Закон України "Про внесення змін до деяких законодавчих актів України стосовно удосконалення системи захисту персональних даних" №383 - VII (далі - Закон) набуде чинності з 01.01.2014 року. Які новели нас чекають і як вони можуть вплинути на роботу компаній?
Майбутні зміни в системі органів влади
Державна служба України з питань захисту персональних даних (далі - Служба) припиняє здійснювати контроль у сфері захисту персональних даних (цілком логічно, що вона буде ліквідована). Усі ключові функції будуть передані Уповноваженому Верховної Ради України з прав людини (далі - Омбудсмен).
Багато експертів, у тому числі європейські, виражали зауваження відносно недостатньої незалежності Служби в системі органів влади. На їх думку, це перешкоджало роботі із створення ефективної системи захисту персональних даних в країні, наближаючи її до стандартів ЄС. Вирішити це питання без змін в Конституцію було б складно. Тому ми пішли іншим шляхом і передали функції державного регулятора в цій сфері Омбудсменові. Аналогічна практика відома за кордоном: Фінляндія, Уельс.
Омбудсмен є незалежним державним органом з великими повноваженнями, в які входить : розгляд скарг, право на проведення перевірок стосовно захисту персональних даних, право видачі обов'язкових до виконання приписів, право на зустріч з усіма вищими державними особами, право на доступ до будь-яких приміщень, право на отримання будь-якої інформації або документів, право на подання заяв і скарг до суду по захисту прав людини. Специфіка статусу і об'єму повноважень визначатиметься не лише новою редакцією статті 23 Закони України "Про захист персональних даних", але і профільним законом "Про Уповноваженого Верховної Ради України з прав людини". Основну частину функцій безпосередньо здійснюватиме представник Уповноваженого, який спеціалізуватиметься на питаннях захисту персональних даних.
Владислав Подоляк |
Основні форми роботи Омбудсмена у сфері контролю полягатимуть в планових і позапланових перевірках, які можуть, у свою чергу, припускати виїзд в офіс компанії (виїзна), або ж обмежуватися листуванням/засіданнями по місцю знаходження Омбудсмена (безвиїзна). Припускаємо, що в процедурі перевірок кардинальних відмінностей від поточних правил роботи Служби не буде. Але показники роботи (якість реагування на скарги і кількість перевірок) безпосередньо залежатимуть від кількості фахівців, якими буде укомплектований штат офісу Омбудсмена. Поточний досвід роботи Служби показує, що перевірки позитивно впливають на підвищення захищеності персональних даних, удосконалення внутрішніх процедур компаній, що перевіряються. Проте, загальна кількість перевірок залишається незначною, щоб говорити про системні результати роботи.
Новий порядок повідомлення про обробку персональних даних
Нині реєстрація більшості використовуваних баз персональних даних є обов'язковою (за винятком, наприклад, бази цих працівників). Напередодні 2012 року виник великий ажіотаж стосовно реєстрації баз персональних даних. Багато компаній подали заяви на реєстрацію баз персональних даних щоб уникнути адміністративної відповідальності. Але Служба фізично не впоралася з мільйонами заяв, які, на жаль, так і залишаться нерозглянутими.
На заміну існуючому порядку реєстрації баз даних Закон вводить нову процедуру повідомлення. Власник бази даних повинен буде повідомляти Омбудсмена про обробку персональних даних лише у випадках, коли така обробка є істотним ризиком для прав суб'єктів персональних даних. Критерії визначення "істотності" ризику будуть надані актом Омбудсмена. Найвірогідніше, що ці критерії будуть пов'язані з обробкою "чутливих" персональних даних (наприклад, дані про здоров'я, біометричні дані, дані про політичні погляди). Деталі процедури повідомлення нині не відомі і будуть визначені Омбудсменом пізніше (до 31.03.2014 р.). Ми вважаємо, що раніше подані заяви на реєстрацію баз даних в Службу втратять своє юридичне значення, і частини компаній доведеться пройти нову процедуру повідомлення. Крайній термін такого повідомлення - 30.06.2014 року.
Збільшення адміністративних штрафів
Нині максимальною санкцією за порушення у сфері захисту персональних даних являється штраф у розмірі 17 000 грн. Закон дозволить збільшити максимальний штраф до 34000 грн., який може бути застосований у разі повторного порушення (наприклад, неповідомлення Омбудсмена про обробку персональних даних, невиконання обов'язкового припису Омбудсмена, недотримання порядку захисту персональних даних, що спричинило незаконний доступ/порушення прав суб'єктів персональних даних).
У зв'язку з ліквідацією Служби, відміною процедури реєстрації баз даних і введенням процедури повідомлення, буде змінений склад окремих адміністративних правопорушень.
Владислав Подолякадвокат ЮФ "Василь Кисиль і партнери"