Уповноважений Верховної Ради України з прав людини (далі - Уповноважений) в листі від 03.03.2014 р. № 2/9-227067.14-1/НД-129 роз'яснив деякі питання захисту персональних даних.
У листі відзначається, що згода суб'єкта персональних даних - це добровільне волевиявлення фізичної особи (за умови його обізнаності) про надання дозволу на обробку його персональних даних відповідно до сформульованої мети їх обробки, висловлене в письмовій або електронній формі.
Власникам і розпорядникам персональних даних отримувати згоду на обробку таких даних доведеться, зокрема, в тих випадках, коли існує потреба обробки цих даних, а інші, передбачені статтею 11 Закону "Про захист персональних даних" (далі - Закон) підстави для обробки таких даних не поширюються на цей випадок обробки даних.
Також Уповноважений ВР з прав людини відмічає, що основним критерієм при визначенні того, складає певна обробка персональних даних особливий ризик для прав і свобод суб'єктів, являється те, які категорії персональних даних обробляються. При цьому обробка вважатиметься такою, яка представляє особливий ризик для прав і свобод суб'єктів персональних даних, у випадку якщо склад персональних даних про особу, які обробляються власником, включає зведення вказаного вище змісту (п. 1.2 Порядку повідомлення)або коли власником обробляються персональні дані певної категорії суб'єктів, яку можна виділити по вказаному в пункті 1.2 Порядку повідомлення критерію. Про це детальніше говориться в роз'ясненнях основних положень Порядку повідомлення Уповноваженого за визначенням обробки персональних даних, яка представляє особливий ризик для прав і свобод суб'єктів персональних даних, які додаються до Порядку повідомлення.
У листі говориться, що з 01.01.2014 р. процедури реєстрації баз персональних даних згідно з вимогами діючої редакції Закону немає. При цьому вимога про повідомлення Уповноваженого про обробку персональних даних, яка представляє особливий ризик для прав і свобод суб'єктів персональних даних, поширюється на усіх власників, які здійснюють таку обробку персональних даних, незалежно від того, була ними зареєстрована в попередній період відповідна база персональних даних або ні.
В той же час з 01.01.2014 р. відповідно до вимог діючої редакції Закону процедура реєстрації баз персональних даних замінена обов'язком власників персональних даних повідомляти Уповноваженого про обробку персональних даних, яка представляє особливий ризик для прав і свобод суб'єктів персональних даних. У зв'язку з цим власникам персональних даних необхідно провести аналіз процесів обробки цих даних на предмет їх віднесення до таких, які представляють особливий ризик для прав і свобод суб'єктів персональних даних, і по його результату прийняти відповідне рішення про повідомлення Уповноваженого і, у разі потреби, подати відповідну заяву, встановленою в додатку 1 до Порядку повідомлення.
Також слід звернути увагу, що з 01.01.2014 р. законодавством не встановлена юридична відповідальність за нереєстрацію баз персональних даниху тому числі і тих, які були створені, але не були зареєстровані до 01.01.2014 р.
