Закон Украины «О внесении изменений к некоторым законодательным актам Украины касательно усовершенствования системы защиты персональных данных» №383-VII (далее - Закон) вступит в силу с 01.01.2014 года. Какие новеллы нас ожидают и как они могут повлиять на работу компаний?
Предстоящие изменения в системе органов власти
Государственная служба Украины по вопросам защиты персональных данных (далее - Служба) прекращает осуществлять контроль в сфере защиты персональных данных (вполне логично, что она будет ликвидирована). Все ключевые функции будут переданы Уполномоченному Верховной Рады Украины по правам человека (далее - Омбудсмен).
Многие эксперты, в том числе европейские, выражали замечания относительно недостаточной независимости Службы в системе органов власти. По их мнению, это препятствовало работе по созданию эффективной системы защиты персональных данных в стране, приближая ее к стандартам ЕС. Решить этот вопрос без изменений в Конституцию было бы сложно. Поэтому мы пошли другим путем и передали функции государственного регулятора в этой сфере Омбудсмену. Аналогичная практика известна за рубежом: Финляндия, Уэльс.
Омбудсмен является независимым государственным органом с обширными полномочиями, в которые входит: рассмотрение жалоб, право на проведение проверок касательно защиты персональных данных, право выдачи обязательных к исполнению предписаний, право на встречу со всеми высшими государственными лицами, право на доступ к любым помещениям, право на получение любой информации или документов, право на подачу заявлений и жалоб в суд по защите прав человека. Специфика статуса и объема полномочий будет определяться не только новой редакцией статьи 23 Закона Украины «О защите персональных данных», но и профильным законом «Об Уполномоченном Верховной Рады Украины по правам человека». Основную часть функций будет непосредственно осуществлять представитель Уполномоченного, который будет специализироваться на вопросах защиты персональных данных.
Владислав Подоляк |
Основные формы работы Омбудсмена в сфере контроля будут состоять в плановых и внеплановых проверках, которые могут, в свою очередь, предполагать выезд в офис компании (выездная), или же ограничиваться перепиской/заседаниями по месту нахождения Омбудсмена (безвыездная). Предполагаем, что в процедуре проверок кардинальных отличий от текущих правил работы Службы не будет. Но показатели работы (качество реагирования на жалобы и количество проверок) напрямую будут зависеть от количества специалистов, которыми будет укомплектован штат офиса Омбудсмена. Текущий опыт работы Службы показывает, что проверки позитивно влияют на повышение защищенности персональных данных, усовершенствование внутренних процедур проверяемых компаний. Тем не менее, общее количество проверок остается незначительным, чтобы говорить о системных результатах работы.
Новый порядок уведомления об обработке персональных данных
В настоящее время регистрация большинства используемых баз персональных данных является обязательной (за исключением, например, базы данных работников). Накануне 2012 года возник большой ажиотаж касательно регистрации баз персональных данных. Многие компании подали заявления на регистрацию баз персональных данных во избежание административной ответственности. Но Служба физически не справилась с миллионами заявлений, которые, увы, так и останутся нерассмотренными.
На замену существующему порядку регистрации баз данных Закон вводит новую процедуру уведомления. Владелец базы данных должен будет уведомлять Омбудсмена об обработке персональных данных лишь в случаях, когда такая обработка представляет собой существенный риск для прав субъектов персональных данных. Критерии определения «существенности» риска будут предоставлены актом Омбудсмена. Вероятней всего, что данные критерии будут связаны с обработкой «чувствительных» персональных данных (например, данные о здоровье, биометрические данные, данные о политических взглядах). Детали процедуры уведомления в настоящее время не известны и будут определены Омбудсменом позже (до 31.03.2014 г.). Мы полагаем, что ранее поданные заявления на регистрацию баз данных в Службу утратят свое юридическое значение, и части компаний придется пройти новую процедуру уведомления. Крайний срок такого уведомления - 30.06.2014 года.
Увеличение административных штрафов
В настоящее время максимальной санкцией за нарушение в сфере защиты персональных данных является штраф в размере 17 000 грн. Закон позволит увеличить максимальный штраф до 34000 грн., который может быть применен в случае повторного нарушения (например, неуведомление Омбудсмена об обработке персональных данных, неисполнение обязательного предписания Омбудсмена, несоблюдение порядка защиты персональных данных, что повлекло за собой незаконный доступ/нарушение прав субъектов персональных данных).
В связи с ликвидацией Службы, отменой процедуры регистрации баз данных и введением процедуры уведомления, будет изменен состав отдельных административных правонарушений.
Владислав Подоляк, адвокат ЮФ «Василь Кисиль и партнеры»