Скасовано державну реєстрацію баз персональних даних

Уповноваженого Верховної Ради України з прав людини визначено повноважним органом у сфері захисту персональних даних

Закон України  “Про внесення змін до деяких законодавчих актів України щодо удосконалення системи захисту персональних даних” (далі - Закон) прийнятий Верховною Радою 3 липня 2013 року, підписаний Президентом України 23 липня 2013 року набирає чинності 1 січня 2014 року.

На особливу увагу заслуговує зміна, що стосується Державної реєстрації персональних даних, а саме положеннями Закону скасована Державна реєстрація персональних даних. Зі вступом в дію норм Закону, достатнім буде лише повідомлення омбудсмена про обробку персональних даних упродовж 30 робочих днів, що значно спрощує діяльність власників баз персональних даних.

Закон прийнято з метою реалізації Національного плану з виконання Плану дій щодо лібералізації Європейським Союзом візового режиму для України, затвердженого Указом Президента України від 22 квітня 2011 року № 494, та приведення законодавства України у відповідність до Конвенції Ради Європи про захист осіб у зв’язку з автоматизованою обробкою персональних даних та Додаткового протоколу до неї щодо органів нагляду та транскордонних потоків даних, ратифікованих Законом України від 6 липня 2010 року № 2438-VI.

Закон вносить зміни до Кодексу України про адміністративні правопорушення, Закону України «Про захист персональних даних», та визначає Уповноваженого Верховної Ради України з прав людини уповноваженим органом у сфері захисту персональних даних.

Зокрема, Законом передбачається передача Уповноваженому Верховної Ради України з прав людини Державного реєстру баз персональних даних та заяв про реєстрацію баз персональних даних.

Державний реєстр баз персональних даних – єдина державна інформаційна система збору, накопичення та обробки відомостей про зареєстровані бази персональних даних.

Відповідно до Закону інститут Уповноваженого Верховної Ради України з прав людини, наділяється,  зокрема, такими повноваженнями:

1. проведення  планових та позапланових, виїзних та безвиїзних, перевірок володільців та/або розпорядників персональних даних;
2.  направлення до володільця та/або розпорядника персональних даних подання Уповноваженого Верховної Ради України з прав людини для вжиття ними заходів щодо усунення виявлених порушень законодавства про захист персональних даних;
3. надання рекомендації у сфері  захисту персональних даних;
4. внесення пропозицій щодо формування та реалізації державної політики у сфері захисту персональних даних в порядку, визначеному законодавством;
5. здійснення моніторингу нових практик, тенденцій та технологій захисту персональних даних;
6. погодження корпоративних кодексів поведінки.

Крім того, інститут Уповноваженого отримав право складати протоколи про притягнення до адміністративної відповідальності та направляти їх до суду у випадках, передбачених законом (замість Державної служби з питань захисту персональних даних). До повноважень омбудсмена також належатиме затвердження Типового порядку обробки персональних даних.

Визначення Уповноваженого Верховної Ради України з прав людини повноважним органом у сфері захисту персональних даних дозволить Україні виконати взяті на себе зобов’язання щодо вдосконалення законодавства України та створення належної інституційної системи у цій сфері, які є необхідними для виконання Плану дій щодо лібералізації Європейським Союзом візового режиму для України.

Відносно змін до Кодексу України про адміністративні правопорушення, то можна зазначити, що удосконалено ст.188, якою встановлено адміністративну відповідальність за порушення законодавства у сфері захисту персональних даних.

Так, у Законі переглянуто санкції за порушення зобов’язань щодо повідомлення та реагування на приписи Омбудсмена, порушення порядку обробки персональних даних, але самі розміри штрафних санкцій кардинальних змін не зазнали.

Змінами, які зачепили Закон України “Про захист персональних даних”, передбачено:

1. Збільшення строку, протягом якого володілець персональних даних має повідомити суб’єктів про збір їх персональних даних, якщо такий збір відбувається з інших, ніж самі суб’єкти, джерел. Цей строк становитиме 30 робочих днів замість 10
2. Скасована державна реєстрація персональних даних. З 1 січня 2014 року Державна реєстрація замінена повідомленням омбудсмена про обробку персональних даних упродовж 30 робочих днів з дня початку такої обробки.
3. Причому тут йдеться виключно про обробку персональних даних в умовах, які становлять особливий ризик для прав і свобод суб’єктів чиї дані обробляються.
4. Вся інформація щодо обробки персональних даних, а також форма та порядок подання повідомлення про обробку персональних даних та їх зміну має оприлюднюватись на офіційному веб-сайті Уповноваженого з прав людини.
5. Перелік персональних даних, які заборонено обробляти, поповнився біометричними та генетичними даними.
6. Суб'єкт персональних даних тепер матиме право знати не лише місцезнаходження своїх персональних даних, мету їх обробки, місцезнаходження володільця, а й про джерела їх збирання. Знищити персональні зможуть також за приписом Уповноваженого з прав людини, посадовими особами його секретаріату.
7. Рішення володільця про відмову у доступі до персональних даних може бути оскаржено фізичною особою не лише до суду, а й до Уповноваженого з прав людини.
8. Прикінцеві та перехідні положення Закону зобов’язують володільців персональних даних, які станом на 1 січня 2014 року здійснюють обробку персональних даних, що підлягає повідомленню, мають повідомити омбудсмена упродовж шести місяців, з 1 січня 2014 року.

Як підсумок, можна зазначити, що прийняття Закону покращить реалізацію в повному обсязі, закріпленого у статті 32 Конституції України, права на недоторканість приватного життя шляхом запровадження незалежних механізмів контролю за дотриманням законодавства у сфері захисту персональних даних.

Закон, є позитивним кроком на шляху до гармонізації українського законодавства про захист персональних даних із аналогічним законодавством країн ЄС.