Система захисту персональних даних: нові штрафи та Омбудсмен — новий контролюючий орган

(коментар до Закону України «Про внесення змін до деяких законодавчих актів України щодо удосконалення системи захисту персональних даних» від 03.07.2013 р. № 383-VII (далі – Закон № 383))

Хоча сам Закон України «Про захист персональних даних» від 01.06.2010 р. № 2297-VI (далі —Закон про захист персональних даних) діє лише з 2011 року, це вже друга кардинальна зміна законодавства в цій сфері.

Ви, напевно, пам’ятаєте, що наприкінці минулого року набув чинності Закон «Про внесення змін до Закону України «Про захист персональних даних» від 20.11.2012 р. № 5491-VI, який суттєво вплинув на порядок збирання й обробки персональних даних. Щоправда, наразі підставою для змін є досить раціональний фактор — забезпечення принципу незалежності органу, який здійснює державний нагляд і контроль за дотриманням вимог законодавства у сфері захисту персональних даних, — тому сподіватимемося, що Закон № 383 досягне своєї мети, а Закон про захист персональних даних залишиться в останній редакції принаймні на декілька років.

Отже, найголовнішим нововведенням Закону № 383 є визначення Уповноваженого Верховної Ради України з прав людини (далі — Уповноважений ВРУ з прав людини чи Омбудсмен) уповноваженим органом у сфері захисту персональних даних. Унаслідок цього система реєстрації баз персональних даних у Державній службі з питань захисту персональних даних (далі — ДСЗПД) ліквідується — натомість буде необхідно повідомляти про обробку персональних даних Омбудсмена.

Так, згідно зі ст. 9 Закону про захист персональних даних у новій редакції, власник персональних даних повинен повідомити Уповноваженого ВРУ з прав людини про обробку персональних даних, що представляє особливий ризик для прав і свобод суб’єктів персональних даних, протягом тридцяти робочих днів із дня початку такої обробки (види обробки персональних даних, що представляють особливий ризик для прав і свобод суб’єктів персональних даних, категорії суб’єктів, на яких поширюється вимога про повідомлення, форма та порядок повідомлення будуть визначатися Уповноваженим ВРУ з прав людини). Також власник персональних даних буде зобов’язаний повідомляти Омбудсмена про кожну зміну відомостей, що підлягають повідомленню, протягом десяти робочих днів із дня настання такої зміни. Така інформація підлягатиме оприлюдненню на офіційному веб-сайті Уповноваженого ВРУ з прав людини.

До речі, у Законі № 383 наведено нові формулювання низки термінів:

...
  • володілець персональних даних — фізична особа, яка визначає мету обробки персональних даних, установлює склад цих даних і процедури їх обробки, якщо інше не визначено законом;
  • суб’єкт персональних даних — фізична особа, персональні дані якої обробляються;
  • третя особа — будь-яка особа, за винятком суб’єкта персональних даних, володільця чи розпорядника персональних даних та Уповноваженого Верховної Ради України з прав людини, якій володільцем або розпорядником персональних даних здійснюється передача персональних даних.

Удосконалено й перелік прав суб’єкта персональних даних і пов’язаних із ними обов’язків володільця. Зокрема до переліку даних, обробка яких забороняється, додано біометричні та генетичні дані.

Також значно звужено коло державних органів, які здійснюватимуть контроль за додержанням законодавства про захист персональних даних: якщо відповідно до ст. 22 Закону про захист персональних даних таке право поки що мають ДСЗПД й «інші органи державної влади» (тобто практично будь-який державний орган), то, ураховуючи зміни, унесені Законом № 383, згідно з останньою редакцією згаданої правової норми право контролю в цій сфері матимуть лише Уповноважений ВРУ з прав людини та суди.

