Теми статей
Обрати теми

Персональні дані з 2014 року: замість реєстрації — повідомлення, замість ДСЗПД — омбудсмен

Редакція ПБО
Стаття

Персональні дані з 2014 року: замість реєстрації — повідомлення, замість ДСЗПД — омбудсмен

 

Середина літа в цьому році виявилася багатою не лише на опади, а й на законодавчі новації, у тому числі у сфері захисту персональних даних — їх унесено Законом України «Про внесення змін до деяких законодавчих актів України щодо удосконалення системи захисту персональних даних» від 03.07.2013 р. № 383-VII (див. на с. 5). У цій статті розглянемо найбільш помітні зміни, проте відразу зауважимо, що вони наберуть чинності лише з 01.01.2014 р.

Віталій СМЕРДОВ, економіст-аналітик Видавничого будинку «Фактор»

 

Документи статті

КУпАП — Кодекс України про адміністративні правопорушення від 07.12.84 р. № 8073-X.

Закон № 2297 — Закон України «Про захист персональних даних» від 01.06.2010 р. № 2297-VI.

Закон № 383 — Закон України «Про внесення змін до деяких законодавчих актів України щодо удосконалення системи захисту персональних даних» від 03.07.2013 р. № 383-VII.

 

Хто контролюватиме дотримання Закону № 2297?

З 01.01.2014 р. повноваження з контролю законодавства у сфері персональних даних від Держслужби з питань захисту персональних даних (далі — ДСЗПД) буде передано Уповноваженому ВРУ з прав людини (далі — Уповноважений). До його компетенції буде віднесено, зокрема: (1) здійснення перевірок (на підставі заяв/з власної ініціативи, виїзних/невиїзних, планових/позапланових) володільців та розпорядників персональних даних із забезпеченням доступу до приміщень, у яких провадиться обробка персональних даних (порядок їх проведення повинен затвердити Уповноважений); (2) складання протоколів про адміністративні правопорушення та їх направлення до суду (див. про це далі); (3) отримання на вимогу та наявність доступу до будь-якої інформації (документів) володільців або розпорядників персональних даних, необхідної для здійснення контролю за забезпеченням захисту персональних даних (при цьому жодного порядку витребування та/або надання подібних відомостей зміни до Закону № 2297 не передбачають, що, у свою чергу, може «розв’язати руки» чиновникам); (4) затвердження нормативно-правових актів у сфері захисту персональних даних (до речі, Уповноважений буде зобов’язаний затвердити відповідні підзаконні акти із січня по березень 2014 року включно).

Також зазначимо, що згідно зі ст. 22 Закону № 2297 з 01.01.2014 р. до контролюючих органів належатимуть і суди, що, звісно, некоректно. Головна та виключна функція судів — здійснення правосуддя, у тому числі при розгляді справ на підставі протоколів про адміністративні правопорушення, складених Уповноваженим при виявленні порушень у сфері захисту персональних даних. У свою чергу, контроль за дотриманням законодавства вони не здійснюють (тим більше, що зміни до Закону № 2297 не передбачають жодного механізму подібного контролю).

Що стосується ДСЗПД, то посилання на неї із Закону № 2297 буде вилучено. Єдина вказівка на це відомство збережеться в ч. 10 ст. 6 Закону № 2297 (щодо затвердження Типового порядку обробки персональних даних), проте тут, ми вважаємо, має місце радше недоробка, ніж навмисний акт законодавця.

 

Сфера дії Закону № 2297

У цьому питанні, незважаючи на вилучення зі ст. 1 Закону № 2297 окремих положень (їх перенесуть до ст. 25), нічого не зміниться. Як і сьогодні, його вимоги не зачіпатимуть обробку персональних даних:

1) фізособами виключно для особистих або побутових потреб;

2) виключно для журналістських та творчих цілей — за умови забезпечення балансу між правом на невтручання в особисте життя та правом на свободу самовираження.

