Захист персональних даних: відповідальність

November 16, 2010

Одинадцятого листопада 2010 року Кабінет Міністрів України вніс до Верховної Ради України проект Закону України “Про внесення змін до деяких законодавчих актів України щодо порушення законодавства про захист персональних даних”, №7355.

Проектом передбачається удосконалення та введення в дію кількох статей Кримінального та Кодексу України про адміністративні правопорушення щодо порушення обробки персональних даних.

Як зазначено у пояснювальній записці, законопроект розроблено з метою приведення законодавства України в частині встановлення відповідальності за порушення вимог щодо захисту персональних даних у відповідність до положень Конвенції Ради Європи про захист осіб у зв’язку з автоматизованою обробкою персональних даних та Додаткового протоколу до неї щодо органів нагляду та транскордонних потоків даних, ратифікованих Законом України від 6 липня 2010 року №2438-VI, Директиви 95/46/ЕС Європейського Парламенту та Ради від 24 жовтня 1995 року щодо захисту осіб у зв’язку з обробкою персональних даних та щодо вільної передачі таких даних, а також Закону України «Про захист персональних даних» від 1 червня 2010 року № 2297-VI.

Проектом запропоновано встановити відповідальність від 200-300 до 400-500 неоподатковуваних мінімумів доходів громадян, а на посадових осіб — до 1000 н.м.д.г. за:

  • ухилення від реєстрації бази персональних даних, створення або робота з базами персональних даних до проведення державної реєстрації таких баз даних у встановленому законодавством порядку

  • порушення порядку доступу до персональних даних, які обробляються у базах персональних даних, незабезпечення захисту такої інформації від доступу до неї сторонніх осіб, що призвело до її розголошення або втрати

  • неповідомлення або несвоєчасне повідомлення уповноваженого державного органу з питань захисту персональних даних або його територіальних органів про зміну відомостей, що подаються для реєстрації бази персональних даних,

  • неповідомлення або несвоєчасне повідомлення суб’єкта персональних даних про його права у зв’язку з включенням інформації про нього до бази персональних даних, мету збору цих даних та осіб, яким ці дані передаються

За порушення встановлених законодавством вимог щодо захисту інформації про особу фізична особа може сплатити 800-1000 н.м.д.г., а посадова особа — 1000-2000 н.м.д.г.

 

Кримінальний кодекс пропонується доповнити статтями щодо порушення вимог щодо захисту інформації про особу, яке призвело до несанкціонованого поширення або спотворення цієї інформації та заподіяло значної шкоди особі. За такі діяння доведеться сплатити штраф 800-2000 н.м.д.г., або може бути засуджено до виправних робіт від 2 до 4 років або шестимісячним арештом, або обмеженням волі на строк до двох років. За умисне порушення вищезгаданих вимог особа сплатить штраф у вигляді 500-1000 н.м.д.г. або буде засуджена до 2 років виправних робіт або трьохмісячним арештом.

 

Крім того, проект передбачає зміни до ст. 23 про інформацію в яку переноситься визначення поняття “інформації про особу” з закону про захист персональних даних.

 

Зауважимо, що проект має вади у відсутності тлумачення поняття “несвоєчасне повідомлення” та в очевидному дисбалансі санкцій за порушення вимог щодо захисту інформації про особу.

Картка проекту: http://gska2.rada.gov.ua/pls/zweb_n/webproc4_1?id=&pf3511=38996

Текст проекту:http://gska2.rada.gov.ua/pls/zweb_n/webproc34?id=&pf3511=38996&pf35401=177302