підприємств, що здійснюють спільну господарську діяльність;

(21) «наглядовий орган» означає незалежний публічний орган, заснований державою-членом

відповідно до статті 51;

(22) «відповідний наглядовий орган» означає наглядовий орган, якого стосується

опрацювання персональних даних, оскільки:

(a) контролер або оператор має осідок на території держави-члена такого наглядового

органу;

(b) суб’єкти даних, що перебувають на території держави-члена такого наглядового органу, зазнають істотного впливу чи ймовірно будуть зазнавати істотного впливу в результаті опрацювання;

(c) до такого наглядового органу було подано скаргу;

(23) «транскордонне опрацювання» означає або:

(a) опрацювання персональних даних, що відбувається у контексті діяльності осідків контролера чи оператора в Союзі у більше ніж одній державі-члені, якщо контролер або оператор мають осідки в більше ніж одній державі-члені; або

(b) опрацювання персональних даних, що здійснюють у контексті діяльності єдиного осідку контролера або оператора в Союзі, але яке істотно впливає чи ймовірно істотно впливатиме на суб’єктів даних у декількох державах-членах.

(24) «відповідне і вмотивоване заперечення» означає заперечення проти проекту рішення щодо того, чи має місце порушення цього Регламенту, чи відповідають цьому Регламенту передбачені заходи щодо контролера або оператора, що чітко вказують на значимість ризиків, що спричиняє проект рішення, для фундаментальних прав і свобод суб’єктів даних та, у відповідних випадках, вільного руху персональних даних в межах Союзу;

(25) «послуга інформаційного суспільства» означає послугу, як її означено в пункті (b) статті

1(1) Директиви Європейського Парламенту і Ради (ЄС) 2015/1535 (1);

(26) «міжнародна організація» означає організацію та її підпорядковані органи, що регулюються публічним міжнародним правом, або будь-який інший орган, заснований договором або на основі договору між двома чи декількома державами.

ГЛАВА II

Принципи

Стаття 5

Принципи опрацювання персональних даних

  1. Персональні дані необхідно:

(a) опрацьовувати у законний, правомірний і прозорий спосіб щодо суб’єкта даних

(«законність, правомірність і прозорість»); __________ (1) Директива Європейського Парламенту і Ради 2015/1535/ЄС від 9 вересня 2015 року про порядок надання інформації у сфері технічних регламентів та правила щодо послуг інформаційного суспільства (ОВ L 241, 17.09.2015, с. 1).

(b) збирати для визначених, чітких і законних цілей і в подальшому не опрацьовувати у спосіб, що є несумісним з такими цілями; подальше опрацювання для досягнення цілей суспільних інтересів, цілей чи цілей наукового чи історичного дослідження або статистичних цілей не можна вважати, згідно зі статтею 89(1), несумісним з первинними цілями («цільове обмеження»);

(c) вважати достатніми і відповідними та обмежити їх мірою необхідності в них з огляду на

цілі опрацювання («мінімізація даних»);

(d) вважати точними і, за необхідності, оновлювати; необхідно вживати усіх відповідних заходів для того, щоб забезпечити, що неточні персональні дані, зважаючи на цілі їхнього опрацювання, було стерто чи виправлено без затримки («точність»);

(e) зберігати в формі, що дозволяє ідентифікацію суб’єктів даних не довше, ніж це є необхідним для цілей їхнього опрацювання; персональні дані можна зберігати протягом більш тривалих періодів, доки їх опрацьовують винятково для досягнення цілей суспільних інтересів, цілей наукового чи історичного дослідження або статистичних цілей відповідно до статті 89(1) за умов вжиття відповідних технічних і організаційних заходів, передбачених цим Регламентом для гарантування прав і свобод суб’єкта даних («обмеження зберігання»);

(f) опрацьовувати в спосіб, що забезпечує належну безпеку персональних даних, у тому числі, захист проти несанкціонованого чи незаконного опрацювання та проти ненавмисної втрати, знищення чи завдання шкоди, із застосуванням відповідних технічних і організаційних інструментів («цілісність і конфіденційність»).

  1. Контролер несе відповідальність за дотримання параграфа 1 і повинен бути здатним це

довести («підзвітність»).

Стаття 6

Законність опрацювання

  1. Опрацювання є законним, лише якщо виконано та мірою виконання принаймні однієї з

наведених нижче умов:

(a) суб’єкт даних надав згоду на опрацювання своїх персональних даних для однієї чи

декількох спеціальних цілей;

(b) опрацювання є необхідним для виконання контракту, стороною якого є суб’єкт даних,

або для вжиття дій на запит суб’єкта даних до укладення договору;

(c) опрацювання є необхідним для дотримання встановленого законом зобов’язання, яке

поширюється на контролера;

(d) опрацювання є необхідним для того, щоб захистити життєво важливі інтереси суб’єкта

даних або іншої фізичної особи;

(e) опрацювання є необхідним для виконання завдання в суспільних інтересах або

здійснення офіційних повноважень, покладених на контролера;

(f) опрацювання є необхідним для цілей законних інтересів контролера або третьої сторони, окрім випадків, коли над такими інтересами переважають інтереси фундаментальних прав і свобод суб’єкта даних, що вимагають охорони персональних даних, особливо, якщо суб’єктом даних є дитина.

Пункт (f) першого підпараграфа не застосовують до опрацювання, яке здійснюють публічні органи у ході виконання своїх завдань.

  1. Держави-члени можуть мати або вводити уточнені положення для застосування норм цього Регламенту щодо опрацювання з метою дотримання пунктів (с) і (е) параграфа 1, визначивши більш чітко спеціальні вимоги опрацювання та інші засоби для забезпечення

законного та правомірного опрацювання, в тому числі, для інших спеціальних ситуацій опрацювання, як це передбачено главою IX.

  1. Законодавчу базу, вказану в пункті (с) і (е) параграфа 1, визначає:

(a) законодавство Союзу; або

(b) законодавство держави-члена, яке поширюється на контролера.

Мету опрацювання необхідно означити в такій законодавчій базі або, в частині опрацювання, вказаного в пункті (е) параграфа 1, її необхідно обов’язково передбачити для виконання завдання в суспільних інтересах чи здійснення офіційних повноважень, покладених на контролера. Така законодавча база може містити спеціальні положення для адаптації застосування правил цього Регламенту, між іншим: загальні умови, що регулюють питання законності опрацювання контролером; типи даних, що підлягають опрацюванню; відповідні суб’єкти даних; установи, яким можна розкривати персональні дані та цілі такого розкриття; цільове обмеження; періоди зберігання; операції опрацювання і процедури опрацювання, в тому числі, заходи щодо забезпечення законного та справедливого опрацювання як ті, що вживають в інших спеціальних ситуаціях опрацювання, як передбачено в главі IX. Законодавство Союзу або держави-члена повинно відповідати меті суспільного інтересу та бути пропорційним наявній законній цілі.

  1. Якщо опрацювання для іншої цілі, ніж тієї для якої відбувалося збирання персональних даних, не засновано на згоді суб’єкта даних або на законодавстві Союзу чи держави-члена, що є необхідним і пропорційним заходом у демократичному суспільстві для гарантування цілей, вказаних у статті 23(1), контролер, для того, щоб переконатися, чи є опрацювання для іншої цілі сумісним із ціллю первинного збирання персональних даних, повинен врахувати, між іншим:

(a) будь-який зв’язок між цілями, для яких збирають персональні дані, і цілями

запланованого подальшого опрацювання;

(b) контекст збирання персональних даних, зокрема, щодо взаємозв’язку між суб’єктами

даних і контролера;

(c) специфіку персональних даних, зокрема, питання опрацювання спеціальних категорій персональних даних, згідно зі статтею 9, або опрацювання персональних даних про судимості і кримінальні злочини, згідно зі статтею 10;

(d) можливі наслідки запланованого подальшого опрацювання для суб’єктів даних;

(e) наявність належних гарантій, що можуть передбачати шифрування чи використання

псевдонімів.

Стаття 7

Умови надання згоди

  1. У разі, якщо опрацювання засновано на згоді, контролер повинен бути спроможним довести те, що суб’єкт даних надав згоду на опрацювання своїх персональних даних.
  2. Якщо суб’єкт даних надає згоду в контексті письмової декларації, що також стосується інших питань, запит на надання згоди необхідно подавати у формі, що чітко відрізняється від інших питань, у зрозумілій та доступній формі, з використанням чітких і простих формулювань. Будь-яка частина такої декларації, що становить порушення цього Регламенту, не є зобов’язальною.
  3. Суб’єкт даних повинен мати право відкликати свою згоду в будь-який момент. Відкликання згоди не повинно впливати на законність опрацювання, що ґрунтувалося на згоді до її відкликання. До надання згоди суб’єкта даних необхідно про це повідомити. Необхідно однаково забезпечити можливість як відкликати, так і надати згоду.

4. Здійснюючи оцінку того, чи є згода вільно наданою, необхідно максимально враховувати те, чи залежить, між іншим, виконання договору, в тому числі надання послуги, від згоди на опрацювання персональних даних, що не є необхідною для виконання такого договору.

Стаття 8

Умови, застосовні до згоди дитини в сфері послуг інформаційного суспільства

  1. У разі застосування пункту (а) статті 6(1), у сфері пропозиції послуг інформаційного суспільства безпосередньо дитині, опрацювання персональних даних дитини є законним, якщо дитина досягла щонайменше 16 років. Якщо дитина не досягла 16 років, таке опрацювання є законним, лише якщо та тією мірою, коли згоду надано чи її надання санкціоновано носієм батьківської відповідальності щодо дитини.

Держави-члени можуть передбачити в законі нижчий вік для таких цілей за умови, що такий вік не є нижчим 13 років.

  1. Контролер повинен докласти розумних зусиль для перевірки в таких випадках того, що згоду надано чи її надання санкціоновано носієм батьківської відповідальності щодо дитини, з урахуванням наявних технологій.
  2. Пункт 1 не впливає на загальне договірне право держав-членів, таке як правила щодо законності, укладення чи наслідків контракту для дитини.

Стаття 9

Опрацювання спеціальних категорій персональних даних

  1. Заборонено опрацювання персональних даних, що розкривають расову чи етнічну приналежність, політичні переконання, релігійні чи філософські вірування, чи членство в професійних спілках, і опрацювання генетичних даних, біометричних даних для цілі єдиної ідентифікації фізичної особи, даних стосовно стану здоров’я чи даних про статеве життя фізичної особи чи її сексуальної орієнтації.
  2. Параграф 1 не застосовують, якщо застосовують таке:

(a) суб’єкт даних надав явну згоду на опрацювання таких персональних даних для однієї чи декількох визначених цілей, за винятком, якщо законодавством Союзу чи держави-члена передбачено, що суб’єкт даних не може зняти заборону, вказану в параграфі 1;

(b) опрацювання є необхідним для цілей виконання обов’язків і здійснення спеціальних прав контролера або суб’єкта даних у сфері зайнятості та права соціального забезпечення і соціального захисту, якщо воно дозволено законодавством Союзу або держави-члена або колективною угодою згідно з законодавством держави-члена, що надає необхідні гарантії для фундаментальних прав та інтересів суб’єкта даних;

(c) опрацювання є необхідним для захисту життєво важливих інтересів суб’єкта даних або іншої фізичної особи, якщо суб’єкт даних фізично чи юридично неспроможний надати згоду;

(d) опрацювання здійснюють в ході відповідної законної діяльності з необхідними гарантіями установою, асоціацією чи будь-яким іншим некомерційним органом з політичною, філософською, релігійною ціллю або для цілі професійної спілки та за умови, що опрацювання стосується винятково членів чи колишніх членів органу або до осіб, що регулярно підтримують контакт з ними у зв’язку з його цілями, та що персональні дані не розкривають поза межами такого органу без згоди суб’єктів даних;

(e) опрацювання стосується персональних даних, що відкрито оприлюднені суб’єктом

даних;

(f) опрацювання є необхідним для формування, здійснення або захисту правових претензій

або якщо суди діють як судові органи;

(g) опрацювання є необхідним з причин суттєвого суспільного інтересу, на підставі законодавства Союзу або держави-члена, що має бути пропорційним цілі, якої прагнуть досягти, поважати сутність права на захист даних і передбачати належні та спеціальні заходи для захисту фундаментальних прав та інтересів суб’єкта даних;

(h) опрацювання є необхідним для цілей превентивної медицини чи гігієни праці, для оцінювання працездатності працівника, медичного діагнозу, надання послуг у сфері охорони здоров’я чи соціального забезпечення чи лікування або управління системами та послугами в сфері охорони здоров’я чи соціального забезпечення чи лікування на підставі законодавства Союзу або держави-члена чи відповідно до контракту з медичним працівником і з урахуванням умов і гарантій, зазначених у параграфі 3;

(i) опрацювання є необхідним з причин суспільного інтересу в сфері охорони суспільного здоров’я, зокрема, захисту від серйозних транскордонних загроз здоров’ю чи забезпечення високих стандартів якості та безпеки в сфері охорони здоров’я і лікарських препаратів або медичного обладнання, на підставі законодавства Союзу або держави- члена, що передбачає належні та спеціальні заходи для захисту прав і свобод суб’єкта даних, зокрема, професійної таємниці;

(j) опрацювання є необхідним для досягнення цілей суспільного інтересу, цілей наукового чи історичного дослідження або статистичних цілей відповідно до статті 89(1) на підставі законодавства Союзу або держави-члена, що має бути пропорційним цілі, якої прагнуть досягти, поважати сутність права на захист даних і передбачати належні та спеціальні заходи для захисту фундаментальних прав та інтересів суб’єкта даних.

  1. Персональні дані, зазначені в параграфі 1, можна опрацьовувати для цілей, зазначених у пункті (h) параграфа 2, якщо такі дані опрацьовує фахівець або їх опрацьовують за його відповідальністю з урахуванням обов’язку збереження професійної таємниці згідно з законодавством Союзу або держави-члена або нормами, встановленими національними компетентними органами чи іншою особою також з урахуванням обов’язку збереження таємниці згідно з законодавством Союзу або держави-члена або нормами, встановленими національними компетентними органами.
  2. Держави-члени можуть мати або вводити деталізовані умови, в тому числі, обмеження, у зв’язку з опрацюванням генетичних даних, біометричних даних або даних стосовно стану здоров’я.

Стаття 10

Опрацювання персональних даних про судимості і кримінальні злочини

Опрацювання персональних даних про судимості і кримінальні злочини або пов’язані заходи безпеки на підставі статті 6(1) здійснюють лише під контролем офіційного органу або у разі, якщо опрацювання дозволено законодавством Союзу або держави-члена, що передбачають належні гарантії для прав і свобод суб’єктів даних. Будь-який всеосяжний реєстр судимостей необхідно вести лише під контролем офіційного органу.

Стаття 11

Опрацювання, що не вимагає ідентифікації

  1. Якщо персональні дані, які опрацьовує контролер, не надають йому можливості ідентифікувати фізичну особу, контролер даних не повинен бути зобов’язаним отримувати додаткову інформацію для того, щоб ідентифікувати суб’єкта даних винятково для цілей дотримання будь-якого положення цього Регламенту.
  2. Якщо, в ситуаціях, вказаних у параграфі 1 цієї статті, контролер здатний довести, що він не може ідентифікувати суб’єкта даних, контролер, відповідно, за можливості, повинен повідомити про це суб’єкта даних. У таких ситуаціях, статті 15–20 не застосовують, за винятком, якщо суб’єкт даних, з метою реалізації своїх прав за зазначеними статтями, надає додаткову інформацію, що уможливлюють його ідентифікацію.

ГЛАВА III

Права суб’єкта даних

Секція 1

Прозорість і форми

Стаття 12

Прозора інформація, повідомлення та форми реалізації прав суб’єкта даних

  1. Контролер повинен вжити необхідних заходів для надання будь-якої інформації, вказаної в статтях 13 і 14 та в будь-якому повідомленні згідно зі статтями 15–22 і 34 щодо опрацювання, суб’єкту даних у стислій, прозорій, доступній для розуміння та легко доступній формі, з використанням чітких і простих формулювань, зокрема, для будь-якої інформації, яку спеціально призначено для дитини. Інформацію необхідно надавати у письмовій формі або іншими засобами, в тому числі, за необхідності, електронними засобами. У разі надання запиту суб’єктом даних, інформацію можна бути надано усно, за умови, що особу суб’єкта даних доведено іншими засобами.
  2. Контролер повинен сприяти реалізації прав суб’єктом даних згідно зі статтями 15–22. У випадках, вказаних у статті 11(2), контролер не має права ухилятися від дій на запит суб’єкта даних щодо реалізації його прав за статтями 15–22, за винятком, доведення контролером неможливості ідентифікувати суб’єкта даних.
  3. Контролер повинен надати інформацію щодо дії, вжитої на запит за статтями 15–22, суб’єкту даних без необґрунтованої затримки та в будь-якому випадку протягом одного місяця з дати отримання запиту. За необхідності, зважаючи на складність та кількість запитів, цей період можна подовжити на два наступні місяці. Контролер повинен повідомити суб’єкта даних про будь-яке таке подовження протягом одного місяця з дати отримання запиту, а також — про причини затримки. Якщо суб’єкт даних надає запит за допомогою електронних засобів, інформацію за можливості необхідно надати електронними засобами за винятком прохання суб’єкта даних про інше.
  4. Якщо контролер не вживає дій у відповідь на запит суб’єкта даних, він повинен повідомити суб’єкта даних без затримки та щонайменше протягом одного місяця з дати отримання запиту про причини утримання від дій і про можливість подання скарги до наглядового органу та звернення до засобів судового захисту.
  5. Інформацію, що надають за статтями 13 і 14, і будь-яке повідомлення та будь-які дії, яких вживають за статтями 15–22 і 34, необхідно надавати на безоплатній основі. Якщо запити від суб’єкта даних є явно необґрунтованими чи надмірними, зокрема, через їхнє багатократне повторення, контролер може або:

(a) стягнути розумну плату, враховуючи адміністративні витрати на надання інформації або

повідомлення чи вжиття дій на запит; або

(b) ухилитися від виконання дій на запит.

На контролера необхідно покласти додаткове зобов’язання щодо доведення явно необґрунтованого чи надмірного характеру запиту.

  1. Без обмеження статті 11, якщо контролер має вагомі підстави сумніватися в особистості фізичної особи, що здійснює запит, вказаний у статтях 15–21, контролер може надіслати запит на надання додаткової інформації, необхідної для підтвердження особистості суб’єкта даних.
  2. Інформацію, яку необхідно надати суб’єктам даних відповідно до статей 13 і 14, можна надавати в поєднанні зі стандартизованими іконками для того, щоб надати конструктивний огляд призначеного опрацювання у видимий, доступний для розуміння та чіткий спосіб. У випадку електронного представлення іконок, — вони повинні легко зчитуватися машиною.

8. Комісії необхідно надати повноваження ухвалювати делеговані акти згідно зі статтею 92 з метою визначення інформації, необхідної для представлення в іконках, та процедур для надання стандартизованих іконок.

Секція 2

Інформація та доступ до персональних даних

Стаття 13

Інформація, яку необхідно надати у разі збирання персональних даних від суб’єкта даних

  1. Якщо персональні дані щодо суб’єкта даних збирають від суб’єкта даних, контролер повинен, у момент отримання персональних даних, надати суб’єкту даних усю інформацію, а саме інформацію про:

(a) особу та контактні дані контролера та, за необхідності, представника контролера;

(b) контактні дані співробітника з питань захисту даних, за необхідності;

(c) цілі опрацювання, для досягнення яких призначено персональні дані, а також

законодавчу базу для опрацювання;

(d) якщо опрацювання здійснюють на підставі пункту (f) статті 6(1), законні інтереси

контролера або третьої сторони;

(e) одержувачі чи категорії одержувачів персональних даних, за наявності;

(f) за необхідності, інформацію про те, що контролер має намір передати персональні дані до третьої країни чи міжнародної організації, про наявність чи відсутність рішення Комісії про відповідність, або, у випадку актів передавання, вказаних у статті 46 чи 47, або другому підпараграфі статті 49(1), — зазначення належних чи відповідних гарантій і засобів, за допомогою яких можна отримати копію таких даних, або джерела, звідки їх можна отримати у вільному доступі.

  1. Крім інформації, вказаної в параграфі 1, контролер повинен, у момент отримання персональних даних, надати суб’єкту даних усю детальну інформацію, необхідну для забезпечення правомірного та прозорого опрацювання, а саме інформацію про:

(a) період зберігання персональних даних, або, якщо це неможливо, — критерії визначення

такого періоду;

(b) існування права на запит від контролера щодо доступу до персональних даних і їх виправлення, стирання, обмеження опрацювання щодо суб’єкта даних або на заперечення проти опрацювання, а також права на мобільність даних;

(c) якщо опрацювання здійснюють на підставі пункту (а) статті 6(1) або пункту (а) статті 9(2), — існування права на відкликання згоди в будь-який момент, без наслідків для законності опрацювання, що було засновано на згоді до її відкликання;

(d) право подавати скаргу до наглядового органу;

(e) те, чи є надання персональних даних статутною чи договірною вимогою, або вимогою, необхідною для укладення контракту, а також — чи зобов’язаний суб’єкт даних надати персональні дані, та про можливі наслідки ненадання таких даних;

(f) наявність автоматизованого вироблення й ухвалення рішень, у тому числі профайлінгу, вказаного в статті 22(1) та (4) і, принаймні в таких випадках, достовірної інформації про логіку, значимість та передбачувані наслідки такого опрацювання для суб’єкта даних.

  1. Якщо контролер прагне надалі опрацьовувати персональні дані для іншої цілі, ніж та, для якої персональні дані було отримано, контролер повинен надати суб’єкту даних до початку такого подальшого опрацювання інформацію про таку іншу ціль і будь-яку належну детальну інформацію, як вказано в параграфі 2.

4. Параграфи 1, 2 і 3 не застосовують, якщо і оскільки суб’єкт даних уже володіє інформацією.

Стаття 14

Інформація, яку необхідно надати у разі отримання персональних даних не від суб’єкта даних

  1. Якщо персональні дані було отримано не від суб’єкта даних, контролер повинен надати суб’єкту даних інформацію, а саме про:

(a) особу та контактні дані контролера та, за необхідності, представника контролера;

(b) контактні дані співробітника з питань захисту даних, за необхідності;

(c) цілі опрацювання, для досягнення яких призначено персональні дані, а також

законодавчу базу для опрацювання;

(d) категорії відповідних персональних даних;

(e) одержувачі чи категорії одержувачів персональних даних, за наявності;

(f) за необхідності, про те, що контролер прагне передати персональні дані до одержувача в третій країні чи міжнародної організації, про наявність чи відсутність рішення Комісії про відповідність, або, у випадку актів передавання, вказаних у статті 46 чи 47, або другому підпараграфі статті 49(1), — зазначення належних чи відповідних гарантій і засобів, за допомогою яких можна отримати копію таких даних, або джерела, звідки їх можна отримати у вільному доступі.

  1. Крім інформації, зазначеної в параграфі 1, контролер повинен надати суб’єкту даних інформацію, необхідну для забезпечення правомірного та прозорого опрацювання, що стосується суб’єкта даних, а саме про:

(a) період зберігання персональних даних, або, якщо це неможливо, — критерії визначення

такого періоду;

(b) якщо опрацювання здійснюють на підставі пункту (f) статті 6(1), законні інтереси

контролера або третьої сторони;

(c) існування права на запит від контролера щодо доступу до персональних даних і їх виправлення, стирання, обмеження опрацювання щодо суб’єкта даних і на заперечення опрацювання, а також права на мобільність даних;

(d) якщо опрацювання здійснюють на підставі пункту (а) статті 6(1) або пункту (а) статті 9(2), — існування права на відкликання згоди в будь-який момент, без наслідків для законності опрацювання, що ґрунтувалося на згоді до її відкликання;

(e) право подавати скаргу до наглядового органу;

(f) те, з якого джерела походять персональні дані, та, за необхідності, про те, чи надійшли

вони з джерел, доступних для громадськості;

(g) наявність автоматизованого вироблення й ухвалення рішень, у тому числі профайлінгу, вказаного в статті 22(1) та (4) і, принаймні в таких випадках, достовірної інформації про логіку, значимість та передбачувані наслідки такого опрацювання для суб’єкта даних.

