У зв'язку з посиленням заходів щодо захисту даних, які ідентифікують особу, з 1 липня 2012 року українським законодавством передбачається відповідальність за недотримання вимог Закону щодо поводження з персональними даними. У даній статті проаналізуємо положення Закону "Про захист персональних даних" від 01.06.2010 року (далі - Закон № 2297 - VI) та окремі положення Закону "Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних" від 02.06.2011 (далі - Закон № 3454 - VI). Отже, що варто пам'ятати посадовим особам та фізичним особам - підприємцям, аби запобігти адміністративній відповідальності у сфері порушення законодавства про персональні дані за ст. 188-39 КУпАП?
Згідно ст. 188-39 Кодексу про адміністративні правопорушення, яка вступити у дію незабаром, 1 липня 2012 року, неповідомлення або несвоєчасне повідомлення суб' єкта персональних даних про його права у зв'язку із включенням його персональних даних до бази персональних даних, мету збору цих даних та осіб, яким ці дані передаються є правопорушенням законодавства із захисту персональних даних. Таким чином, суб' єктом даного правопорушення виступатиме володілець бази персональних даних, тобто фізична або юридична особа, якій законом або за згодою суб' єкта персональних даних надано право на обробку цих даних, яка затверджує мету обробки персональних даних у цій базі даних, встановлює склад цих даних та процедури їх обробки. Торба штрафу за це правопорушення може складати від 200 до 400 неоподатковуваних мінімумів доходів громадянщо у копійчаному еквіваленті варіюється між 3400 та 6800 гривень.
Отримання згоди від суб' єкта персональних даних вимагає детального дотримання вимог закону щодо отримання такої згоди, зокрема, зазначення мети збору даних, повідомлення про розпорядника бази даних та повідомлення про права суб' єкта персональних даних |
Відповідно, отримання згоди від суб' єкта персональних даних вимагає детального дотримання вимог закону щодо отримання такої згоди, зокрема, зазначення мети збору даних, повідомлення про розпорядника бази даних та повідомлення про права суб' єкта персональних даних. Для цього володільцям персональних даних рекомендується розробити відповідні внутрішні документи, які відповідатимуть усім деталям, що вимагаються Законом № 2297 - VI, та належним чином отримати згоду суб' єктів персональних даних (працівників, клієнтів) на їх обробку.
Законом № 2297 - VI встановлено обов'язок володільця бази персональних даних повідомляти уповноважений державний орган з питань захисту персональних даних про кожну зміну відомостейнеобхідних для реєстрації відповідної бази, не пізніш як протягом десяти робочих днів з дня настання такої зміни. Неповідомлення або несвоєчасне повідомлення спеціально уповноваженого центрального органу виконавчої влади з питань захисту персональних даних про зміну відомостей, що подаються для державної реєстрації бази персональних даних, тягне за собою адміністративну відповідальність у вигляді штрафу у розмірі від 100 до 400 неоподатковуваних мінімумів доходів громадян, тобто від 1700 до 6800 гривень. При повторному вчиненні вказаних правопорушень торба штрафу може досягати 11900 гривень. На наш погляд, шкірному володільцю баз персональних даних слід мати пам'ятку або затвердити внутрішнє положенняяким будуть регулюватися питання реєстрації баз даних, внесення відповідних реєстраційних змін, а також призначити особу, яка буде виконувати функції, пов' язані з виконанням обов' язків володільцем персональних даних.
Саме десятиденний термін надається уповноваженому органу з питань захисту персональних даних для прийняття рішення про реєстрацію бази персональних даних |
Ухилення від державної реєстрації бази персональних даних передбачає адміністративне стягнення у вигляді штрафу до 1000 неоподатковуваних мінімумів доходів громадян, тобто до 17000 гривень. Оскільки через надходження великої кількості заявок на реєстрацію баз персональних даних Державна служба з питань захисту персональних даних не встигає вчасно проводити реєстрацію, постає запитання: чи підлягатимуть відповідальності за ч. 4 ст. 18839 КУпАП володільці баз персональних даних, які подали заяви на реєстрацію, але через неможливість дотримання термінів розгляду заяви не булі зареєстровані? На наш погляд, дані питання усе ж має вирішуватися на користь володільців баз персональних даних, оскільки зі своєї сторони сморід вчинили всі дії, необхідні для реєстрації бази персональних даних, якщо при цьому заяву було подано за 10 днів до набрання чинності Законом № 3454 - VI. Саме десятиденний термін надається уповноваженому органу з питань захисту персональних даних для прийняття рішення про реєстрацію бази персональних даних.
Недодержання встановленого законодавством про захист персональних даних порядку захисту персональних даних у базі персональних даних, що призвело до незаконного доступу до них, також є адміністративним правопорушенням за ст. 18839 КУпАП. Законом № 2297 - VI передбачено обов'язок володільця бази даних забезпечити захист персональних даних у базі персональних даних. Для органів державної влади та органів місцевого самоврядування, організацій, установ та підприємств усіх форм власності визначається структурний підрозділ або відповідальна особа, яка організовує роботові, пов'язану із захистом персональних даних при їх обробці (ч. 5 ст. 24 Закону № 2297 - VI).
|
Олена Плешань |
Отже, визначення такого структурного підрозділу чи призначення посадової особині може розглядатися елементом процедури захисту персональних даних. На наше думання, невизначення такого підрозділу може бути підставою до притягнення керівника юридичної особини до адміністративної відповідальності за п. 5 ст. 18839 КУпАП. Не відомо, яким чином піде практика застосування вказаних норм Закону, але мі вважаємо, що призначення особина, відповідальної за організацію роботи, пов' язаної із захистом персональних даних при їх обробці, може зменшити ризик застосування передбачених законом санкцій (до 17000 гривень).
ВИСНОВОК:
Таким чином, ст. 18839 КУпАП з 1 липня 2012 року передбачатиме адміністративну відповідальність за порушення законодавства про захист персональних даних. Дані порушення полягають у практичних моментах повсякденної діяльності осіб, які визнаються володільцями баз персональних даних відповідно до Закону, і їх можна уникнути, дотримуючись простих вимог Закону № 2297 - VI та доклавши зусилля на приведення володільцями баз персональних даних відповідно до вимог законодавства.
Олена Плешань
молодший юрист МЮФ Noerr Київ
_______________________
"ЮРИСТ & ЗАКОН" - це електронне аналітичне видання, що входить в інформаційно-правові системи ЛІГА :ЗАКОН і створене спеціально для юристів і фахівців, що потребують якісної аналітичної інформації про зміни, що відбуваються в правовому полі України. З питань придбання "ЮРИСТ & ЗАКОН" звертайтеся до менеджерам ЛІГА :ЗАКОН чи до регіональним дилерам.
