• Посилання скопійовано

Коментар

Закон України від 03.07.2013 р. №383-VII

Держреєстрація БПД скасовується

Президент підписав Закон України від 3 липня 2013 року №383-VII «Про внесення змін до деяких законодавчих актів України щодо удосконалення системи захисту персональних даних» (далі — Закон №383, див. «ДК» №36/2013), який набере чинності з 1 січня 2014 року. Зміни, на перший погляд, кардинальні. Проте про все за порядком.

Перший погляд на зміни

Фактично дію Закону про захист ПД1 буде зведено до захисту та обробки персональних даних всіма фізичними та юридичними особами, про що достатньо повідомити омбудсмена (Уповноваженого з прав людини). Адже саме йому передано повноваження у сфері захисту ПД.

1 Закон України від 01.06.2010 р. №2297-VI «Про захист персональних даних».

Зазначимо, що сам захист персональних даних зміни не скасовують. ПД матимуть дещо змінений вигляд. Тож відмовлятися юрособам та фізособам — підприємцям від створених ними баз персональних даних ще зарано.

Для цього є й інші причини, і перша з них — це недостатня зрозумілість нових термінів та визначень, зокрема щодо умов обробки таких даних з 01.01.2014 р. та переліку госпсуб'єктів, які такі персональні дані мають обробляти.

Адже, наприклад, щодо обробки персональних даних, зокрема для побутових потреб та у професійних цілях журналістів, то на сьогодні преамбула Закону про захист ПД виводить їх з-під дії Закону. Змінами ж це буде дозволено з формулюванням «...без застосування положень цього Закону...».

Незрозуміло, що це означає: чи вони таки мають обробляти персональні дані суб'єктів на власний розсуд (йдеться про обсяг даних та порядок їх обробки), чи для цього буде передбачено особливі умови, скажімо, нормативними актами Уповноваженого з прав людини?

Обов'язковість реєстрації баз ПД

Зауважимо, що ці зміни фактично перекреслили всю роботу, яка була виконана володільцями та розпорядниками баз персональних даних. З другої половини 2011 року ми всі доклали значних зусиль для того, щоб взагалі зрозуміти зміст Закону про захист ПД та дії, які належить вчинити у зв'язку з його прийняттям (попри відсутність будь-яких роз'яснень та нормативних документів).

А із введенням значних розмірів санкцій (спочатку запланованих на 01.01.2012 р., а пізніше — з 01.07.2012 р. згідно зі ст. 188-39 КУпАП) розпочалася масова реєстрація баз персональних даних.

Тепер же з 01.01.2014 р. буде скасовано саме поняття «згода суб'єкта персональних даних». Хоча, як і раніше, однією з підстав обробки ПД залишили згоду суб'єкта персональних даних на таку обробку та право на її відкликання (статті 8, 11 Закону про захист ПД).

Скасовано й державну реєстрацію баз персональних даних. Хоча, на нашу думку, говорити про факт скасування не дуже доречно. Адже держреєстрацію замінено повідомленням омбудсмену про обробку персональних даних упродовж 30-ти робочих днів з дня початку такої обробки (нова редакція ч. 1 ст. 9 Закону №2297).

Обробка ПД лише за особливим ризиком для прав і свобод

Змінами визначено, що обробка персональних даних має здійснюватися лише в умовах, які становлять особливий ризик для прав і свобод суб'єктів персональних даних.

Як можна визначити, що саме становить такий «особливий ризик»? Наразі це питання залишається відкритим.

Закон №383 свідчить, що як види такої обробки, так і категорії суб'єктів, які мають повідомляти про це омбудсмена, встановлюються та визначаються останнім.

Уся інформація щодо обробки персональних даних, а також форми та порядку подання повідомлення про обробку персональних даних та їх зміну має оприлюднюватися на офіційному веб-сайті Уповноваженого з прав людини. Порядок такого оприлюднення встановлюється ним же.

Ще один важливий момент — з 01.01.2014 р. перелік персональних даних, які заборонено обробляти (вимагати), поповнився біометричними та генетичними даними.

Суб'єкт персональних даних тепер матиме право знати не лише місцезнаходження власних персональних даних, мету їх обробки, місцезнаходження володільця, але й джерела їх збирання. Знищити персональні дані можуть також за приписом Уповноваженого з прав людини або посадових осіб його секретаріату (нова редакція п. 3 ч. 2 ст. 15 Закону про захист ПД).

Це дещо дивно, адже у Законі головну увагу зосереджено на змінах в обробці даних, про які слід повідомляти, за що встановлено досить сувору відповідальність.

Уже не кажучи про те, що суб'єкт персональних даних повідомляється про склад та зміст зібраних ПД і мету їх збору або в момент збору, якщо персональні дані збираються у суб'єкта ПД, або в інших випадках. I про жодні нагадування щодо джерел збору інформації там не йдеться.

Зареєстровані бази ПД — дії госпсуб'єктів

До речі, постає запитання щодо чинних баз персональних даних. Як відомо, лише нечисленні володільці, які надіслали заяви на державну реєстрацію баз ПД до державної служби з питань захисту ПД, отримали свідоцтва про реєстрацію цих баз. Решта — в очікуванні. I це не кажучи про тих госпсуб'єктів, які скористалися черговими змінами до Закону про захист ПД та надіслали заяви про скасування реєстрації баз персональних даних своїх працівників (Закон України від 20.11.2012 р. №5491-V).

