02.10.2012 р. ВРУ прийняла Закон, яким вносяться зміни до Закону України «Про захист персональних даних» (далі — Закон про ПД). Зміни1 стосуватимуться майже всього Закону, але у цій статті ми коротенько спинимося лише на основних моментах.
Сфера дії Закон про ПД
Завдяки змінам його дія тепер поширюється не лише на захист персональних даних (далі — ПД) під час їх обробки, а й на захист права громадянина на невтручання в особисте життя, у зв'язку з обробкою ПД. Також уточнено, що Закон не поширюється на діяльність з обробки ПД, яка здійснюється фізособою виключно для особистих чи побутових потреб.
1 Законопроект з реєстраційним №10472. Зі зміненим текстом Закону України «Про захист персональних даних» можна буде ознайомитися на нашому сайті www.dtkt.com.ua. На 09.10.2012 р. законопроект знаходився на підписі у Президента.
Нова «згода суб'єкта ПД»
Тепер під цим терміном розуміють добровільне волевиявлення фізособи (за умови її поінформованості) щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки, висловлене у письмовій формі або у формі, що дає змогу зробити висновок про її надання. Отже, тепер виникає запитання: що розуміти під такою згодою — сам факт укладення правочину, підписання акта тощо?
Змінено умови отримання згоди у суб'єкта ПД у разі зміни мети обробки ПД — тепер її слід відбирати лише у разі, якщо нова мета обробки є несумісною з попередньою. Щоправда, вимог такої сумісності закон не встановлює — тож фактично це залишається на розсуд володільця бази (абз. 3 ч.1 ст. 6).
Вилучено вимоги щодо обсягу ПД, які раніше мали визначатися умовами згоди суб'єкта ПД або відповідним законом (абз. 2 ч. 3 ст. 6 Закону про ПД). Тепер такий обсяг, на нашу думку, має визначатися обсягом зібраної володільцем інформації. Адже внесено зміни до ч. 2 ст. 12 Закону про ПД, якими володільця зобов'язано протягом 10 робочих днів повідомляти фізособу про володільця, склад та зміст зібраних про неї ПД, мету збору та осіб, яким такі ПД передаються. Відтепер це стосується і випадків зібрання інформації із загальнодоступних джерел.
«Нова» обробка ПД та реєстрація баз ПД працівників
Перше, на що звертаємо увагу, — володільців ПД звільнено від обов'язку реєстрації баз ПД своїх працівників (ч. 2 ст. 9). Тепер постає запитання щодо тих, хто вже встиг зареєструвати такі бази ПД або лише подав заяву: чи матимуть вони можливість скасувати реєстрацію та/або відкликати свою заяву на реєстрацію баз ПД?
Законодавець уточнив термін «обробка персональних даних» — дозволено не лише знищувати ПД, а й видаляти їх із бази (ст. 15).
Крім того, володільцю дозволено доручати обробку ПД розпоряднику, з яким обов'язково укладається письмовий договір, умовами якого визначаються мета й обсяг обробки ПД (доповнено ст. 4 абзацами 4 і 5).
Права й обов'язки органів контролю
ВРУ позбавила права контролю за додержанням законодавства про захист ПД органи місцевого самоврядування (п. 2 ч.1 ст. 22).
Водночас Державна служба захисту ПД отримала законне право на проведення виїзних та безвиїзних перевірок володільців та/або розпорядників ПД (ч. 2 ст. 23).
Щодо реєстрації баз ПД, то строк для прийняття рішення Держслужбою збільшено з 10 до 30 робочих днів з дня надходження заяви (ч. 4 ст. 9).
Наталія КАНАРЬОВА, «Дебет-Кредит»