У зв’язку із цим, положення ст. 23 Закону про захист персональних даних у новій редакції надають Омбудсменові, зокрема, такі повноваження:

  • одержувати пропозиції, скарги й інші звернення фізичних і юридичних осіб із питань захисту персональних даних і приймати рішення за результатами їх розгляду;
  • проводити планові та позапланові, виїзні й безвиїзні перевірки володільців або розпорядників персональних даних;
  • отримувати на свою вимогу та мати доступ до будь-якої інформації (документів) володільців або розпорядників персональних даних, які необхідні для здійснення контролю за забезпеченням захисту персональних даних, у тому числі доступ до персональних даних, відповідних баз даних або картотек, інформації з обмеженим доступом;
  • за підсумками перевірки чи розгляду звернення видавати обов’язкові для виконання вимоги (приписи) про запобігання або усунення порушень законодавства про захист персональних даних, у тому числі щодо зміни, видалення або знищення персональних даних, забезпечення доступу до них, надання чи заборони їх надання третій особі, зупинення або припинення обробки персональних даних;
  • надавати рекомендації щодо практичного застосування законодавства про захист персональних даних;
  • звертатися з пропозиціями до Верховної Ради України, Президента України, Кабінету Міністрів України, інших державних органів, органів місцевого самоврядування, їх посадових осіб щодо прийняття або внесення змін до нормативно-правових актів із питань захисту персональних даних.

Щодо змін, які стосуються адміністративної відповідальності, то в ст. 255 Кодексу України про адміністративні правопорушення (далі — КУпАП) з’явиться норма, відповідно до якої протоколи за порушення законодавства у сфері захисту персональних даних замість ДСЗПД складатимуть представники секретаріату Уповноваженого ВРУ з прав людини та передаватимуть їх на розгляд до суду. Окрім цього, викладено в новій редакції ст. 18839 КУпАП, якою встановлено адміністративну відповідальність за порушення законодавства у сфері захисту персональних даних: не лише замість органів ДСЗПД зазначено Уповноваженого ВРУ з прав людини, а й частково змінено й підстави відповідальності, і розміри штрафів (переважно — у бік збільшення). Наразі, відповідно до Закону № 383, у ст. 18839 КУпАП передбачено зокрема такі санкції за порушення зобов’язань стосовно повідомлення та реагування на приписи Омбудсмена чи порушення порядку обробки персональних даних:

  • неповідомлення чи несвоєчасне повідомлення Уповноваженого ВРУ з прав людини про обробку персональних даних або про зміну відомостей, які підлягають повідомленню згідно із законом, повідомлення неповних або недостовірних відомостей— штраф від 100 до 200 НМДГ для громадян, від 200 до 400 НМДГ—— для посадових осіб і громадян — суб’єктів підприємницької діяльності;
  • невиконання законних вимог (приписів) Уповноваженого ВРУ з прав людини чи визначених ним посадових осіб секретаріату Уповноваженого ВРУ з прав людини щодо запобігання або усунення порушень законодавства про захист персональних даних — штраф від 200 до 300 НМДГ для громадян, від 300 до 1000 НМДГ — для посадових осіб і громадян — суб’єктів підприємницької діяльності;
  • недодержання встановленого законодавством про захист персональних даних порядку захисту персональних даних, що призвело до незаконного доступу до них або порушення прав суб’єкта персональних даних, — штраф від 100 до 500 НМДГ для громадян, від 300 до 1000 НМДГ — для посадових осіб і громадян — суб’єктів підприємницької діяльності.

Як бачимо, у теорії прийняття Закону № 383 має-таки сприяти вдосконаленню системи захисту персональних даних, що буде на практиці — незабаром побачимо: Закон № 383 і, відповідно, унесені ним зміни до законодавства наберуть чинності з 1 січня 2014 року.

Однак вже вкотре хочеться звернути увагу наших парламентарів на необхідність ретельного вивчення законодавчих актів, які ними приймаються. Наприклад, аж ніяк не зрозуміло, що спонукало їх вилучити зі ст. 2 Закону про захист персональних даних абзац п’ятий (тобто визначення «згоди суб’єкта персональних даних»): єдине, що можна припустити, — це банальна помилка в номері абзацу, який вони мали намір видалити, бо вилучення абзацу четвертого (визначення терміну «Державний реєстр баз персональних даних») було б цілком логічним. Проте якщо серед депутатів не знайшлося жодного, котрий звернув би увагу на згаданий вище недолік, то мимоволі закрадається думка — наскільки ґрунтовно був опрацьований ними згаданий нормативний акт за його правовим змістом і чи не стане «остання» кардинальна зміна законодавства у сфері захисту персональних даних лише «черговою».

Анжеліка ДОМБРУГОВА,

юрист

Залишити відповідь

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *