Уполномоченный Верховной Рады Украины по правам человека (далее - Уполномоченный) в письме от 03.03.2014 г. № 2/9-227067.14-1/НД-129 разъяснил некоторые вопросы защиты персональных данных.
В письме отмечается, что согласие субъекта персональных данных - это добровольное волеизъявление физического лица (при условии его осведомленности) о предоставлении разрешения на обработку его персональных данных в соответствии со сформулированной целью их обработки, высказанное в письменной или электронной форме.
Владельцам и распорядителям персональных данных получать согласие на обработку таких данных придется, в частности, в тех случаях, когда существует потребность обработки этих данных, а другие, предусмотренные статьей 11 Закона «О защите персональных данных» (далее - Закон) основания для обработки таких данных не распространяются на этот случай обработки данных.
Также Уполномоченный ВР по правам человека отмечает, что основным критерием при определении того, составляет определенная обработка персональных данных особый риск для прав и свобод субъектов, является то, какие категории персональных данных обрабатываются. При этом обработка будет считаться такой, которая представляет особый риск для прав и свобод субъектов персональных данных, в случае если состав персональных данных о лице, которые обрабатываются владельцем, включает сведения указанного выше содержания (п. 1.2 Порядка уведомления), или когда владельцем обрабатываются персональные данные определенной категории субъектов, которую можно выделить по указанному в пункте 1.2 Порядка уведомления критерию. Об этом более подробно говорится в разъяснениях основных положений Порядка уведомления Уполномоченного по определению обработки персональных данных, которая представляет особый риск для прав и свобод субъектов персональных данных, которые прилагаются к Порядку уведомления.
В письме говорится, что с 01.01.2014 г. процедуры регистрации баз персональных данных согласно требованиям действующей редакции Закона нет. При этом требование об уведомлении Уполномоченного об обработке персональных данных, которая представляет особый риск для прав и свобод субъектов персональных данных, распространяется на всех владельцев, которые осуществляют такую обработку персональных данных, независимо от того, была ими зарегистрирована в предыдущий период соответствующая база персональных данных или нет.
В то же время с 01.01.2014 г. в соответствии с требованиями действующей редакции Закона процедура регистрации баз персональных данных заменена обязанностью владельцев персональных данных уведомлять Уполномоченного об обработке персональных данных, которая представляет особый риск для прав и свобод субъектов персональных данных. В связи с этим владельцам персональных данных необходимо провести анализ процессов обработки этих данных на предмет их отнесения к таким, которые представляют особый риск для прав и свобод субъектов персональных данных, и по его результату принять соответствующее решение об уведомлении Уполномоченного и, в случае необходимости, подать соответствующее заявление по форме, установленной в приложении 1 к Порядку сообщения.
Также следует обратить внимание, что с 01.01.2014 г. законодательством не установлена юридическая ответственность за нерегистрацию баз персональных данных, в том числе и тех, которые были созданы, но не были зарегистрированы до 01.01.2014 г.
