Чергові зміни, які набули чинності з 1 січня 2014 року, внесені до Закону №2297 «Про захист персональних даних» 3 липня 2013 року Законом №383-VI. Зміни передбачали також прийняття низки документів у сфері захисту персональних даних. Але про все по порядку.
Новий контролюючий орган
Однією з основних змін слід назвати передання функцій та повноважень Державної служби України з питань захисту персональних даних (далі Служба), включаючи також контроль за дотриманням законодавства у сфері захисту персональних даних, Уповноваженому Верховної Ради України з прав людини (далі Уповноважений) – омбудсмену.
Посаду Уповноваженого наразі обіймає Валерія Лутковська. Секретаріат знаходиться за адресою: 01008, м. Київ, вул. Інститутська, 21/8. Офіційний сайт: ombudsman.gov.ua.
Передання повноважень омбудсмену означає ліквідацію Служби. Втім, видані Службою нормативні акти та роз’яснення будуть чинними в частині, що не змінена Уповноваженим, якому, до речі, надані такі права.
Також омбудсмен має право проводити виїзні та безвиїзні, планові та позапланові перевірки володільців або розпорядників персональних даних із забезпеченням доступу до приміщень, де здійснюється обробка персональних даних, до будь-якої інформації, яка необхідна для здійснення контролю за забезпеченням захисту персональних даних. При цьому порядок проведення таких перевірок затверджує сам омбудсмен (наказом від 08.01.2014 р. №1/02-14 затверджений Порядок здійснення Уповноваженим Верховної Ради України з прав людини контролю за додержанням законодавства про захист персональних даних). Підставою для проведення позапланових перевірок може бути звернення чи скарга фізичної чи юридичної особи, наявність фактів чи інформації про порушення законодавства про захист персональних даних, а також ініціатива самого омбудсмена.
За підсумками проведеної перевірки чи розгляду звернення чи скарги омбудсмен має право видавати обов’язкові для виконання вимоги (приписи), складати протоколи про притягнення до адміністративної відповідальності та направляти їх до суду.
Омбудсмен уповноважений також надавати рекомендації відносно практичного застосування законодавства про захист персональних даних та надавати висновки щодо проектів кодексів поведінки у сфері захисту персональних даних.
Скасовано реєстрацію баз персональних даних
Раніше прийнятим Законом від 20 листопада 2012 року №5491 володільці персональних даних були звільнені від реєстрації деяких баз персональних даних. Про це вже надавалась інформація. Закон № 383 взагалі виключив таке поняття, як реєстрація баз персональних даних. Натомість, з 1 січня 2014 року володільці персональних даних зобов’язані повідомляти Уповноваженого про обробку персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних, протягом 30 робочих днів з дати початку такої обробки та про всі зміни упродовж 10 робочих днів.
ВАЖЛИВО! Володільці баз персональних даних, на яких поширюється вимога щодо повідомлення Уповноваженого про обробку персональних даних, зобов’язані надіслати таке повідомлення не пізніше 30 червня 2014 року, навіть якщо вони раніше вже направляли до Служби заяви про реєстрацію баз персональних даних чи навіть отримали свідоцтво про реєстрацію. Це передбачено пунктом 2 Прикінцевих та перехідних положень Закону №383.
Види обробки персональних даних, які становлять особливий ризик для прав і свобод суб’єктів персональних даних, відповідно до закону визначив Уповноважений в наказі від 08.01.2014 р. №1/02-14, яким затвердив Порядок повідомлення Уповноваженого Верховної Ради України з прав людини про обробку персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних, про структурний підрозділ або відповідальну особу, що організовує роботу.
