Защита персональных данных в 2014-м году. Анализ изменений и перспективы развития

14.01.2014, 11:01

Вышла статья адвоката, юриста АО «Глобал Адвокат» (Корпорация «Глобал Консалтинг») Яны Бондаренко на тему «Защита персональных данных в 2014-м году. Анализ изменений и перспективы развития» в аналитическом издании «ЮРИСТ&ЗАКОН», №1 от 09.01.2014

С 1 января 2014 года вступают в силу изменения к Закону Украины «О защите персональных данных», внесенные Законом ВР №383 – VII от 03 июля 2013 года.
Начиная с августа 2013 года Государственная служба по защите персональных данных прекратила выдавать свидетельства о государственной регистрации баз персональных данных. А на главной странице официального сайта (www.zbd.gov.ua) Гос. службы появилось уведомление, которое практически без изменений присутствует там и поныне, о том, что в связи с огромным количеством заявлений на сегодняшний день рассматриваются заявления, поданные в декабре 2011 года. Уведомление завершается уверением Государственной службы о том, что «Факт подачи владельцем персональных данных заявления об их регистрации подтверждает отсутствие с его стороны уклонения от их регистрации, даже если данное заявление еще не рассмотрено».

При этом редакция статей 188-39, 188-40 КУоАП, предусматривающих ответственность за нарушение субъектами хозяйственной деятельности законодательства о защите персональных данных, до конца 2013-го года оставалась неизменной.

Многие предприятия, подавшие заявления о регистрации баз персональных данных в 2011-2012 (и позднее) годах, в сентябре-декабре 2013 года получили уведомления об отказе в регистрации баз персональных данных. Причины отказа, как правило, формальные, а порой даже абсурдные. К примеру, одно из предприятий в октябре 2013 года получило уведомление об отказе в регистрации по той причине, что его заявление, поданное еще в 2011 году, оформлено на бланке старого (т.е. 2011-го года образца), в то время как в 2013-м приказом Минюста от 22.07.2013г. №14656/5 форма бланка была изменена.

Основные изменения к Закону Украины «О защите персональных данных» носят революционный характер.
Во-первых, с 1 января 2014 года Государственная служба Украины по вопросам защиты персональных данных утрачивает свои полномочия.
В-вторых, в новой редакции Закона отсутствует понятие «регистрация баз персональных данных.
В-третьих, с 1-го января 2014 года владельцы баз персональных данных обязаны уведомлять Уполномоченного Верховной Рады по правам человека (Омбудсмена) о такой обработке персональных данных, которая «представляет особенную угрозу для прав и свобод» субъекта персональных данных.
При этом, как принято у нас в Украине, новая редакция не содержит ни определения, ни перечисления видов такой «особенной» обработки данных, ни порядка, ни формы уведомления Омбудсмена.

В соответствии с новой редакцией Закона «О защите персональных данных» (статья 9) с 1 января 2014 года полномочиями по определению перечня видов «обработки персональных данных, представляющей особенную угрозу для прав и свобод субъекта персональных данных», категорий субъектов, на которых распространяется требование об уведомлении, разработке порядка и формы соответствующего уведомления, наделяется Омбудсмен.

Пунктом 5 Заключительных и переходных положений ЗУ №383-VII от 03.07.2013г. «О внесении изменений в некоторые законодательные акты Украины относительно усовершенствования системы защиты персональных данных» Омбудсмену предоставлен срок до конца марта 2014 года для принятия соответствующих нормативных актов, разъясняющих изменения в сфере защиты персональных данных в Украине и регламентирующих порядок исполнения новой редакции Закона «О защите персональных данных».

Статья 23 Закона наделяет Омбудсмена большим кругом полномочий в сфере защиты персональных данных, к которым, среди прочих, относятся:

  • получать и рассматривать обращения, жалобы, предложения от физических и юридических лиц по вопросам защиты персональных данных;
  • проводить на основании обращений или по собственной инициативе выездные, невыездные, плановые, внеплановые проверки владельцев или распорядителей персональных данных, пользуясь при этом правами, предусмотренными Законом Украины «Об Уполномоченном Верховной Рады Украины по правам человека»;
  • затребовать и получать, а также иметь доступ к любой информации (документам) владельцев и распорядителей персональных данных, в том числе иметь доступ к помещениям, где хранится такая информация;
  • выдавать обязательные для исполнения требования (предписания), принятые по результатам проверки или рассмотрения обращения, в том числе по вопросам приостановления или прекращения обработки персональных данных;
  • предоставлять рекомендации относительно практического применения законодательства о защите персональных данных;
  • составлять протоколы о привлечении к административной ответственности и направлять их в суд в порядке Кодекса Украины об административных правонарушениях.