Державна служба із захисту ПД свого часу на своєму сайті розмістила відповідне оголошення, нагадуючи при цьому, що «...ті заяви, які вже перебувають у стадії обробки працівниками ДСЗПД, на сьогодні відкликати неможливо. За результатами їх розгляду володільцю бази персональних даних буде надіслано Свідоцтво про державну реєстрацію відповідної бази персональних даних або лист ДСЗПД про відмову у державній реєстрації бази персональних даних з метою подальшого доопрацювання відповідної заяви володільцем бази персональних даних» (див. http://zpd.gov.ua/dszpd/uk/publish/article/36449).

Але госпсуб'єктів чекає ще один сюрприз — прикінцеві та перехідні положення підписаного Президентом України Закону №383 зобов'язують володільців персональних даних, які станом на 1 січня 2014 року здійснюють обробку персональних даних, що підлягає повідомленню, повідомити про таку обробку омбудсмена до кінця червня 2014 року. Усіх інших це, очевидно, не стосується.

Правда, якщо читати Закон №383, то це стосується не всіх, а лише тих, хто здійснює обробку ПД, яка становить особливий ризик для прав і свобод фізосіб.

Увага!

З 01.01.2014 р. зміни до ПД вносяться володільцями чи розпорядниками у такому порядку:

1) спочатку слід отримати один із таких документів:

— вмотивовану письмову вимогу фізособи;

— відповідне звернення інших суб'єктів відносин, пов'язаних із ПД, якщо на це є згода самої фізособи;

— припис Уповноваженого чи посадової особи його секретаріату (якій надано відповідні повноваження);

— рішення суду, що набрало законної сили (нова редакція ст. 20 Закону про захист ПД);

2) надіслати повідомлення Уповноваженому про внесені зміни до ПД (нова редакція ч. 3 ст. 9 Закону про захист ПД).

Повноваження омбудсмена щодо контролю

Зміни визначають нові (а по суті — старі) повноваження, передані омбудсмену.

По-перше, рішення володільця про відмову у доступі до ПД може бути оскаржено фізособою (суб'єктом персональних даних) не лише до суду, а й до Уповноваженого з прав людини (нова редакція п. 8 ч. 2 ст. 8 Закону про захист ПД).

По-друге, контроль за додержанням законодавства про захист персональних даних у межах повноважень, передбачених законом, здійснюють Уповноважений ВРУ з прав людини та суди.

Омбудсмен зможе контролювати виконання вимог Закону та своїх приписів шляхом проведення виїзних та безвиїзних, планових, позапланових перевірок, надсилання запитів та звернень. Йому передано право складати адмінпротоколи та направляти їх до суду.

Відповідальність — санкції збільшено!

Усі ми пам'ятаємо, що ст. 188-39 КУпАП встановлює значні санкції за порушення законодавства у сфері захисту персональних даних. Порівняймо їх з тими, які передбачені з 01.01.2014 р. (див. таблицю).

Таблиця

Види та розміри штрафних санкцій — порівняння чинних та змінених санкцій

№ з/п
Вид порушення
(чинна редакція)
Вид порушення
(редакція з 01.01.2014 р.)
Чинні санкції
Нові (змінені) санкції
1.
Неповідомлення або несвоєчасне повідомлення суб'єкта персональних даних про його права у зв'язку із включенням його персональних даних до бази персональних даних, мету збору цих даних та осіб, яким ці дані передаються Неповідомлення або несвоєчасне повідомлення Уповноваженого Верховної Ради України з прав людини про обробку персональних даних або про зміну відомостей, які підлягають повідомленню згідно із законом, повідомлення неповних чи недостовірних відомостей
3400 грн — 5100 грн на громадян та посадових осіб. На СПДФО — 5100 грн — 6800 грн
1700 грн — 3400 грн на громадян та посадових осіб. На СПДФО — 3400 грн — 6800 грн
2.
Неповідомлення або несвоєчасне повідомлення спеціально уповноваженого центрального органу виконавчої влади з питань захисту персональних даних про зміну відомостей, що подаються для державної реєстрації бази персональних даних Невиконання законних вимог (приписів) Уповноваженого Верховної Ради України з прав людини або визначених ним посадових осіб секретаріату Уповноваженого Верховної Ради України з прав людини щодо запобігання або усунення порушень законодавства про захист персональних даних
1700 грн — 3400 грн на громадян та посадових осіб. На СПДФО — 3400 грн — 6800 грн
3400 грн — 5100 грн на громадян та посадових осіб. На СПДФО — 5100 грн — 17000 грн
3.
Повторне протягом року вчинення порушення з числа передбачених частинами першою або другою цієї статті, за яке особу вже було піддано адміністративному стягненню Повторне протягом року вчинення порушення з числа передбачених частинами першою або другою цієї статті, за яке особу вже було піддано адміністративному стягненню
5100 грн — 8500 грн на громадян та посадових осіб. На СПДФО — 6800 грн — 11900 грн
5100 грн — 8500 грн на громадян та посадових осіб. На СПДФО — 8500 грн — 34000 грн
4.
Ухилення від державної реєстрації бази персональних даних
5100 грн — 8500 грн на громадян та посадових осіб. На СПДФО — 8500 грн — 17000 грн
5.
Недодержання встановленого законодавством про захист персональних даних порядку захисту персональних даних у базі персональних даних, що призвело до незаконного доступу до них Недодержання встановленого законодавством про захист персональних даних порядку захисту персональних даних, що призвело до незаконного доступу до них або порушення прав суб'єкта персональних даних
5100 грн — 17000 грн
1700 грн — 8500 грн на громадян та посадових осіб. На СПДФО — 5100 грн — 17000 грн
6.
Повторне протягом року вчинення порушення, передбаченого частиною четвертою цієї статті, за яке особу вже було піддано адміністративному стягненню
17000 грн — 34000 грн

Наталія КАНАРЬОВА, «Дебет-Кредит»

До змісту номеру