Захист персональних даних в 2014-му році. Аналіз змін і перспективи розвитку

14.01.2014, 11:01

Вийшла стаття адвоката , юриста АТ «Глобал Адвокат» (Корпорація «Глобал Консалтинг» ) Яни Бондаренко на тему «Захист персональних даних в 2014 -му році. Аналіз змін та перспективи розвитку» в аналітичному виданні «ЮРИСТ & ЗАКОН», № 1 від 09.01.2014

З 1 січня 2014 року набувають чинності зміни до Закону України «Про захист персональних даних» , внесені Законом ВР № 383 – VII від 03 липня 2013 року.

Починаючи з серпня 2013 Державна служба з захисту персональних даних припинила видавати свідоцтва про державну реєстрацію баз персональних даних. А на головній сторінці офіційного сайту ( www.zbd.gov.ua ) Держ. служби з’явилося повідомлення, яке практично без змін присутній там і понині, про те, що у зв’язку з величезною кількістю заяв на сьогоднішній день розглядаються заяви, подані в грудні 2011 року. Повідомлення завершується запевненням Державної служби про те, що «Факт подачі власником персональних даних заяви про їх реєстрацію підтверджує відсутність з його боку ухилення від їх реєстрації, навіть якщо дана заява ще не розглянута».

При цьому редакція статей 188-39, 188-40 КУпАП, які передбачають відповідальність за порушення суб’єктами господарської діяльності законодавства про захист персональних даних, до кінця 2013 -го року залишалася незмінною.

Багато підприємств, які подали заяви про реєстрацію баз персональних даних в 2011-2012 (і пізніше ) роках, у вересні-грудні 2013 отримали повідомлення про відмову в реєстрації баз персональних даних. Причини відмови, як правило, формальні, а часом навіть абсурдні. Приміром, одне з підприємств у жовтні 2013 року отримало повідомлення про відмову в реєстрації з тієї причини, що його заява, подана ще в 2011 році, оформлено на бланку старого (тобто 2011 -го року зразка), в той час як в 2013-м наказом Мін’юсту від 22.07.2013г. № 14656/5 форма бланка була змінена.

Основні зміни до Закону України «Про захист персональних даних» носять революційний характер.
По-перше, з 1 січня 2014 року Державна служба України з питань захисту персональних даних втрачає свої повноваження.
По-друге, в новій редакції Закону відсутнє поняття «реєстрація баз персональних даних.
По-третє, з 1-го січня 2014 власники баз персональних даних зобов’язані повідомляти Уповноваженого Верховної Ради з прав людини (Омбудсмена) про такій обробці персональних даних, яка «представляє особливу загрозу для прав і свобод» суб’єкта персональних даних.

При цьому, як прийнято у нас в Україні, нова редакція не містить ні визначення, ні перерахування видів такої «особливої» обробки даних ні порядку, ні форми повідомлення Омбудсмена.

Відповідно до нової редакції Закону «Про захист персональних даних» (стаття 9) з 1 січня 2014 року повноважень з визначення переліку видів «обробки персональних даних, що представляє особливу загрозу для прав і свобод суб’єкта персональних даних», категорій суб’єктів, на яких поширюється вимога про повідомлення, розробці порядку і форми відповідного повідомлення, наділяється Омбудсмен.

Пунктом 5 Прикінцевих та перехідних положень ЗУ № 383 -VII від 03.07.2013г . «Про внесення змін до деяких законодавчих актів України щодо удосконалення системи захисту персональних даних» Омбудсмена надано строк до кінця березня 2014 для прийняття відповідних нормативних актів, що роз’яснюють зміни у сфері захисту персональних даних в Україні і регламентуючих порядок виконання нової редакції Закону «Про захист персональних даних».

Стаття 23 Закону наділяє Омбудсмена великим колом повноважень у сфері захисту персональних даних , до яких , серед інших , належать:

  • отримувати і розглядати звернення, скарги , пропозиції від фізичних та юридичних осіб з питань захисту персональних даних;
  • проводити на підставі звернень або за власною ініціативою виїзні, невиїзні, планові, позапланові перевірки власників або розпорядників персональних даних, користуючись при цьому правами, передбаченими Законом України «Про Уповноваженого Верховної Ради України з прав людини»;
  • зажадати і отримувати, а також мати доступ до будь-якої інформації (документам) власників і розпорядників персональних даних, у тому числі мати доступ до приміщень, де зберігається така інформація;
  • видавати обов’язкові для виконання вимоги (приписи) , прийняті за результатами перевірки або розгляду звернення, у тому числі з питань призупинення або припинення обробки персональних даних;
  • надавати рекомендації щодо практичного застосування законодавства про захист персональних даних;
  • складати протоколи про притягнення до адміністративної відповідальності і направляти їх до суду в порядку Кодексу України про адміністративні правопорушення.

