Зміни до закону про захист персональних даних підписано

July 23, 2013
Двадцять третього липня 2013 року Президент України підписав Закон України “Про внесення змін до деяких законодавчих актів України щодо удосконалення системи захисту персональних даних”, № 383-VII (законопроект №2836).

Законом вводиться низка новел і уточнень до Закону України «Про захист персональних даних», ратифікаційного закону Конвенції та кодексу про адміністративні правопорушення.

Однією з основних змін закону є вилучення із переліку суб’єктів уповноваженого державного органу з питань захисту персональних даних (Державна служба захисту персональних даниз — прим.) і передача функцій контролю до Уповноваженого Верховної Ради України з прав людини. Також ліквідується система реєстрації баз персональних даних, яка заміняється повідомленням Омбудсмена про обробку персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних.

Органи державної влади та органи місцевого самоврядування, а також володільці, які здійснюють обробку даних, що несуть особливий ризик мають визначати відповідальний підрозділ (особу), що організовує роботу, пов’язану із захистом персональних даних при їх обробці. Інформація про зазначений структурний підрозділ або відповідальну особу повідомляється Уповноваженому Верховної Ради України з прав людини, який забезпечує її оприлюднення.

Законом дається нове визначення володільця персональних даних, як фізичної особи, яка визначає мету обробки персональних даних, встановлює склад цих даних та процедури їх обробки, якщо інше не визначено законом; суб’єкта персональних даних, як фізичної особи, персональні дані якої обробляються та третьої особи.

Змінами удосконалюється перелік прав суб’єкта персональних даних і пов’язаних з ними обов’язків володільця. Так, при зміні мети обробки персональних даних на нову, що є несумісною з попередньою згода суб’єкта є необхідною. До переліку чутливих даних додано біометричні і генетичні дані, однак вилучено звинувачення у злочині. Суб’єкт матиме право, зокрема:

  • знати про джерела збирання, місцезнаходження своїх персональних даних, мету їх обробки, місцезнаходження або місце проживання (перебування) володільця чи розпорядника персональних даних, а також отримувати не пізніш як за тридцять календарних днів з дня надходження запиту, крім випадків, передбачених законом, відповідь про те, чи обробляються його персональні дані, а також отримувати зміст таких персональних даних

  • звертатися із скаргами на обробку своїх персональних даних до Уповноважений або до суду;

Законом змінюється зміст статей 23-25, які встановлюють повноваження Уповноваженого Верховної Ради України з прав людини у сфері захисту персональних даних, забезпечення захисту персональних даних та обмеження дії Закону. Так, Омбудсмен матиме право на перевірки, як за скаргами так і за власною ініціативою, мати доступ до будь-якої інформації (документів) (у т.ч. з обмеженим доступом) володільців або розпорядників персональних даних, які необхідні для здійснення контролю відповідних баз даних чи картотек, інформації з обмеженим доступом; затверджувати нормативно-правові акти у сфері захисту персональних даних, за підсумками перевірки, розгляду звернення видавати обов’язкові для виконання вимоги (приписи) про запобігання або усунення порушень, надавати рекомендації щодо практичного застосування законодавства, роз’яснювати права і обов’язки відповідних осіб, складати протоколи про притягнення до адміністративної відповідальності та направляти їх до суду тощо.

Новелою закону є зміна винятків, а саме обробка даних дозволяється без застосування положень закону фізичною особою виключно для особистих чи побутових потреб, а також виключно для журналістських та творчих цілей, за умови забезпечення балансу між правом на повагу до особистого життя та правом на свободу вираження поглядів. Таким чином законодавець відійшов від прив’язки до професії журналіста. Окрім того, в законі зафіксовано положення про те, що для захисту інтересів національної безпеки, економічного добробуту або захисту прав і свобод суб’єктів персональних даних чи інших осіб дію статей що регулюють загальні питання обробки персональних даних, чутливих персональних даних та прав суб’єктів (ст. 6-8) може бути обмежено.

Насамкінець законом змінюється стаття 18839КУПАП, яка встановлює санкції за порушення зобов’язань щодо повідомлення та реагування на приписи Омбудсмена, порушення порядку обробки персональних даних.

Не обійшлося в законі і без казусів. Так, законодавець промазав з вилученням відповідної частини статті і замість вилучення визначення Державного реєстру баз персональних даних закон залишився без визначення згоди суб’єкта персональних даних.Текст закону буде доступний за деякий час за посиланням: http://zakon.rada.gov.ua/go/383-VII