Захист персональних даних: доведеться відповідати

Проблема захисту інтересів особи в інформаційній сфері – це, зокрема, і проблема захисту персональних даних, яка стосується будь-якої сфери діяльності людини, суспільства і держави в цілому. Від розуміння важливості й необхідності створення ефективного механізму захисту персональних даних окремої особи залежить добробут як окремої людини, так і держави в цілому. На своєму шляху до наближення до стандартів Європейського Союзу стосовно захисту персональних даних осіб, Україна здійснила важливий крок, прийнявши довгоочікуваний Закон України «Про захист персональних даних» (далі – Закон), який набрав чинності 1 січня 2011 р., та ратифікувавши Конвенцію про захист осіб у зв’язку з обробкою персональних даних та Додатковий протокол до Конвенції про захист осіб у зв’язку з автоматизованою обробкою персональних даних стосовно органів нагляду та транскордонних потоків даних. Прийняття цього Закону та ратифікація Конвенції мали на меті наблизити українське суспільство до європейських стандартів захисту інформації, а саме персональних даних, гармонізувати українське законодавство та привести його у відповідність до таких нормативно-правових актів, як: Конвенція про захист осіб у зв’язку з автоматизованою обробкою даних особистого характеру, що підписана 28 січня 1981 р. в м. Страсбурзі, та Директива 95/46/ЄС Європарламенту і Ради від 24 жовтня 1995 р. про захист фізичних осіб при обробці персональних даних і про вільне переміщення таких даних.

Недоліки та недосконалості

Незважаючи на чисельні переваги Закону, він містить і ряд суттєвих недоліків та недосконалостей, які потребують якнайскорішого їх усунення шляхом прийняття низки нових нормативно-правових актів та внесення змін до вже існуючих. Один з таких недоліків – Закон не встановлює відповідальності суб’єктів відносин, пов’язаних із персональними даними, за порушення вимог цього Закону й не передбачає права фізичних осіб на відшкодування шкоди, завданої внаслідок втрати або незаконного розголошення персональних даних про них. Натомість ст. 10 Конвенції про захист осіб у зв’язку з автоматизованою обробкою даних особистого характеру містить відповідну норму щодо взяття кожною стороною (державою – членом Ради Європи) на себе зобов’язання «передбачити відповідні санкції та засоби правового захисту від порушень положень внутрішнього права, що запроваджують основоположні принципи захисту даних».

Наразі в українському законодавстві існує ст. 182 Кримінального кодексу України, що передбачає кримінальну відповідальність за «незаконне збирання, зберігання, використання або поширення конфіденційної інформації про особу без її згоди або поширення цієї інформації у публічному виступі, творі, що публічно демонструється, чи в засобах масової інформації». За такі дії законодавець передбачив покарання у вигляді штрафу у розмірі не менше 50 неоподатковуваних мінімумів доходів громадян або виправних робіт на строк до двох років, або арешту на строк до шести місяців, або обмеження волі на строк до трьох років. Адміністративна ж відповідальність за порушення законодавства про захист персональних даних досі не була передбачена.

Шанс на виправлення

З метою усунення вищезазначеного недоліку та врегулювання питання відповідальності за порушення законодавства про захист персональних даних Кабінет міністрів України подав на розгляд Верховної Ради України проект Закону «Про внесення змін до деяких законодавчих актів України щодо порушення законодавства про захист персональних даних» № 7355, який було прийнято у першому читанні. Проектом передбачено удосконалення та введення в дію декількох статей Кримінального кодексу, Кодексу України про адміністративні правопорушення, та Закону України «Про інформацію» щодо порушення обробки персональних даних. В законопроекті передбачено, що у разі його прийняття як закону останній набиратиме чинності одночасно з набранням чинності Законом України «Про захист персональних даних» від 01.06.2010 р. № 2297-VI, тобто з 1 січня 2011 р. Законопроект має на меті встановити адміністративну та кримінальну відповідальність за порушення вимог щодо захисту персональних даних. Це, в свою чергу, посилить захист права людини, закріпленого в ст. 32 Конституції України, згідно якої не допускається збирання, зберігання, використання та поширення конфіденційної інформації про особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту.

Буде й відповідальність

Як зазначив законодавець, законопроект було розроблено також з метою приведення законодавства України в частині встановлення відповідальності за порушення вимог щодо захисту персональних даних у відповідність до положень Конвенції Ради Європи про захист осіб у зв’язку з автоматизованою обробкою персональних даних та Додаткового протоколу до неї щодо органів нагляду та транскордонних потоків даних, ратифікованих Законом України від 06.07.2010 р. № 2438-VI, Директиви 95/46/ЄС Європарламенту та Ради від 24 жовтня 1995 р. щодо захисту осіб у зв’язку з обробкою персональних даних та щодо вільної передачі таких даних, а також Закону України «Про захист персональних даних» від 01.06.2010 р. № 2297-VI.

