ГлавнаяО насНовостиСтатьиРешенияКонтакты
 Украинский интегратор защиты персональных данных

Система защиты персональных данных: новые штрафы и Омбудсмен – новый контролирующий орган

Система защиты персональных данных

Комментарий к Закону Украины "О внесении изменений в некоторые законодательные акты Украины относительно усовершенствования системы защиты персональных данных" от 03.07.2013 г. №383-VII (далее – Закон № 383).

На днях Президент Украины подписал Закон №383.

Хотя сам Закон Украины "О защите персональных данных" от 01.06.2010 г. №2297-VI (далее – Закон о защите персональных данных) действует с 2011 года, это уже второе кардинальное изменение законодательства в данной сфере.

Вы, наверное, помните, что в конце прошлого года вступил в силу Закон "О внесении изменений в Закон Украины "О защите персональных данных" от 20.11.2012 г. №5491-VI, который существенно повлиял на порядок сбора и обработки персональных данных. Правда, нынче основанием для изменений является достаточно рациональный фактор – обеспечение принципа независимости органа, осуществляющего государственный надзор и контроль за соблюдением требований законодательства в сфере защиты персональных данных, – поэтому будем надеяться, что Закон №383 достигнет своей цели, а Закон о защите персональных данных останется в последней редакции по крайней мере на несколько лет.

Итак, главным нововведением Закона №383 является определение Уполномоченного Верховной Рады Украины по правам человека (далее – Уполномоченный ВРУ по правам человека или Омбудсмен) уполномоченным органом в сфере защиты персональных данных. Вследствие этого система регистрации баз персональных данных в Государственной службе по вопросам защиты персональных данных (далее – ГСЗПД) ликвидируется – вместо этого будет необходимо уведомлять об обработке персональных данных Омбудсмена.

Так, согласно ст. 9 Закона о защите персональных данных в новой редакции, владелец персональных данных должен уведомить Уполномоченного ВРУ по правам человека об обработке персональных данных, представляющей особый риск для прав и свобод субъектов персональных данных, в течение тридцати рабочих дней со дня начала такой обработки (виды обработки персональных данных, представляющих особый риск для прав и свобод субъектов персональных данных, категории субъектов, на которых распространяется требование об уведомлении, форма и порядок уведомления будут определяться уполномоченным ВРУ по правам человека). Также владелец персональных данных будет обязан уведомлять Омбудсмена о каждом изменении сведений, подлежащих уведомлению, в течение десяти рабочих дней со дня наступления такого изменения. Данная информация подлежит обнародованию на официальном сайте Уполномоченного ВРУ по правам человека.

Кстати, в Законе №383 приведены новые формулировки ряда терминов:

    владелец персональных данных – физическое лицо, которое определяет цели обработки персональных данных, устанавливает состав этих данных и процедуры их обработки, если иное не определено законом;

    субъект персональных данных – физическое лицо, персональные данные которого обрабатываются;

    третье лицо – любое лицо, за исключением субъекта персональных данных, владельца или распорядителя персональных данных и Уполномоченного Верховной Рады Украины по правам человека, которому владельцем или распорядителем персональных данных осуществляется передача персональных данных.

Усовершенствован и перечень прав субъекта персональных данных и связанных с ними обязанностей владельца. В частности, в перечень данных, обработка которых запрещается, добавлены биометрические и генетические данные.

Также значительно сужен круг государственных органов, осуществляющих контроль за соблюдением законодательства о защите персональных даннях: если в соответствии со ст. 22 Закона о защите персональных данных такое право пока имеют ГСЗПД и "прочие органы государственной власти" (то есть практически любой государственный орган), то, учитывая изменения, внесенные Законом №383, согласно последней редакции упомянутой правовой нормы право контроля в данной сфере будут иметь только Уполномоченный ВРУ по правам человека и суды.

В связи с этим, положения ст. 23 Закона о защите персональных данных в новой редакции предоставляют Омбудсмену, в частности, следующие полномочия:

    получать предложения, жалобы и иные обращения физических и юридических лиц по вопросам защиты персональных данных и принимать решения по результатам их рассмотрения;

    проводить плановые и внеплановые, выездные и невыездные проверки владельцев или распорядителей персональных данных;

    получать по своему требованию и иметь доступ к любой информации (документам) владельцев или распорядителей персональных данных, которые необходимы для осуществления контроля за обеспечением защиты персональных данных, в том числе доступ к персональным данным, соответствующим базам данных или картотек, информации с ограниченным доступом;

