Так, 1 січня 2014 року вступив у силу Закон України «Про внесення змін до деяких законодавчих актів України щодо удосконалення системи захисту персональних даних» від 03.07.2013 № 383-VII, який був підписаний Президентом України 23 липня 2013 року (надалі – Закон 383). Фактично, Законом 383 була скасована реєстрація баз персональних даних та замінена на процедуру повідомлення володільцями персональних даних Уповноваженого Верховної Ради України з прав людини (далі - Уповноважений) про обробку персональних даних, які становлять особливий ризик для прав і свобод суб’єктів персональних даних. Медіаправо Але зверніть увагу, що скасування реєстрації баз персональних даних ніяким чином не впливає на скасування обов’язку їх ведення та дотримання вимог законодавства при їх веденні. Окрім того, необхідно привести у відповідність до вимог законодавства існуючі на підприємствах локальні акти, відповідно до яких здійснюється ведення баз персональних даних.
Міністерство юстиції України, в свою чергу, з метою приведення власних нормативно-правових актів у відповідність із Законом 383 скасувало ряд своїх наказів у сфері захисту персональних даних, але не скасувало Положення про Державну службу України з питань захисту персональних даних (надалі - Служба), яка, наразі, продовжує існувати. Продовження існування Служби, насамперед, напевно, зумовлено тим, що відповідно до Перехідних положень Закону 383 Кабінет міністрів України зобов’язали, протягом 3 місяців з дати набрання чинності Закону 383 забезпечити у встановленому законодавством порядку передачу Уповноваженому Державного реєстру баз персональних даних та заяв про реєстрацію баз персональних даних, поданих до набрання чинності цим Законом.
Окрім цього, 8 січня 2014 року наказом Уповноваженого було затверджено Типовий порядок обробки персональних даних, Порядок здійснення Уповноваженим Верховної Ради України з прав людини контролю за додержанням законодавства про захист персональних даних та Порядок повідомлення Уповноваженого Верховної Ради України з прав людини про обробку персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних, про структурний підрозділ або відповідальну особу, що організовує роботу (надалі – Порядок повідомлення).
Відповідно до встановлених змін, як вже зазначалося відмінюється реєстрація баз персональних даних, а в свою чергу затверджено процедуру та форму повідомлення Уповноваженого про обробку персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних (надалі - Дані), про зміну відомостей, що підлягають повідомленню, та про структурний підрозділ або відповідальну особу, що організовує роботу, пов’язану із захистом персональних даних при їх обробці.
До таких Даних відносяться дані про расове, етнічне та національне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та/або організаціях, професійних спілках, релігійних організаціях чи в громадських організаціях світоглядної спрямованості, стан здоров’я, статеве життя, біометричні дані, генетичні дані, притягнення до адміністративної чи кримінальної відповідальності, застосування щодо особи заходів в рамках досудового розслідування, вжиття щодо особи заходів, передбачених Законом України «Про оперативно-розшукову діяльність», вчинення щодо особи тих чи інших видів насильства, місцеперебування та/або шляхи пересування особи.
Обробкою Даних вважатиметься не лише обробка даних, передбачених п. 1.2. Порядку повідомлення, а й випадок, коли володільцем обробляються звичайний склад даних, але всі ці дані належать особі, котра притягувалася до кримінальної/адміністративної відповідальності. Зауважимо, що інформація про стан здоров’я, зазначена в медичних довідках, листах непрацездатності тощо, які обробляються володільцем при реалізації трудових відносин, не відноситься до Даних. А також, до інформації, що стосується місцеперебування, не відноситься інформація про місце проживання та реєстрації.
Процедура повідомлення Уповноваженого про обробку Даних, зазначена в Порядку повідомлення, відповідно до якого, володільці персональних даних, які підпадають під вимогу повідомлення Уповноваженого, надсилають Уповноваженому заяву, за затвердженою формою протягом 30 робочих днів з початку такої обробки. Відправити заявку можна як поштовим відправленням, так і електронною поштою, факсом чи в скриньку, що розміщена в Секретаріаті Уповноваженого. Копія заяви повинна зберігатися заявником. Відповідно до Прикінцевих та перехідних положень Закону 383 володільці персональних даних, які на момент набрання чинності цим Законом здійснюють обробку Даних, подають відповідне повідомлення у встановленому цим Законом порядку упродовж шести місяців з дня набрання чинності цим Законом. Зверніть увагу, що Уповноважений повідомляється саме про факт обробки Даних, в незалежності обробляються ці дані в одній базі даних чи декількох.
Також, Законом України «Про захист персональних даних» (надалі - Закон) передбачено, що володілець персональних даних зобов’язаний повідомляти Уповноваженого про кожну зміну відомостей, що підлягають повідомленню, упродовж 10 робочих днів з дня настання такої зміни.
Окрім повідомлення Уповноваженого про обробку Даних, володілець зобов’язаний протягом 30 днів з моменту створення структурного підрозділу або призначення відповідальної особи, що організовує роботу, пов’язану із захистом персональних даних при їх обробці, повідомити Уповноваженого про це.
Всі відомості про володільця, котрий надіслав заяви, вказані вище, розміщуються на сайті Уповноваженого.
Також варто зазначити, що затверджена процедура здійснення Уповноваженим контролю за додержанням законодавства про захист персональних даних. Наразі перевірки, окрім планових та позапланових, можуть також бути як виїзними, так і безвиїзними.
Планова перевірка проводиться не частіше одного разу на рік, позапланові можуть проводитись за ініціативою Уповноваженого, при наявності інформації про порушення вимого законодавства у сфері захисту персональних даних, обґрунтованих заяв фізичних чи юридичних осіб про порушення законодавства про захист персональних даних тощо. Безвиїзна перевірка (як планова так і позапланова) проводитиметься без виїзду за місцезнаходженням суб’єкта перевірки чи місця обробки персональних даних на підставі документів та пояснень суб’єктів перевірки.
Окрім того, Законом 383 внесено зміни до Кодексу України про адміністративні правопорушення, відповідно до яких, за неповідомлення або несвоєчасне повідомлення Уповноваженого про обробку персональних даних або про зміну відомостей, які підлягають повідомленню згідно із законом, повідомлення неповних чи недостовірних відомостей накладається штраф до 6800 грн., за недодержання встановленого законодавством про захист персональних даних порядку захисту персональних даних, що призвело до незаконного доступу до них або порушення прав суб\'єкта персональних даних – штраф до 17 000 грн. Також відмінили відповідальність за неповідомлення або несвоєчасне повідомлення суб\'єкта персональних даних про його права у зв\'язку із включенням його персональних даних до бази персональних даних, мету збору цих даних та осіб, яким ці дані передаються.
Юлія Івахненко, юрист ЮК Jurimex