Державна служба України з питань захисту персональних даних (далі — Служба) повідомила про розширення з 20.12.2012 переліку правових підстав для обробки персональних даних, наведених, зокрема, в статті 11 Закону України «Про захист персональних даних» від 01.06.2010 № 2297-VI.
Тобто згода фізособи на обробку її персональних даних уже не є виключною підставою для такої обробки. При цьому факт реєстрації баз персональних даних не створює додаткових прав та обов’язків для володільців персональних даних.
Штрафи за несвоєчасне подання чи неподання звітності
Крім того, Служба нагадала, що відповідальність за порушення законодавства про захист персональних даних передбачено статтями 18839 та 18840 Кодексу України про адміністративні правопорушення.
Сама Служба уповноважена лише складати адмінпротоколи про виявлені порушення законодавства у сфері захисту персональних даних. Проте вона не вправі розглядати справи про адмінправопорушення, накладати стягнення та встановлювати критерії малозначності вчинених правопорушень. Протокол про адмінправопорушення разом з іншими матеріалами у триденний строк з моменту його складання надсилається до місцевого загального суду за місцем вчинення правопорушення.
Як відомо, за вчинення адмінправопорушення стягнення може бути накладено не пізніше ніж через три місяці з дня вчинення правопорушення, а при триваючому правопорушенні — не пізніше ніж через три місяці з дня його виявлення.
При цьому прикладом «разового» порушення законодавства про захист персональних даних може бути неповідомлення або несвоєчасне повідомлення суб’єкта персональних даних про їх збирання, разове поширення персональних даних без належних на те правових підстав тощо. Прикладом триваючого порушення може бути випадок розміщення (поширення) володільцем персональних даних списку боржників з оплати за комунальні послуги, що містить персональні дані, факт якого було зафіксовано при проведенні перевірки.
