Питання захисту персональних даних: ситуація на сьогодні. Більш ніж півтора роки минуло відтоді, як набрав чинності Закон України «Про захист персональних даних» (далі – Закон). На перший погляд здається, що за такий тривалий строк законотворці мали розробити та запровадити ефективний механізм його реалізації. Але наразі крім посилення відповідальності за виконання вимог цього документа, визначення порядку ведення Державного реєстру баз персональних даних і затвердження Міністерством юстиції України у грудні 2011 р. Роз’яснень деяких питань практичного застосування Закону жодних інших заходів, що полегшили б його виконання та розуміння, органи державної влади не здійснили. Оскільки Закон щодо посилення відповідальності за порушення законодавства про захист персональних даних набрав чинності 1 липня 2012 р., Міністерство юстиції України, щоб полегшити притягнення винних до відповідальності за відповідні порушення, 22 червня 2012 р. затвердило Порядок здійснення Державною службою України з питань захисту персональних даних (далі – Служба) державного контролю за додержанням законодавства про захист персональних даних (далі – Порядок). Цей документ детально регулює процедуру здійснення Службою перевірок фізичних та юридичних осіб усіх форм власності, що є володільцями та/або розпорядниками баз персональних даних. Порядком визначено, що контроль за додержанням фізичними та юридичними особами законодавства про захист персональних даних здійснюється Службою шляхом проведення планових, позапланових, виїзних та безвиїзних перевірок. Перевірка здійснюється комісією Служби, до складу якої повинні входити не менше трьох посадових осіб Служби. Крім того, до роботи комісії можуть залучатись в установленому законодавством порядку працівники інших органів державної влади, в тому числі органів державного управління, органів виконавчої влади та правоохоронних органів, а також фахівці (експерти) за згодою. Підставою для проведення планової перевірки щодо дотримання вимог законодавства у сфері захисту персональних даних є включення суб'єкта до плану проведення перевірок. Позапланові перевірки можуть проводитись за наявності однієї з таких підстав:
Під суб’єктом перевірки розуміють фізичних осіб, фізичних осіб – підприємців, підприємства, установи й організації усіх форм власності, органи державної влади, що є володільцями та/або розпорядниками баз персональних даних. Планові перевірки здійснюються відповідно до річних або квартальних планів, які затверджуються Службою до 1 грудня року, що передує плановому, або до 25-го числа останнього місяця кварталу, що передує плановому. План проведення перевірок після його затвердження розміщується на офіційному веб-сайті Служби. Служба здійснює планові перевірки суб'єкта перевірки щодо дотримання вимог законодавства у сфері захисту персональних даних із періодичністю не частіше одного разу на п'ять років. Інформація про проведення позапланової перевірки також розміщується на офіційному веб-сайті Служби за десять календарних днів до початку її проведення. За результатами здійснення планової або позапланової перевірки складається акт перевірки у двох примірниках за формою, встановленою згідно з Порядком. На підставі акта перевірки, під час якої виявлено порушення вимог законодавства про захист персональних даних, складається припис про усунення порушень вимог законодавства у сфері захисту персональних даних, виявлених під час перевірки. Припис також складається у двох примірниках і не передбачає застосування санкцій щодо суб'єкта перевірки. Суб'єкт перевірки має протягом визначеного у приписі строку (не менше ніж 30 календарних днів) вжити заходів для усунення порушень, зазначених у приписі, та письмово поінформувати Службу про усунення порушень, надавши копії документів, що це підтверджують. У разі виявлення під час перевірки вчинення суб'єктом перевірки адміністративного правопорушення комісія Служби складає протокол про адміністративне правопорушення, а в разі виявлення порушення у сфері захисту персональних даних Служба направляє необхідні матеріали до правоохоронних органів. Якщо зважити на зазначений Порядок, виникає доволі цікава ситуація: на офіційному сайті Служби розміщена інформація про те, що сьогодні Служба обробляє заяви про реєстрацію баз персональних даних початку грудня 2011 р. Пригадуючи грудень 2011 р. та масовість подання заяв протягом цього місяця, можна дійти висновку, що Службі знадобиться принаймні ще півроку, щоб обробити їх усі. І навіть після реєстрації бази персональних даних у встановленому порядку виникає безліч питань. Зокрема, чи необхідно розробити Положення про обробку баз персональних даних і як зробити це правильно, як визначити відповідальних за їх зберігання, як захистити приміщення, у яких зберігаються ці дані, від несанкціонованого доступу, як бути з тими особами, які не бажають давати згоду на обробку їхніх персональних даних, тощо? Адже ці питання досі не врегульовані на законодавчому рівні. У Верховної Ради України своя думка щодо механізму реалізації Закону. Так, 28 травня 2012 р. у парламенті було зареєстровано законопроект «Про внесення змін до Закону України «Про захист персональних даних» №10472-1, підготовлений Кабінетом міністрів України, яким пропонується внести до Закону суттєві зміни. 6 червня 2012 р. у ВРУ був зареєстрований законопроект №10570, яким пропонується знову відстрочити Закон «Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних», що передбачає впровадження адміністративної та кримінальної відповідальності, до 1 лютого 2013 р. Отже, беручи до уваги офіційну невизначеність щодо норм Закону, органам державної влади слід приділити більше уваги недолікам цього документа та сприяти їх усуненню. Адже здійснити перевірку та примусити винних сплатити штраф, щоб наповнити державний бюджет, можна завжди, але як та навіщо виконувати Закон, який містить лише загальні терміни і суцільні вимоги? Надія РИБАЛЬЧЕНКО
|
|
Юридичні компанії України ______________________________
______________________________
|