Для цілей цього Порядку обробка персональних даних, що становить особливий ризик для прав і свобод суб’єктів – це будь-яка дія або сукупність дій, а саме збирання, реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання і поширення (розповсюдження, реалізація, передача), знеособлення, знищення, у тому числі з використанням інформаційних (автоматизованих) систем, яка здійснюється відносно персональних даних про:
– расове, етнічне та національне походження;
– політичні, релігійні або світоглядні переконання;
– членство в політичних партіях та/або організаціях, професійних спілках, релігійних організаціях чи в громадських організаціях світоглядної спрямованості;
– стан здоров’я;
– статеве життя;
– біометричні дані;
– генетичні дані;
– притягнення до адміністративної чи кримінальної відповідальності;
– застосування щодо особи заходів в рамках досудового розслідування;
– вжиття щодо особи заходів, передбачених Законом України «Про оперативно-розшукову діяльність»;
– вчинення щодо особи тих чи інших видів насильства;
– місцеперебування та/або шляхи пересування особи.
В той же час цим Порядком передбачено випадки, коли володільці здійснюють обробку персональних даних, які віднесені до особливих, але не повинні про це повідомляти Уповноваженого, а саме:
– якщо здійснюється обробка, єдиною метою якої є ведення реєстру для надання інформації населенню, який відкритий для населення в цілому;
– обробка здійснюється громадськими об’єднаннями, політичними партіями та/або організаціями, професійними спілками, об’єднаннями роботодавців, релігійними організаціями, громадськими організаціями світоглядної спрямованості за умови, що обробка стосується виключно персональних даних членів цих об’єднань та не передається без їх згоди;
– обробка необхідна для реалізації прав та виконання обов’язків володільця персональних даних у сфері трудових правовідносин відповідно до закону.
Забезпечення захисту персональних даних
Окремо необхідно зупинитись на новій редакції статті 24 Закону №2297, яка з 1 січня 2014 р. регулює забезпечення захисту персональних даних. Зокрема, вона передбачає обов’язок володільця чи розпорядника персональних даних, що здійснюють обробку персональних даних, яка підлягає повідомленню, створити (визначити) структурний підрозділ або відповідальну особу, що організує роботу, пов’язану із захистом персональних даних при їх обробці. Інформацію про цей підрозділ чи особу необхідно повідомити Уповноваженому, який забезпечує її оприлюднення.
Збирання персональних даних
До пункту 1 частини другої статті 8 Закону №2297 внесені зміни, згідно з якими список інформації, яку має право знати суб’єкт персональних даних, доповнено джерелами збирання персональних даних.
Цей вид інформації не обов’язково має бути повідомлений суб’єкту персональних даних, оскільки це не передбачено статтею 12 Закону №2297. Однак, така інформація має бути надана особі на її запит у порядку та строки, визначені законодавством.
Для зручності дані про джерела можна зазначити в документі, яким оформляється згода суб’єкта персональних даних на обробку його даних, та/або яким здійснюється повідомлення суб’єкту відомостей, передбачених згаданою статтею.
Оскільки форма повідомлення не регламентована, отже може бути такою: «Персональні дані зібрані з первинних джерел (документів, що добровільно надані володільцю суб’єктом персональних даних)».
Обробка персональних даних
Наказом Уповноваженого від 08.01.2014 р. №1/02-14 затверджено ще один документ – Типовий порядок обробки персональних даних, який дещо відрізняється від діючого раніше.
Новий Типовий порядок містить низку новел, на які варто звернути увагу. Зокрема, пунктами 3.8 і 3.9 визначено дати надання та позбавлення доступу працівника до персональних даних.
Датою надання права доступу до персональних даних вважається дата надання працівником зобов’язання про нерозголошення персональних даних, які йому довірені у зв’язку з виконанням професійних чи службових або трудових обов’язків.
Датою позбавлення цього права вважається дата звільнення працівника чи дата переведення на посаду, виконання обов’язків на якій не пов’язане з обробкою персональних даних.
Пунктом 2.15 Типового порядку уточнено, що суб’єкт персональних даних має право відкликати згоду на обробку персональних даних без зазначення мотивів, якщо єдиною підставою для обробки є згода цього суб’єкта. Але це не зачіпає тих випадків, коли обробка персональних даних здійснюється не тільки на підставі згоди, але і випливає, наприклад, із законодавства про працю.