Що ж до адміністративної відповідальності у сфері захисту персональних даних, то за великим рахунком, зміни торкнулися диспозитивної частини статей 188-39, 188-40 КпАП України, в якій один контролюючий орган – Державна служба України з питань захисту персональних даних – змінився іншим – Уповноваженим Верховної Ради з прав людини.

У розмірах штрафних санкцій посилювання не відбулося, так за неповідомлення Омбудсмена про обробку персональних даних, яка підлягає повідомленню, встановлені штрафи в розмірі від 1700 до 3400 грн. з громадян та від 3400 до 6800 грн. з посадових осіб та підприємців.

Невиконання законних вимог Уповноваженого з прав людини у сфері захисту персональних даних тягне за собою накладення штрафу з громадян у розмірі від 3400 до 6800 грн., А з посадових осіб і підприємців – від 6800 до 17000 грн.

Відповідно до 9 статтею ЗУ «Про захист персональних даних» Омбудсмен має бути повідомлений про обробку персональних даних , що представляє особливий ризик для прав і свобод людини , протягом 30 робочих днів з дня початку такої обробки. Про кожну зміну таких відомостей Уповноваженому необхідно повідомляти протягом 10 робочих днів з моменту їх настання.

До інших, менш суттєвих змін Закону, належать:

  • доповнення переліку персональних даних , обробка яких заборонена законом;
  • зміна термінів повідомлення суб’єкта про збір її персональних даних.

До переліку заборонених до обробки персональних даних додалися дані, що стосуються біометричних і генетичних даних.
Частина 2 статті 7 Закону передбачає перелік випадків , на які не поширюється заборона на обробку персональних даних із забороненого до обробки переліку. До таких випадків відносяться:

  • однозначну згоду на обробку таких даних суб’єкта персональних даних;
  • обробка таких даних з метою надання правової допомоги;
  • обробка з метою охорони здоров’я або встановлення медичного діагнозу ;
  • вирок суду, виконання завдань оперативно -розшукової діяльності.

Термін повідомлення про збір персональних даних для випадків, коли такий збір здійснюється не безпосередньо у суб’єкта персональних даних (у цьому випадку суб’єкт, як і колись, повідомляється і дає згоду на обробку в момент збору персональних даних) збільшено новою редакцією Закону (ч.2 ст . 12) до 30 робочих днів, в той час як старою редакцією було встановлено термін в 10 робочих днів.

Який же список «видів обробки персональних відомостей, що становлять особливу загрозу для прав і свобод», може надати Омбудсмен в березні 2014?

Якщо проаналізувати відповідне законодавство країн Європейського союзу (Європейська Конвенція 1981 року «Про захист осіб у зв’язку з автоматизованою обробкою персональних даних», Директива Європейського Парламенту та Ради Європейського Союзу 95/46/ЄС 1995 року, а також внутрішнє законодавство країн ЄС) або Російської Федерації, в якій федеральний закон «Про персональних даних» був прийнятий в 2006 році, можна припустити, що даний список буде ставитися до автоматизованої обробки і обробці для передачі даних по телекомунікаційних каналах і комп’ютерних мережах.

Про невідповідність попередніх редакцій ЗУ «Про захист персональних даних» Конвенції 1981 і Директиві ЄС 1995 зазначалося Уповноваженим з прав людини в Україні Валерією Лутковською у своєму зверненні до Президента України вiд 05 жовтня 2012 року.

Редакція Закону, яка набирає чинності у 2014 році, наближає нас до високих європейських стандартів у сфері захисту права громадянина на приватність його особистого життя.

Залишається сподіватися, що і надалі українське законодавство у сфері захисту персональних даних буде розвиватися саме в напрямку захисту приватного життя особистості, тобто слідувати тієї мети, заради якої, власне, і виник інститут захисту персональних даних в цивілізованому світі, а «третирування» підприємців та юридичних осіб зобов’язаннями реєструвати бази даних про контрагентів і співробітників, перспективою перевірок та штрафів, назавжди залишиться в минулому.

Яна Бондаренко,
адвокат АТ «Глобал Адвокат»
(Аудиторсько-консалтингова Корпорація «Глобал Консалтинг»)

Подивитися в pdf