  1. Контролер повинен надати інформацію, вказану в параграфах 1 та 2:

(a) у розумний строк після отримання персональних даних, але щонайменше протягом одного місяця, враховуючи конкретні обставини, за яких опрацьовують персональні дані;

(b) якщо персональні дані необхідно використати для спілкування з суб’єктом даних, —

принаймні в момент першого повідомлення такому суб’єкту даних; або,

(c) якщо передбачається розкриття іншому одержувачу, — принаймні під час першого

розкриття персональних даних.

4. Якщо контролер прагне надалі опрацьовувати персональні дані для іншої цілі, ніж та, для якої персональні дані було отримано, контролер повинен надати суб’єкту даних до початку такого подальшого опрацювання інформацію про таку іншу ціль і будь-яку належну детальну інформацію, як вказано в параграфі 2.

  1. Параграфи 1–4 не застосовують, якщо і оскільки:

(a) суб’єкт даних уже володіє інформацією;

(b) надання такої інформації стає неможливим чи викликало б несумісні наслідки, зокрема, для опрацювання задля досягнення цілей суспільних інтересів, цілей наукового чи історичного дослідження або статистичних цілях, із урахуванням умов і гарантій, зазначених у статті 89(1) або доки обов’язок, вказаний у параграфі 1 цієї статті, ймовірно унеможливить або серйозно обмежить досягнення цілей такого опрацювання. У таких ситуаціях контролер повинен вжити необхідних заходів для захисту прав і свобод та законних інтересів суб’єкта даних, у тому числі, оприлюднення інформації;

(c) отримання чи розкриття прямо передбачено законодавством Союзу або держави-члена, яке поширюється на контролера та яким передбачено необхідні заходи для захисту законних інтересів суб’єкта даних; або

(d) якщо персональні дані необхідно залишати в таємниці відповідно до обов’язку збереження професійної таємниці, що регулюється законодавством Союзу або держави- члена, в тому числі, статутний обов’язок збереження таємниці.

Стаття 15

Право суб’єкта даних на доступ

  1. Суб’єкт даних повинен мати право на отримання від контролера підтвердження факту опрацювання її або його персональних даних і, якщо це так, — доступ до персональних даних та інформації про:

(a) цілі цього Регламенту;

(b) категорії відповідних персональних даних;

(c) одержувачі чи категорії одержувача, якому персональні дані були або будуть розкриті,

зокрема, одержувачі в третіх країнах або міжнародні організації;

(d) за можливості, період, протягом якого передбачається, що персона

Протокол наради представників суб’єктів правових відносин у сфері надання послуг електронного цифрового підпису

Протокол наради представників суб’єктів правових відносин у сфері надання послуг електронного цифрового підпису

 

16.04.2018 року 10-00, м. Київ, вул. Софіївська, 18

 

Предмет зустрічі: Обговорення спрощення процедури акредитації та зменшення кількості документів, що подаються разом із заявою про акредитацію центру сертифікації ключів

Учасники зустрічі: представники Офісу реформи адміністративних послуг, Міністерства юстиції України, Державної служби спеціального зв’язку та захисту інформації України, ДП «Національні інформаційні системи», ГО «Всеукраїнська асоціація «Інформаційна безпека та інформаційні технології», Державної казначейської служби, Інформаційно-довідкового департаменту ДФС, НБУ, ПАТ «Державний ощадний банк України», ТОВ «Ключові системи».

 

Обговорено питання:

 

1) Про складність та невідповідність сучасним тенденціям процедури звернення заявників для проходження акредитації або переакредитації центрів сертифікації ключів та отримання свідоцтв про акредитацію.

 

Заслухали: Рабчинська Л., Козлов Ю., Карлаш В., Проскуровський В., Ступак С.

 

Доповідачами повідомлено про те, що на сьогодні діючим законодавством про акредитацію центрів сертифікації ключів, які здійснюють роботу з обслуговування посилених сертифікатів ключів не передбачено можливість подання заяви та документів в електронній формі.

Також діючим Порядком передбачено достатньо великий та обтяжливий перелік документів, які надаються для проходження процедури акредитації. Так з 15 таких документів 8 надаються у вигляді копій. Наприклад: копії документів про рівень освіти і кваліфікації керівника центру сертифікації ключів та посадових осіб, обов’язки яких безпосередньо  пов’язані з наданням послуг ЕЦП та обслуговуванням посилених сертифікатів відкритих ключів. При цьому зазначену інформацію може бути надано у вигляді складеного та підписаного керівником центру списку та інформації про освітньо-кваліфікаційний рівень осіб, а перевірено у Реєстрі документів про вищу освіту.

Висловлено застереження (Карлаш В.), що до запровадження подання документів у електронній формі необхідно підходити дуже виважено. Адже необхідно передбачити технічні характеристики/вимоги до створення документів саме в електронній формі. Також повідомлено, що на сьогодні Мін’юстом активно проводиться робота з приведення нормативно-правових актів у відповідність до вимог ЗУ «Про електронні довірчі послуги».

 

2) Про досвід спрощення процедури подання документів до ДФС та НБУ.

 

Заслухали: Просуровський В., Компанієць Ю., Рабчиньска Л., Козлов Ю., Карлаш В.

 

Доповідачами обговорено досвід ДФС запровадження обміну електронними документами між суб’єктами електронного документообігу згідно вимог Порядку обміну електронними документами з контролюючими органами, затвердженого наказом Міністерства фінансів України від 06.06.2017 № 557, зареєстрованого в Міністерстві юстиції України від 03 серпня 2017 р. за № 959/30827.

Відповідно до вказаного порядку автору (юридична особа або ФОП) надано право створювати електронні документи у строки та відповідно до порядку, що визначені законодавством для відповідних документів в електронному та паперовому вигляді, із зазначенням всіх обов’язкових реквізитів та з використанням надійного засобу ЕЦП. Контроль за введенням таких даних, їх повнотою та достовірністю при створенні електронного документа покладено на автора. Накладанням ЕЦП підписувача (підписувачів), електронної печатки (за наявності), як передбачено для аналогічного документа в паперовому вигляді завершується створення електронного документа. Після накладання ЕЦП автор здійснює шифрування електронного документа з дотриманням вимог до форматів криптографічних повідомлень, затверджених в установленому законодавством порядку, та надсилає його у форматі (стандарті) засобами телекомунікаційного зв’язку до адресата протягом операційного дня.

Окремо було наголошено на позитивному досвіді НБУ, який був напрацьований на підставі Регламенту роботи Засвідчувального центру Національного банку України, затвердженого постановою НБУ від 08.09.2014 № 553. Вказаним Регламентом передбачено порядок подання документів до Засвідчувального центру для проведення регламентних процедур та їх опрацювання у письмовій формі (у вигляді паперових чи електронних документів).

 

3) Про необхідність спрощення процедури отримання статусу кваліфікованого надавача електронних довірчих послуг

 

Заслухали: Рабчинська Л., Козлов Ю, Карлаш В, Ступак С., Проскуровський В.

 

Доповідачами було наведено правові підстави для можливості запровадження внесення відомостей до Довірчого списку в електронній формі: ЗУ «Про електронні довірчі послуги» (далі – Закон), ЗУ «Про електронні документи та електронний документообіг», Указ Президента України від 12 січня 2015 року № 5 «Про Стратегію сталого розвитку «Україна-2020», розпорядження Кабінету Міністрів України від 3 квітня 2017 року № 275 «Про затвердження середньострокового плану пріоритетних дій Уряду до 2020 року та плану пріоритетних дій Уряду на 2017 рік».

Так, відповідно до вимог статті 30 Закону статус кваліфікованого надавача електронних довірчих послуг юридичні особи та фізичні особи-підприємці (далі – заявники) набувають з дня внесення відомостей про них до Довірчого списку на підставі рішення ЦЗО або ЗО (у разі надання електронних довірчих послугу банківській системі України та при здійсненні переказу коштів).

Для внесення відомостей про них до Довірчого списку заявники подають до ЦЗО визначені пунктами 1-10 частини 2 статті 30 Закону документи. У тому числі, згідно пункту 10 частини 2 статті 30 Закону подаються копії документів, передбачені у пунктах 1-9 цієї частини, в електронній формі.

Доповідачами звернута увагу на те, що положеннями Закону не передбачено подання документів виключно у письмовій формі, а також що, Закон містить вимогу подання копії документів в електронній формі.

За результатами обговорення, учасники наради дійшли згоди, що для запровадження подання заяви та документів для внесення відомостей до Довірчого списку в електронній формі або у формі електронного документа доцільно передбачити відповідні норми у проектах НПА, які на сьогодні розробляються Міністерством юстиції України з метою приведення законодавства у відповідність до вимог Закону. Також у зазначених проектах НПА доцільно визначити вимоги до змісту, структури і технічних характеристик документів, які подаються в електронній формі та до електронного документа, що створюється заявниками.

 

За результатами обговорення прийнято рішення:

1) Звернутись до Міністерства юстиції України з пропозицією передбачити подання заявниками заяви та документів для отримання статусу кваліфікованого надавача електронних довірчих послуг в електронній формі або у формі електронного документа під час підготовки нормативно-правових актів з метою приведення їх у відповідність до вимог Закону.

2) Офісу реформи адміністративних послуг підготувати та надіслати відповідний лист до Міністерства юстиції, як узгоджені пропозиції від учасників наради.

 

 

Як уряду України розбудувати державну політику у сфері е-торгівлі

Аналітичний документ

Як уряду України розбудувати державну політику у сфері е-торгівлі

Цей аналітичний документ підготовлено під егідою Української сторони Плат- форми громадянського суспільства Україна–ЄС за сприяння проекту «Громад- ська синергія», що фінансується Європейським Союзом та Міжнародним фондом «Відродження».

Зміст цієї публікації є виключною відповідальністю авторського колективу і не обов’язково відображає точку зору Європейського Союзу та Міжнародного фон- ду «Відродження».

«Громадська синергія»

Проект «Громадська синергія» спрямований на посилення участі громадськості у впровадженні євроінтеграційних реформ в Україні шляхом розбудови інститу- ційної спроможності. Також проект «Громадська синергія» покликаний посилити діяльність Української сторони Платформи громадянського суспільства Украї- на–ЄС (УС ПГС) та Української національної платформи Форуму громадянського суспільства Східного партнерства. Проект фінансується Європейським Союзом і Міжнародним фондом «Відродження» та реалізується Європейською програм- ною ініціативою МФВ.

Українська сторона Платформи громадянського суспільства Україна – ЄС

Українська сторона Платформи громадянського суспільства Україна – ЄС (УС ПГС) є частиною Платформи громадянського суспільства Україна–ЄС — органу громад- ського контролю за виконанням Угоди про асоціацію між Україною та ЄС, створе- ного у відповідності до ст. 469-470 Угоди. УС ПГС складається з 15 членів-пред- ставників різних секторів громадянського суспільства – громадських об’єднань, профспілок та організацій роботодавців, які затверджені Асамблеєю УС ПГС. УС ПГС спирається на роботу 6 тематичних робочих груп, які загалом налічують по- над 240 організацій-членів.

Робочі групи під егідою УС ПГС:

  1. «Політичний діалог, зовнішня та безпекова політика» 2. «Свобода, юстиція, права людини» 3. «Економічна співпраця, зона вільної торгівлі, транскордонне співробітництво» 4. «Зайнятість, соціальна політика, рівні можливості та здоров’я» 5. «Енергетика, транспорт, довкілля та зміна клімату» 6. «Наука та технології, інформаційне суспільство, освіта, навчання та молодь, культура і спорт»

Як уряду України розбудувати державну політику у сфері е-торгівлі

Аналітичний документ

АВТОРИ

Валентина Плескач, завідувач кафедри прикладних інформаційних систем факультету інфор- маційних технологій КНУ ім. Тараса Шевченка

Наталія Бородачова, віце-президент Всеукраїнської федерації споживачів «Пульс», директор ГО «Інститут споживчих програм»

Лілія Олексюк, голова Всеукраїнської асоціації «Інформаційна безпека та інформаційні техно- логії», координатор Робочої групи «Свобода, юстиція, права людини» Української сторони Плат- форми громадянського суспільства Україна-ЄС

Методологічний супровід — Р. Кобець та М. Кольцов

4

Список скорочень ………………………………………………………………………………………………………………………..6

Резюме ……………………………………………………………………………………………………………………………………………7

Вступ ……………………………………………………………………………………………………………………………………………….9

Тренди розвитку е-торгівлі …………………………………………………………………………………………………….. 14

Методологія ……………………………………………………………………………………………………………………………….. 15

Опис проблеми …………………………………………………………………………………………………………………………. 16

Кого та чим не задовольняє нинішня політика / стейкхолдери ………………………………………. 22

Джерела інформації …………………………………………………………………………………………………………………. 28

Додаток 1. Євроінтеграційні заходи щодо е-торгівлі ………………………………………………………… 30

Додаток 2. Система та механізми захисту прав споживачів в ЄС…………………………………….. 32

Додаток 3. Євроінтеграційні заходи в інтересах споживачів …………………………………………… 34

Додаток 4. Аналіз Закону «Про електронну комерцію» …………………………………………………….. 36

Додаток 5. Проект закону України «Про електронну торгівлю» ……………………………………… 42

Додаток 6. Перелік законів, до яких необхідно внести зміни ………………………………………….. 46

Додаток 7. Пропозиції щодо змін і доповнень до Закону України «Про захист прав споживачів» …………………………………………………………….. 48

5

6

Список скорочень

ЕКОСОК — Європейський економічний і соціальний комітет

ЄСВ — єдиний соціальний внесок

ЄСХ — Європейська соціальна хартія (переглянута)

ЄТС — Єдина тарифна сітка

ЗУ — Закон України

КМУ — Кабінет Міністрів України

МВФ — Міжнародний Валютний Фонд

МЗП — мінімальна заробітна плата

МЗС — Міністерство закордонних справ України

Мінекономрозвитку — Міністерство економічного розвитку і торгівлі України

Мінсоцполітики — Міністерство соціальної політики України

Мінфін — Міністерство фінансів України

Мінюст — Міністерство юстиції України

МОП — Міжнародна організація праці

ПМ — прожитковий мінімум

р/р — рік до року

СЗП — середня заробітна плата

УС ПГС — Українська сторона Платформи громадянського суспільства Україна-ЄС

ФПМ — фактичний розмір прожиткового мінімуму

ФПУ — Федерація профспілок України

ЦОВВ — центральний орган виконавчої влади

Резюме

Е

-комерція стає тенденції і — галузь, яка найшвидше зро- миттєво реагує на найостанніші та виклики завдяки застосуван- ню ІКТ і цифровим ринкам, тому потребує по- стійного моніторингу та заходів регулювання з боку державних органів.

Прогноз обсягів світового ринку е-комерції у 2017 р. — $1,9 трлн., а в 2019 р. — $2,3 тр- лн. Темпи зростання інтернет-користувачів — 7-8%[17] на рік. За даними іншого досліджен- ня[2], світовий ринок е-комерції зросте з $ 4,9 трлн. у 2015 р. до $ 8 трлн у 2020 р., осо- бливо у секторі е-банкінгу та е-торгівлі циф- ровими та фізичними товарами (послугами). Ці цифри свідчать про величезний потенці- ал е-торгівлі в цілому у світі та в Україні зо- крема.

Найбільша цінність мережі інтернет — анонім- ність, яка сприяла розвитку е-торгівлі до пев- них меж. Нині простежують тенденцію до іден- тифікації учасників відносин у сфері е-торгівлі з метою захисту прав споживачів і персональ- них даних. Такі зміни мають підвищити рівень довіри до учасників фінансових транзакцій.

Проте розвиток Big data (наборів інформації дуже великих розмірів, що традиційними спо- собами та підходами не можуть бути обробле- ні), ідентифікація споживачів має певні ризики — користувачі можуть стати ще незахищені- шими від легального використання їхніх пер- сональних та інших даних.

Зазначимо, що існують виклики у сфері е-тор- гівлі, зокрема:

визнання транскордонних електронних правочинів (комплексу прав і обов’язків сто- рін електронного правочину);

підтвердження наявності взаємовідносин у сфері е-торгівлі;

кіберзлочини;

шахрайства;

порушення захисту персональних та інших даних (збереження даних для маркетинго- вих цілей без попередження споживачів, надмірні строки зберігання даних провайде-

рами, надмірна чи недостатня ідентифікація осіб);

мультиканальність;

неналежна імплементація електронних по- слуг (у тому числі довірчих).

Вказані виклики спричинені, зокрема, суттєви- ми бар’єрами у розвитку е-торгівлі, до най- більших з яких можна віднести такі:

недосконале національне законодавство сфери е-комерції;

монополія великих онлайн-рітейлерів і тор- говельних мереж,

недовіра споживачів до е-торгівлі;

ризиковане інвестування у сферу е-торгів- лі у зв’язку з недостатнім правовим забезпе- ченням, економічною та політичною неста- більністю у країні тощо.

Важливий напрям економічного розвитку України — сфера електронної торгівлі — по- требує державного стимулювання. Це та- кож дозволить отримати додаткові над- ходження до Державного бюджету Укра- їни. Заходи стимулювання сфери е-торгів- лі мають охоплювати комплексне норматив- но-правове, організаційне та технологічне регулювання, а саме:

діяльність провайдерів телекомунікаційних послуг;

забезпечення, надання і реалізацію елек- тронних (у тому числі довірчих) послуг;

правила укладення електронних правочи- нів із системою запобіжників юридичного характеру, в тому числі отримання доказів укладення правочину (чеки), розрахунку за спожиті товари чи послуги;

можливість транскордонності е-сервісів;

захист прав споживачів;

система електронного оподаткування.

Інституційне, нормативно-правове, організа- ційне та технологічне регулювання можна за- безпечити такими способами (варіантами) з урахуванням моделей регулювання е-комер-

7

ції, зокрема європейської. Можливі кілька сце- наріїв розвитку е-торгівлі:

І. Залишити без змін чинну політику у сфері

е-торгівлі в Україні.

ІІ. Надати функцію формування та реалізації державної політики у сфері е-торгівлі Мі- ністерству економічного розвитку та тор- гівлі.

ІІІ. Створити під егідою Прем’єр-міністра спільно з Національним банком України та за участі усіх зацікавлених стейкхолде- рів міжвідомчу робочу групу для розробки Концепції розвитку е-торгівлі в Україні.

Оптимальним варіантом інституційного забез- печення розвитку е-торгівлі є другий з перелі- чених сценаріїв — надання функції формуван- ня та реалізації державної політики у цій сфері Міністерству економічного розвитку та торгівлі.

Транскордонне співробітництво потребує гло- бальних механізмів регулювання е-торгівлі та розроблення нових міжнародних конвенцій із питань е-комерції та е-торгівлі. З метою гармонізації національного та міжнародного законодавства в цій сфері необхідно створити робочу групу, проінвентаризувати нормативні акти України та привести їх у відповідність до Директиви 2000/31/ЄС Європейського парла- менту та Ради ЄС (Директива про електронну комерцію) від 8 червня 2000 року, з урахуван- ням взятих в Угоді з ЄС зобов’язань.

8

Авторами запропоновано також розробити Дорожню карту розвитку е-торгівлі в Україні у такому порядку:

  1. Експертний аналіз чинного законодавства України на предмет імплементації Директи- ви, огляд пропонованих підходів ЮНСІТРАЛ і підготовка деталізованого звіту щодо стану нормативно-правового регулювання у сфе- рі е-торгівлі та захисту прав споживачів.
  2. Створення робочої групи зацікавлених сто- рін (як державних, так і громадських, бізне- су, організацій захисту прав споживачів) і покрокового плану дій із чіткими строками.
  3. Аналіз розроблених проектів норматив- но-правових актів європейськими експер- тами (наприклад, ЕКОСОК).
  4. Адвокатування запропонованого підходу з використанням можливостей Української сторони Платформи громадянського су- спільства Україна-ЄС (УС ПГС).
  5. Внесення змін до законодавства (Додаток 6. Перелік законів, до яких необхідне вне- сення змін).
  6. Інформаційна кампанія на підтримку До-

рожньої карти.

Вступ

С

фера за народної визначенням електронної торгівлі Комісії (ЮНСІТРАЛ), комерції ООН із (е-комерції), права охоплює між-

електронні види діяльності у вигляді обро- блення, передачі інформації тощо через по- відомлення даних, що використовують у кон- тексті торговельної діяльності.[18]

При цьому торговельною діяльністю називають економічні відносини торговельного типу. Ці від- носини охоплюють угоди купівлі-продажу (обмі- ну, постачання тощо) товарів, робіт і послуг, у то- му числі факторинг; лізинг; інвестування; фінан- сування; банківські послуги; страхування тощо.

Електронна комерція (е-commerce) — це елек- тронна економічна діяльність, спрямована на реалізацію товарів і послуг із використанням інформаційно-комунікаційних технологій на основі мережевих взаємодій між покупцем і продавцем.

Бізнес-транзакції електронної комерції виріз- няють за їхніми цілями та природою. Згідно з міжнародним стандартом ISO/IEC 15944-1:2011 Information technology ‒ Business Operational View ‒ Part 1: Operational aspects of Open-edi for implementation, керівні правила бізнес-транзак- ції такі: може дозволити людині використовува-

ти один або декілька ідентифікаторів (напри- клад, одну з кількох різних кредитних або дебе- тових карток), або може вимагати від людини мати чи використовувати наперед визначений персональний ідентифікатор (приміром, особи- сту медичну картку, національну картку зі стра- хування здоров’я, паспорт, посвідчення водія тощо). Персональний ідентифікатор, який нада- ють для представлення особи в бізнес-транзак- ції, має бути «визнаний» іншою стороною біз- нес-транзакції. Кожна сторона транзакції може мати власні керівні правила для «визнання іден- тифікації особи». Посвідчення особи, яке визна- чає її ідентичність, має бути встановлено такою мірою, яка є достатньою для цілей бізнес-тран- закції. У бізнес-транзакції визнане посвідчення особи встановлюють або її взаємним визнан- ням і прийняттям, або зверненням до іденти- фікатора в схемі реєстрування відповідного ор- гану реєстрації (третя довірена сторона у цьому бізнес-процесі, аналог в Україні — центр серти- фікації ключів), внесенням чіткості та алгоритмі- зації сфери електронного документообігу, який використовують у підприємницькій діяльності для цілей е-торгівлі.

Як вище зазначено, нині спостерігають вели- чезний потенціал е-торгівлі в цілому світі та, зокрема, в Україні.

Малюнок 1 [1]

West Central South North East

European Reports

Reports include country profiles, trends & Infographics.

Reports contain countries:

  • Eastern: Rom, Rus, Ukr, a.o.
  • Western: BeNeLux, Fra, Ire, UK
  • Southern: Gre, It, Port, Spa, Turk, a.o.
  • Northern: Den, Est, Fin, Lat, Lith, Nor, Swe, a.o.
  • Central: Aus, CR, Germ, Hun, Pol, Swi, a.o.

