1 січня 2012 р. набрав чинності Закон від 02.06.2011 р. №3454-VI «Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних» (далі — Закон №3454). Нагадаємо, що цим законом встановлювалися вагомі адмінштрафи для порушників у сфері персональних даних. Проте він викликав стільки скарг з боку володільців і розпорядників баз персональних даних (БПД), які не встигли ні зареєструвати такі бази, ні привести умови зберігання персональних даних у відповідність до вимог чинного законодавства, що вже 31.01.2012 р. Президент України підписав Закон №4343-VI від 13.01.2012 р. (далі — Закон №4343), який переносить дату початку застосування зазначених штрафів на 01.07.2012 р.
Про бази персональних даних, а також види і розміри встановлених адмінштрафів ми писали в «ДК» неодноразово (див. «ДК» №50/2011, №51-52/2011) у зв'язку із набранням чинності Законом від 01.06.2010 р. №2297-VI «Про захист персональних даних» (далі — Закон №2297).
Нагадаємо, що діяльність підприємств незалежно від форми власності та підпорядкування, фізосіб, які здійснюють господарську або незалежну професійну діяльність, певним чином пов'язана з використанням та обробкою даних, що надаються фізособами за трудовими, цивільно-правовими договорами чи іншим шляхом, наприклад, під час реєстрації на Iнтернет-форумах. Закон №2297 покликаний захистити відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована під час обробки отриманих даних.
Отже, за Законом №2297 об'єктами захисту є персональні дані, які обробляються в базах персональних даних.
Згідно зі ст. 9 Закону №2297 база персональних даних підлягає держреєстрації шляхом внесення відповідного запису уповноваженим держорганом з питань захисту персональних даних до Державного реєстру баз персональних даних1.
1 Положення про державний реєстр баз персональних даних та порядок його ведення (постанова КМУ від 25.05.2011 р. №616).
Відповідно до Закону №3454 суб'єкти відносин у сфері персональних даних тепер уже з 01.07.2012 року несуть таку відповідальність, зокрема, відповідно до ст. 188-39 КУпАП:
1) за неповідомлення або несвоєчасне повідомлення суб'єкта персональних даних про його права у зв'язку із включенням його персональних даних до БПД, мету збору цих даних та осіб, яким ці дані передаються, — штраф на громадян від 3400 грн до 5100 грн і на посадових осіб, громадян-СПД — від 5100 грн до 6800 грн;
2) за ухилення від держреєстрації БПД — штраф на громадян від 5100 грн до 8500 грн і на посадових осіб, громадян-СПД — від 8500 грн до 17000 грн;
3) за неповідомлення або несвоєчасне повідомлення органу Державної служби України з питань захисту персональних даних про зміну відомостей, що подаються для державної реєстрації БПД, — штраф на громадян від 1700 грн до 3400 грн і на посадових осіб, громадян-СПД — від 3400 грн до 6800 грн;
4) за недодержання встановленого законодавством про захист персональних даних порядку захисту персональних даних у БПД, що призвело до незаконного доступу до них, — штраф від 5100 грн до 17000 грн.
Справи розглядатимуть суди, протоколи складатиме Держслужба захисту персональних даних.
Нагадаємо, що Кримінальний кодекс України передбачає кримінальну відповідальність за порушення недоторканності приватного життя, яке з урахуванням змін, передбачених Законом №3454, полягатиме в незаконному збиранні, зберіганні, використанні, знищенні, поширенні конфіденційної інформації про особу або незаконній зміні такої інформації, крім випадків, передбачених іншими статтями цього Кодексу. За відповідний злочин застосовуються різні види санкцій — від штрафу до обмеження волі на строк до 5 років.
Ганна БИКОВА, «Дебет-Кредит»