 

Обробка персональних даних

Як і сьогодні, персональні дані мають оброблятися (зокрема, збиратися, накопичуватися, зберігатися тощо) для конкретних та законних цілей, визначених за згодою суб’єкта персональних даних (тобто особи, чиї персональні дані обробляються), або у визначених законами випадках. У зв’язку з цим необхідно зробити декілька зауважень:

1) із Закону № 2297 буде вилучено визначення того, що вважати згодою на обробку персональних даних. Як результат із зазначеної дати може виникнути невизначеність у формі отримання такої згоди. При цьому навряд чи подібне вилучення свідчить про те, що отримувати відповідну згоду не доведеться, тим більше, що в інших нормах Закону № 2297 посилання на необхідність її отримання збережуться (наприклад, у п. 1 ч. 1 ст. 11). Нагадаємо: на сьогодні згода на обробку персональних даних може бути виражена у письмовій формі або ж у формі, що надає можливість зробити висновок про її надання (наприклад, за допомогою проставляння відповідних відміток на веб-сайті);

2) до числа підстав для обробки персональних даних, крім передбачених на сьогодні (ст. 11 Закону № 2297), буде включено і необхідність виконання обов’язку володільця персональних даних, передбаченого законом. Слід зауважити, що таке формулювання повинне однозначно зняти питання щодо необхідності отримання згоди від працівників на обробку їх персональних даних — хоча, на наш погляд, для цього досить і вказівки в п. 2 ч. 1 ст. 11 Закону № 2297, тим більше, що з таким підходом на сьогодні погоджуються і контролери.

 

Скасування реєстрації баз персональних даних

З набранням чинності Законом № 383 реєстрацію буде скасовано, при цьому їй на зміну прийде повідомлення Уповноваженого про обробку персональних даних. У зв’язку з цим зазначимо, що таке повідомлення має надсилатися володільцем бази персональних даних:

1) лише в разі обробки персональних даних, що становить особливий ризик для прав і свобод суб’єктів персональних даних. Види обробки, здійснення якої потребує повідомлення, а також категорії суб’єктів господарювання, зобов’язаних здійснювати повідомлення, повинен буде затвердити Уповноважений;

2) надсилатись протягом 30 робочих днів із дня початку відповідної обробки;

3) за формою та в порядку, що встановлені Уповноваженим. При цьому її принциповою відмінністю є відсутність необхідності отримання документального підтвердження прийняття відповідної заяви. Отже, судячи з усього, законодавець урахував сумну практику реєстрації баз персональних даних (через те, що ДСЗПД не справлялася з обробкою потоку заяв, реєструвалися вони, як правило, із затримками). Інформація, надана Уповноваженому, має публікуватися на його сайті — наразі не зовсім зрозуміло, як саме це буде реалізовано, а тому залишається чекати прийняття відповідного порядку.

 

Захист персональних даних

Персональні дані підлягають захисту — від випадкової втрати чи знищення, незаконної обробки, у тому числі незаконного знищення або доступу до них. Із цією метою володільці та розпорядники персональних даних повинні створити (визначити) структурний підрозділ або відповідальну особу, що організує роботу у сфері захисту персональних даних (відомості про неї доведеться направити Уповноваженому). При цьому, на відміну від вимог Закону № 2297 у чинній редакції, подібний обов’язок поширюватиметься лише на осіб, які здійснюють обробку персональних даних, що підлягає повідомленню (див. вище). Виникає закономірне запитання: чи потрібно буде з 01.01.2014 р. здійснювати захист персональних даних, при обробці яких повідомлення Уповноваженого не потрібне? Воно зумовлене тим, що з формальної точки зору суб’єкту, який стикатиметься лише з такими персональними даними, не потрібно буде створювати (визначати) для цієї мети спеціальний структурний підрозділ/відповідальну особу (у свою чергу, покладати подібний обов’язок на інших працівників підстав також немає). Залишається сподіватися, що відповідь на нього буде надано чиновниками до набуття чинності відповідними змінами.