818 million people live in Europe 564 million people use the Internet 331 million people are e-shoppers

Europe € 423.8 bn +14.3%

100%

70%

2,475 + jobs directly or indirectly via e-commerce 715,000+ estimated online businesses

EU28

4.0 bn+ € 368.7 bn +13.7%

number of parcels sent annually (f)

€ 208.1 bn € 106.5 bn € 47.2 bn € 38.4 bn € 23.4 bn

Ecommerce Europe

association data at a glance 2015

+13.3% +12.9% +15.4% +16.1% +24.6%

Ecommerce Europe www.Ecommerce-europe.eu

© Ecommerce Foundation (June 2015) www.Ecommercefoundation.org

Info: Info@Ecommerce-Europe.eu For reports: Research@Ecommerce-Europe.eu

Twitter: @Ecommerce_EU

Free download at: https://www.ecommerce-europe.eu/facts-figures/free-downloads

Positioning papers 1. e-Regulations 2. e-Privacy&Transparency 3. e-Payments 4. e-Identification & Trust

Services 5. e-logistics

17+ leading e-commerce associations

40%

GOMSEC

Global Online Measurement Standard B2C E-Commerce

Round Tables

Meetings in 8 European cities for e-commerce experts and invitees

9

До десятки лідерів ринків е-комерції, за да- ними ecommerce-europa.eu, входять: Китай, США, Велика Британія, Японія, Німеччина, Франція, Канада, Росія, Південна Корея, Ав-

стралія (малюнок 1). До лідерів сайтів е-ко- мерції входять: Amazon, Taobаo, Tmall, Alibaba, Flipkart, Snapdeal.

Таблиця 1

СТАТИСТИЧНІ ДАНІ ОГЛЯДУ РОЗВИТКУ Е-КОМЕРЦІЇ В УКРАЇНІ

2007 2008 2009 2010 2011 2012 2013 2014 2015 2016

Обсяг е-торгівлі в

0,40 0,60 0,55 0,73 1,10 1,59 2,37 3,24 4,44 5,65 Україні, млрд. дол. США

Ріст, рік до р. % 50 -8 34 50 45 49 37 37 27

Проникнення

0,6 0,7 1,0 1,1 1,3 1,6 2,3 2,9 3,8 4,5 е-торгівлі в Україні, %

Обсяг роздрібної торгівлі в Україні, млрд. грн.

Важливою тенденцією є те, що темпи зростан- ня розвинутих ринків спадають, тоді як значних темпів набирають південно- і східноєвропей- ські ринки. Серед усіх європейських країн Укра- їна посідає перше місце за зростанням у 2016

319 449 443 530 675 804 902 967 1025 1087

Обсяг роздрібної торгівлі в Україні, млрд. дол.США

63,2 85,2 56,9 66,8 84,7 99,5 105,5 111,8 118,5 125,6

Ріст, рік до р. % 35 -33 17 27 17 6 6 6 6

р. порівняно з попередніми роками із показ- ником приблизно 30-35%. Крім того, середній темп приросту з 2011р. по 2015 р. склав 37%, що є найвищим показником серед країн Схід- ної Європи.

Таблиця 2

СТАТИСТИЧНІ ДАНІ ПРОДАЖІВ ЗАВДЯКИ В2С МОДЕЛІ Е-КОМЕРЦІЇ ПРОТЯГОМ 2011-2016 рр.

B2C продажі шляхом електронної комерції у Східній Європі, 2011-2016 рр., млн. євро

2011 2012 2013 2014 2015 2016*

Середній приріст 2011- 2015,%

Росія 8 247 10 937 14 697 19 259 20 536 21 621 6,6% 26,2%

Румунія 600 800 1 040 1 200 1 490 1 786 24,2% 25,7%

Україна** 303 446 660 784 1 058 1 429 34,9% 37,2%

Болгарія 120 150 195 254 300 342 18,1% 25,8%

Інші 495 615 747 950 1 101 1 322 15,9% 22,2%

Загалом 9 766 12 948 17 339 22 446 24 486 26 500 9,1% 26,3%

Джерело: Ecommerce Foundation, AKIT, EWDN, UADM та Statista, 2016

Приріст 2014-2015,%

10

В Україні щорічно кількість електронних за- мовлень товарів зростає приблизно на 25- 30%, а товарообіг у гривні — на 40-60%, і, за прогнозами, обсяг ринку е-комерції має зро- стати. Зокрема, у 2016 р. обсяг ринку е-комер- ції склав 33,4 — 33,7 млрд. грн., у 2017 р. сягне 44 млрд. грн. Нині частка е-комерції в структу- рі роздрібної торгівлі України складає близько 2%, на противагу близько 12% у Німеччині, 13% — у США, 15% — у Великій Британії.

У 2013 р. обсяг ринку е-комерції України скла- дав $ 2 млрд.[15]

Особливо активно через мережу інтернет продають одяг, електроніку, книги та побуто- ву техніку. Набирає обертів і торгівля продук- тами харчування — більшість учасників ринку вважають саме цей сегмент найперспективні- шим на найближчі п’ять років.

За даними Ecommerce Foundation, глибина ін- тернет-проникнення в Україні — 49% (21,86 млн. інтернет-користувачів); за даними ЕМА, 44% — це зростання ринку e-комерції в 2017 р. (січень-червень 2017 р. порівняно з анало- гічним періодом 2016 року); за даними Gemius, 26% українців регулярно здійснюють покупки онлайн; за даними Нової пошти, саме 30% онлайн-покупців оплачують замовлення карт- кою на сайті, 25 % онлайн-покупців здійсню- ють покупки з мобільного пристрою (Admixer), або 26% — за даними УАДМ. Найбільш відві- дувані інтернет-магазини (показники трафіку за червень, SimilarWeb): Rozetka (43,98 млн.), Allo (7,15 млн.), Citrus (6,74 млн.), Makeup (5,24 млн.), Modnakasta (5,21 млн.). Сайти-лідери сфери електронної комерції станом на липень 2017: OLX (46,44%), Rozetka (38,06%), Prom.ua (29,8%) тощо.

Варто зазначити, що одним із видів е-комерції є електронна торгівля (е-торгівля).

Е-торгівля — це господарська діяльність у сфері електронної купівлі-продажу, реалізації товарів, робіт і послуг дистанційним способом споживачу через вчинення електронних пра- вочинів із використанням інформаційно-ко- мунікаційних технологій (ІКТ) і систем. Інфра- структурні елементи е-торгівлі:

учасники (уряд, виробники, постачальники, ріелтори, продавці, покупці (споживачі);

електронні бізнес-процеси (маркетинг,

продаж, оплата, підтримка, виконання за- мовлення, логістика тощо);

мережі (корпоративні, інтернет, екстранет, інтранет тощо).

Системи е-торгівлі з’явилися у 1993 р. як ре- зультат зменшення вартості та підвищення продуктивності процесів торгівлі за рахунок використання програмно-апаратного забезпе- чення. Глобальна відкрита інформаційна інф- раструктура є основою розвитку систем е-тор- гівлі. За рахунок електронізації та цифровіза- ції ресурсів, інтеграції каналів поставок вартість продукції в різних галузях зменшилася. Стрім- ке зростання е-торгівлі зумовлене її високою ефективністю та низьким рівнем витрат.

До основних елементів інфраструктури систе- ми е-торгівлі належать:

спеціалізоване прикладне програмне за- безпечення;

система керування базами даних і засто- сунків;

телекомунікації та зв’язок; система безпеки купівлі-продажу товарів, послуг і робіт;

нормативно-правове забезпечення;

банківська система;

електронні платіжні системи;

електронна логістика та система доставки товарів і надання послуг;

фінансові інститути (брокерські компанії);

система оподаткування в мережі інтернет;

електронне ціноутворення на е-ринках;

е-маркетинг (банерна реклама);

веб-сервіси тощо.

За даними експертів е-торгівлі[36], товарообіг і кількість замовлень товарів у глобальній ме- режі інтернет щорічно збільшується на 25 %.

Щодо експорту продукції, вітчизняна е-тор- гівля має, зокрема, такі особливості: найбільш затребуваними серед зарубіжних країн ста- ли українські продукти харчування і напої, на другому місці — продукція сільського госпо- дарства, на третьому — дерево, пиломатеріа- ли, будматеріали тощо.

Експортним товаром, на який попит зростає найшвидше, стала українська пшениця; при-

11

міром, у 2015 р. було на 1200% більше заявок, ніж у 2014 році. Серед країн найбільший приріст кількості заявок на експорт пшениці з України в 2015 р. показали Німеччина та США.[3]

Основними чинниками зростання вітчизня- ної е-торгівлі є збільшення проникнення гло- бальної мережі інтернет і збільшення частки онлайн-покупців. За даними Світового банку, проникнення мережі інтернет в Україні щоріч- но підвищується в середньому на 5%. У 2015 р. цей показник склав 49%. Станом на лютий 2016 р. 63% домогосподарств в Україні під- ключено до інтернет-мережі. Регулярно, тоб- то раз на місяць, користуються мережею ін- тернет 62% сімей, при цьому частка покупців у режимі реального часу в роздрібній торгів- лі щорічно зростає в середньому на 4-5%. Це приблизно чверть населення України.

Нині всюди впроваджують системи багаторів- невої верифікації електронних платежів. При здійсненні покупки в глобальній мережі інтер- нет платіж за товар або послугу «заморожують» на рахунку банку, допоки покупець не підтвер- дить отримання товару. Це дозволяє зробити платежі в мережі більш безпечними, підвищити інтерес до покупок онлайн. Збільшення швид- кості мобільного інтернету може призвести до зростання е-покупок із телефонів і планшетів. Великі надії покладено на повсюдне впрова- дження 4G, яке має завершитися до 2020 р.

Технології е-торгівлі (веб-програмування та побудова сайтів, автентифікація, міжнародні стандарти та протоколи, автоматизовані сис- теми керування ресурсами, захист даних тощо) наразі дуже активно застосовують у нашій кра- їні. Основні гравці цього ринку подано на рис. 1.

Набули поширення е-купівлі на міжнародних е-майданчиках (e-Bay, Taobao, Amazon тощо). З ними виникла і низка проблемних питань, що потребують вирішення, зокрема:

місце укладання е-угоди;

підтвердження факту укладання е-угоди;

невідповідність веб-представництва поста- чальника (продавця);

повернення товарів, робіт і послуг, отрима- них дистанційним шляхом;

постгарантійне обслуговування товарів, ро- біт і послуг, отриманих через ІКТ;

12

інформаційна безпека фінансових даних споживачів;

використання міжнародних електронних платіжних систем;

гарантування законності угод;

оподаткування операцій в електронному вигляді;

захист прав споживачів;

захист даних (у тому числі персональних) тощо.

Відповідно до Угоди про асоціацію між Укра- їною та ЄС[33], Україна має виконати одне із зобов’язань та привести власне законодав- ство у відповідність до законодавства ЄС у сфері е-торгівлі (Додаток 1).

Викликами у сфері е-торгівлі є:

визнання транскордонних електронних правочинів (комплексу прав і обов’язків сто- рін електронного правочину);

підтвердження наявності взаємовідносин у сфері е-торгівлі;

кіберзлочини;

шахрайства,

порушення захисту персональних та інших даних (збереження даних для цілей марке- тингу без попередження споживачів, над- мірні строки зберігання даних провайдера- ми, надмірна чи недостатня ідентифікація осіб);

мультиканальність;

неналежна імплементація електронних сер- вісів (у тому числі довірчих).

Відомо кілька моделей е-торгівлі. Американ- ська модель передбачає практично повну від- мову держави від втручання у сферу е-тор- гівлі з метою максимізації вигоди від викори- стання економічного потенціалу мережі для економіки. В основі цієї моделі є прийнятий у 1998 р. на три роки білль «Про податкову сво- боду в інтернеті». Заслуговує на увагу дос- від США: так, уряд цієї держави рекоменду- вав встановити режим невтручання держави в електронний сегмент економіки та запро- вадити мораторій на оподаткування суб’єктів електронної комерції, а також обмежив юрис- дикцію Конгресу з міжнародної торгівлі, вста- новивши мораторій на накладення вимог що- до торгівлі у мережі інтернет. Сутність амери-

канської моделі регулювання е-торгівлі поля- гає у створенні інституційних умов для кон- центрації і пріоритетного розвитку її інфра- структури на території США. Тому найбільші е-майданчики (Amazon, eBay) і платіжні систе- ми знаходяться саме там. (Як приклад, PayPal — міжнародна електронна платіжна система, заснована у 1998 р., яка є способом розрахун- ків у мережі інтернет. Нині PayPal використо- вують понад 230 мільйонів людей у 190 краї- нах світу. PayPal виступає посередником між продавцем і покупцем, забезпечуючи найви- щу надійність оплати платіжними картками VISA, MasterCard, American Express та інших платіжних систем).

Китайська модель передбачає пріоритет ін- ституційного розвитку е-торгівлі як інстру- менту просування китайських товарів на зов- нішні ринки та розвитку інформаційної інф- раструктури в Китаї. Е-торгівлю розгляда- ють у Китаї не стільки як джерело податко- вих надходжень, скільки як стратегічно важ- ливий механізм стимулювання промислового виробництва. Саме тому в Китаї більшість ло- гістичних видів діяльності керовані органами державної влади чи жорстко контролюються ними.

Європейська модель передбачає тотальну регламентацію та реєстрацію суб’єктів е-тор- гівлі та їхніх угод. Прикладом такої діяльно- сті може слугувати введення провідними єв- ропейськими країнами (Німеччина, Франція і Швейцарія) загальнодоступного реєстру до- бросовісних продавців, зареєстрованих у по- даткових органах. На сайтах із товарними пропозиціями продавці зобов’язані вказувати ідентифікаційний номер своєї державної реє- страції.

Зазначимо, що європейська модель не зовсім виправдовує себе у сфері С2С (consumer-to- consumer, споживач для споживача), оскіль- ки через інституційні обмеження європейська торговельна інфраструктура не є світовим лі- дером в електронній комерції. Виграють в ос- новному великі традиційні товаровиробники та роздрібні торгові мережі за рахунок обме- ження зовнішньої конкуренції.

13

З

більшення сегменту мобільної комер- ції. Нині частка покупців цього сегмен- ту постійно збільшується. Сьогодні част- ка мобільних покупок сягає 15% в Україні і до 25% у розвинених країнах (США, Канада). Це означає, що якщо сьогодні магазин не оптимі- зовано під мобільні пристрої, то він втрачає до 25% покупців. Крім того, Google оголосив пра- вила в своєму алгоритмі, що передбачають меншу підтримку сайтів, не оптимізованих під мобільні пристрої. Ці тенденції виділили один з найсильніших 2015-2016 рр. трендів у сфе- рі електронної комерції, тобто m-комерцію. Це оптимізація під мобільні пристрої і викори- стання мобільних технологій на глибшому рів- ні, зокрема, геолокацію та інші цікаві ідеї.

Мультиканальність. Останнім часом цей тренд набирає особливої популярності в Укра- їні. Це покупка товару через різні точки входу, які не взаємодіють між собою (наприклад, тор- говельна точка, інтернет-майданчик, соціальні мережі, мобільний застосунок). А омніканаль- ність — інтеграція всіх каналів, що дає можли- вість користувачеві купити товар у будь-який зручний для нього спосіб. Традиційні види біз- несу стали відкривати інтернет-представни- цтва, а популярні інтернет-магазини — ство- рювати регіональні пункти видачі «офлайн», а в деяких випадках — навіть традиційні мага- зини. У найближчі кілька років бізнеси або пі- дуть шляхом мультиканальності, або поступо- во втрачатимуть конкурентоспроможність.

Big Data. Сьогодні майже всі найбільші мага- зини збирають і аналізують багато різних да- них про покупців. Тренд, швидше, полягає не у факті використання великих даних, а в по- силенні ролі цих даних. Їх стає все більше, а зв’язки між ними — все складнішими. Це най- цінніша інформація для маркетингу, та якщо коректно збирати та використовувати ці дані, то можна підвищити конверсію і середній чек у рази. Це і товарні рекомендації, і реклама, і загальна персоналізація.

Персоналізація. Є спеціальне програмне за- безпечення і різні сервіси для персоніфіка- ції, які можна інтегрувати в інтернет-магазин. Проте великі компанії переважно розробля- ють власні механізми персоналізації, адап- товані під конкретні вимоги стратегії інтер- нет-маркетингу. Звичайно, цей процес уні-

14

Тренди розвитку е-торгівлі

кальний для кожної компанії та вимагає бага- то часу на його створення і підтримання.

Інтеграція сторонніх е-сервісів і приклад- ного програмного забезпечення (ППЗ). Усе частіше регіональні інтернет-магазини інте- грують до свого сайту стороннє ППЗ. Це мо- жуть бути логістичні програми, складські, бух- галтерські програми. Вони дозволяють авто- матизувати багато бізнес-процесів, починаю- чи від доставки і закінчуючи веденням бухгал- терії, та оптимізувати сайт з урахуванням пер- сональних даних клієнтів. Таке ППЗ легко ку- пити і встановити, проте потрібен час на опти- мізацію стороннього ППЗ під потреби фірми.

Логістика. Для інтернет-магазинів питання доставки відіграє найважливішу роль. Швид- ка доставка за 1-2 дні в розвинених країнах — звична практика. Найближчими роками зав- дяки електронній комерції в Україні мають бу- ти налагоджені логістичні мережі, що дозво- лять доставити покупцю товар у найкоротший термін.

До 2020 р. інтелектуальні системи персоналі- зації, які використовують для розпізнавання намірів покупця, допоможуть цифровому біз- несу збільшити обсяг доходів. До 2018 р. по- над 50% сайтів електронної комерції інтегру- ють новітні технології для забезпечення якіс- ного досвіду покупок.

Поки що повністю автоматичні системи («за- мовлення товару + оплата + доставка») є тіль- ки у декількох компаній, а автоматична до- ставка роботами — тільки у світового гіганта Amazon; окремі компанії для цього використо- вують дрон-доставку. Автоматизація достав- ки інформаційних товарів і послуг існує скрізь, труднощі є з реальними товарами.

Ключовими тенденціями е-торгівлі є: зростання покупок через онлайн-канали; експансія американських і китайських грав- ців на європейський ринок, перехід від омні- канальності до інтегрованих багатофункціо- нальних платформ; зростання знань і впев- неності покупців; економіка sharing, зростан- ня інновацій у цій сфері; продовження сти- рання граней між онлайн та офлайн; товари стають технологічнішими; швидке зростан- ня 3D-принтингу.

П

редметом аналізу цього дослідження є процеси е-торгівлі (від дня опублікуван- ня Закону України «Про електронну ко- мерцію» 29.09.2015) у національній інформа- ційній інфраструктурі як частині глобальної ін- формаційної інфраструктури цифрової еконо- міки світу.

Для цілей цього дослідження використано системний підхід при розгляді питань щодо внесення змін до Закону України «Про елек- тронну комерцію» і комплексне регулювання процесів е-торгівлі. А саме здійснено:

аналіз Закону України «Про електронну ко- мерцію» щодо використання різних моде- лей е-комерції;

вивчення можливостей реалізації захисту прав споживачів, повернення товарів, іден- тифікації продавців і покупців, заборони нав’язування рекламної інформації, викори- стання персональних даних з іншою метою, ніж та, для якої їх збирали; їх відображення в законодавстві, відповідальність за хостинг, збереження даних, підтвердження електро- нних правочинів, їх наслідки, наявність/від- сутність чеків тощо.

Методологія

Цей документ не охоплює питання державних закупівель, електронних грошей, інвестуван- ня, фінансування, банківських послуг, стра- хування, угод про експлуатацію або концесії, спільних підприємств та інших форм промис- лового чи підприємницького співробітництва, перевезення товарів і пасажирів повітряним, морським, залізничним або автомобільним транспортом.

Джерела інформації, перелік норматив- но-правових документів подано у кінці доку- мента.

Обговорення варіантів вирішення вищевка- заних проблем у сфері е-торгівлі відбулося 24 березня 2017 р. за участі більшості представ- ників стейкхолдерів, зазначених у цьому до- кументі, у рамках Workshop: E-commerce у мі- сті Києві.

15

16

Опис проблеми

Г

оловною е-комерції витку є відсутність проблемою в Україні на органу, у даному розвитку що етапі відпові- сфери роз-

дає за формулювання і реалізацію держав- ної політики. Ознаками цього є:

розпорошеність повноважень регулювання сфери е-торгівлі між різними органами дер- жавної влади;

відсутність постійного моніторингу та коре- гування нормативно-правового регулюван- ня швидкоплинних процесів, зумовлених, зокрема, розвитком інформаційно-комуні- каційних технологій;

відсутність системного підходу до регулю- вання сфери е-комерції;

відсутність прийнятного статистичного об- ліку кількості, якості та структури розгляду скарг споживачів е-комерції, які потребують постійного нагляду і втручання держави.

Чинна модель регулювання торгівлі Мініс- терством економічного розвитку та торгівлі України, електронних сервісів — Державним агентством з питань електронного урядуван- ня, Держпродспоживслужби, діяльність якої скеровується міністром аграрної політики та продовольства України, не забезпечує ефек- тивного державного регулювання е-торгів- лі та захисту прав споживачів (наразі не охо- плена торгівля непродовольчими товарами). Наділення Уповноваженого Верховної Ради України з прав людини непритаманними йо- му функціями з формування та реалізації дер- жавної політики (функції виконавчої влади) у сфері захисту персональних даних та доступу до інформації, а також неможливість оскар- ження його рішень у суді не вирішує завдань щодо створення незалежного уповноважено- го органу з питань захисту персональних да- них, який забезпечував би належний рівень захисту таким даним та відповідав усім євро- пейським критеріям.

Питання державної політики щодо захисту прав споживачів необхідно розглядати тільки комплексно, враховуючи систему е-торгівлі.

Проблеми розвитку е-торгівлі набувають масштабності разом зі збільшенням викори- стання ІКТ у всіх сферах життя і потребують постійного моніторингу, контролю та регуляр-

ного перегляду законодавства у сфері е-ко- мерції та е-торгівлі.

Е-торгівля в інформаційному середовищі є транснаціональною та транскордонною, то- му що знаходиться не там, де розташовують- ся покупці, посередники та продавці, а там, де розташовується її торговельна інформаційна інфраструктура. Учасники е-торгівлі можуть легко мігрувати з однієї юрисдикції в іншу, тоді як е-майданчик прив’язано до місця реєстра- ції. З огляду на це є потреба в комплексному нормативно-правовому, організаційному та технологічному регулюванні:

діяльності провайдерів телекомунікаційних послуг;

забезпечення, надання і реалізації електро- нних (у тому числі довірчих) послуг;

правил укладення електронних правочи- нів із системою запобіжників юридичного характеру, в тому числі отримання доказів укладення правочину (чеки), розрахунку за спожиті товари чи послуги;

можливості транскордонності е-сервісів;

захисту прав споживачів;

системи е-оподаткування.

ОТЖЕ, ГОЛОВНИМИ БАР’ЄРАМИ РОЗВИТКУ Е-ТОРГІВЛІ Є:

недосконале національне законодавство;

недовіра споживачів до е-торгівлі;

монополія великих онлайн рітейлерів і тор- говельних мереж;

економічна та політична нестабільність у країні;

низька інформаційна та фінансова культу- ра тощо.

Наявна нормативно-правова база для е-по- купок є недосконалою, а тому потребує змін. Це зумовлено специфікою цього виду торгівлі: відсутністю паперової форми до- говору, підтвердження факту купівлі-про- дажу; у більшості випадків відсутня інформа- ція про юридичну (фізичну) особу, яка надає

послуги. Продавець і покупець спілкуються в електронній формі з використанням про- грамних засобів і мережі інтернет, без відпо- відної автентифікації та ідентифікації.

Електронний документ і підпис повинні нада- вати можливість підписувачу е-договору пере- вірити джерело даних, одержувач безпосеред- ньо має перевірити достовірність джерела да- них і встановити того, хто підписав ці дані; він має також перевірити достовірність (цілісність) даних (упевнитися, що вони не були змінені/ модифіковані під час передавання чи зберіган- ня, тобто що це є саме ті дані, які були підпи- сані). Така інформація щодо законності даних має надаватися стороною, яка підписала доку- мент, безпосередньо одержувачу через забез- печення достатньої кількості доказів.

