З 1 січня 2014 року набрав чинності Закон України від 03.07.2013 № 383-VII «Про внесення змін до деяких законодавчих актів України щодо удосконалення системи захисту персональних даних» (далі – Закон), яким у тому числі було внесено відповідні зміни і до Закону України «Про захист персональних даних».
Відповідно до Закону з 1 січня 2014 року, зокрема:
1. Функції уповноваженого органу у сфері захисту персональних даних виконуватиме Уповноважений Верховної Ради України з прав людини (далі – Уповноважений), у тому числі й щодо здійснення контролю за дотриманням вимог законодавства в Україні у сфері захисту персональних даних, наданням рекомендацій щодо практичного застосування законодавства у сфері захисту персональних даних, тощо.
2. Скасовано процедуру державної реєстрації баз персональних даних та встановлено обов’язок повідомляти про обробку персональних даних Уповноваженого.
Повідомлення про обробку персональних даних здійснюється лише щодо певних категорій дій з обробки персональних даних, які становлять особливий ризик для прав і свобод суб’єктів персональних даних.
Види обробки персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних, та категорії суб’єктів, на яких поширюється вимога щодо повідомлення, визначаються Уповноваженим.
Повідомлення про обробку персональних даних, які становлять особливий ризик для прав і свобод суб’єктів персональних даних, подається за формою та в порядку, визначеними Уповноваженим. Строк повідомлення Уповноваженого про обробку персональних даних, які становлять особливий ризик для прав і свобод суб’єктів персональних даних, – упродовж тридцяти робочих днів з дня початку обробки персональних даних. Про кожну зміну відомостей, що підлягають повідомленню, повідомляється Уповноваженого упродовж десяти робочих днів з дня настання такої зміни.
Законом внесено також й інші зміни у Закон України «Про захист персональних даних», а також у Кодекс України про адміністративні правопорушення щодо відповідальності за порушення законодавства у сфері захисту персональних даних.
На виконання Прикінцевих та перехідних положень Закону наказом Уповноваженого Верховної Ради України з прав людини від 8 січня 2014 року №1/02-14 «Про затвердження документів у сфері захисту персональних даних» було затверджено:
– Порядок повідомлення Уповноваженого Верховної Ради України з прав людини про обробку персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних, про структурний підрозділ або відповідальну особу, що організовує роботу, пов’язану із захистом персональних даних при їх обробці, а також оприлюднення вказаної інформації (далі – Порядок повідомлення);
– Типовий порядок обробки персональних даних (далі – Типовий порядок);
– Порядок здійснення Уповноваженим Верховної Ради України з прав людини контролю за додержанням законодавства про захист персональних даних (далі – Порядок контролю).
Порядок повідомлення встановлює процедуру та затверджує форму повідомлення Уповноваженого про обробку персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних, про зміну відомостей, що підлягають повідомленню, та про структурний підрозділ або відповідальну особу, що організовує роботу, пов’язану із захистом персональних даних при їх обробці.
Відповідно до Закону та Порядку повідомлення володілець персональних даних, яким у тому числі відповідно до законодавства є і ломбард, повідомляє Уповноваженого лише про обробку персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних.
Згідно із пунктом 1.2 Порядку повідомлення до переліку персональних даних, які становлять особливий ризик для прав і свобод суб’єктів персональних даних та про обробку яких необхідно повідомляти Уповноваженого, відносяться персональні дані про:
– расове, етнічне та національне походження;
– політичні, релігійні або світоглядні переконання;
– членство в політичних партіях та/або організаціях, професійних спілках, релігійних організаціях чи в громадських організаціях світоглядної спрямованості;
– стан здоров’я;
– статеве життя;
– біометричні дані;
– генетичні дані;
– притягнення до адміністративної чи кримінальної відповідальності;
– застосування щодо особи заходів в рамках досудового розслідування;
– вжиття щодо особи заходів, передбачених Законом України "Про оперативно-розшукову діяльність";
– вчинення щодо особи тих чи інших видів насильства;
– місцеперебування та/або шляхи пересування особи.
8 січня 2014 року Уповноваженим Верховної Ради України з прав людини надані Роз’яснення основних положень Порядку повідомлення Уповноваженого щодо визначення обробки персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних (далі – Роз’яснення).
Відповідно до пункту 6 Роз’яснень не відноситься до переліку персональних даних, які становлять особливий ризик для прав і свобод суб’єктів персональних даних та про обробку яких необхідно повідомляти Уповноваженого:
– щодо стану здоров’я – медичні довідки, листи працездатності і т.д., які обробляються володільцем при реалізації трудових відносин;
– щодо місцеперебування та/або шляхів пересування особи – інформація про місце проживання, місце реєстрації, службові та інші відрядження та поїздки.
