Захист персональних даних: реформа законодавства

3 липня 2013 р. Верховна Рада України повторно, з урахуванням пропозицій Глави Держави, проголосувала за законопроект № 2836 «Про внесення змін до деяких законодавчих актів України щодо удосконалення системи захисту персональних даних», який передбачає внесення низки суттєвих змін до Закону України «Про захист персональних даних». 24 липня 2013 р. відбулося підписання закону Президентом України. Відтак, Закон України № 383-VII «Про внесення змін до деяких законодавчих актів України щодо удосконалення системи захисту персональних даних» набуде чинності з 1 січня 2014 р. Юристи юридичної фірми «Danevych law firm», проаналізували положення даного закону і визначили декілька фундаментальних змін, які значно змінюють систему захисту персональних даних в Україні. Пропонуємо короткий огляд цих змін увазі наших читачів.

Скасування Державної служби України з питань захисту персональних даних

Відповідно до Закону України № 383-VII скасовується термін «уповноважений державний орган з питань захисту персональних даних», функції якого виконуватиме Уповноважений Верховної Ради України з прав людини (далі — омбудсмен). Таким чином, повністю скасовується такий орган, як Державна служба України з питань захисту персональних даних, а всі її функції, реєстр баз персональних даних та накопичені заяви на реєстрацію баз персональних даних передаються омбудсменові.

Скасування реєстрації баз персональних даних

Закон України № 383-VII встановлює, що володілець персональних даних зобов’язаний повідомити омбудсмена про обробку персональних даних, що становить особливий ризик для прав і свобод суб’єктів персональних даних, протягом 30 робочих днів з дати початку такої обробки. Інформація, яка повідомляється, підлягатиме оприлюдненню, а види обробки персональних даних, у тому числі обробки, що становить особливий ризик для прав і свобод суб’єктів персональних даних, та категорії суб’єктів, на яких поширюється вимога щодо повідомлення, визначатимуться омбудсменом.

Таким чином, вимога щодо реєстрації баз персональних даних у тому вигляді, у якому вона існує сьогодні, скасовується.

Хоча Закон України № 383-VII передбачає передачу реєстру баз персональних даних та необроблених заяв про їх реєстрацію омбудсмену, він не визначає їх подальшої долі. Не встановлено, чи будуть зареєстровані бази персональних даних вважатися такими, про обробку персональних даних у яких було повідомлено, а також чи будуть зараховані подані, але необроблені заяви, у якості передбачених Законом України № 383-VII повідомлень.

Разом з тим необхідно враховувати перехідні положення Закону України № 383-VII, відповідно до яких володільці персональних даних, що на момент набуття чинності цим документом здійснюють обробку персональних даних, яка підлягає повідомленню, подають відповідне повідомлення в порядку, встановленому зазначеним законом, упродовж 6 міс з дня набуття ним чинності (тобто до 1 липня 2014 р.).

Таким чином, можна очікувати, що навіть володільці персональних даних, які зареєстрували відповідні бази даних, повинні будуть направити повідомлення, передбачене Законом України № 383-VII, у випадку, якщо такий обов’язок для них буде передбачено відповідним підзаконним нормативно-правовим актом омбудсмена, оскільки природа реєстрації баз персональних даних та направлення повідомлень відповідно до Закону України № 383-VII є різною.

Повноваження омбудсмена у сфері захисту персональних даних

Законом України № 383-VII визначено чіткий перелік повноважень омбудсмена. Так, він розглядатиме скарги й пропозиції осіб, проводитиме перевірки володільців персональних даних, отримуватиме та матиме доступ до будь-якої інформації (документів) володільців або розпорядників персональних даних, які необхідні для здійснення контролю, затверджуватиме нормативно-правові акти у сфері захисту персональних даних у випадках, передбачених цим законом. Також омбудсмен видаватиме приписи щодо усунення чи запобігання порушенням, надаватиме рекомендації та пропозиції, у тому числі стосовно вдосконалення законодавства. Крім того, він матиме право складати протоколи про притягнення до адміністративної відповідальності та направляти їх до суду у випадках, передбачених законом. До повноважень омбудсмена також належатиме затвердження Типового порядку обробки персональних даних.

Таким чином, усі чинні підзаконні акти, затверджені Міністерством юстиції України та Державною службою України з питань захисту персональних даних, втратять чинність, а їх нові редакції мають бути затверджені омбудсменом.

Зміни деяких формулювань прав суб’єктів персональних даних та строку для повідомлення

Закон України № 383-VII вносить зміни до формулювання прав суб’єктів персональних даних, що необхідно враховувати при наданні відповідних повідомлень володільцями персональних даних. Оскільки в деяких володільців персональних даних перелік прав суб’єктів персональних даних закріплено у внутрішніх документах, відповідні зміни мають бути внесені в такі внутрішні політики.

Крім того, Законом України № 383-VII передбачено збільшення строку, протягом якого володілець персональних даних має повідомити суб’єктів про збір їх персональних даних, якщо такий збір відбувається з інших, ніж самі суб’єкти, джерел. Цей строк становитиме 30 робочих днів замість 10.

Вадим Шестаков, LL.M.,
старший юрист Danevych law firm
Леонід Чернявський,
юрист Danevych law firm
Артем Грудінін,
молодший юрист Danevych law firm

Коментарі

Коментарі до цього матеріалу відсутні. Прокоментуйте першим

Добавить свой

Ваша e-mail адреса не оприлюднюватиметься. Обов’язкові поля позначені *

*

Останні новини та статті