Закони України «Про електронний цифровий підпис» та «Про електронні документи й елек- тронний документообіг» встановлюють ос- новні організаційно-правові засади електро- нного документообігу та використання елек- тронних документів із електронним цифровим підписом (ЕЦП), але ці закони мають бути також оновлені відповідно до Угоди з ЄС в частині пе- реходу від ЕЦП та електронного документа до повноцінного регулювання довірчих е-послуг.

Необхідно зазначити недосконалість у цілому, фрагментарність і колізійність згаданих норм, що є перешкодою для успішного функціонування е-торгівлі. Оскільки нормативна база є недостат- ньою, більшість правових питань, пов’язаних із угодами в мережі інтернет, на практиці регулюють у контексті конкретних комерційних договорів.

Від 29.09.2015 року в Україні набув чинності Закон «Про електронну комерцію»[22] (далі — закон), який варто було б назвати Законом «Про електронну торгівлю», тому що електро- нної комерції в повному сенсі в Україні немає.

Зазначеним законом передбачено, що дого- вори, укладені в електронній формі, прирівню- ють до договорів, укладених у письмовій фор- мі. Електронний договір підписують за допомо- гою електронного підпису, ЕЦП, електронно- го підпису з одноразовим ідентифікатором або аналогом власноручного підпису. Проте про- цедура підписання зазначеним законом не охоплена. Опис процедур допоміг би уникну-

ти ризиків визнання е-договору недійсним. Відсутність належного нормативного регулю- вання порядку використання електронного підпису чи ЕЦП несе потенційні ризики для сто- рін угод, укладених у режимі реального часу.

Законом не охоплено всі моделі е-торгівлі, що суттєво гальмує її розвиток в Україні.

Визначення більшості термінів предметної області е-комерції подано некоректно.

Законом не охоплено базові види е-сервісів, до них не віднесено абсолютну більшість е-сервісів міжнародної е-торгівлі, також не розкрито принципи правового регулювання у сфері е-торгівлі і не пов’язано їх з іншими між- народними актами законодавства у цій сфері.

Великим недоліком закону є відсутність принципу свободи договору (особливо що- до покупця), оскільки е-правочини «вчи- няються на основі відповідних пропозицій (оферт)». Дослідження сайтів найбільших е-торговців в Україні свідчить про відсутність основних положень договору, які мають бу- ти, а саме:

реквізити сторони договору;

технологія (порядок) укладення договору;

порядок створення та накладання електро- нних підписів сторонами договору;

можливість і порядок внесення змін до умов договору;

спосіб і порядок прийняття пропозиції укла- сти електронний договір (акцепту);

порядок обміну електронними повідомлен- нями та інформацією між сторонами під час виконання ними своїх зобов’язань;

технічні засоби ідентифікації сторони;

порядок внесення змін до помилково від- правленого прийняття пропозиції укласти електронний договір (акцепту);

посилання на умови, що включаються до договору, шляхом перенаправлення (відси- лання) до іншого електронного документа і порядок доступу до такого документа;

спосіб зберігання та пред’явлення електро- нних документів, повідомлень, іншої інфор-

17

18

мації в електронній формі та умови доступу до них;

умови виготовлення та отримання паперо- вих копій електронних документів;

можливість вибору мови під час укладання та виконання договору.

На більшості обстежених сайтів (для дослі- дження були визначені сайти компаній, вка- зані на рис.2) не розміщено інформацію щодо належності до тієї чи іншої юридичної особи чи фізичної особи-підприємця, виникає про- блема визначення місця укладення е-до- говору. Особливо це питання зачіпає захист прав споживача, оскільки норма закону відси- лає до Закону України «Про захист прав спо- живача»[25] та прирівнює укладання е-дого- вору до «укладення договору поза торговель- ними або офісними приміщеннями», або «до- говору на відстані», тобто підкреслюється не- можливість його укладення за місцем знахо- дження юридичної особи. Вказане питання

набуває гостроти при оподаткуванні та поста- чанні товарів або послуг з інших країн — опе- рація може бути оподаткована двічі.

Положення закону характеризуються певною неузгодженістю між собою та певною мірою не враховують вимоги Закону України «Про за- хист персональних даних»24 і Конвенції про захист осіб у зв’язку з автоматизованою оброб- кою персональних даних, ратифікованою За- коном України від 06.07.2010 No2438-VI.

Інші аспекти детально проаналізовані в До- датку 4.

У цифровому суспільстві така сфера електро- нної економічної діяльності, як е-комерція, по- требує високого індексу ІКТ, індексу інновацій та індексу освіти. Україна за цими показника- ми посідала у 2016 році 56 місце у світі.

Зарубіжний досвід інституціоналізації е-тор- гівлі, як зазначено вище, пропонує три основ-

Малюнок 2. Приналежність вітчизняного ринку е-комерції до компаній

ні моделі її регулювання: американську, китай- ську та європейську.

Але Україна, підписавши Угоду з ЄС, має за- стосовувати європейську модель інституцій- ного регулювання в сфері е-торгівлі.

У рамках розвитку внутрішнього законодав- ства України дороговказом визначено нор- мативно-правові акти Європейського Сою- зу. Глава 20 «Захист прав споживачів» Угоди про асоціацію України з ЄС містить у статті 417 посилання на вказану в додатках Директиву 97/7/ЄС Європейського парламенту та Ради ЄС «Про захист прав споживачів в дистанційних контрактах» від 20 травня 1997 р. (далі — Ди- ректива).

Впровадження положень цієї Директиви у вітчизняне законодавство передбачено Планом заходів для імплементації Угоди з ЄС на 2014-2017 роки (No 847-р від 17.09.2014) з визначенням строку виконання — сер- пень 2017 р. Враховуючи те, що це урядо- ве розпорядження залишилося невикона- ним, а заплановані ним строки спливли, Ка- бінет Міністрів України прийняв Постано- ву від 21.05.2015 No447 «Питання проведен- ня планування, моніторингу та оцінки ре- зультативності виконання Угоди про асоціа- цію між Україною, з однієї сторони, та Євро- пейським Союзом, Європейським співтова- риством з атомної енергії та їхніми держа- вами-членами, з іншої сторони». Порядок та терміни запровадження Директиви 97/7/ЄС, як і інших директив, згідно з Угодою, поста- новою не визначено.

Формування та реалізацію політики ЄС з пи- тань захисту прав споживачів здійснює Євро- пейська Комісія (Додаток 2).

Продаж товарів через засоби дистанційно- го зв’язку є різновидом е-торгівлі. Специфіка цього виду продажу полягає в неможливості для покупця ознайомитися з товаром до йо- го безпосереднього отримання.

16 березня 2017 року Кабінет Міністрів України прийняв Постанову No 231 «Про затверджен- ня переліку груп технічно складних побутових товарів, які підлягають гарантійному ремонту (обслуговуванню) або гарантійній заміні, в ці- лях застосування реєстраторів розрахункових операцій».

Цією постановою затверджено перелік тех- нічно складних побутових товарів, які підляга- ють гарантійному обслуговуванню та реаліза- ція яких, в тому числі через е-торгівлю, має здійснюватися винятково із використанням реєстраторів розрахункових операцій (далі — РРО) та видачею споживачу фіскального че- ку в усіх випадках сплати за товар готівкою. Фіскальний чек є офіційним підтвердженням факту покупки та гарантує дотримання закон- них прав споживача, а у випадку втрати чеку права споживача гарантуються через фікса- цію факту покупки у відповідних реєстрах.

Прийняття Кабінетом Міністрів вказаної По- станови має стати потужним засобом виве- дення з тіні ринку побутової техніки та елек- троніки в Україні і забезпечити багатомільйон- ні надходження митних і податкових платежів до Державного бюджету України. А виконання суб’єктами господарювання вимог постанови забезпечить споживачеві можливість іденти- фікації продавця для подальшого захисту сво- їх прав у відповідних державних органах.

Найпоширеніші порушення прав споживачів у сфері е-торгівлі:

відсутність ідентифікації продавців;

ненадання споживачеві доступної, повної, достовірної та своєчасної інформації про то- вари, роботи та послуги (далі — покупки);

неможливість для споживача перевірити якість покупки;

труднощі у врегулюванні спорів е-торгівлі;

відсутність невідворотності покарання не- добросовісного продавця;

відсутність/недостатність гарантій спожива- чам тощо.

Продавець зобов’язаний до укладання е-до- говору надати споживачу таку інформацію:

про споживчі властивості покупки;

реквізити виробника;

місцезнаходження продавця та наймену- вання його фірми;

умови придбання та доставки товару;

ціну/тарифи та їхню незмінність протягом визначеного часу;

строк служби і термін придатності;

19

20

гарантійний строк;

мінімальний строк дії договору у випадку, як- що договори на постачання продукції чи по- слуг виконуються постійно чи періодично (за необхідності).

Споживачам е-торгівлі в Україні потріб- ні прості, чіткі та зрозумілі процедури вза- ємодії в єдиному інформаційному просторі е-торгівлі, які діють на ринку ЄС, зокрема:

гарантії;

позитивний імідж суб’єкта підприємниць- кої діяльності;

електронна взаємодія учасників е-торгівлі;

комплексний підхід;

взаємодія е-сервісів;

впровадження процесів е-логістики на рівні розвинутих країн;

регулярне анкетування споживачів тощо.

Подання та розгляд скарг/звернень є пра- вом споживача для відновлення його закон- них прав. Споживач також має право на відпо- відні компенсації незалежно від форми тор- гівлі. У всіх випадках з’ясування спірних ситуа- цій споживачеві необхідно мати відповідні до- кументи та зберігати їх як доказову базу. За- коном України «Про захист прав споживачів» визначено, що докази, подані в електронній формі та/або у формі паперових копій елек- тронних повідомлень, вважаються письмови- ми доказами, які можна використовувати в су- ді. Директива 97/7/ЄС «Про захист прав спо- живачів у дистанційних контрактах» зазна- чає, що враховуючи те, що при використанні ІКТ споживач не керує засобами зв’язку, слід забезпечити перекладання тягаря доведення доказів на постачальника (Додаток 7).

Споживач має право на судовий захист своїх прав для вирішення спорів на внутрішньому ринку е-торгівлі та позасудовий захист. Спо- живачі віддають перевагу альтернативним/ досудовим/позасудовим засобам захисту своїх прав, керуючись економічними інтере- сами та можливістю швидшого врегулюван- ня спору.

Директива 97/7/ЄС [8] рекомендує розвива- ти певні ініціативи з просування позасудових механізмів, внесення об’єктивних критері-

їв для забезпечення надійності цих процедур і внесення положень, необхідних для вико- ристання стандартизованих форм подання скарг. Споживачам важливо знати, що у ви- падку спірних ситуацій тягар доведення пра- воти покладається на продавця.

Пропозиції щодо змін і доповнень Закону України «Про захист прав споживачів» нада- но в Додатку 7.

ПРАВОВА ПРОСВІТА СПОЖИВАЧІВ Е-ТОРГІВЛІ

В інтересах ефективного державного захисту прав споживачів у е-торгівлі важливо поши- рювати та пояснювати інформацію про меха- нізми цього захисту. Поінформованість допо- магає споживачу розуміти власну відповідаль- ність за свої рішення та вибір на ринку.

Світовий досвід свідчить, що знання національ- ного законодавства про захист прав спожива- чів стає основою та ефективним інструментом у вирішенні спірних питань споживача навіть поза межами внутрішнього ринку, оскільки го- ловні права споживачів є визнаними в усьому світі, а національні закони на захист прав спо- живачів у різних країнах значною мірою є по- дібними. Директива 97/7/ЄС наголошує на важ- ливості встановлення єдиних правил у сфері ІКТ. Для споживачів е-торгівля набуватиме все більшого значення, тому необхідно вжити від- повідних заходів для консолідації внутрішнього законодавства з вимогами ЄС.

Електронна комерція як складова електро- нного бізнесу знаходиться в Україні на ета- пі формування та набуває все більшого зна- чення в умовах глобалізаційних перетворень, проте існують певні перешкоди, насамперед недостатня доступність мережі інтернет для всіх регіонів держави. Утім стрімкий розвиток ІКТ забезпечує значні темпи зростання обся- гів електронної комерції, і вітчизняні економі- сти передбачають, що з кожним роком вона посідатиме все більш значне місце в економі- ці України.

Електронна комерція — це вид економічної діяльності, сутність якої полягає у здійснен- ні різноманітних господарських операцій між

суб’єктами комерційної діяльності у віртуаль- ному просторі, тобто із застосуванням мережі інтернет та інших можливостей. Не всі суб’єк- ти електронного ринку розуміють його ключо- ві переваги та недоліки, що може призвести до значних фінансових втрат. Тому виділимо найвагоміші переваги та недоліки е-комерції для суб’єктів електронного ринку.

ПЕРЕВАГИ ЕЛЕКТРОННОЇ КОМЕРЦІЇ

1) для споживача: зниження ціни на товари чи послуги під час взаємодії з продавцем; зменшення часу на вибір товару та здійс- нення покупки; вільний і глобальний до- ступ до міжнародних ринків збуту; оптимі- зація товарних потоків, звільнення від по- середників; можливість створення товару чи послуги зі специфічними конфігураціями (персоніфікація товару) чи за власними по- требами;

2) для виробника (продавця): розвиток кон- курентного середовища та нових каналів збу- ту; економія на витратах, пов’язаних з утри- манням працівників, офісу, складу; глобаль- на присутність на всіх ринках збуту; ефектив- на пряма та оперативна взаємодія з кінцевим споживачем;

3) для бізнес-конкурентів: вільний доступ до ціноутворення; зниження собівартості това- рів і послуг через економію витрат під час об- слуговування споживачів; поінформованість про потреби споживачів, можливість аналізу середовища;

4) для держави: зацікавленість у розвитку електронної комерції задля досконалого біз- нес-аналізу та здійснення маркетингових до- сліджень; використання механізмів детінізації е-торгівлі, розвиток інноваційних бізнес-мо- делей е-комерції; економіка країни зможе перейти на вищий рівень завдяки розвитку електронної комерції та використанню ІК.

21

НЕДОЛІКИ ЕЛЕКТРОННОЇ КОМЕРЦІЇ

1) для споживача: низький порівняно з розви- неними державами ступінь проникності ме- режі інтернет (особливо у регіонах); високий ступінь недовіри до виробників щодо якості та безпечності, адже всі контакти відбувають- ся опосередковано; обмежені можливості ви- користовувати міжнародні системи електро- нних платежів; недосконала законодавча ба- за регулювання захисту прав споживачів у сфері е-торгівлі;

2) для виробника (продавця): виникнення труднощів щодо захисту авторських прав та інтелектуальної власності; неохопленою за- лишається частина населення у регіонах; не- достатня поінформованість покупців щодо товарів або послуг; вільний доступ до особли- вих характеристик товарів; жорстка конкурен- ція, в т.ч. міжнародна; значні ризики під час обрання цінової стратегії;

3) для держави: розвиток тіньового бізне- су; розбіжності державного законодавства з міжнародним; недосконале законодавче регулювання бізнес-процесів через швид- кі темпи розвитку електронної комерції та ін- ші чинники; знищення ланки торгових посе- редників.

НЕ ЗАДОВОЛЬНЯЄ:

споживачів — відсутність фіскальних чеків, угод (особливо електронних), які можуть бу- ти доказовою базою для суду, використання персональних даних без згоди, відсутність ідентифікації продавців і посередників;

постачальників товарів (поштові сервіси) — відсутність механізмів для розрахунків у електронному вигляді, що спричиняє вико- ристання сумнівних підходів до доставки;

інших можливих суб’єктів е-торгівлі, діяль- ність яких законодавство України не регу- лює (в законодавстві врегульовано лише два питання — маркетинг і використання як основного виду правочину — оферта);

22

Кого та чим не задовольняє нинішня політика / стейкхолдери

Міністерство юстиції України — не врегульо- ване питання використання електронних довірчих послуг як складової е-торгівлі;

Національний банк України, Національну ко- місію, що здійснює державне регулювання у сфері ринків фінансових послуг (Нацком- фінпослуг), Національну комісію, що здійс- нює державне регулювання у сфері зв`яз- ку та інформатизації, (НКРЗІ) — кожен у своїй сфері регулює частково (фрагментарно) за- хист прав споживачів; немає єдиної системи захисту прав споживачів;

Міністерство економічного розвитку та тор- гівлі — відсутність повноважень щодо захи- сту прав споживачів, при цьому є повнова- ження щодо регулювання торгівлі, але пов- новаження щодо е-торгівлі не визначено;

Уповноваженого Верховної Ради Украї- ни з прав людини — відсутність інституцій- них (в тому числі технологічних) механізмів для створення дієвої системи захисту персо- нальних даних у цій сфері;

юридичних осіб — неможливість доведен- ня в суді факту укладення електронних пра- вочинів;

постачальників електронних довірчих по- слуг — невдоволення постійним намаган- ням спростити ідентифікації сторін право- чинів і недостатнім використанням механіз- мів, передбачених системою надання елек- тронних довірчих послуг.

ЗАДОВОЛЬНЯЄ — рекламні (маркетинго- ві) компанії, які мають повну безкарність у процесі збирання, обробки та продажу пер- сональних даних користувачів електронних сервісів, відсутність нормативного регулю- вання діяльності таких компаній у цьому процесі.

ЗАВДАННЯ ДЕРЖАВНОЇ ПОЛІТИКИ

Уряд має сприяти ефективнішому функціону- ванню електронної торгівлі. З цією метою слід вжити таких заходів:

створення спеціалізованого порталу для на- дання консультацій щодо особливостей та переваг ведення е-торгівлі;

надання визначених податкових пільг або зменшення ставки оподаткування (зокрема ПДВ) для учасників е-торгівлі;

послаблення адміністративного тиску на учасників е-торгівлі, враховуючи норми За- кону України «Про внесення змін до дея- ких законодавчих актів щодо забезпечен- ня дотримання прав учасників криміналь- ного провадження та інших осіб правоохо- ронними органами під час здійснення досу- дового розслідування» від 16.11.2017 року, а також загальну тенденцію щодо лібераліза- ції умов ведення підприємницької діяльності в Україні;

надання технічної, науково-технічної чи технологічної допомоги суб’єктам ведення е-торгівлі;

створення системи інформаційного забез- печення, навчання і перепідготовки кадрів у сфері е-торгівлі, нормативної бази тощо;

створення цільових фондів фінансування з державного і місцевого бюджетів на під- тримку структур е-торгівлі.

Важливим інституційним органом у сфері е-торгівлі має стати МЕРТ, до завдань якого необхідно додати забезпечення формування та реалізацію:

державної політики у сфері розвитку торго- вельного підприємництва сфери онлайн;

політики інтеграції національної економіки у світову економіку, насамперед ЄС, співробіт- ництва із СОТ;

державної політики у сфері захисту прав споживачів, зокрема, в е-торгівлі;

політики з контролю за цінами; повноцінно- го використання міжнародних електронних платіжних систем і е-грошей, створення системи захисту персональних даних, сис- теми кіберзахисту фінансових даних, про-

ведення кампаній просвіти споживачів, які здійснюють покупки через інтернет.

Крім того, необхідними кроками до забезпе- чення належного функціонування електро- нної торгівлі в Україні є: створення правових механізмів вирішення спорів, у тому числі су- дових, які виникають у зв’язку з купівлею/про- дажем у мережі інтернет; механізмів інтеро- перабельності електронних платіжних сис- тем різних країн світу; забезпечення взаємодії міжнародних логістичних систем; створення механізмів процесу повернення та обміну то- варів/послуг, придбаних через інтернет тощо.

ДЕРЖАВНА ПОЛІТИКА У СФЕРІ Е-ТОРГІВЛІ МАЄ ВИРІШИТИ ТАКІ ПИТАННЯ:

забезпечення діяльності провайдерів теле- комунікаційних послуг;

забезпечення, надання і реалізації електро- нних (у тому числі довірчих) послуг;

правил укладення електронних правочи- нів із системою запобіжників юридичного характеру, в тому числі отримання доказів укладення правочину (чеки), розрахунку за спожиті товари чи послуги;

можливості транскордонності е-сервісів і на- дання послуг торгівлі онлайн;

захисту прав споживачів;

системи е-оподаткування;

реалізації технічно складних побутових то- варів винятково із використанням реєстра- торів розрахункових операцій (РРО) при оп- латі готівкою.

Необхідна цілеспрямована державна по- літика з розвитку е-торгівлі (оформле- на у вигляді Стратегії), яка має стати од- ним зі стратегічних напрямків економіч- ного розвитку країни та споживчого рин- ку. Формування такої політики потребує насамперед доопрацювання законодав- чої бази, а саме:

23

Закону України «Про електронну комерцію» (див. Додаток 6), а саме:

чітко визначити терміносистему е-торгівлі (в тому числі термін «споживач е-торгівлі», «електронний магазин», «електронна по- слуга», «мобільна комерція» тощо);

врегулювати процедури/механізми захисту персональних даних, які умови має створити суб’єкт електронної комерції для захисту таких даних, а також правові підстави для викори- стання (розповсюдження) даних споживачів;

врегулювати механізми захисту прав спо- живачів;

врегулювати механізми надання електронних сервісів е-торгівлі (вибору товарів/послуг, за- мовлення, оплати, доставки, гарантійного та постгарантійного обслуговування тощо);

визначити порядок використання ідентифі- каторів для цілей е-торгівлі;

впровадити всі моделі е-торгівлі, зокрема «дер- жавна установа — державна установа» (мо- дель G2G); G і B — «державна установа — біз- нес-структура» (модель G2B); G і С — «держав- на установа — споживач» (модель G2C); C і C — «споживач — споживач» (модель С2С); G і В — «державна установа — підприємницька струк- тура» (модель G2B), E і В — «працівник — під- приємницька структура» (модель Е2B) тощо.

Закону України «Про захист прав споживачів» (Додаток 7), а саме:

врегулювати та узгодити поняття укладення договору «поза торговельними чи офісни- ми приміщеннями» та «на відстані» в рам- ках статей закону 12 та 13, а також поняття «дистанційний зв’язок», визначений Дирек- тивою 97/7/ЄС;

визначити процедури/механізми розгляду скарг споживачів у сфері е-торгівлі згідно з вимогами Директиви 97/7/ЄС;

врегулювати механізми захисту прав спо- живачів.

Крім того, розвиток сфери е-торгівлі потребує розроблення та ухвалення законопроектів (не є предметом даного дослідження) щодо:

24

забезпечення діяльності провайдерів електронних послуг з обов’язковими ви- могами до захисту прав споживачів;

забезпечення, надання і реалізації елек- тронних (у тому числі довірчих) послуг і можливості транскордонності е-сервісів у частині визнання транскордонних сервісів;

механізмів системи е-оподаткування та її контролю шляхом визначення терміно- логії, складових системи, їх взаємодії з оффлайн-оподаткуванням.

На рівні уряду необхідно розробити документ з визначення концептуальних засад розвитку е-торгівлі (Стратегія чи Концепція), узгоджений з державною політикою у сфері захисту прав споживачів, а також стимулювати бізнес че- рез просування різних моделей е-торгівлі, у т.ч. В2В, B2G (наприклад, зменшене ПДВ — 15%).

На рівні Урядового офісу з питань європейської та євроатлантичної інтеграції недостатньо нала- годжена діяльність з інформування суспільства про обов’язки України в рамках Угоди про асо- ціацію з ЄС та про стан їх виконання в контексті імплементації Директиви 2000/31/ЄС «Про елек- тронну комерцію» та Директиви 97/7/ЄС «Про захист прав споживачів у дистанційних контрак- тах». Це призводить до неякісних, несистемних, фрагментарних управлінських рішень.

