Національні органи захисту даних в Європейському Союзі: роль і практика в сфері захисту персональних даних в соціальних мережах

Abstract

В статті досліджено особливості законодавчого регулювання та практичної діяльності національних органів з захисту персональних даних в Європейському Союзі (Data Protection Authorities (DPA)). Проаналізовано положення Загального регламенту про захист даних (Genereal Data Protection Regulation), Директиви Європейського Парламенту та Ради від 14 грудня 2022 року про заходи щодо високого загального рівня кібербезпеки в Союзі, а також інші акти, прийняті в рамках ЄС в сфері захисту персональних даних, інформаційної та кібербезпеки. Досліджено нормативні передумови створення та роль національних органів з захисту персональних даних в забезпеченні приватності та захищеності персональних даних користувачів соціальних мереж, а саме: нормативні положення, які забезпечують їх організацію, компетенцію, можливості здійснення транскордонної кооперації та співробітництва (joint investigation) а також вплив на діяльність сервісів соціальних мереж в конкретних державах. Проаналізовано практику національних органів з захисту персональних даних держав-членів в ЄС в контексті вжиття дій, пов’язаних із захистом персональних даних в соціальних мережах – розслідування, накладення штрафів, звернення до національних судових установ, розробки вимог до оцінки впливу на захист даних, а також створення кодеків поведінки та сертифікації. На основі отриманих результатів запропоновано висновки щодо доцільності створення зазначених органів в Україні, рекомендації щодо ме-ханізму їх організації, доцільності надання імперативного характеру рішенням вказаних органів, а також необхідності створення сприятливих умов для співробітництва з іншими національними та міжнародними публічними органами з захисту персональних даних. З вказаною метою, здійснено додатковий аналіз можливостей впливу національних органів з захисту даних на функціонування сервісів соціальних мереж поза юрисдикцією держав-членів ЄС.

Internal violations of the legislation of personal data protection by online social network services is a problem faced by all states, regardless of the presence or absence of national bodies for monitoring compliance with the legislation on the protection of personal data. However, the key differences that distinguish countries that have relevant authorities from those that do not have any or are entrusted with an authority that is unable to adequately perform the function of data protection are: a lower level of violations of privacy and personal data in social networks; the presence of a real possibility of the state tp protect privacy and personal data in the form of an authorized body, as well as the citizens themselves, to effectively protect their personal data; the ability of the state to flexibly determine the policy and conditions under which this or that social network service will carry out its activities on its territory.Thus, the article examines the peculiarities of legislative regulation and practical activities of national bodies for the protection of personal data in the European Union (Data Protection Authorities (DPA)). The regulatory basis and role in ensuring the privacy and security of personal data of users of social networks have been studied, namely: the grounds for implementation, regulatory provisions that ensure their organization, competence, opportunities for cross-border cooperation and cooperation (joint investigation), as well as the impact on the activity of social services networks in specific countries. The practice of national bodies for the protection of personal data of member states in the EU was analyzed in the context of taking actions related to the protection of personal data in social networks - investigations, imposition of fines, appeals to national judicial institutions, development of requirements for Data Protection Impact Assessment (DPIA) as well as the creation of codes of conduct and certification. On the basis of the obtained results, conclusions regarding the need to introduce separate national data protection authorities in Ukraine are proposed, as well the possibility of DPA influence on the functioning of social network services outside the jurisdiction of the EU member state is outlined.