Необхідно звернути увагу на пункт 3.11 Типового порядку, згідно з яким інформація про операції, пов’язані з обробкою персональних даних суб’єкта та доступом до них, зберігається володільцем/розпорядником упродовж одного року з моменту закінчення року, в якому було здійснено зазначені операції, якщо інше не передбачено законодавством України.
Враховуючи зазначене, необхідно переглянути діючий в організації порядок на предмет положень, які явно суперечать новому Типовому порядку.
Зміни в частині відповідальності
Законом №383 внесені зміни до Кодексу України про адміністративні правопорушення (КУпАП). У новій редакції статті 188-39 цього кодексу є не передбачено відповідальності за неповідомлення або несвоєчасне повідомлення суб’єкта персональних даних про його права у зв’язку із включенням його персональних даних до бази персональних даних, мету збору цих даних та осіб, яким ці дані передаються. Отже, з 1 січня 2014 року порушення порядку повідомлення суб’єктам персональних даних зазначених відомостей не може тягнути за собою застосування штрафних санкцій. Це стосується навіть порушень, які були допущені до цієї дати, у силу статті 58 Конституції України (зворотна дія законів, які скасовують відповідальність особи).
Проте це не означає, що необхідність повідомлення суб’єктів персональних даних відпадає. Таке повідомлення, як і раніше, передбачене частиною другою статті 12 Закону, а його відсутність може стати підставою для надання Уповноваженим вимоги (припису) про усунення порушення. Невиконання вимоги, у свою чергу, тягне за собою адміністративну відповідальність посадових осіб.
Нова редакція статті 188-39 КУпАП передбачає відповідальність за такі правопорушення:
– неповідомлення або несвоєчасне повідомлення Уповноваженого про обробку персональних даних або про зміну відомостей, які підлягають повідомленню згідно із законом, повідомлення неповних чи недостовірних відомостей – тягне за собою накладення штрафу в розмірі від 1700 до 3400 грн. на громадян і від 3400 до 6800 грн. на посадових осіб та громадян-суб’єктів підприємницької діяльності;
– невиконання законних вимог (припису) Уповноваженого або визначених ним посадових осіб секретаріату Уповноваженого щодо запобігання або усунення порушень законодавства про захист персональних даних – тягне за собою накладення штрафу в розмірі від 3400 до 5100 грн. на громадян і від 5100 до 17000 грн. на посадових осіб та громадян-суб’єктів підприємницької діяльності;
– повторне протягом року вчинення порушення з числа вказаних вище – тягне за собою накладення штрафу в розмірі від 5100 до 8500 грн. на громадян і від 8500 до 34000 грн. на посадових осіб та громадян-суб’єктів підприємницької діяльності;
– недодержання встановленого законодавством про захист персональних даних порядку захисту персональних даних, що призвело до незаконного доступу до них або порушення прав суб’єкта персональних даних – тягне за собою накладення штрафу в розмірі від 1700 до 8500 грн. на громадян і від 5100 до 17000 грн. на посадових осіб та громадян-суб’єктів підприємницької діяльності;
– повторне вчинення зазначеного порушення - тягне за собою накладення штрафу в розмірі від 17000 до 34000 грн.
Висновок. Із зробленого аналізу змін можна зробити висновок, що профспілковим організаціям не потрібно повідомляти Уповноваженого про обробку персональних даних баз персональних даних «Члени профспілки» та «Працівники».Відповідно не потрібно також повідомляти Уповноваженого і про створення структурного підрозділу або призначення відповідальної особи, що організовує роботу, пов’язану із захистом персональних даних при їх обробці. Однак це не означає, що такий структурний підрозділ або відповідальна особа взагалі не повинні створюватися/призначатися. Норми Закону «Про захист персональних даних» необхідно враховувати в роботі профспілкових організацій.
Підготувала головний правовий інспектор праці
О.Зубець