Є потреба у запровадженні систематичного моніторингу (щопіврічного, щорічного) стану захисту прав споживачів у сфері е-торгівлі за показниками:

кількість е-покупок (договорів купівлі-про- дажу), здійснених споживачами в певний період часу;

кількість скарг споживачів до громадських об’єднань щодо порушення їхніх спожив- чих прав (на прикладі всеукраїнських орга- нізацій споживачів);

кількість таких скарг споживачів до Дер- жпродспоживслужби;

частка скарг споживачів на е-покупки/е-по- слуги в загальній структурі звернень спожи- вачів за захистом їхніх законних прав (від- повідно, в громадських об’єднаннях та Дер- жпродспоживслужбі);

кількість скарг, вирішених на користь спо- живача;

розмір компенсацій, які отримали спожива- чі, зокрема, відшкодування матеріальної та моральної шкоди;

розмір відповідальності порушників законо- давства та прав споживачів (у форматі по- вернення товару та сплачених споживачем коштів, у досудовому та/чи судовому роз- гляді скарг тощо).

Як необхідний додатковий захід також вба- чається створення органу з питань захисту персональних даних, який забезпечить на- лежний державний контроль у цій сфері.

ВАРІАНТИ ВИРІШЕННЯ ПРОБЛЕМИ:

Інституційно ці питання можна забезпечити такими способами (варіантами):

Залишити без змін.

Надати функцію формування та реалізації державної політики у сфері е-торгівлі Мі- ністерству економічного розвитку та тор- гівлі.

Створити під егідою Прем’єр-міністра спільно з Національним банком України міжвідомчу робочу групу.

Таблиця 3

ВАРІАНТИ ІНСТИТУЦІЙНОГО ЗАБЕЗПЕЧЕННЯ СФЕРИ Е-ТОРГІВЛІ

Залишити без змін повноваження органів влади, що формують пев- ні сфери е-торгівлі

Надати функцію формування та реалі- зації державної політики у сфері е-тор- гівлі Міністерству економічного роз- витку та торгівлі

Створити під егідою першого ві- це-прем’єр-міністра спільно з Націо- нальним банком України міжвідом- чу робочу групу

Заходи

— Внести зміни до Законів України «Про електронну комерцію» та «Про захист прав споживачів» відповідно до плану імплементації Директиви 2000/31/ЄС «Про електронну комерцію» та Дирек- тиви 97/7/ЄС «Про захист прав спожи- вачів у дистанційних контрактах», ін- ших нормативних актів (згідно з Додат- ками 5 та 7).

До Положення про Міністерство еко- номічного розвитку і торгівлі внести зміни, виклавши в такій редакції під- пункт 200 пункту 4: «бере участь у формуванні та реалізації державної політики у сфері інформатизації, роз- витку електронного урядування, елек- тронної торгівлі, електронного бізне- су, побудови сучасного інформаційно- го суспільства в державі, забезпечує в межах повноважень, передбачених законом, впровадження сучасних ін- формаційно-комунікаційних техноло- гій, створення системи національних інформаційних ресурсів».

Під егідою першого ві- це-прем’єр-міністра спільно з Наці- ональним банком України створи- ти міжвідомчу робочу групу із за- лученням усіх зацікавлених сторін (стейкхолдерів), яка розробить план імплементації державної політики у сфері розвитку е-торгівлі, що охо- плює розроблення:

нормативного забезпечення;

методів підготовки кадрового за- безпечення;

механізмів постійного фінансово- го забезпечення;

інфраструктури е-торгівлі;

порядку погодження із зацікавле- ними сторонами;

регламентів і гармонізації міжна- родних стандартів е-торгівлі.

Тобто заходи з розробки дорож- ньої карти реформ у сфері е-тор- гівлі з урахуванням взятих, згідно з Угодою з ЄС, зобов’язань із чіткими строками виконання.

25

26

Переваги

У короткостроковій перспективі най- більші вигоди мають представники бізнесу у сфері е-торгівлі, для яких відсутність належного контролю та єдиного центру прийняття рішень означає можливість працювати у не заборонений законом спосіб. Тобто бізнес розвиватиметься саморегу- люючим шляхом.

Міжвідомча робоча група за участі експертів, громадських організацій та широкого кола залучених осіб з боку бізнесу є демократичним варі- антом формування державної полі- тики. Думка учасників може бути по- чута усіма зацікавленими сторона- ми, широкий і конструктивний діа- лог сприятиме виробленню вива- жених політичних кроків.

Запропонований авторами план дій може бути прийнятий за основу.

Недоліки

Споживачі е-торгівлі самотужки ви- рішуватимуть свої проблеми що- до повернення товару неналежної якості, гарантійного та постгаран- тійного обслуговування, повернен- ня грошей, використання ненадій- них чи незахищених платіжних ін- струментів і систем. Споживачі не зможуть убезпечити себе від ризи- ків шахрайства, особливо при отри- манні транскордонних сервісів. Тоб- то споживач залишається сам-на- сам із проблемами та відсутністю державного регулювання.

Більшість моделей е-торгівлі зали- шаються поза законодавчим регу- люванням.

У довгостроковій перспективі від- сутність законних методів впливу на бізнес і, як результат, відсутність до- віри може загальмувати такий вид діяльності, як е-торгівля, включаю- чи важливий її аспект — втрату кон- курентоспроможності численних представників вітчизняного бізнесу.

Політика держави у сфері е-торгівлі стає більш централізованою, для спо- живачів зрозумілою, а для держав- них органів -прогнозованою. Мінеко- номрозвитку може бути членом між- народних організацій, які регулюють сферу е-торгівлі, та стати суб’єктом міжнародної політики у цій сфері.

Залишаються повноваження у сфері

Цей сценарій є малореалістичним е-торгівлі, які не можуть бути переда-

через відсутність на сьогодні: ні Міністерству економічного розвит- ку та торгівлі, але прямо впливають на

політичної волі вищого керівни- неї, а саме формування та реалізація

цтва держави, політики щодо:

реального фінансування розвит- довірчих сервісів;

ку сфери е-торгівлі,

електронних телекомунікацій;

кваліфікованих фахівців і експер- тів у сфері е-торгівлі, функції контролю захисту персо- нальних даних;

економічних передумов для ін- вестування проектів е-торгівлі, нагляд та контроль у сфері захисту інформації;

стабільної політичної обстановки.

фіскальна політика.

Головним недоліком таких робочих груп є практика включення до них перших осіб відомств, що мають формувати політику, або постійне відтермінування засідань.

Якщо міжвідомча група матиме учасників на рівні нижче заступни- ка міністра, ймовірність прийняття рішення, виробленого спеціаліста- ми, може бути знівельована на ви- щому рівні.

За результати проведеного аналізу автори да- ного документу дійшли висновку, що опти- мальним варіантом інституційного забезпе- чення розвитку е-торгівлі в Україні є надання функції формування та реалізації державної політики у цій сфері Міністерству економічно- го розвитку та торгівлі.

Дорожню карту розвитку е-торгівлі в Україні необхідно розробити у такому порядку:

  1. Експертний аналіз чинного законодавства України на предмет імплементації Директи- ви, огляд пропонованих підходів ЮНСІТРАЛ та підготовка детального звіту щодо стану нормативно-правового регулювання у сфері е-торгівлі та захисту прав споживачів.
  2. Створення міжвідомчої робочої групи за- цікавлених сторін (як державних, так і громад- ських, бізнесу, організацій захисту прав спо-

живачів) і покрокового плану дій із чіткими строками.

  1. Аналіз розроблених проектів норматив- но-правових актів експертами з європейської сторони (наприклад, ЕКОСОК).
  2. Адвокатування запропонованого підходу з використанням можливостей Української сто- рони Платформи громадянського суспільства Україна-ЄС (УС ПГС).
  3. Внесення змін до законодавства (Додаток 6. Перелік законів, до яких необхідне внесен- ня змін).
  4. Інформаційна кампанія на підтримку До- рожньої карти.

27

28

Джерела інформації

  1. European B2C E-commerce Report 2015 URL: https:// www.ecommerce-europe.eu/app/uploads/2016/08/ european-b2c-e-commerce-report-2015light-20150615. pdf-1.pdf
  2. Статистика URL: http://kiosksoft.ru/news/2016/04/15/ mirovoj-rynok-elektronnoj-kommercii-dostignet-8- trln-k-2020-godu
  3. Всеволод Некрасов На чому заробляли україн-

ські онлайн торговці в 2015 році URL: https://www. epravda.com.ua/publications/2016/01/15/576650/

  1. Держкомстат, Morgan Stanley Research, розрахун- ки Fintime URL: http://www.lev.org.ua/articles/b2c_in_ ecommerece.html
  2. Деякі питання удосконалення системи ідентифікації особи і функціонування державних та єдиних реєстрів Розпорядження Кабінету Міністрів України URL: http:// zakon2.rada.gov.ua/laws/show/628-2015-%D1%80
  3. Директива 2000/31/ЄС Європейського парламенту та Ради «Про деякі правові аспекти інформаційних послуг, зокрема, електронної комерції, на внутріш- ньому ринку» («Директива про електронну комер- цію») від 8 червня 2000 року. URL: http://zakon2. rada.gov.ua/laws/show/994_224.
  4. Директива No 2002/21/ЄС Європейського Парламен- ту та Ради від 7 березня 2002 року про єдину нор- мативно-правову базу для електронних комунікацій- них мереж та послуг (Рамкова Директива) із змінами, внесеними Директивою No 2009/140/ЄС Європей-

ського Парламенту та Ради від 25 листопада 2009 року. URL: http://www.nkrzi.gov.ua/images/upload/58/ 19/0f5606678770070f8127dcd24dcad068.pdf.

  1. Директива 97/7/ЄС «Про захист прав спожива- чів у дистанційних контрактах» Європейський

Союз; Директива, Міжнародний документ, Заява від 20.05.1997 No 97/7/ЄС URL: http://zakon3.rada. gov.ua/laws/show/994_245

  1. Директива No 98/84/ЄС Європейського Парламен- ту та Ради від 20 листопада 1998 року щодо юри-

дичного захисту послуг, заснованих на, або склада- ються з умовного доступу. URL: http://old.minjust.gov. ua/45892.

  1. Директива No 1999/93/ЄС Європейського парламенту та Ради від 13 грудня 1999 року про електронні підпи-

си, що застосовується в межах Співтовариства. URL: http://zakon0.rada.gov.ua/laws/show/994_240.

  1. Директива No 2002/19/ЄС Європейського Парламен-

ту та Ради від 7 березня 2002 року про доступ до, та з’єднання з, електронних комунікаційних мереж та відповідного оснащення (Директива Доступу) із змі- нами, внесеними Директивою No 2009/140/ЄС Євро- пейського Парламенту та Ради від 25 листопада 2009 року. URL: http://nkrzi.gov.ua/images/upload/58/19/5e

637e2ec0747112c51334df5877308f.pd.

  1. Директива No 2002/22/ЄС Європейського Парламен- ту та Ради від 7 березня 2002 року про універсальні послуги та права користувачів стосовно електронних комунікаційних мереж та послуг (Директива Універ-

сальних Послуг) із змінами, внесеними Директивою No 2009/136/ЄС Європейського Парламенту та Ради від 25 листопада 2009 року. URL: http://www.nkrzi. gov.ua/images/upload/58/19/6ad521f49a3af8c464283 4474a790eac.pdf.

  1. Директива No2002/20/ЄС Європейського Парламен- ту та Ради від 7 березня 2002 року про дозвіл елек- тронних комунікаційних мереж та послуг (Директи- ва Авторизації) із змінами, внесеними Директивою No 2009/140/ЄС Європейського Парламенту та Ради від 25 листопада 2009 року. URL: http://www.nkrzi.

gov.ua/images/upload/58/19/612c7f47edc6f0524aaee e7546d3668b.pdf.

  1. Директива Комісії No 2002/77/ЄС від 16 вересня 2002 року про конкуренцію на ринках електронних кому- нікаційних мереж та послуг. URL: http://www.nkrzi.

gov.ua/images/upload/58/19/d520f6b6fdd4584ad420 223a8466f8e9.pdf.

  1. За даними дослідження Української асоціації ди- рект-маркетингу (УАДМ) URL:http://www.uadm.com. ua/
  2. Концепція розвитку електронного урядування в Україні розпорядження Кабінету Міністрів Украї- ни URL: http://zakon0.rada.gov.ua/laws/show/2250- 2010-%D1%80
  3. Мировой рынок e-Commerce: рост гарантирован URL: https://geektimes.ru/company/payonline/blog/271330/
  4. О. ЮНСИТРАЛ URL: http://www.uncitral.org/uncitral/

ru/about_us.html

19. План законодавчого забезпечення реформ в Україні, затверджений Постановою Верховної Ради України від 04.06.2015р. No 509-VIII (напрями законодавчо- го врегулювання питання електронної торгівлі) URL:

http://zakon3.rada.gov.ua/laws/show/509-19

  1. Плескач В. Л. Електронна комерція: підручник. К.:

Знання, 2007. 535 с.

  1. Плескач В.Л., Затонацька Т.Г., Олексюк Л.В., Пробле-

ми розвитку електронної комерції в Україні / Еконо- міка України Київ: ДП Редакція журналу «Економіка України», 2017.No11 (672), С. 73–84.

  1. Про електронну комерцію Верховна Рада України ; Закон України від 03.09.2015 No 675-VIII URL: http://

zakon3.rada.gov.ua/laws/show/675-19

  1. Про захист інформації в інформаційно-телекомуні- каційних системах Закон України від 05.07.1994 No 80/94-ВР URL: http://zakon2.rada.gov.ua/
  2. Про захист персональних даних Верховна Рада України; Закон України від 1 червня 2010 р. No 2297- VI URL: http://zakon2.rada.gov.ua/laws/show/2297-17/ print1476025938545625
  3. Про захист прав споживачів Верховна Рада УРСР;

Закон від 12.05.1991 No 1023-XII URL: http://zakon3. rada.gov.ua/laws/show/1023-12/

  1. Про Основні засади розвитку інформаційного су- спільства в Україні на 2007-2015 роки Закон України URL:http://zakon5.rada.gov.ua/laws/show/537-16
  2. Про першочергові завдання щодо впровадження новітніх інформаційних технологій Указ Президента URL:http://zakon3.rada.gov.ua/laws/show/1497/2005
  3. Про телекомунікації Верховна Рада України; Закон

від 18.11.2003 No 1280-IV URL: http://zakon4.rada.gov. ua/laws/show/1280-15

  1. Проникновение интернета в Украине URL: http://

www.inau.org.ua/analytics_vuq.phtml

  1. Регламент Європейського Парламенту та Ради щодо

електронної ідентифікації та трастових сервісів для електронних операцій на внутрішньому ринку URL: http://eur-lex.europa.eu/legal-content/EN/TXT/?uri=ur iserv:OJ.L_.2014.257.01.0073.01.ENG .

  1. Рішення No 676/2002/ЄС Європейського Парламен-

ту та Ради від 7 березня 2002 року про норматив- но-правову базу щодо політики стосовно спектра ра- діочастот в Європейській Спільноті. URL: http://nkrzi. gov.ua/images/upload/58/19/8f30aa273e4c30c3f407b 4450d442118.pdf.

  1. Угода між Кабінетом Міністрів України та Урядом Сло- вацької Республіки про взаємну охорону інформації з обмеженим доступом Словаччина, Кабінет Міністрів України; Угода, Міжнародний документ від 22.06.2006 URL: http://zakon4.rada.gov.ua/laws/show/703_069/ ed20081201/find?text=%C4%EE%EF%F3%F1%EA#w11
  2. Угода про асоціацію між Україною, з однієї сторони, та Європейським Союзом, Європейським співтовари- ством […] Україна, Європейський Союз, Євратом […]; Угода, Список, Міжнародний документ від 27.06.2014 URL: http://zakon5.rada.gov.ua/laws/show/984_011
  3. Цікаві факти про електронну комерцію в Украї- ні URL:http://lemarbet.com/ua/analitika/lyubopytnye- fakty-ob-elektronnoj-kommertsii-v-ukraine/
  4. Чи загрожує Україні монополія на ринку електронної

комерції з боку інтернет-магазинів URL:http://minfin. com.ua/blogs/pcshop/38333/

  1. Что ждет украинский e-commerce в 2016-м. Прогноз Prom.ua URL:http://retailers.ua/news/tehnologii/3449- chto-jdet-ukrainskiy-e-commerce-v-2016-m-prognoz-

promua

29

В

ідповідно до Угоди про асоціацію між Україною та ЄС, положення законодав- чих актів, вказані у Доповненнях XVII-2 — XVII-5 цієї Угоди, є обов’язковими для Сто- рін відповідно до горизонтальної адаптації та процесуальних норм, визначених Доповнен- ням XVII-1, та з конкретними домовленостя- ми, передбаченими Доповненнями XVII-2 — XVII-5. Сторони зобов’язуються забезпечу- вати повну та всебічну реалізацію цих поло- жень.

Згідно зі статтями 114, 124, 133 та 139 Глави 6 «Заснування підприємницької діяльності, тор- гівля послугами та електронна торгівля» та Глави 7 «Поточні платежі і рух капіталу» Роз- ділу IV цієї Угоди та статті 2(1) цього Додатка, Україна транспонує і на постійній основі впро- ваджує чинне законодавство ЄС, зазначе- ну Доповненнях, у свою національну право- ву систему.

Директива про Електронну торгівлю1, яка охо- плює всі види послуг інформаційного суспіль- ства, як бізнес для бізнесу, так і бізнес для спо- живача, тобто будь-яку послугу, зазвичай на- дану за винагороду на відстані електронним чином і за індивідуальною вимогою одержу- вача послуги має бути впроваджена у націо- нальне законодавство протягом 3 років із дня набрання чинності Угодою між Україною та ЄС.

Україна у 2015 році прийняла Закон України «Про електронну комерцію»2, який мав би стати тим законодавством, що впровадить Директиву про Електронну торгівлю та, як за- значено було у пояснювальній записці до за- конопроекту, «першочерговим завданням на сьогодні є прийняття законодавчого акту, що системно регулює питання електронної ко- мерції та відповідає положенням європей- ських і міжнародних стандартів, так як розви- ток цієї галузі оздоровить економіку, привер- не увагу іноземних інвесторів, що приведе до покращення інвестиційного клімату держави та принесе значні фінансові вливання в нашу економіку»3.

1 http://zakon2.rada.gov.ua/laws/show/994_224

2 http://zakon3.rada.gov.ua/laws/show/675-19/print1490781194155248

3 http://w1.c1.rada.gov.ua/pls/zweb2/webproc4_1?pf3511=52409

30

Додаток 1 Євроінтеграційні заходи щодо е-торгівлі

Попередній план імплементації Директиви передбачав такі завдання:

врегулювання відносин у сфері підприєм- ницької діяльності, що здійснюється за до- помогою електронних пристроїв, в широко- му розумінні, тобто як комерцію;

забезпечення правового порядку дистан- ційного укладання та виконання правочи- нів із застосуванням інформаційно-комуні- каційних засобів і технологій;

узгодження положень чинного законодав- ства України з положеннями Директиви про електронну торгівлю щодо особливостей змісту поняття «інформаційні електронні послуги»;

врегулювання діяльності посередників, про- вайдерів і операторів телекомунікацій, опе- раторів платіжних систем;

врегулювання порядку використання елек- тронного цифрового підпису в електронній торгівлі». 4

4 kmu.gov.ua%2Fdocument%2F247993379%2FDir_98_84_2000_31.pdf&usg= AFQjCNGIwdAdjYuJ5hBJaxMuzCzUgl7XLQ&sig2=Eu55_AfxDYKRxtYPqLBVUw

НОВИЙ ПЛАН ВПРОВАДЖЕННЯ ДИРЕКТИВИ, ЗАТВЕРДЖЕНИЙ РОЗПОРЯДЖЕННЯМ КМУ ВІД 18 ЛЮТОГО 2016 р. No 217-Р МАЄ ТІЛЬКИ ТАКИЙ ПУНКТ

Відповідальні Найменування

Найменування заходу Строк ви- завдання

конання за

за виконання Угодою про асоціацію

Індикатори вико- нання

Імплементація по- ложень Директиви 2000/31/ЄС Європей- ського Парламенту та Ради від 8 черв- ня 2000 р. про деякі правові аспекти по- слуг інформаційного суспільства, зокре- ма електронної тор- гівлі на внутрішньо- му ринку (Директива про електронну тор- гівлю)

виконання плану імплемен- тації Директиви 98/84/ЄС Європейського Парламен- ту та Ради від 20 листопа- да 1998 р. про правовий за- хист послуг, що базуються чи включають умовний до- ступ та Директиви 2000/31/ ЄС Європейського Парла- менту та Ради від 8 черв- ня 2000 р. про деякі право- ві аспекти послуг інформа- ційного суспільства, зокре- ма електронної комерції на внутрішньому ринку (Дирек- тива про електронну комер- цію), схваленого розпоря- дженням Кабінету Міністрів України від 4 березня 2015 р. No 162 «Про схвалення роз- роблених Міністерством ре- гіонального розвитку, бу- дівництва та житлово-кому- нального господарства пла- нів імплементації деяких ак- тів законодавства ЄС”

грудень 2017 р.

Мінрегіон

Державне агентство з питань електронно- го урядування

виконання плану імплементації Ди- рективи, наявність позитивного рішен- ня Комітету асоціа- ції у торговельному складі

Таким чином, можна констатувати про відсут- ність з боку Уряду бачення імплементації Ди- рективи як одночасне врегулювання:

діяльності провайдерів,

надання електронних довірчих послуг,

правил укладення електронних правочи- нів із системою запобіжників юридичного характеру, в тому числі отримання доказів укладення правочину (чеки),

розрахунку за спожиті товари чи послуги,

транскордонності е-сервісів.

31

О

сновою європейської системи захи- сту прав споживачів є споживча полі- тика Європейського Союзу як індикатор стану і розвитку європейського економічного, політичного й суспільного простору. Країни ЄС створюють та ефективно впроваджують нові підходи до розуміння споживчої політики і ре- алізації визнаних прав споживачів як переду- мови ефективного розвитку спільного ринку.

Метою споживчої політики ЄС визначено ста- більний розвиток внутрішнього ринку ЄС та поточний вплив Європейської Комісії на по- всякденне життя громадян ЄС, який забез- печується через зміну акценту з можливо- стей виробників на потреби споживачів, що є принциповим підходом.

Значна увага політики захисту прав спожи- вачів в ЄС зосереджена на випереджаючому розвитку тих сегментів ринку, що краще від- повідають потребам споживачів. Важливою є позиція, відповідно до якої поінформований, впевнений і впливовий споживач є невід’єм- ною складовою такого розвитку. В рамках діа- логу керівництва ЄС та урядів країн-членів ЄС зі споживачами належна роль відводиться ор- ганізаціям, що представляють інтереси спо- живачів.

Завдяки таким підходам споживачі отримують гарантії забезпечення мінімального спожи- вання за прийнятними цінами та реалізації єв- ропейських цінностей — соціальної справед- ливості, доступності, прозорості, солідарності та стабільності. Врахування інтересів вироб- ників полягає в тому, що вони за умови ефек- тивної реалізації вказаних підходів отримують можливість постачання на ринок споживчих товарів і послуг згідно простого та єдиного на- бору правил і процедур по всій території ЄС.

В рамках Програми дій ЄС у сфері споживчої політики на період 2014-2020 роки продовжу- ється робота Європейської Комісії в напрямі розвитку споживчої політики, яка підтримує і доповнює національні політики, прагнучи за- безпечити, щоб громадяни Євросоюзу мог- ли повністю скористатися перевагами єдино- го ринку і щоб при цьому їх безпека та еконо- мічні інтереси були належним чином захище-

32

Додаток 2 Система та механізми захисту прав споживачів в ЄС

ні. Зважаючи на величезний економічний по- казник споживчих витрат, які складають в різ- ні роки від 50 до 60% від ВВП в ЄС, це ство- рює вагомий внесок у досягнення цілей щодо відновлення темпів зростання економіки Єв- росоюзу.