У Роз’ясненні також надані відповіді (роз’яснення) й щодо інших положень Порядку повідомлення (щодо процедури повідомлення; щодо відомостей, які підлягають повідомленню; тощо).
З урахуванням положень Закону, Порядку повідомлення та Роз’яснення у ломбардів, які не здійснюють обробку перелічених вище персональних даних та у наявних базах яких (базах персональних даних) не міститься перелічених вище персональних даних, які становлять особливий ризик для прав і свобод суб’єктів персональних даних, відсутня необхідність подання до Уповноваженого відповідних повідомлень.
Проте, звертаємо увагу ломбардів на те, що скасування необхідності реєстрації баз персональних даних, які наявні у ломбардах, не скасовує обов’язку їх ведення (подальшого ведення) та обов’язку дотримання при цьому вимог законодавства під час їх ведення.
Щодо Типового порядку зазначаємо, що цим порядком визначено загальні вимоги до обробки та захисту персональних даних суб’єктів персональних даних, що обробляються повністю чи частково із застосуванням автоматизованих засобів, а також персональних даних, що містяться у картотеці чи призначені до внесення до картотеки, із застосуванням неавтоматизованих засобів. Володільці, розпорядники персональних даних самостійно визначають порядок обробки персональних даних, враховуючи специфіку обробки персональних даних у різних сферах, відповідно до вимог, визначених Законом України «Про захист персональних даних» та Типовим порядком.
Щодо Порядку контролю зазначаємо, що цим порядком встановлено процедуру здійснення Уповноваженим контролю за додержанням вимог законодавства про захист персональних даних шляхом проведення перевірок у тому числі підприємств, установ і організацій усіх форм власності, що є володільцями персональних даних.
Відповідно до Порядку контролю контроль за додержанням суб’єктами перевірки законодавства про захист персональних даних здійснюється Уповноваженим та/або уповноваженими ним посадовими особами шляхом проведення перевірок: планових, позапланових, виїзних та безвиїзних. Планові та позапланові перевірки можуть бути виїзними та безвиїзними.
Планові перевірки проводяться відповідно до річних або квартальних планів та здійснюються з періодичністю не частіше одного разу на рік. План проведення перевірок після його затвердження розміщується на офіційному веб-сайті Уповноваженого.
Позапланові перевірки суб’єктів перевірки можуть проводитись за наявності однієї або декількох підстав/приводів, зокрема:
– за власною ініціативою Уповноваженого;
– при безпосередньому виявленні порушень вимог законодавства про захист персональних даних Уповноваженим, в тому числі і в результаті здійснення дослідження системних проблем щодо забезпечення права на приватність, повагу до приватного та сімейного життя;
– при наявності інформації про порушення вимог законодавства про захист персональних даних в повідомленнях, опублікованих в засобах масової інформації, оприлюднених в мережі Інтернет;
– обґрунтовані звернення фізичних та юридичних осіб з повідомленням про порушення фізичною особою, фізичною особою – підприємцем, підприємством, установою і організацією усіх форм власності, органом державної влади чи місцевого самоврядування, що є володільцями та/або розпорядниками персональних даних, вимог законодавства про захист персональних даних;
– виявлення недостовірності у відомостях (даних), наданих суб’єктом перевірки на письмовий запит Уповноваженого, щодо здійснення безвиїзної перевірки, та/або якщо такі відомості (дані) не дають змоги оцінити виконання суб’єктом перевірки вимог законодавства про захист персональних даних;
– контроль за виконанням суб’єктом перевірки приписів щодо усунення порушень вимог законодавства про захист персональних даних, виданих за результатами проведення перевірок.
Порядком контролю також встановлено (регламентовано) й питання щодо організації та проведення перевірок, оформлення результатів перевірок, складання приписів про усунення порушень вимог законодавства у сфері захисту персональних даних, виявлених під час перевірки, складання протоколів про адміністративні правопорушення. Одночасно, Порядком контролю визначені права та обов’язки уповноваженої посадової особи, що здійснює (проводить) перевірку, та посадових осіб суб’єкта перевірки.
Додатково повідомляємо, що Порядок повідомлення, Типовий порядок, Порядок контролю, Роз’яснення, інша інформація з питань захисту персональних даних розміщена на офіційному веб-сайті Уповноваженого Верховної Ради України з прав людини (www.ombudsman.gov.ua) у розділі «Захист персональних даних».