Відповідно до законопроекту передбачається доповнити Кодекс України про адміністративні правопорушення новою статтею, згідно з якою:

- ухилення від реєстрації бази персональних даних, створення або робота з базами персональних даних до проведення державної реєстрації таких баз даних у встановленому законодавством порядку, порушення порядку доступу до персональних даних, які обробляються у базах персональних даних, незабезпечення захисту такої інформації від доступу до неї сторонніх осіб, що призвело до її розголошення або втрати, тягнутимуть за собою накладення штрафу на громадян у розмірі 5,1-8,5 тис. грн., на посадових осіб – 8,5-17 тис. грн.;

- неповідомлення або несвоєчасне повідомлення уповноваженого державного органу з питань захисту персональних даних або його територіальних органів про зміну відомостей, що подаються для реєстрації бази персональних даних, тягнутимуть за собою накладення штрафу на громадян у розмірі 1,7-3,4 тис. грн., на посадових осіб – 3,4-6,8 тис. грн.;

- неповідомлення або несвоєчасне повідомлення суб’єкта персональних даних про його права у зв’язку з включенням інформації про нього до бази персональних даних, мету збору цих даних та осіб, яким ці дані передаються, тягнутимуть за собою накладення штрафу на громадян у розмірі 3,4-5,1 тис. грн., на посадових осіб – 3,4-6,8 тис. грн.

Також законопроектом пропонується доповнити Кодекс України про адміністративні правопорушення. Порушення встановлених законодавством вимог щодо захисту інформації про особу каратиметься накладенням штрафу на громадян у розмірі 13,6-17 тис. грн., на посадових осіб – 17-34 тис. грн..

Розгляд справ про вищезазначені адміністративні правопорушення буде віднесено до повноважень Державної служби з питань захисту персональних даних. Від імені уповноваженого державного органу з питань захисту персональних даних розглядати такі справи і накладати адміністративні стягнення матимуть право його керівник, заступники керівника та начальники територіальних органів, які здійснюють контроль у сфері захисту персональних даних. Указом Президента України 06.04.2011 р. було прийнято «Положення про Державну службу з питань захисту персональних даних» № 390/2011, яке визначило основні завдання, права та обов’язки цього органу виконавчої влади. Проте на сьогоднішній день досі нормативно не встановлено Порядок ведення державного реєстру баз персональних даних та Порядок обробки персональних даних в базах персональних даних, що, на нашу думку, є негативним фактором у законодавчому врегулюванні питання захисту персональних даних.

Кримінальні відтінки

Законопроектом також передбачається встановити кримінальну відповідальність за:

· порушення встановлених законом вимог щодо захисту інформації про особу, яке призвело до несанкціонованого поширення або спотворення цієї інформації та заподіяло значної шкоди особі, яке каратиметься штрафом у розмірі 13,6-34 тис. грн. або виправними роботами на строк до 2 років, або арештом на строк до 6 місяців, або обмеженням волі на строк до 2 років;

· умисне надання володільцем, розпорядником бази персональних даних чи уповноваженою особою доступу до інформації про особу або її умисна передача третім особам з порушенням закону, що призвело до несанкціонованого поширення або спотворення цієї інформації та заподіяло значної шкоди особі, яке каратиметься штрафом у розмірі 8,5-17 тис. грн. або виправними роботами на строк до 2 років, або арештом на строк до 3 місяців.

При цьому передбачено, що у справах про злочини, передбачені новими ст. 1821 та 1822, якими пропонується доповнити Кримінальний кодекс України, досудове слідство провадитиметься тим органом, до підслідності якого відноситься злочин, у зв’язку з яким порушено дану справу.

Проаналізувавши норми, запропоновані у вищезазначеному законопроекті, можна зазначити такі основні його недоліки. По-перше, санкція за вчинені правопорушення та/або злочини у більшості випадків пов’язана не з фактом порушення прав фізичної особи – суб’єкта персональних даних, а безпосередньо з порушенням вимог, встановлених Державною службою за питань захисту персональних даних, що є досить негативним фактором на противагу світовій практиці. По-друге, ст. 23 Закону України «Про інформацію» запропоновано викласти у новій редакції, відповідно до якої «інформація про особу – це відомості чи сукупність відомостей про особу, яка ідентифікована або може бути конкретно ідентифікована». Відповідно до визначення Закону України «Про захист персональних даних» «персональні дані – це відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована». Таким чином, визначення інформації про особу та персональних даних виявляються тотожними. Тобто в законопроекті термін «інформація про особу» фактично ототожнюються із терміном «персональні дані», що само по собі є необґрунтованим та, на нашу думку, помилковим. Адже «персональні дані» набагато вужче та специфічніше поняття, ніж узагальнюючий термін «інформація про особу».

Після сказаного

Ми вважаємо, що запропонований Кабінетом міністрів та прийнятий Верховною Радою у першому читанні законопроект «Про внесення змін до деяких законодавчих актів України щодо порушення законодавства про захист персональних даних» № 7355 сприятиме врегулюванню питання відповідальності за порушення законодавства з питань захисту персональних даних. Проте вищезазначений законопроект потребує доопрацювання та удосконалення з метою усунення вищезазначених недоліків.

Олександра ОДИНЕЦЬ | Правовий тиждень №20-21, 30 травня 2011

Стаття опублікована у четвер, 09.06.2011, у категорії Право, суди. Ви можете відслідковувати відповіді на цю статтю за допомогою RSS 2.0.

Написати відповідь


4 − чотири =

--


Календар публікацій

Червень 2011
П В С Ч П С Н
« Тра   Лип »
 12345
6789101112
13141516171819
20212223242526
27282930