Програма дій в області споживчої політики ЄС має чотири пріоритети — безпека споживан- ня, інформація та просвіта споживачів, роз- виток споживчого права та належного від- шкодування в разі порушення прав спожива- ча, і правозастосування. Виклики часу потре- бують враховувати нові соціальні проблеми, актуальність яких продовжує зростати. Вони включають: підвищену складність прийнят- тя рішень споживачем, необхідність переходу до більш стійких моделей споживання, мож- ливості і загрози, що їх несуть цифрові техно- логії, та пов’язану з цим зростаючу соціальну ізоляцію, а також кількість вразливих спожи- вачів і старіння населення.

До механізмів, що працюють на захист закон- них прав споживачів, відносяться наступні:

Розвиток законодавчої бази для е-торгівлі;

Підвищення поінформованості споживачів для їх свідомого та правильного вибору;

Підвищення відповідальності за порушення законодавства та прав споживачів, нечесні ділові практики;

Запровадження превентивних засобів для недопущення споживчих спорів, конфліктів;

Підвищення довіри громадян до електро- нних послуг, у тому числі транскордонних;

Сприяння створенню балансу інтересів і певного рівня взаємної довіри між спожива- чами та підприємцями;

Розвиток конкуренції;

Добровільні кодекси етики підприємництва;

Програми сертифікації;

Опитування громадської думки;

Моніторинг ділових практик;

Поширення співробітництва в галузі елек- тронної торгівлі на внутрішньому ринку;

Вдосконалення міжнародного співробітни- цтва та обміну інформацією.

Результатом запровадження та постійно- го аналізу й оновлення практичних підходів і механізмів у сфері електронної торгівлі стане цей сегмент споживчого ринку, здатний реа- лізувати свій повний потенціал та захистити права споживачів і добросовісних підприєм- ців, стимулювати розвиток національної еко- номіки.

В умовах анонсованого єдиного цифрово- го ринку Європи, де Україна має потенціал до участі, підприємці мають бути готові до задо- волення потреб вибагливого закордонного споживача. Наразі конкурентні позиції України згідно міжнародних рейтингів є незадовільні, але вже існує розуміння проблемних питань і необхідних кроків для їх вирішення. В комп- лексі вони сприятимуть іміджу України як тор- говельного партнера та збільшенню потоку товарів та послуг через кордон.

33

Г

лава 20 «Захист прав споживачів» Угоди про асоціацію України з ЄС містить у статті 417 посилання на вказану в додатках Ди- рективу 97/7/ЄС Європейського парламенту та Ради «Про захист прав споживачів в дис- танційних контрактах» від 20 травня 1997 р. (далі — Директива). Цей нормативний акт у сфері інформаційно-комунікаційних техно- логій важливий для наближення вітчизняного законодавства до відповідних норм ЄС, адже Директива наголошує: положення цієї Дирек- тиви не можуть застосовуватись по-різному.

Запровадження положень цієї Директиви у ві- тчизняне законодавство передбачено Пла- ном заходів з імплементації Угоди з ЄС на 2014- 2017 роки (No 847-р від 17.09.2014) з визначен- ням ст р. виконання — серпень 2017 р.. Отже, станом на кінець червня 2017 р. (підготовка цього огляду) можна сприймати положення Директиви 97/7/ЄС як найближчу перспективу (тобто, практично впроваджену у дію) україн- ського законодавства про захист прав спожи- вачів у сфері е-торгівлі. Отже, запровадження норм Директиви у вітчизняне законодавство підвищить захист споживачів.

Для споживачів транскордонний продаж буде набувати все більшого значення, тому необхід- но вжити заходів для послідовної консолідації ринку е-торгівлі в глобальному контексті. Зро- статиме важливість транскордонного подання скарг, як тільки це буде можливо, а також добро- вільних угод і кодексів захисту прав споживачів у контрактах, що укладаються в мережі. Зокре- ма, постає необхідність захисту покупців това- рів або послуг від вимог оплати незатребуваної продукції та від методів застосування сильного тиску під час продажу товарів. Споживачі отри- мують механізми відмови від замовлення.

Інформація, що надається споживачам. Во- лодіння інформацією — важливий інструмент для споживача у сфері е-торгівлі. Використан- ня засобів дистанційного зв’язку не повинно призвести до скорочення обсягу інформації, яка згідно із законодавством про захист прав споживачів надається їм в режимі оф-лайн. У випадку зв’язку телефоном для споживача важливо отримати достатню інформацію ще на початку розмови для того, щоб вирішити, чи варто її продовжувати. І тут мають спра-

34

Додаток 3 Євроінтеграційні заходи в інтересах споживачів

цювати навички споживача: знання затребу- ваної/очікуваної інформації, свідома оцінка адекватності почутого в розмові, прийняття оптимального рішення за додатковими кри- теріями: повнота, відкритість/достовірність, врешті — продовження спілкування чи відмо- ва. Такий прагматичний алгоритм дій спожи- вача є ефективним механізмом самозахисту на основі отриманої інформації.

Надання он-лайн інформації споживачам має відбуватися на принципах добросовісності при здійсненні комерційних операцій, вклю- чаючи захист тих, хто не є дієздатним і не може надати свою згоду, наприклад, непо- внолітні. Поширення правових знань для спо- живачів у вільному доступі та засвоєння ни- ми правильних навичок швидко сприймається молодими споживачами, включаючи школя- рів, які свідомо не бажають бути ошуканими. Нові покоління почувають себе гідними спо- живачами вже змалку.

Споживач повинен вчасно отримувати пись- мове підтвердження інформації чи підтвер- дження за допомогою будь-якого іншого на- дійного способу, під час виконання договору і найпізніше — на час доставки. Споживач має діяти, керуючись свідомим розумінням: необ- хідні дії мають фіксуватися документально. В електронних договорах — письмовими під- твердженнями.

Загальна схема взаємодії між продавцем і покупцем виглядає на практиці наступним чи- ном. Дії продавця/ виконавця/постачальника: надсилає споживачу комерційну електронну пропозицію (оферту). Дії покупця/споживача/ замовника: вивчає пропозицію, приймає рі- шення прийняти пропозицію, надсилає свою відповідь щодо прийняття пропозиції (акцепт). Відповідь споживача про позитивне рішення має біти підписана відповідно до Закону Украї- ни «Про електронну комерцію» з використан- ням:

електронного підпису або електронно- го цифрового підпису відповідно до Закону України «Про електронний цифровий під- пис», за умови використання засобу елек- тронного цифрового підпису усіма сторона- ми електронного правочину;

електронного підпису одноразовим іденти- фікатором;

аналогу власноручного підпису (факсиміль- ного відтворення підпису за допомогою за- собів механічного або іншого копіювання, іншого аналога власноручного підпису) за письмовою згодою сторін, у якій мають міс- титися зразки відповідних аналогів власно- ручних підписів.

Після здійснення сторонами вищезазначених дій, електронний договір вважається укладе- ним. Продавець, отримавши згоду споживача, повинен надати йому електронний документ, квитанцію, товарний чи касовий чек, квиток, талон або інший документ, що підтверджує факт отримання коштів, із зазначенням дати здійснення розрахунку.

Споживачу важливо знати: якщо він не здійс- нив оплату у відповідь на пропозицію укласти електронний договір (оферту) протягом пев- ного ст р., встановленого для відповіді та за- значеного в умовах пропозиції, то така про- позиція вважається неприйнятою. Якщо ж він здійснив оплату відповідно до умов, зазначе- них у пропозиції укласти електронний договір, але інші умови продавцем не виконані та/або не надані всі відомості, зазначені в пропозиції, то здійснення оплати не вважається прийнят- тям пропозиції укласти електронний договір, а оплата вважається неналежною та підлягає поверненню особі, яка її здійснила.

Споживач повинен отримати підтвердження вчинення електронного правочину у формі електронного документа, квитанції, товарно- го чи касового чека, квитка, талона або іншого документа у момент вчинення правочину або у момент виконання продавцем обов’язку пе- редати покупцеві товар. Підтвердження вчи- нення електронного правочину повинно міс- тити такі відомості:

умови і порядок обміну (повернення) това- ру або відмови від виконання роботи чи на- дання послуги;

найменування продавця (виконавця, поста- чальника), його місцезнаходження та поря-

док прийняття претензії щодо товару, робо- ти, послуги;

гарантійні зобов’язання та інформація про інші послуги, пов’язані з утриманням чи ре- монтом товару або з виконанням роботи чи наданням послуги;

порядок розірвання договору, якщо строк його дії не визначено.

Споживачам важливо володіти інформацією про умови та процедури реалізації права ро- зірвати договір, і така інформація у письмову вигляді обов’язково має бути надана. У випад- ках отримання товару та/або послуг неналеж- ної якості, або які не відповідають опису, по- даному у пропозиції, споживач має право ро- зірвати договір.

Споживач має право обирати на свій розсуд спосіб здійснення розрахунків, не забороне- ний законодавством України. Розрахунки з продавцями, постачальниками послуг за това- ри, роботи або послуги в електронній комерції можуть здійснюватися з використанням спе- ціальних платіжних засобів, електронних гро- шей, шляхом переказу грошових коштів на користь продавця/постачальника послуг, а та- кож готівкою.

Споживачам важливо знати, що Закон Украї- ни «Про електронну комерцію» встановлює строк зберігання електронних документів, протягом 3 років, у разі, якщо сторони догово- ру не домовилися про інший строк.

Керуючись європейським принципом пріори- тету інтересів споживачів перед інтересами підприємництва, для захисту прав та інтересів споживачів в питаннях е-торгівлі мають бути встановлені обмеження часу для виконання договору.

35

З

29.09.2015 року в Україні діє Закон «Про електронну комерцію» (далі — Закон), який варто було перенайменувати Закон «Про електронну торгівлю», тому що електро- нної комерції в повному сенсі немає в Україні.

Зазначеним законом передбачено, що дого- вори, укладені в електронній формі, прирів- нюють до договорів, укладених у письмовій формі. Електронний договір підписують за до- помогою електронного підпису, ЕЦП, електро- нного підпису одноразовим ідентифікатором або аналогом власноручного підпису. Про- те процедуру цього підписання зазначеним Законом не описано. Опис процедур допоміг би уникнути ризиків визнання е-договору не- дійсним. Відсутність належного нормативного регулювання порядку використання електро- нного підпису чи ЕЦП несе потенційні ризики для сторін угод, що укладені в режимі реаль- ного часу.

Зокрема, визначення інформаційних е-послуг е-комерції не є ідентичним поняттю «обро- блення та зберігання інформації». Хоча Закон трактує е-послуги так: «інформаційні електро- нні послуги — платні або безоплатні послуги щодо оброблення та зберігання інформації, що надаються дистанційно з використанням інформаційно-телекомунікаційних систем за індивідуальним запитом їх одержувача». Па- радоксальним є також той факт, що визначен- ня «електронна торгівля» зустрічається тіль- ки у статті 3 як визначення, яке більше ніде, в жодній статті Закону чи жодному іншому зако- ні не зустрічається.

Визначення «інтернет-магазину» є некорек- тним, оскільки це не засіб5.

Законом не охоплено всі моделі е-торгівлі, що суттєво гальмує її розвиток в Україні. Зі сфери застосування виключено можливість її поши- рення на ті правочини, де:

  1. Законом встановлено спеціальний порядок переходу права власності чи предметом пра- вочину є об’єкти, вилучені з цивільного оборо-

5 Відповідно до тлумачного словника, засіб – це «Прийом, якась спеціальна дія, що дає можливість здійснити що-небудь, досягти чогось; спосіб» чи «Те, що служить знаряддям у якій-небудь дії, справі.» чи «Гроші, матері- альні цінності, достатки.»

36

Додаток 4 Аналіз Закону «Про електронну комерцію»

ту чи обмежені в цивільному обороті відповід- но до законодавства, при цьому не надається посилання на нормативно-правові акти, яки- ми такий порядок встановлено та визначено об’єкти.

Порядок переходу права власності, коли пред- метом правочину є об’єкти, вилучені з цивіль- ного обороту чи обмежені в цивільному обо- роті не регулюється жодним законом (Поста- нова ВРУ «Про право власності на окремі ви- ди майна» N 2471-XII від 17 червня 1992 ро- ку визначає даний перелік, хоча Цивільний ко- декс прямо відносить до регулювання даного питання на рівні закону):

Цивільний кодекс України: «Стаття 178. Оборотоздатність об’єктів цивільних прав

  1. Об’єкти цивільних прав можуть вільно від- чужуватися або переходити від однієї осо- би до іншої в порядку правонаступництва чи спадкування або іншим чином, якщо во- ни не вилучені з цивільного обороту, або не обмежені в обороті, або не є невід’ємними від фізичної чи юридичної особи.
  2. Види об’єктів цивільних прав, перебування яких у цивільному обороті не допускається (об’єкти, вилучені з цивільного обороту), ма- ють бути прямо встановлені у законі.

Види об’єктів цивільних прав, які можуть нале- жати лише певним учасникам обороту або пе- ребування яких у цивільному обороті допуска- ється за спеціальним дозволом (об’єкти, обме- жено оборотоздатні), встановлюються зако- ном.»

Тобто на рівні даного Закону необхідно бу- ло надати перелік об’єктів цивільних прав, які продавати із застосуванням засобів ІКТ забо- ронено.

  1. Однією зі сторін є фізична особа, яка не за- реєстрована як фізична особа — підприє- мець та реалізує або пропонує до реаліза- ції товари, виконує роботи, надає послуги з використанням інформаційно-телекому- нікаційних систем, крім випадків, коли сто- рони прямо домовилися про застосування положень цього Закону до правочину. Цей

факт не можна ні підтвердити, ні спростува- ти, оскільки порядок ідентифікації особи не визначено Законом.

Е-комерція, охоплює електронні види діяль- ності у вигляді оброблення, передачі інфор- мації тощо через повідомлення даних, що ви- користовують у контексті торгівельної діяль- ності. 6

Зазвичай суб’єктами е-комерції (і в Директиві також) є будь-які фізичні та юридичні особи, не тільки суб’єкти підприємницької діяльності.

В цьому Законі випали з регулювання купів- лі-продажі товарів, робіт, послуг, де суб’єктами є фізичні особи. Тобто, і захист прав спожива- ча на цей сегмент е-торгівлі не розповсюджу- ється. Так само не розповсюджується і питан- ня захисту персональних даних, зібраних фі- зичними особами.

Закон мав би врегулювати е-правочин, ко- ли однією зі сторін є фізична особа, оскіль- ки Цивільним кодексом України, неелектронні купівлі-продажі та інші види договірних зо- бов’язань регулюються безвідносно до стату- су особи — фізична чи юридична. А цей За- кон мав би всього лише врегулювати аспекти електронного правочину між сторонами.

  1. Стороною правочину є орган державної влади чи орган місцевого самоврядування в частині виконання ним функцій держа- ви чи місцевого самоврядування чи право- чин вчиняють відповідно до Закону України «Про здійснення державних закупівель». Зі сфери Закону виключено всі державні заку- півлі, що наразі здійснюють тільки в елек- тронному вигляді.

Не розуміло таке звуження права юридичних осіб публічного права, які не матимуть можли- вості керуватись даним законом при продажі чи купівлі необхідних товарів, робіт або послуг із застосуванням ІКТ.

Щодо публічних закупівель, законотворець даний вид правочинів перерахував, вико- ристовуючи сполучник «чи» і тут можна пого-

6 http://www.uncitral.org/uncitral/ru/about_us.html

дитись із відсутністю необхідності врегульову- вати додатково дане питання.

  1. Правочин підлягає нотаріальному посвід- ченню або державній реєстрації відповідно до законодавства. Ці види правочинів потре- бують більш детального нормативного регу- лювання у суміжних галузях законодавства, як-от: цивільне, господарське, інтелектуаль- не тощо.
  2. Вчинення правочину регулює сімейні пра- вовідносини. Якщо мається на увазі такий вид договору як шлюбний чи інші види правочи- нів, необхідно було б детально описати цей вид виключення.
  3. Правочин стосується грального бізнесу, у тому числі парі, тоталізатори та інші азарт- ні ігри, або проведення лотерей, крім не гро- шових лотерей відповідно до Закону України «Про благодійну діяльність та благодійні орга- нізації» та лотерей, визначених Законом Укра- їни «Про рекламу». Сформульовано некорек- тно — в Законі України «Про рекламу» врегу- льовано порядок рекламування лотерей, а не визначено як такі лотереї.
  4. Виконання зобов’язання забезпечуєть- ся особою, яка уклала договір поруки чи ін- шої форми майнового забезпечення, за умо- ви, що така особа діє в цілях, що виходять за межі її господарської діяльності чи незалежної професійної діяльності. Не зрозуміло, чому са- ме цей окремий випадок детально описано як норма для виключення.
  5. У разі, якщо однією із сторін електронного правочину є іноземець, особа без громадян- ства чи іноземна юридична особа, норми цьо- го Закону застосовуються з урахуванням по- ложень Закону України «Про міжнародне при- ватне право». Так само неможливо встано- вити належність до громадянства іншої дер- жави, оскільки відсутній належний механізм ідентифікації сторони.

Загалом, не зрозуміло, за яких чинників сфор- мовано перелік виключень для Закону.

Визначення більшості термінів предметної області е-комерції подано некоректно. Зокре-

37

ма, визначення інформаційних е-послуг е-ко- мерції не є ідентичним поняттю «оброблення та зберігання інформації». Хоча Закон трактує е-послуги так: «інформаційні електронні по- слуги — платні або безоплатні послуги щодо оброблення та зберігання інформації, що на- даються дистанційно з використанням інфор- маційно-телекомунікаційних систем за індиві- дуальним запитом їх одержувача».

Парадоксальним є також той факт, що визна- чення «електронна торгівля» зустрічається тільки у статті 3 як визначення, яке більше ні- де, в жодній статті Закону чи жодному іншому законі не зустрічається.

Визначення «Інтернет-магазину» є некорек- тним, оскільки це не засіб.

Термін «споживач» не має змістовного визна- чення для цілей Закону. При цьому Закон Укра- їни «Про захист прав споживачів» дає наступ- не визначення: «споживач — фізична особа, яка придбаває, замовляє, використовує або має намір придбати чи замовити продук- цію для особистих потреб, безпосередньо не пов’язаних з підприємницькою діяльністю або виконанням обов’язків найманого праців- ника», а термін «договір, укладений на відста- ні» — договір, укладений продавцем (вико- навцем) із споживачем за допомогою засобів дистанційного зв’язку.

Закон дає наступне визначення: «реалізація товару дистанційним способом» — укладен- ня електронного договору на підставі озна- йомлення покупця з описом товару, наданим продавцем у порядку, визначеному цим За- коном, шляхом забезпечення доступу до ка- талогів, проспектів, буклетів, фотографій то- що з використанням інформаційно-телеко- мунікаційних систем, телевізійним, поштовим, радіозв’язком або в інший спосіб, що виклю- чає можливість безпосереднього ознайом- лення покупця з товаром або із зразками то- вару під час укладення такого договору.

Тут же «суб’єкт електронної комерції» — суб’єкт господарювання будь-якої організа- ційно-правової форми, що реалізує товари, виконує роботи, надає послуги з використан- ням інформаційно-телекомунікаційних сис- тем, або особа, яка придбаває, замовляє, ви- користовує зазначені товари, роботи, послу- ги шляхом вчинення електронного. Слід було

38

б більш виважено підходити до використання термінів «покупець», «споживач» та інші. Чо- му суб’єкт електронної комерції прив’язаний до «електронного правочину», а не до «елек- тронного договору»? До речі, термін відрізня- ється від термінології Цивільного кодексу тіль- ки звуженням його здійснення з використан- ням інформаційно-телекомунікаційних сис- тем:

«електронний правочин — дія особи, спря- мована на набуття, зміну або припинення цивільних прав та обов’язків, здійснена з використанням інформаційно-телекомуні- каційних систем;»

«Правочином є дія особи, спрямована на на- буття, зміну або припинення цивільних прав та обов’язків.»

При цьому за Законом «електронний договір» — домовленість двох або більше сторін, спря- мована на встановлення, зміну або припинен- ня цивільних прав і обов’язків та оформлена в електронній формі. Тобто абсолютно нове трактування, відмінне від цивільного права, де договором вважається багатосторонній пра- вочин, а не тільки домовленість, інші дії також.

Тобто плутанина в термінології у майбутньо- му, при необхідності позасудового чи судово- го захисту прав споживача призведе до без- лічі цілком логічних запитань і у наслідку не- можливості ефективного захисту права чи то покупця, чи споживача (права то різні!).

Законом не охоплено базові види е-серві- сів, до них не віднесено абсолютну більшість е-сервісів міжнародної е-торгівлі, також прин- ципи правового регулювання у сфері е-тор- гівлі не розкрито і не пов’язано з іншими між- народними актами законодавства у цій сфері

Також великим недоліком Закону є відсутність принципу свободи договору (особливо в ча- стині покупця), оскільки е-правочини «вчи- няються на основі відповідних пропозицій (оферт)», при цьому дослідження сайтів най- більших е-торговців в Україні свідчить про від- сутність основних положень договору, які ма- ють бути, а саме:

реквізити сторони договору;

технологія (порядок) укладення договору;

порядок створення та накладання електро- нних підписів сторонами договору;

можливість і порядок внесення змін до умов договору;

спосіб і порядок прийняття пропозиції укла- сти електронний договір (акцепту);

порядок обміну електронними повідомлен- нями та інформацією між сторонами під час виконання ними своїх зобов’язань;

технічні засоби ідентифікації сторони;

порядок внесення змін до помилково від- правленого прийняття пропозиції укласти електронний договір (акцепту);

посилання на умови, що включаються до договору, шляхом перенаправлення (відси- лання) до іншого електронного документа і порядок доступу до такого документа;

спосіб зберігання та пред’явлення електро- нних документів, повідомлень, іншої інфор- мації в електронній формі та умови доступу до них;

умови виготовлення та отримання паперо- вих копій електронних документів;

можливість вибору мови, що використову- ється під час укладення та виконання дого- вору.

Якщо оферта не містить прямо вказівки про розповсюдження даного Закону на цей пра- вочин, то у споживача, права скористатись правами, передбаченими у Законі «Про за- хист прав споживачів» відсутні.

Тобто звуження до оферти надає суттєві пе- реваги продавцю перед покупцем.

Частиною другою статті 8 Закону передбача- ється, що покупець/покупці товарів е-комер- ції та замовники інформаційних електронних послуг, які відправляють від свого імені акцепт або згоду з пропозицією оферента, за допо- могою електронної форми представлення ін- формації зобов’язані повідомляти про себе певну сукупність відомостей, що містять пер- сональні дані. Серед таких відомостей є й відо- мості, необхідні для здійснення електронного

правочину, визначені законодавством. Разом з цим, у цій же статті зазначено, що фізична особа — покупець надає інформацію про се- бе, необхідну для подальшого вчинення пра- вочинів у сфері е-комерції, у тому числі для укладання договорів, створення електронно- го підпису, який використовуватиметься при придбанні товарів, послуг або здійснення ін- ших дій (вчиненні інших правочинів) у системі учасника е-комерції, а також введення (ство- рення) особою спеціального набору електро- нних даних, які дозволять їй ідентифікувати- ся в обліковій системі продавця (постачаль- ника) товарів, робіт, послуг в е-комерції/по- стачальника(виконавця) інформаційних елек- тронних послуг. Перелік необхідної інформа- ції визначається сторонами е-комерції. Інфор- мація про покупця/покупців в електронній ко- мерції повинна містити тільки ті відомості, без яких продавець не зможе оформити право- чин і виконати свої зобов’язання. Отже, вихо- дячи зі змісту статті 8, невирішеним залиша- ється питання щодо конкретного складу пер- сональних даних, який надається фізичною особою, а також питання щодо обов’язково- сті (як альтернатива — узгодженості між сто- ронами е-комерції) надавання фізичною осо- бою тих або інших відомостей про себе. Є не- обхідність структурно розмежувати пере- лік інформації, що надається фізичною осо- бою або юридичною особою. Слід враховува- ти, що відповідно до частини третьої статті 6 Закону України «Про захист персональних да- них» склад і зміст персональних даних мають бути відповідними, адекватними та ненадмір- ними стосовно визначеної мети їх обробки.

