Внесено зміни до деяких законодавчих актів України щодо удосконалення системи захисту персональних даних (далі — Зміни).
Зокрема, відповідно до Змін одним із суб’єктів відносин, пов’язаних із персональними даними (далі — ПД), стає Уповноважений Верховної Ради України з прав людини (далі — Омбудсмен), замість уповноваженого державного органу з питань захисту персональних даних, яким на сьогодні виступає Державна служба України з питань захисту персональних даних.
Штрафи за несвоєчасне подання чи неподання звітності
У зв’язку з цим уточнено повноваження Омбудсмена у сфері захисту ПД. Зокрема, йому надано право контролювати виконання вимог законодавства у сфері захисту ПД та своїх приписів шляхом проведення виїзних та безвиїзних, планових, позапланових перевірок, надсиланням запитів та звернень. Крім цього, Омбудсмен має право складати адмінпротоколи та направляти їх до суду, а також надавати рекомендації і роз’яснення за зверненням відповідних суб’єктів ПД тощо.
Суб’єкт ПД тепер матиме право знати не лише місцезнаходження своїх ПД, мету їх обробки, місцезнаходження володільця, а й про джерела їх збирання. Разом з тим перелік ПД, які заборонено обробляти, поповнився біометричними та генетичними даними.
Не менш важливою новацією є скасування державної реєстрації баз ПД (як і самого поняття «Державний реєстр баз персональних даних»). Замість цього для володільців ПД вводиться новий обов’язок — повідомляти омбудсмена про обробку ПД, яка становить особливий ризик для прав і свобод суб’єктів ПД, упродовж 30-ти робочих днів з дня початку такої обробки.
Види такої обробки ПД, категорії суб’єктів, на яких поширюється вимога щодо повідомлення, порядок подання та форма цього повідомлення має визначити Омбудсмен протягом трьох місяців з 01.01.2014.
Передбачено, що володілець ПД зобов’язаний повідомляти Омбудсмена про кожну зміну відомостей, що підлягають повідомленню, протягом 10-ти робочих днів з дня настання такої зміни. Така інформація оприлюднюватиметься на офіційному сайті Омбудсмена.
При цьому Державний реєстр баз персональних даних та заяви про реєстрацію баз ПД, подані до набрання чинності цими Змінами, будуть збережені та передані Омбудсмену.
Встановлено також, що рішення про відстрочення або відмову у доступі до персональних даних може бути оскаржено не лише до суду, а й до Омбудсмена.
Окремі зміни торкнулися й адмінвідповідальності за правопорушення у сфері захисту ПД. Зокрема, накладатимуться штрафи:
- від 100 до 200 нмдг (від 1700 до 3400 грн.) — на громадян; від 200 до 400 нмдг (від 3400 до 6800 грн.) на посадових осіб, підприємців (за неповідомлення або несвоєчасне повідомлення Омбудсмена про обробку ПД або про зміну відомостей, що підлягають повідомленню, повідомлення неповних або недостовірних відомостей);
- від 200 до 300 нмдг (від 3400 до 5100 грн.) — на громадян; від 300 до 1000 нмдг (від 5100 до 17 000 грн.) — на посадових осіб, підприємців (за невиконання законних вимог (приписів) Омбудсмена або посадових осіб його секретаріату щодо запобігання або усунення порушень законодавства про захист ПД);
- від 100 до 500 нмдг (від 1700 до 8500 грн.) — на громадян; від 300 до 1000 нмдг (від 5100 до 17 000 грн.) — на посадових осіб, підприємців (за недотримання встановленого законодавством порядку захисту ПД, яке призвело до незаконного доступу до них або порушення прав суб’єкта ПД).
За повторне вчинення перерахованих правопорушень розмір штрафів зросте до 2000 нмдг (34 000 грн.).
Зміни наберуть чинності з 01.01.2014.