 

Відповідальність

Зміни було внесено не лише до Закону № 2297, а й до КУпАП. У межах останнього на увагу заслуговує викладення в новій редакції ст. 18839 КУпАП, якою буде передбачена відповідальність (як для громадян, так і для посадових осіб та підприємців), зокрема, за:

1) неповідомлення або несвоєчасне повідомлення Уповноваженого про обробку персональних даних або про зміну відомостей, що підлягають повідомленню (див. вище, у тому числі про строки для повідомлення), повідомлення неповних або недостовірних відомостей;

2) невиконання законних вимог (приписів) Уповноваженого або визначених ним посадових осіб секретаріату Уповноваженого щодо запобігання або усунення порушень законодавства про захист персональних даних (до речі, зверніть увагу, що цим порушенням не охоплюється невиконання відповідних вимог про надання інформації — за таке порушення штрафуватимуть за ст. 18840 КУпАП, до якої також вносяться відповідні зміни).

Із повним переліком змін у частині відповідальності ви можете ознайомитися в тексті Закону № 383. Ми ж зауважимо, що, крім іншого, зі ст. 18839 КУпАП вилучили відповідальність за неповідомлення або несвоєчасне повідомлення суб’єкта персональних даних про обробку його персональних даних (хоча обов’язок з такого повідомлення із Закону № 2297 не вилучено). Крім того, на увагу заслуговує вказівка на можливість накладення штрафів не тільки на посадових осіб та підприємців, а й на громадян (наразі не зовсім зрозуміло, у яких випадках її може бути застосовано, проте, вважаємо, ітися може про журналістів та інших осіб, які збирають персональні дані у професійних та інших цілях). У разі виявлення відповідного порушення Уповноважений або посадова особа секретаріату складе протокол про адміністративне правопорушення, але безпосереднє накладення штрафу, як і сьогодні, здійснюватиметься за рішенням суду (ст. 221 КУпАП).

 

Перехідні питання

Тут ми розглянемо декілька запитань, що виникнуть на межі 2013–2014 рр.:

1) бази персональних даних зареєстровано до 01.01.2014 р. Чи потрібно буде вчиняти якісь дії із зазначеної дати? Усе залежить від того, чи підпадатиме обробка таких персональних даних під категорію особливого ризику (див. вище). Якщо так, то володільцю персональних даних доведеться направити Уповноваженому повідомлення до червня 2014 року включно (цей 6-місячний строк прописано в п. 2 розд. II Закону № 383). В іншому разі направляти повідомлення не потрібно. Аналогічним чином повинні будуть діяти володільці персональних даних, які не зареєстрували бази персональних даних до 01.01.2014 р. (зокрема, за наявності персональних даних, але за відсутності відповідних баз, а також у разі неотримання відповідного документа про реєстрацію бази персональних даних);

2) бази персональних даних утворюються до 01.01.2014 р. Чи потрібно їх реєструвати? Так, незважаючи на те, що вимога про таку реєстрацію з 01.01.2014 р. скасовується, наразі подібний обов’язок усе ще зберігається, а тому його недотримання розцінюватиметься як порушення законодавства (інша річ, що в разі його виявлення з 01.01.2014 р. відповідальність порушнику не загрожує);

3) чи зможе Уповноважений накладати штрафи за порушення, допущені до 01.01.2014 р.? У загальному випадку — ні (як мінімум тому, що Уповноважений зможе накладати штрафи лише згідно з чинними з 01.01.2014 р. ст. 18839і 18840 КУпАП). Винятком із цього правила є недотримання порядку захисту персональних даних, що призвело до незаконного доступу до них або порушення прав суб’єкта персональних даних, — у такому разі, якщо незаконний доступ або порушення прав відбудеться з 01.01.2014 р., в Уповноваженого будуть усі підстави для накладення відповідного штрафу.

App
Завантажуйте наш мобільний додаток Factor

© Factor.Media, 1995 -
Всі права захищені

Використання матеріалів без узгодження з редакцією заборонено

Ознайомитись з договором-офертою

Приєднуйтесь
Адреса
м. Харків, 61002, вул. Сумська, 106а
Ми приймаємо
ic-privat ic-visa ic-visa

Ми використовуємо cookie-файли, щоб зробити сайт максимально зручним для вас та аналізувати використання наших продуктів та послуг, щоб збільшити якість рекламних та маркетингових активностей. Дізнатися більше про те, як ми використовуємо ці файли можна тут.

Дякуємо, що читаєте нас Увійдіть і читайте далі