Правовий статус постачальників послуг про- міжного характеру у інформаційній сфері, ви- значений у статті 9 Закону, дає можливість зробити висновок, що відповідні постачаль- ники є розпорядниками персональних даних у трактуванні Закону України «Про захист пер- сональних даних». Відповідно до статті 8 За- кону України «Про захист персональних да- них» суб’єкт персональних даних, серед ін- шого, має право знати про місцезнаходження своїх персональних даних, місцезнаходжен- ня або місце проживання (перебування) во- лодільця чи розпорядника персональних да- них або дати відповідне доручення щодо от- римання цієї інформації уповноваженим ним особам, крім випадків, встановлених законом. Навіть чітка прив’язка до певних дій (які під- твердити чи спростувати неможливо) — «У ра-

39

зі якщо постачальник послуг проміжного ха- рактеру в інформаційній сфері є ініціатором передачі інформації, обирає її одержувача та може змінити її зміст» надає можливість по- стачальникам послуг проміжного характеру уникнути повідомлення про себе необхідної відповідно до Закону інформації.

Статтею 10 Закону врегульовано питання розповсюдження комерційної інформації у сфері електронної комерції. Так, інформу- вання потенційних покупців/замовників про товари та послуги, які пропонуються сторо- нами, може здійснюватися за допомогою ко- мерційних електронних повідомлень. Основ- ною умовою поширення комерційних елек- тронних повідомлень є згода споживача на їх отримання. Комерційне електронне повідом- лення може бути надіслане споживачу без його згоди лише за умови наявності в ньо- го можливості відмови від подальшого отри- мання таких комерційних електронних пові- домлень від такого продавця товарів, робіт, послуг. Загалом запровадження такого підхо- ду є слушним, що також відповідає європей- ським стандартам у сфері електронної ко- мерції. Водночас, як зазначається у преамбу- лі Директиви про електронну торгівлю, роз- силка комерційних повідомлень без згоди одержувача електронною поштою може бу- ти небажаною для споживачів і постачаль- ників інформаційних послуг і може завадити стабільному функціонуванню інтерактивних мереж. У тих державах-членах ЄС, які дозво- ляють розсилання комерційних повідомлень без згоди одержувача електронною поштою, має стимулюватися та полегшуватися запро- вадження відповідної системи фільтрації по- відомлень.

Разом з цим, слід зазначити, що у статті 10 (як по всьому тексту Закону) вживається термін «споживач», проте відсутнє змістовне визна- чення цього терміну для цілей Закону, що по- требує відповідного врегулювання. Водночас, надсилання споживачам комерційних елек- тронних повідомлень без їх згоди викликає низку питань щодо правових підстав оброб- ки (збирання, використання, зберігання) елек- тронних адрес споживачів як персональних даних, на які будуть надсилатись комерцій- ні електронні повідомлення. Відтак, існує не- обхідність запровадження чіткого механізму врегулювання питання розповсюдження ко- мерційної інформації у сфері е-комерції за на-

40

явності правових підстав для обробки персо- нальних даних споживачів відповідно до стат- ті 11 Закону України «Про захист персональних даних».

Стаття 14 Закону мала би врегулювати спірні питання у сфері захисту персональних даних, натомість, створила ще більшу правову неви- значеність — використання персональних да- них у сфері е-торгівлі «може здійснюватися у разі створення суб’єктом електронної комер- ції умов для захисту таких даних», а якщо не створено умов для захисту персональних да- них, укладення е-договору не є можливим. Термін «використання» розтлумачено у Зако- ні України «Про захист персональних даних» — «будь-які дії володільця щодо обробки цих даних, дії щодо їх захисту, а також дії щодо на- дання часткового чи повного права обробки персональних даних іншим суб’єктам відно- син, пов’язаних із персональними даними, що здійснюються за згодою суб’єкта персональ- них даних або відповідно до закону», тобто використання персональних даних — це будь- які дії щодо зібраних персональних даних, а їх обробка, відповідно до законодавства у сфері захисту персональних даних, можлива за умо- ви їх належного захисту.

«Учасники відносин у сфері електронної ко- мерції зобов’язані забезпечити захист персо- нальних даних, що стали їм відомі з електро- нних документів (повідомлень) під час вчи- нення електронних правочинів, у порядку, пе- редбаченому Законом України «Про захист персональних даних»» — до учасників відне- сено також і осіб, які придбавають, замовля- ють, використовують зазначені товари, ро- боти, послуги шляхом вчинення електро- нного правочину. Тобто законодавець зо- бов’язання щодо захисту персональних даних фактично розповсюдив і на споживача, дані якого потребують захисту.

Стаття 16 Закону визначає час отримання та відправлення документа, але визначити цей час без додаткових програмно-технічних за- собів неможливо, таким чином нівелюється норма Цивільного кодексу України про момент укладення договору з іншими правовими на- слідками.

Окремо слід зауважити щодо обробки і збері- гання даних із застосуванням хмарних техно- логій, які жодним чином не врегульовані да-

ним нормативним актом. Місце обробки і збе- рігання даних може бути розміщеним навіть за межами країни, і яким чином врегульовува- ти питання, що можуть виникати у цьому взає- мозв’язку для звичайного споживача, який не зможе заборонити використання своїх персо- нальних даних, чи постачальник (продавець), що не зможе знищити неправдиву інформа- цію про себе, якщо послуги будуть надаватись несумлінним провайдером сервісів.7

7 http://zakon3.rada.gov.ua/rada/show/v2306829-13

Як висновок, все ж необхідно наголосити на важливості регулюванні е-торгівлі комплексно з захистом прав споживачів. Новітні техноло- гії надають можливість здійснювати право- чини незалежно від місця знаходження про- давця і покупця, транскордонність даних по- слуг вимагає регулювання на рівні міжнарод- них угод, а найкращим виходом було б роз- робка конвенції у сфері електронної комер- ції під егідою ЮНСІТРАЛ або Ради Європи. Так, наприклад Конвенція про захист осіб у зв’яз- ку з автоматизованою обробкою персональ- них даних давно перестала бути тільки євро- пейською.

41

42

Додаток 5 Проект закону України «Про електронну торгівлю»

Проект

ЗАКОН УКРАЇНИ Про електронну торгівлю

Цей Закон визначає організаційно-правові засади здійснення електронної торгівлі (електронної торговельної та/або виробничо-тор- говельної діяльності) в Україні та регулює економічні відносини, що виникають під час здійснення торговельних операцій, вчинених в електронній формі із застосуванням інформаційно-комунікаційних технологій.

РОЗДІЛ І

ЗАГАЛЬНІ ПОЛОЖЕННЯ

Стаття 1. Терміни й визначення

Для цілей цього Закону використовуються такі терміни і визначення:

Електронне повідомлення — інформація, якою обмінюються сторони за допомогою інформаційно-комунікаційних технологій і кана- лів зв’язку, що може бути у будь-який спосіб відтворена або збережена ними в електронному вигляді та відтворена у візуальну фор- му, придатну для сприяння людиною.

Електронна торгівля – вид електронної підприємницької діяльності, що пов’язаний з купівлею і/або продажем товарів і послуг за допо- могою сучасних інформаційно-комунікаційних технологій, та реалізацією відповідних бізнес-процесів торговельної та/або виробни- чо-торговельної діяльності через глобальну мережу Інтернет.

Електронний договір – є домовленість двох або більше сторін, спрямована на встановлення, зміну або припинення цивільних прав та обов’язків, інформація щодо якого зафіксована у вигляді електронних даних, включаючи обов’язкові реквізити документа.

Інтернет-магазин (електронний магазин) – сайт (платформа) в мережі Інтернет, через який відбувається представлення товарів та/або послуг і відбувається їх реалізація на визначених учасниками електронної торгівлі умовах.

Цифровий гаманець – програма для оплати товарів і послуг за допомогою спеціальних платіжних інструментів, електронних грошей з використанням сучасних інформаційно-комунікаційних технологій.

Стаття 2. Сфера застосування Закону

Цей Закон діє на всій території України.

Якщо міжнародним договором, згода на обов’язковість якого надана Верховною Радою України, встановлено інші правила, ніж ті, що передбачені цим Законом, застосовуються правила міжнародного договору.

Цей Закон не застосовується для:

сфери надання електронних адміністративних послуг (e-урядування);

електронних тендерних процедур щодо державних закупівель;

електронної торгівлі товарами, для яких законом встановлено спеціальний порядок переходу права власності або які передбачають операції з товарами, обіг яких обмежено законом;

електронних торгів акціями та облігаціями на фондовому ринку;

електронних торгів, які потребують нотаріального засвідчення або державної реєстрації, відповідно до чинного законодавства Укра- їни;

електронних торгів, суб’єктом яких є особа, яка не має жодної реєстрації на території України, крім випадків, коли сторони прямо не домовились про застосування норм цього закону до їх правовідносин.

Стаття 2. Правове регулювання відносин у сфері електронної торгівлі

Правовою основою регулювання відносин у сфері електронної торгівлі є Конституція України, Цивільний кодекс України, Господар- ський кодекс України, Закон України «Про захист прав споживачів», Закон України «Про рекламу», Закон України «Про електронні до- кументи й електронний документообіг», Закон України «Про захист інформації в інформаційно-телекомунікаційних системах», Закон України «Про телекомунікації», Закон України «Про електронний цифровий підпис», цей Закон, а також інші нормативно-правові акти України, в тому числі прийняті на виконання цього Закону, а також міжнародні договори та міжнародні угоди України, згода на обов’яз- ковість яких надана Верховною Радою України.

Стаття 4. Основні принципи правового регулювання у сфері електронної торгівлі

Правове регулювання у сфері електронної торгівлі ґрунтується на принципах забезпечення рівності суб’єктів, свободи договору, без- перешкодного здійснення підприємницької діяльності, а також гарантій судового захисту прав суб’єктів електронної торгівлі.

Основними принципами електронної торгівлі є:

забезпечення вільної можливості здійснення підприємницької діяльності з використанням інформаційно-комунікаційних технологій;

свобода вибору суб’єктами електронної торгівлі електронних засобів для здійснення торговельної діяльності;

свобода вибору контрагента, а також видів та форм діяльності, пов’язаних з реалізацією речей, майна, нематеріальних благ та това- рів в електронної торгівлі;

рівність і захист прав суб’єктів електронної торгівлі;

суворе дотримання правових норм, прав та інтересів суб’єктів електронної торгівлі;

забезпечення якості товарів та послуг, що реалізуються шляхом електронної торгівлі.

Обмеження прав і обов’язків суб’єктів електронної торгівлі можуть бути встановлені виключно законом.

Суб’єктам електронної торгівлі не може бути відмовлено у правовому захисті, в тому числі в судовому порядку, на тій підставі, що во- ни правовідносини між ними були здійснені у електронному вигляді та з використанням інформаційно-комунікаційних технологій, як- що інше не передбачено законом.

Права споживачів у рамках електронної торгівлі, а також механізм реалізації цих прав, регламентуються Законом України «Про захист прав споживачів» та іншими нормативними актами щодо споживчої політики та захисту прав споживачів.

РОЗДІЛ II

СУБ’ЄКТИ ЕЛЕКТРОННОЇ ТОРГІВЛІ

Стаття 5. Суб’єкти електронної торгівлі

Суб’єктами електронної торгівлі можуть бути будь-які фізичні та юридичні особи.

Суб’єкти електронної торгівлі поділяються на:

продавців (постачальників) товарів, послуг;

покупців (споживачів) товарів, послуг.

Для забезпечення функціонування електронної торгівлі також задіяні оператори (провайдери) телекомунікаційних послуг (інтернету, телефонного зв’язку тощо).

Стаття 6. Правовий статус продавців (постачальників) товарів і послуг в електронній торгівлі

У випадках, коли для здійснення діяльності із розповсюдження певних товарів чи надання послуг необхідно одержати ліцензію або дозвіл, електронна торгівля, що передбачає реалізацію таких товарів і послуг, може здійснюватися виключно з моменту отримання лі- цензії або дозволу на здійснення відповідного виду економічної діяльності.

Фізичні особи мають право реалізувати свої особисті майнові та пов’язані із ними немайнові права, якщо такі дії не пов’язані із систе- матичною підприємницькою діяльністю.

Продавці (постачальники) товарів зобов’язані забезпечити відповідність товару або послуги заявленим в рекламі кількісним та якіс- ним характеристикам.

Стаття 7. Вимоги до продавців (постачальників) товарів і послуг в електронній торгівлі

Продавці (постачальники) товарів та послуг під час поширення інформації про наявні для продажу товари та послуги й оформлення замовлень на покупку товарів повинні забезпечити прямий, простий та прозорий доступ інших суб’єктів електронної торгівлі і компе- тентних органів до такої інформації про себе:

повне найменування (для юридичної особи) або прізвище, ім’я, по батькові (для фізичної особи);

місцезнаходження юридичної особи або місце реєстрації/ фактичного проживання фізичної особи-підприємця, телефон для зв’яз- ку. Фізичні особи в разі реалізації своїх особистих речей, якщо такі дії не пов’язані із систематичною підприємницькою діяльністю, не зобов’язані надавати адресу свого фактичного проживання;

адреса електронної пошти та/або адресу Інтернет-магазину;

код згідно з ЄДРПОУ (для юридичної особи) або реєстраційний номер облікової картки платника податків (для фізичної особи-підпри- ємця) чи серія та номер паспорта (для фізичних осіб, які через свої релігійні переконання відмовляються від прийняття реєстрацій- ного номера облікової картки платника податків та офіційно повідомили про це відповідний орган державної податкової служби і ма- ють відмітку у паспорті);

номер свідоцтва про реєстрацію продавця платником податку на додану вартість, якщо така реєстрація здійснена відповідно до ви- мог Податкового кодексу України;

відомості про наявні діючі ліцензії, якщо здійснювана діяльність підлягає ліцензуванню;

різні варіанти доставки товару на вибір покупця;

можливі способи безготівкової оплати, включаючи можливість оплати готівкою кур’єру для фізичних осіб в разі кур’єрської доставки;

можливість відмови від замовлення;

інші відомості, які відповідно до законодавства України є обов’язковими для оприлюднення по певним видам економічної діяльності.

При передачі даних про себе провайдерам телекомунікаційних послуг та їх оприлюдненні на відповідних інформаційно-телекомуніка- ційних ресурсах продавці зобов’язані перевірити правильність оприлюднення цієї інформації.

43

44

Стаття 8. Правовий статус покупців товарів і послуг в електронній торгівлі

Покупець/покупці товарів і послуг у сфері електронної торгівлі користуються всіма правами, передбаченими Законом України «Про за- хист прав споживачів».

Якщо покупець товарів та послуг є фізична особа, яка не займається підприємницькою діяльністю, під час оформлення замовлення на покупку товарів і послуг має повідомити про себе мінімальні дані, які необхідні для здійснення покупки, а саме:

ім’я та по-батькові, прізвище та адресу в разі оформлення доставки поштою або кур’єром;

контактний телефон.

Інші персональні дані можуть бути надані покупцем лише за його згодою з метою виконання його замовлення.

Покупець повинен обрати спосіб доставки та оплати товару чи послуги.

Якщо покупець товарів та послуг є юридичною особою або фізичною особою – підприємцем, заявка на покупку повинна бути оформ- лена відповідно до статей 207 та 208 Цивільного кодексу України, або електронним договором.

Стаття 9. Вимоги до провайдерів телекомунікаційних послуг, які забезпечують функціонування електронної торгівлі

Провайдери телекомунікаційних послуг, які надають суб’єктам електронної торгівлі послуги, мають обов’язки, передбачені законодав- ством України, що регулює відносини у сфері телекомунікацій.

Провайдери телекомунікаційних послуг не є суб’єктом електронної торгівлі та не несуть відповідальності за наслідки використання та/ або невикористання переданої/збереженої ними інформації.

Провайдери телекомунікаційних послуг, які надають послуги із забезпечення здійснення дій в електронної торгівлі несуть відповідаль- ність за правильність розміщення на своєму ресурсі інформації про продавця та товари і послуги, що надаються продавцем, а також за цілісність цієї інформації протягом визначеного сторонами строку.

Провайдери телекомунікаційних послуг мають забезпечити продавцю можливість внесення змін до його інформації самостійно чи за їх допомогою для підтримки актуальності інформації, що надається покупцям.

  1. Провайдери телекомунікаційних послуг, які надають послуги із забезпечення здійснення дій в електронної торгівлі, не зобов’язані контролювати і перевіряти законність електронних повідомлень, які вони передають та зберігають, за виключенням тих випадків, ко- ли законодавство безпосередньо вказує на такий обов’язок.

РОЗДІЛ III

ПОРЯДОК ЗДІЙСНЕННЯ ПОКУПОК У ЕЛЕКТРОННІЙ ТОРГІВЛІ

Стаття 10. Розповсюдження інформації про товари і послуги в електронній торгівлі

Інформація від продавця про товари і послуги може надаватися покупцям, як з використанням інформаційно-комунікаційних техноло- гій, так і традиційними засобами реклами.

Основною умовою поширення електронних рекламних повідомлень є згода покупця на їх отримання.

Рекламне електронне повідомлення може бути надіслане споживачу без його згоди лише за умови наявності в нього можливості від- мови від подальшого отримання таких рекламних електронних повідомлень від цього продавця товарів та послуг в електронній торгівлі.

Процедура надання комерційної інформації повинна відповідати таким вимогам:

рекламна інформація має чітко ідентифікуватися як така;

особа, від імені якої надається рекламна інформація, повинна чітко ідентифікуватися відповідно до статті 5 цього Закону;

пільгові пропозиції продавця (знижки, заохочувальні подарунки тощо) повинні чітко ідентифікуватися як такі, а умови їх отримання повинні бути чітко описаними.

Стаття 11. Порядок замовлення та отримання товарів та послуг

Якщо продавцем є фізична особа, яка пропонує придбати свої особисті речі чи пов’язані із ними немайнові права, у випадку, якщо такі дії не пов’язані із систематичною підприємницькою діяльністю, порядок передачі товару та оплати узгоджується з покупцем без укла- дання будь-яких угод, за виключенням правочинів, для яких встановлено обов’язкову письмову форму та/або державну реєстрацію.

Якщо покупцем є фізична особа, яка планує придбати товар чи послугу для власних потреб, необхідність укладання договору узгод- жується сторонами.

Допускається не укладати письмових чи електронних договорів на придбання товарів та послуг фізичними особами. У такому випадку покупець оформлює заявку на отримання товарів в електронному вигляді чи телефоном. Продавець повинен повідомити покупця про приймання такої заявки з переліком замовлених товарів та послуг і наданням повної вартості заявки та іншої реєстраційної інформації (номеру заявки). Таке повідомлення повинно бути надано засобами телекомунікаційного зв’язку таким способом, який дозволяє його збереження до завершення виконання усіх зобов’язань продавцем.

Не допускається змінювати вартість товарів і послуг після підтвердження з боку продавця прийому заявки.

Разом з товаром продавець повинен надавати покупцю товарний чек, на якому чітко зазначений товар, його кількість та вартість, а та- кож повні реквізити продавця, які завірені його печаткою.

Якщо товар, який був замовлений покупцем має нематеріальну форму (програмне забезпечення, музика, фільми тощо) і не був запи- саний на матеріальний носій інформації, після отримання заявки та здійснення оплати продавець повинен надати покупцю в електро- нній формі повідомлення про правила доступу для забезпечення копіювання такого товару з визначеного продавцем інформаційно- го ресурсу. При цьому може не надаватися додаткове повідомлення про отримання заявки покупця.

Електронний договір за своїми правовими наслідками прирівнюється до укладеного у паперовій формі.

Електронні повідомлення, заявки електронні документи, що стосуються електронного договору, можуть представлятися як судові докази при засвідченні наявності електронного документа (електронних даних) на певний момент часу у поряд- ку, встановленому Кабінетом Міністрів України.

Стаття 12. Розрахунки у сфері електронної торгівлі

Розрахунки у сфері електронної торгівлі здійснюються у будь-який спосіб, не заборонений законодавством України.

Розрахунки з продавцями за товари чи послуги в електронній торгівлі можуть здійснюватись із застосуванням спеціаль- них платіжних інструментів, електронних грошей, шляхом переказу коштів на користь продавця через системи переказу коштів, а також готівкою із дотриманням відповідних вимог законодавства України та нормативно-правових актів Націо- нального банку України.

Способи, строки та порядок розрахунків визначаються під час оформлення заявки чи складання договору.

Стаття 13. Захист персональних даних

  1. Суб’єкти електронної торгівлі мають право вимагати тільки ті персональні дані, без яких вони не зможуть укласти дого- вір та/або виконати свої зобов’язання.
  2. Суб’єкти електронної торгівлі зобов’язані забезпечити захист персональних даних суб’єктів електронної торгівлі, що ста- ли їм відомими з електронних документів та/або повідомлень, в порядку, передбаченому Законом України «Про захист пер- сональних даних».
  3. Суб’єктам електронної торгівлі забороняється використовувати персональні дані сторін в будь-яких інших цілях, що ви- ходять за рамки їх зобов’язань.
  4. Надання персональних даних під час реєстрації в автоматизованій інформаційній системі продавця означає надання згоди суб’єктом електронної торгівлі на обробку його персональних даних у розумінні Закону України «Про захист персо- нальних даних».
  5. З метою недопущення несанкціонованого доступу до інформаційно-телекомунікаційної системи, ідентифікації суб’єктів електронної торгівлі – покупців, сторони можуть додатково передбачати надсилання (надання) унікального набору елек- тронних даних, які використовуються додатково до реєстраційних даних покупця.

РОЗДІЛ IV

ВИРІШЕННЯ СПОРІВ ТА ВІДПОВІДАЛЬНІСТЬ У СФЕРІ ЕЛЕКТРОННОЇ ТОРГІВЛІ

Стаття 14. Відповідальність суб’єктів електронної торгівлі

Юридичні особи та фізичні особи-підприємці, які є суб’єктами електронної торгівлі та здійснюють торговельну діяльність як продавці товарів та послуг, мають оформлювати та зберігати інформацію про здійснені операції продажу товарів/надан- ня послуг відповідно до вимог законодавства України.

Зазначені у частині 1 цієї статті суб’єкти електронної торгівлі повинні сплачувати податки згідно законодавства України.

Фізичні особи, які реалізують свої особисті речі чи немайнові права, у випадку, якщо такі дії не пов’язані із систематичною підприємницькою діяльністю, звільняються від сплати податків.

Стаття 15. Вирішення спорів між суб’єктами електронної торгівлі

Вирішення спорів між суб’єктами електронної торгівлі здійснюється в порядку, встановленому законом.

Стаття 16. Відповідальність за порушення законодавства у сфері електронної торгівлі

Особи, які винні у порушенні законодавства про електронну торгівлю та/або винні в порушенні договірних зобов’язань у сфері електронної торгівлі, несуть відповідальність відповідно до чинного законодавства України.

ПРИКІНЦЕВІ ПОЛОЖЕННЯ

Цей Закон набирає чинності з дня, наступного за днем його опублікування.