    по итогам проверки или рассмотрения обращения издавать обязательные для выполнения требования (предписания) о предотвращении либо устранении нарушений законодательства о защите персональных данных, в том числе касательно изменения, удаления или уничтожения персональных данных, обеспечения доступа к ним, предоставления или запрета их предоставления третьему лицу, приостановлении или прекращении обработки персональных данных;

    давать рекомендации по практическому применению законодательства о защите персональных данных;

    обращаться с предложениями к Верховной Раде Украины, Президенту Украины, Кабинету Министров Украины, другим государственным органам, органам местного самоуправления, их должностным лицам относительно принятия или внесения изменений в нормативно-правовые акты по вопросам защиты персональных данных.

Относительно изменений, касающихся административной ответственности, то в ст. 255 Кодекса Украины об административных правонарушениях (далее – КУоАП) появится норма, согласно которой протоколы за нарушение законодательства в сфере защиты персональных данных вместо ГСЗПД будут составлять представители секретариата Уполномоченного ВРУ по правам человека и передавать их на рассмотрение в суд. Кроме этого, изложена в новой редакции ст. 18839 КУоАП, которой установлена административная ответственность за нарушение законодательства в сфере защиты персональных данных: не только вместо органов ГСЗПД указан Уполномоченный ВРУ по правам человека, но также частично изменены и основания ответственности, и размеры штрафов (преимущественно – в сторону увеличения).

На сегодняшний день, согласно Закону №383, в ст. 18839 КУоАП предусмотрены, в частности, следующие санкции за нарушение обязательств относительно уведомления и реагирования на предписания Омбудсмена или нарушения порядка обработки персональных данных:

    неуведомление или несвоевременное уведомление Уполномоченного ВРУ по правам человека об обработке персональных данных или об изменении сведений, подлежащих уведомлению согласно закону, сообщение неполных либо недостоверных сведений – штраф от 100 до 200 НМДГ для граждан, от 200 до 400 НМДГ – для должностных лиц и граждан – субъектов предпринимательской деятельности;

    невыполнение законных требований (предписаний) Уполномоченного ВРУ по правам человека или определенных им должностных лиц секретариата Уполномоченного ВРУ по правам человека относительно предотвращения или устранения нарушений законодательства о защите персональных данных – штраф от 200 до 300 НМДГ для граждан, от 300 до 1 000 НМДГ – для должностных лиц и граждан – субъектов предпринимательской деятельности;

    несоблюдение установленного законодательством о защите персональных данных порядка защиты персональных данных, что привело к незаконному доступу к ним или нарушению прав субъекта персональных данных – штраф от 100 до 500 НМДГ для граждан, от 300 до 1 000 НМДГ – для должностных лиц и граждан – субъектов предпринимательской деятельности.

Как видим, в теории принятие Закона №383 должно все-таки способствовать совершенствованию системы защиты персональных данных, что будет на практике – вскоре увидим: Закон №383 и, соответственно, внесенные им изменения в законодательство вступят в силу с 1 января 2014 года.

Однако в очередной раз хочется обратить внимание наших парламентариев на необходимость тщательного изучения законодательных актов, которые ими принимаются. Например, отнюдь не ясно, что побудило их исключить из ст. 2 Закона о защите персональных данных абзац пятый (то есть определение "согласия субъекта персональных данных"): единственное, что можно предположить, – это банальная ошибка в номере абзаца, который они намеревались удалить, поскольку изъятие абзаца четвертого (определение термина "Государственный реестр баз персональных данных") было бы вполне логичным. Но если среди депутатов не нашлось ни одного, который обратил бы внимание на вышеупомянутый недостаток, то невольно закрадывается мысль – насколько основательно был разработан ими упомянутый нормативный акт по его правовому содержанию и не станет ли "последнее" кардинальное изменение законодательства в сфере защиты персональных данных лишь "очередным".

Автор статьи: Анжелика Домбругова

Интерактивная бухгалтерия (07.08.2013 в 10:15) | вверх страницы | к списку статей

Общие вопросы:

Что нас ждет в 2011 году и о чем необходимо задуматься сегодня?
Что такое защита персональных данных?
Для чего это необходимо?
Если не выполнять требования Закона?
Типовые нарушения
Какие риски неисполнения требований законодательства?
Сколько потребуется времени и средств?
Что необходимо делать?
Кому доверить внедрение защиты персональных данных?
ГлавнаяО насНовостиСтатьиРешенияКонтакты
 Контактная информация
© 2003-2013 ООО "Ди Эй Кей продакшн"