У зв’язку з посиленням заходів щодо захисту даних, які ідентифікують особу, з 1 липня 2012 року українським законодавством передбачається відповідальність за недотримання вимог Закону щодо поводження з персональними даними. В даній статті проаналізуємо положення Закону «Про захист персональних даних» від 01.06.2010 р. (далі — Закон № 2297-VI) та окремі положення Закону «Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних» від 02.06.2011 р. (далі — Закон № 3454-VI). Отже, що варто пам’ятати посадовим особам та фізичним особам — підприємцям, аби запобігти адміністративній відповідальності у сфері порушення законодавства про персональні дані за ст. 188-39 КУпАП?
Згідно ст. 188-39 Кодексу про адміністративні правопорушення, яка вступить у дію незабаром, 1 липня 2012 року, неповідомлення або несвоєчасне повідомлення суб’єкта персональних даних про його права у зв’язку із включенням його персональних даних до бази персональних даних, мету збору цих даних та осіб, яким ці дані передаються, є правопорушенням законодавства із захисту персональних даних. Таким чином, суб’єктом даного правопорушення виступатиме володілець бази персональних даних, тобто фізична або юридична особа, якій законом або за згодою суб’єкта персональних даних надано право на обробку цих даних, яка затверджує мету обробки персональних даних у цій базі даних, встановлює склад цих даних та процедури їх обробки. Сума штрафу за це правопорушення може складати від 200 до 400 неоподатковуваних мінімумів доходів громадян, що у грошовому еквіваленті варіюється між 3400 та 6800 гривень.
Отримання згоди від суб’єкта персональних даних вимагає детального дотримання вимог закону щодо отримання такої згоди, зокрема, зазначення мети збору даних, повідомлення про розпорядника бази даних та повідомлення про права суб’єкта персональних даних
Відповідно, отримання згоди від суб’єкта персональних даних вимагає детального дотримання вимог закону щодо отримання такої згоди, зокрема, зазначення мети збору даних, повідомлення про розпорядника бази даних та повідомлення про права суб’єкта персональних даних. Для цього володільцям персональних даних рекомендується розробити відповідні внутрішні документи, які відповідатимуть усім деталям, що вимагаються Законом № 2297-VI, та належним чином отримати згоду суб’єктів персональних даних (працівників, клієнтів) на їх обробку.
Законом № 2297-VI встановлено обов’язок володільця бази персональних даних повідомляти уповноважений державний орган з питань захисту персональних даних про кожну зміну відомостей, необхідних для реєстрації відповідної бази, не пізніш як протягом десяти робочих днів з дня настання такої зміни. Неповідомлення або несвоєчасне повідомлення спеціально уповноваженого центрального органу виконавчої влади з питань захисту персональних даних про зміну відомостей, що подаються для державної реєстрації бази персональних даних, тягне за собою адміністративну відповідальність у вигляді штрафу у розмірі від 100 до 400 неоподатковуваних мінімумів доходів громадян, тобто від 1700 до 6800 гривень. При повторному вчиненні вказаних правопорушень сума штрафу може досягати 11900 гривень. На наш погляд, кожному володільцю баз персональних даних слід мати пам’ятку або затвердити внутрішнє положення, яким будуть регулюватися питання реєстрації баз даних, внесення відповідних реєстраційних змін, а також призначити особу, яка буде виконувати функції, пов’язані з виконанням обов’язків володільцем персональних даних.
Саме десятиденний термін надається уповноваженому органу з питань захисту персональних даних для прийняття рішення про реєстрацію бази персональних даних
Ухилення від державної реєстрації бази персональних даних передбачає адміністративне стягнення у вигляді штрафу до 1000 неоподатковуваних мінімумів доходів громадян, тобто до 17000 гривень. Оскільки через надходження великої кількості заявок на реєстрацію баз персональних даних Державна служба з питань захисту персональних даних не встигає вчасно проводити реєстрацію, постає запитання: чи підлягатимуть відповідальності за ч. 4 ст. 18839 КУпАП володільці баз персональних даних, які подали заяви на реєстрацію, але через неможливість дотримання термінів розгляду заяви не були зареєстровані? На наш погляд, дане питання все ж має вирішуватися на користь володільців баз персональних даних, оскільки зі своєї сторони вони вчинили всі дії, необхідні для реєстрації бази персональних даних, якщо при цьому заяву було подано за 10 днів до набрання чинності Законом № 3454-VI. Саме десятиденний термін надається уповноваженому органу з питань захисту персональних даних для прийняття рішення про реєстрацію бази персональних даних.
Недодержання встановленого законодавством про захист персональних даних порядку захисту персональних даних у базі персональних даних, що призвело до незаконного доступу до них, також є адміністративним правопорушенням за ст. 18839 КУпАП. Законом № 2297-VI передбачено обов’язок володільця бази даних забезпечити захист персональних даних у базі персональних даних. Для органів державної влади та органів місцевого самоврядування, організацій, установ та підприємств усіх форм власності визначається структурний підрозділ або відповідальна особа, яка організовує роботу, пов’язану із захистом персональних даних при їх обробці (ч. 5 ст. 24 Закону № 2297-VI).
Отже, визначення такого структурного підрозділу чи призначення посадової особи може розглядатися елементом процедури захисту персональних даних. На нашу думку, невизначення такого підрозділу може бути підставою до притягнення керівника юридичної особи до адміністративної відповідальності за п. 5 ст. 18839 КУпАП. Не відомо, яким чином піде практика застосування вказаних норм Закону, але ми вважаємо, що призначення особи, відповідальної за організацію роботи, пов’язаної із захистом персональних даних при їх обробці, може зменшити ризик застосування передбачених законом санкцій (до 17000 гривень).
ВИСНОВОК:
Таким чином, ст. 18839 КУпАП з 1 липня 2012 року передбачатиме адміністративну відповідальність за порушення законодавства про захист персональних даних. Дані порушення полягають у практичних моментах повсякденної діяльності осіб, які визнаються володільцями баз персональних даних відповідно до Закону, і їх можна уникнути, дотримуючись простих вимог Закону № 2297-VI та доклавши зусилля на приведення володільцями баз персональних даних відповідно до вимог законодавства.
Щотижневик «ЮРИСТ & ЗАКОН» от 26.06.2012, № 36, Олена Плешань, молодший юрист МЮФ Noerr Київ