Что же касается административной ответственности в сфере защиты персональных данных, то по большому счету, изменения коснулись диспозитивной части статей 188-39, 188-40 КоАП Украины, в которой один контролирующий орган – Государственная служба Украины по вопросам защиты персональных данных – сменился другим – Уполномоченным Верховной Рады по правам человека.

В размерах штрафных санкций ужесточения не произошло, так за неуведомление Омбудсмена об обработке персональных данных, которая подлежит уведомлению, установлены штрафы в размере от 1700 до 3400 грн. с граждан и от 3400 до 6800 грн. с должностных лиц и предпринимателей.

Невыполнение законных требований Уполномоченного по правам человека в сфере защиты персональных данных влечет за собой наложение штрафа с граждан в размере от 3400 до 6800 грн., а с должностных лиц и предпринимателей – от 6800 до 17000 грн.
В соответствии с 9 статьей ЗУ «О защите персональных данных» Омбудсмен должен быть уведомлен об обработке персональных данных, представляющей особенный риск для прав и свобод человека, в течение 30 рабочих дней со дня начала такой обработки. О каждом изменении таких сведений Уполномоченному необходимо сообщать в течение 10 рабочих дней с момента их наступления.

К другим, менее существенным изменениям Закона, относятся:

  • дополнение перечня персональных данных, обработка которых запрещена законом;
  • изменение сроков уведомления субъекта о сборе его персональных данных.

К перечню запрещенных к обработке персональных данных добавились данные, касающиеся биометрических и генетических данных.
Часть 2 статьи 7 Закона предусматривает перечень случаев, на которые не распространяется запрет на обработку персональных данных из запрещенного к обработке перечня. К таким случаям относятся:

  • однозначное согласие на обработку таких данных субъекта персональных данных;
  • обработка таких данных с целью предоставления правовой помощи;
  • обработка с целью охраны здоровья или установления медицинского диагноза;
  • приговор суда, исполнение заданий оперативно-розыскной деятельности.

Срок уведомления о сборе персональных данных для случаев, когда такой сбор осуществляется не непосредственно у субъекта персональных данных (в этом случае субъект, как и прежде, уведомляется и дает согласие на обработку в момент сбора персональных данных) увеличен новой редакцией Закона (ч.2 ст. 12) до 30 рабочих дней, в то время как старой редакцией был установлен срок в 10 рабочих дней.

Какой же список «видов обработки персональных сведений, представляющих особенную угрозу для прав и свобод», может предоставить Омбудсмен в марте 2014 года?

Если проанализировать соответствующее законодательство стран Европейского союза (Европейская Конвенция 1981 года «О защите лиц в связи с автоматизированной обработкой персональных данных», Директива Европейского Парламента и Совета Европейского Союза 95/46/ЕС 1995 года, а также внутреннее законодательство стран ЕС) или Российской Федерации, в которой федеральный закон «О персональных данных» был принят в 2006 году, можно предположить, что данный список будет относиться к автоматизированной обработке и обработке для передачи данных по телекоммуникационным каналам и компьютерным сетям.

О несоответствии предыдущих редакций ЗУ «О защите персональных данных» Конвенции 1981 года и Директиве ЕС 1995 года отмечалось Уполномоченным по правам человека в Украине Валерией Лутковской в своем обращении к Президенту Украины от 05 октября 2012 года.

Редакция Закона, вступающая в силу в 2014 году, приближает нас к высоким европейским стандартам в сфере защиты права гражданина на приватность его личной жизни.

Остается надеяться, что и в дальнейшем украинское законодательство в сфере защиты персональных данных будет развиваться именно в направлении защиты частной жизни личности, то есть следовать той цели, ради которой, собственно, и возник институт защиты персональных данных в цивилизованном мире, а «третирование» предпринимателей и юридических лиц обязательствами регистрировать базы данных о контрагентах и сотрудниках, перспективой проверок и штрафов, навсегда останется в прошлом.

Яна Бондаренко,
адвокат АО «Глобал Адвокат»
(Аудиторско-консалтинговая Корпорация «Глобал Консалтинг»)

Посмотреть в pdf