Суб’єктам електронної торгівлі- продавцям (постачальникам) протягом трьох місяців з дня набрання чинності цим Зако- ном привести у відповідність до статті 7 інформацію про себе на власних інтернет-сторінках та у інших інформаційно-те- лекомунікаційних системах, за допомогою яких здійснюється постачання послуг покупцям (отримувачам).

  1. Кабінету Міністрів України у трьохмісячний термін з дня набрання чинності цим Законом:

привести свої нормативно-правові акти у відповідність з цим Законом.

забезпечити перегляд і скасування міністерствами, іншими центральними органами виконавчої влади України їх норма- тивно-правових актів, що суперечать цьому Закону.

  1. До приведення нормативно-правових актів у відповідність з цим Законом, вони застосовуються в частині, що йому не суперечить.

Голова Верховної Ради України А.В. Парубій

45

46

Додаток 6 Перелік законів, до яких необхідно внести зміни

1 Про ліцензування видів господарської ді-

яльності

пункт 8 частини першої статті 7, частина восьма статті 11

2 Про електронну комерцію частини перша та друга статті 2, частина друга

статті 3, абзац другий частини першої статті 12 тощо

3 Про авторське право і суміжні права частина чотирнадцята статті 521

4 Про Єдиний державний демографічний

реєстр та документи, що підтверджують громадянство України, посвідчують особу чи її спеціальний статус

пункт 1 частини першої та частина друга статті 3, пункт 11 частини другої статті 6, частина третя статті 19, частина дев’ята статті 21

5 Про дорожній рух частини друга та третя статті 341

6 Про платіжні системи та переказ коштів

в Україні

підпункти 18.2, 18.3 статті 18

7 Про споживче кредитування абзац другий частини другої та частина шоста

статті 9, частина перша статті 13, частина друга статті 15

8 Про обіг векселів в Україні частина шоста статті 5

9 Про депозитарну систему України частина перша статті 27

10 Про ринок електричної енергії частина перша статті 39

11 Про оцінку земель частина третя статті 7

12 Про землеустрій частина четверта статті 25

13 Про Державний земельний кадастр абзац другий частини третьої статті 36, абзац другий частини п’я-

тої та абзац одинадцятий частини сьомої статті 38

14 Про інститути спільного інвестування частина третя статті 57

15 Про Державний реєстр виборців частина друга статті 24

16 Про вибори Президента України частина дев’ята статті 31

17 Про звернення громадян частина сьома статті 5

18 Про державну реєстрацію юридичних

осіб, фізичних осіб — підприємців та гро- мадських формувань

пункт 3 частини третьої статті 7

19 Про державну реєстрацію речових прав на нерухоме майно та їх обтяжень

абзац третій частини першої статті 20, частини друга та третя статті 32

20 Про Державну службу спеціального

зв’язку та захисту інформації України

пункти 36, 37 частини першої статті 14

21 Про електронні документи та електро-

нний документообіг

стаття 12

22 Про захист прав споживачів Розділи 2 та 4

КОДЕКСИ

1 Податковий кодекс України підпункт 14.1.1141, підпункт 14.1.1441,

підпункт 14.1.1821 пункту 14.1 статті 14;

підпункт 191.1.44 пункту 191.1 статті 191;

абзац другий підпункту 39.2.1.3 підпункту 39.2.1 пункту 39.2, абзац другий підпункту 39.3.3.3 підпункту 39.3.3 пункту 39.3, абзац пер- ший підпункту 39.4.2 пункту 39.4 статті 39;

пункт 42.4 статті 42;

абзаци тринадцятий та дев’ятнадцятий пункту 421.2,

абзаци перший та третій пункту 421.5 статті 421;

абзац другий підпункту 48.5.1 пункту 48.5 статті 48;

підпункт «в» та абзац другий пункту 49.3, абзаци перший та другий пункту 49.4, пункт 491.4, абзац другий пункту 49.17 статті 49;

абзац сьомий пункту 201.10 статті 201

2 Кодекс про адміністративні правопору-

шення України

стаття 18831

3 Митний кодекс України пункт 22 частини першої статті 4, частина третя статті 33, частини

перша та третя статті 123, частини друга та четверта статті 257, частина дванадцята статті 264, частина четверта статті 307, пункт 16 частини другої статті 544

4 Кодекс адміністративного судочинства

України

абзац другий частини дев’ятої статті 160

5 Кримінальний процесуальний кодекс

України

абзац другий частини шостої статті 371

6 Цивільний процесуальний кодекс України абзац другий частини восьмої статті 209

7 Господарський процесуальний кодекс

України

частина четверта статті 45

47

48

Додаток 7 Пропозиції щодо змін і доповнень до Закону України «Про захист прав споживачів»

РОЗДІЛ II

«ПРАВА СПОЖИВАЧІВ ТА ЇХ ЗАХИСТ»

Стаття 12. Права споживача в разі укладення договору поза торговельними або офісними приміщеннями

В цілому положення даної статті морально застарілі та втратили свій сенс, бо «вуличні догово- ри буремних 90-х» відійшли в минуле. В контексті розвитку інформаційно-цифрових технологій та захисту прав споживачів в умовах е-ринку постало питання важливості існування реальних офісних приміщень тих підприємців сфери е-торгівлі, які реалізують товари, послуги та роботи для споживачів. Наявність лише віртуальних даних про е-продавця довело невідповідність тако- го стану справ для легалізації продавця, реального захисту прав споживачів та відповідальності продавця в разі порушення цих прав.

Стаття 13. Право споживача у разі укладення договору на відстані

Назва та сутність цієї статті мають бути приведені у відповідність до Директиви 97/7/ЄС «Про за- хист прав споживачів в дистанційних контрактах». Принципово важливо, що питання захисту прав споживачів в дистанційних контрактах в умовах е-торгівлі мають визначатись виключно Законом України «Про захист прав споживачів» і не розпорошуватись по кількох нормативних актах.

Зазначити в законі поняття «презумпції невинуватості споживача», що надасть можливість за- кріпити право споживача не виправдовуватися при повернені товару продавцю протягом 14 днів чи протягом гарантійного терміну, включаючи купівлю-продаж в умовах е-торгівлі.

Ввести до закону згідно з Директивою 97/7/ЄС визначення термінів (понять):

«дистанційний контракт», «споживач», «постачальник», «засоби дистанційного зв’язку», «опе- ратор засобів зв’язку».

Зазначити право споживача та порядок виходу з дистанційного контракту.

Зазначити норми, які б встановлювали права споживача, пов’язані з оплатою послуг договору, укладеного на відстані, за допомогою платіжної картки (Стаття 8 Директиви «Плата за допомо- гою картки»), зокрема передбачити заходи, які дозволять споживачу вимагати скасування пла- тежу у випадку, якщо його платіжна картка була використана обманним шляхом у зв’язку із дис- танційними контрактами, та повернення виплачених сум.

Ввести до даного розділу підрозділ «Про розгляд скарг споживачів». Споживач має право на подання та розгляд скарг для вирішення споживацьких спорів, включаючи е-торгівлю. Порядок та терміни розгляду відповідними державними органами скарг споживачів щодо порушення їх прав мають забезпечити:

надійність процедур та результатів розгляду скарг;

запровадження стандартизованих форм подання скарг;

можливо мінімізовані терміни розгляду скарг;

прозоре висвітлення інформації щодо звернень споживачів

із скаргами та відповідних результатів державного розгляду

з конкретними, деталізованими та зрозумілими поясненнями висновків;

покладання на е-продавця обов’язку доведення доказової бази, якщо споживчий конфлікт пов’язаний з використанням цифрових технологій, щодо яких споживач не управляє засоба- ми зв’язку;

компенсування порушником завданої споживачу матеріальної та

моральної шкоди.

Споживач має право на досудовий, позасудовий та судовий розгляд скарг. Перевага надається альтернативним засобам вирішення споживацьких спорів.

РОЗДІЛ IV

«ДІЯЛЬНІСТЬ ОРГАНІВ ВЛАДИ У СФЕРІ ЗАХИСТУ ПРАВ СПОЖИВАЧІВ»

Стаття 26. Повноваження центрального органу виконавчої влади, що реалізує державну політику у сфері державного контролю за додержанням законодавства про захист прав споживачів

Назву статті викласти в наступній редакції:

«Повноваження центрального органу виконавчої влади, що реалізує державну політику у сфері захисту прав споживачів на загальнонаціональному рівні з урахуванням всіх галузей економічної та соціальної діяльності», оскільки державної політики «у сфері державного контролю за додер- жанням законодавства про захист прав споживачів» не існує.

Зазначити в розділі обов’язок держави щодо захисту прав споживачів у сфері е-торгівлі.

49

Проект «Громадська синергія» Е-mail: info@civic-synergy.org.ua www.civic-synergy.org.ua

Кібербезпека та/або права людини

За інформацією ЄК, лише 12 % європейських користувачів мережі Інтернет почувають себе абсолютно безпечно, здійснюючи онлайн-транзакції. Такі загрози, як шкідливе програмне забезпечення й інтернет-шахрайство, позбавляють приросту кількості споживачів і зводять нанівець зусилля, спрямовані на просування цифрової економіки.

Щодо українських споживачів, то станом на лютий 2016 року в Україні до мережі Інтернет підключено 63 % домогосподарств. Регулярно, тобто раз на місяць, користуються мережею Інтернет 62 % сімей. За даними Світового банку, проникнення мережі Інтернет в Україні щорічно підвищується в середньому на 5 %. Тобто проблеми, пов’язані з довірою у мережі й онлайн-транзакціями, зростатимуть із року в рік.

Півстоліття тому вперше застосовували термін “інформаційна безпека” разом із термінами “інформаційне суспільство”, “економіка знань” і пізніше “цифрова економіка” тощо. Тепер все частіше можна почути “кібербезпека”, “кібервійна”, “кібернапад”, “кіберзлочин”. Спробуймо для початку розібратись, що це таке.

Інформаційна безпека – збереження конфіденційності, цілісності та доступності інформації. Також повинні враховуватися достовірність, відповідальність, неможливість заперечення і надійність (ISO/IEC 17799:2005). Тобто це дії для убезпечення саме інформації від громадян і засобів, а не навпаки – громадян убезпечувати від інформації, про що іноді можна прочитати на просторах Інтернету.

Термін “кібербезпека” зазвичай стосується корпоративного управління, менеджменту та надання впевненості щодо безпеки, які виходять за межі того, що ми розуміємо як “інформаційну безпеку”. Кібербезпека зосереджується на особливих формах складних атак й охоплює їх технічний і соціальний аспекти.

Оскільки існує багато визначень кібербезпеки, цей термін часто розуміють неправильно.

Офіційне визначення ЄС таке:

“Кібербезпека зазвичай стосується заходів і дій, спрямованих на захист кіберпростору в

цивільній і військовій сферах від загроз, які можуть завдати шкоди взаємозалежним мережам та інформаційній інфраструктурі або є пов’язаними з ними. Кібербезпека спрямована на збереження доступності та цілісності мереж та інфраструктури, а також конфіденційності інформації, яка міститься в них.”

1

________________

1

Європейська комісія, Спільне звернення до Європейського парламенту, Ради, Європейського соціально-економічного комітету та Комітету регіонів – Стратегія ЄС із кібербезпеки: відкритий, надійний і безпечний кіберпростір, Брюссель, 2 липня 2013 р., с. 3:

http://ec.europa.eu/information_society/newsroom/cf/dae/document.cfm?doc_id=1667.

ISACA дає таке визначення кібербезпеки:

“Захист інформаційних активів шляхом боротьби із загрозами безпеці інформації, яка обробляється, зберігається та передається за допомогою інформаційних систем, що взаємодіють за допомогою мереж.”

2

_________________

2

ISACA, Глосарій з кібербезпеки, 2014 р.:

http://www.isaca.org/Knowledge- Center/Documents/Glossary/Cybersecurity_Fundamentals_glossary.pdf.

У своїй публікації Трансформація кібербезпеки ISACA описує кібербезпеку детальніше:

“… Кібербезпека охоплює все, що захищає організації та фізичних осіб від умисних атак, порушень, інцидентів та їх наслідків. На практиці кібербезпека насамперед стосується тих типів атак, порушень та інцидентів, які є цільовими, високотехнологічними та складними у виявленні чи управлінні. … Кібербезпека зосереджується на так званих складних спрямованих постійних загрозах (APT)

3

, кібервійнах та їх впливі на організації та людей.”

4

________________

3

APT (advanced persistent threats) – спрямовані постійні загрози.

4

ISACA, Трансформація кібербезпеки, США, 2013 р., с. 11:

www.isaca.org/Knowledge-Center/Research/ResearchDeliverables/Pages/Transforming- Cybersecurity-Using-COBIT-5.aspx

Таким чином, інформаційна безпека має нижчий рівень, ніж кібербезпека, та відрізняється масштабом, мотивами, можливостями і методами атак.

Поглянемо на PESTLE-аналіз – це детальний аналіз різних аспектів підприємства, а саме політичного (Political), економічного (Economic), соціального (Social), технологічного (Technical), юридичного (Legal) та навколишнього середовища (Environmental), підготовлений експертами ISACA.

5

_________________

5

Впровадження європейської кібербезпеки: загальний огляд www.isaca.org/cyber

Кібербезпека, на відміну від інформаційної безпеки, забезпечується не тільки безпосередньо організацією, що захищається, а й іншими постачальниками послуг (телекомунікаційних, сервісних, хмарних тощо).

У більшості випадків йдеться про колективну безпеку учасників діяльності в мережі Інтернет. Тобто велику кількість користувачів, яких не може контролювати одна організація в прямому сенсі цього слова, але які мають доступ до певних колективних ресурсів чи право користування публічними сервісами.

Провайдер сервісів має у цьому випадку велику владу й технічну можливість керувати інформацією та транзитом потоку даних (інтернет-трафіку) через мережі, якими він оперує. Постачальники послуг доступу в Інтернет можуть брати участь в управлінні інтернет-трафіком для конкретних законних цілей, наприклад, для збереження цілісності та безпеки мережі. Вони можуть також вжити заходів, щоб запобігти доступу чи розповсюдженню незаконного або шкідливого вмісту, наприклад, через системи саморегулювання у співпраці з державними органами. Проте інші втручання до інтернет-трафіку можуть вплинути на якість послуг, що надаються інтернет-користувачам, і призвести до блокування, дискримінації або пріоритетності конкретних видів контенту, додатків і послуг. Більше того, деякі з методів, що використовуються в контексті управління доступом, або моніторинг повідомлень можуть підірвати довіру користувачів до мережі Інтернет.

Європейська спільнота для реалізації прав людини в мережі Інтернет (з 2013 року право на доступ до мережі Інтернет є базовим правом людини) ухвалила Рекомендацію CM/Rec (2016) 1 Комітету Міністрів державам-членам із захисту й заохочення права на свободу вираження поглядів та право на приватне життя відносно мережевого нейтралітету (ухвалена Комітетом

Рис. 1. PESTLE-аналіз

Міністрів 13 січня 2016 року на 1244 засіданні заступників міністрів) і Рекомендацію CM/Rec (2016) 5 Комітету Міністрів держав-членів щодо Інтернет-свободи (ухвалена Комітетом Міністрів 13 квітня 2016 року на 1253 засіданні заступників міністрів), визнаючи ризики, пов’язані із регулюванням доступу у мережі Інтернет та можливостями провайдерів сервісів.

Як зазначено в Рекомендації Rec (2016) 5, механізми управління Інтернетом, на національному, регіональному або глобальному рівні, мають ґрунтуватися на розумінні Інтернет-свободи. Держави мають права й обов’язки щодо міжнародної політики, пов’язаної з Інтернетом. При здійсненні своїх суверенних прав держави повинні відповідно до норм міжнародного права утримуватися від будь-яких дій, які можуть прямо або побічно завдати шкоди фізичним чи юридичним особам всередині або за межами їх юрисдикції. Будь-яке національне рішення або дія на обмеження прав людини та основних прав в Інтернеті повинні відповідати міжнародним зобов’язанням і, зокрема, базуватися на законі. Дотримуватися повною мірою принципів пропорційності та гарантувати доступ до засобів правового захисту, а також право бути почутим і звертатися із забезпеченням належних гарантій процесу повинні бути важливими в демократичному суспільстві.

ЄС, розуміючи всі можливі наслідки технічного та технологічного регулювання забезпечення доступу до мережі Інтернет, наголошує на необхідності регулювання на рівні закону обмежень, потрібних для забезпечення колективної безпеки. Це стосується і обов’язку держави захищати людей від кіберзлочинів за допомогою ефективного кримінального правосуддя або інших заходів. У разі коли такі заходи містять ризик, пов’язаний з правом на приватне життя, правом на свободу вираження або правом на свободу мирних зборів і асоціацій, вони підлягають умовам і гарантіям проти зловживань. Ці заходи повинні відповідати статтям 8, 10 і 11 Конвенції про захист прав людини і основоположних свобод. Причому вони повинні бути встановлені на рівні закону. Закон має бути доступним, точним, зрозумілим; ставити законну мету; необхідним і пропорційним у демократичному суспільстві й забезпечувати ефективні засоби правового захисту.

Україна приєдналась до Конвенції про захист прав людини і основоположних свобод вже досить давно, а Угода з ЄС про асоціацію набрала чинності (тимчасове застосування) кілька років тому. Отже, держава Україна визначилась, що у сфері прав людини дотримуватиметься демократичної європейської моделі державного регулювання (обмеження) прав людини, зокрема в мережі Інтернет.

Чи відповідає на сьогодні законодавче регулювання європейській моделі? Частково так. Що стосується телекомунікаційних послуг – так, щодо кібербезпеки – ні.

У 2006 році Україна приєдналась до Конвенції про кіберзлочинність, зокрема визнала “необхідність співробітництва між Державами і приватними підприємствами для боротьби з кіберзлочинністю і необхідність захисту законних інтересів під час використання та розвитку інформаційних технологій”.

І в розвиток цієї Конвенції Україні необхідно було розробити механізми співпраці держави і приватного сектору в частині забезпечення кібербезпеки (далі – заходи кібербезпеки), але зберігаючи “належний баланс між правоохоронними інтересами і повагою до основних прав людини”. Також слід було переглянути кримінальне законодавство України в частині розробки процедурних питань з метою отримання належних доказів у злочинах з використанням інформаційно-телекомунікаційних мереж і технологій, формулювання самого складу злочину в цифровому світі. Одним із завдань було забезпечення як спеціалістами, які зможуть без лому і виїмки серверів розслідувати злочини, так і спеціалістами, які адекватно зможуть встановити відповідні факти в суді.

Як ви розумієте, не все так добре за 11 років після приєднання до Конвенції про кіберзлочинність. Наразі існує лише Стратегія кібербезпеки України, затверджена Указом Президента України 1,5 роки тому, та законопроект 2126а, що подавався на розгляд Верховної Ради України і був переданий на повторне друге читання.

Аналізуючи законопроект No 2126а на предмет наявності заходів із кібербезпеки, зауважимо, що жодного із перерахованих вище в ньому немає. Внесення змін до кримінального та процесуального законодавства, встановлення механізмів державно-приватного партнерства також відсутні. Так само відсутнє і розшифрування (тлумачення), як досягається додержання принципів кібербезпеки. До речі, кібербезпека і кіберзахист в українській варіації – дві різні речі, як кажуть в Одесі. В інших країнах під кібербезпекою якраз і розуміють заходи із захисту, про що йшлося вище. На нашу думку, прийняття зазначеного закону не забезпечить реалізацію мети, яка описана в його преамбулі: в законопроекті немає статей на реалізацію принципів забезпечення кібербезпеки, а визначення об’єктів критичної інфраструктури та всіх пов’язаних із ними питань взагалі віднесено на інший рівень – постанов і розпоряджень Кабміну.

До речі, термін “кібербезпека” із законопроекту має цікаву деталь: “кібербезпека – захищеність життєво важливих інтересів людини і громадянина, суспільства та держави під час використання кіберпростору, за якої забезпечуються сталий розвиток інформаційного суспільства та цифрового комунікативного середовища, своєчасне виявлення, запобігання і нейтралізація реальних і потенційних загроз національній безпеці України у кіберпросторі;”.

Закон України “Про основи національної безпеки України” визначає національну безпеку так:

“національна безпека – захищеність життєво важливих інтересів людини і громадянина, суспільства і держави, за якої забезпечуються сталий розвиток суспільства, своєчасне виявлення, запобігання і нейтралізація реальних та потенційних загроз національним інтересам у сферах правоохоронної діяльності, боротьби з корупцією, прикордонної діяльності та оборони, міграційної політики, охорони здоров’я, освіти та науки, науково-технічної та інноваційної політики, культурного розвитку населення, забезпечення свободи слова та інформаційної безпеки, соціальної політики та пенсійного забезпечення, житлово-комунального господарства, ринку фінансових послуг, захисту прав власності, фондових ринків і обігу цінних паперів, податково-бюджетної та митної політики, торгівлі та підприємницької діяльності, ринку банківських послуг, інвестиційної політики, ревізійної діяльності, монетарної та валютної політики, захисту інформації, ліцензування, промисловості та сільського господарства, транспорту та зв’язку, інформаційних технологій, енергетики та енергозбереження, функціонування природних монополій, використання надр, земельних та водних ресурсів, корисних копалин, захисту екології і навколишнього природного середовища та інших сферах державного управління при виникненні негативних тенденцій до створення потенційних або реальних загроз національним інтересам”.

Нічого не здивувало? Так от кібербезпека має забезпечити своєчасне виявлення, запобігання і нейтралізацію загроз національним інтересам.

Однією із загроз (стаття 7 Закону України “Про основи національної безпеки України”) є

“в інформаційній сфері:

прояви обмеження свободи слова та доступу до публічної інформації;

поширення засобами масової інформації культу насильства, жорстокості, порнографії;

комп’ютерна злочинність та комп’ютерний тероризм;

розголошення інформації, яка становить державну таємницю, або іншої інформації з обмеженим доступом, спрямованої на задоволення потреб і забезпечення захисту національних інтересів суспільства і держави;

намагання маніпулювати суспільною свідомістю, зокрема, шляхом поширення недостовірної, неповної або упередженої інформації”.

Здається, трохи перемудрували.

Про права та обмеження прав у законопроекті не йдеться, але цікавий юридичний виверт “забезпечення кібербезпеки в Україні ґрунтується на принципах: 1) верховенства права, законності, поваги до прав людини і основоположних свобод та їх захисту у порядку, визначеному законом” доводить протилежне: чи вже існує якийсь закон, де описаний порядок захисту прав і свобод, чи його буде ще розроблено – відповіді законопроект не дає.

Якщо мали на увазі законодавчі акти про захист персональних даних чи про доступ до публічної інформації, чи про забезпечення доступу до мережі Інтернет – то можна було б і послатись на них. Взагалі, питань більше, ніж відповідей. Добре, що є можливість переглянути законопроект (закладені до нього норми) критично.

ВИСНОВОК:

У цій статті не ставилась мета детально розглянути порушення конкретних прав і свобод у зв’язку із заходами для забезпечення кібербезпеки, лише основні поняття, принципи та їх сутність для розуміння того, що співіснування прав і свобод можливе. Безпека створюється не в обмін на права і свободи, а лише разом із ними. Ніщо не коштує так багато, як свобода. І обмеження (а не заборони!!!) задля колективної безпеки можна і потрібно впроваджувати, але за однієї умови – закон має бути доступним, точним, зрозумілим; ставити законну мету; необхідним і пропорційним у демократичному суспільстві й забезпечувати ефективні засоби правового захисту.

Закон і тільки закон має бути!

© ТОВ “Інформаційно-аналітичний центр “ЛІГА”, 2017 © ТОВ “ЛІГА ЗАКОН”, 2017