Ответственность за нарушение закона в сфере защиты персональных данных
Новини
07.06.2012
Ответственность за нарушение закона в сфере защиты персональных данных
Отдельные аспекты ответственности за нарушения в сфере защиты персональных данных проанализировал Алексей Мервинский, глава Государственной службы Украины по вопросам защиты персональных данных (публикуется на языке оригинала).
Незважаючи на те, що «вилка» санкцій є достатньо широкою, у більшості випадків визначення «протиправності дій» насамперед пов’язується з фактом конкретних порушень прав конкретного громадянина — суб’єкта персональних даних.
Оскільки Закон спрямований на захист прав людини, то питання відповідальності за порушення законодавства про захист персональних даних насамперед слід тлумачити з огляду на дії або бездіяльність, що спричинили реальну суттєву шкоду фізичній особі внаслідок незаконного доступу до її персональних даних та незаконній обробці цих даних.
Саме тому серед усього переліку статей Закону «Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних» найбільш важливою нормою можна вважати статтю 182 Кримінального кодексу України «Порушення недоторканності приватного життя», яка передбачає відповідальність за: незаконне збирання, зберігання, використання, знищення, поширення конфіденційної інформації про особу або незаконну зміну такої інформації. Крім того, пункт 2 цієї статті передбачає посилення відповідальності за вчинення тих самих дії повторно, або якщо вони заподіяли істотну шкоду охоронюваним законом правам, свободам та інтересам особи. Істотною шкодою зазвичай вважається така шкода, яка в сто і більше разів перевищує неоподатковуваний мінімум доходів громадян.
Далі за «ступенем захисту від втручання в особисте життя» слідує стаття 18839 Кодексу України про адміністративні правопорушення «Порушення законодавства у сфері захисту персональних даних», яка стосується питань:
неповідомлення або несвоєчасне повідомлення суб’єкта персональних даних про його права у зв’язку із включенням його персональних даних до бази персональних даних, мету збору цих даних та осіб, яким ці дані передаються;
недодержання встановленого законодавством про захист персональних даних порядку захисту персональних даних у базі персональних даних, що призвело до незаконного доступу до них.
Особлива важливість зазначених статей пов’язана з тим, що вони покликані унеможливити зловживання та незаконне використання персональних даних, що могло би завдати шкоди суб’єкту персональних даних — людині.
Далі за ступенем значущості можна виділити статтю 18840 Кодексу України про адміністративні правопорушення щодо невиконання законних вимог посадових осіб спеціально уповноваженого центрального органу виконавчої влади з питань захисту персональних даних.
І тільки на останньому місці у цій статті передбачається відповідальність за ухилення від державної реєстрації бази персональних даних та неповідомлення або несвоєчасне повідомлення спеціально уповноваженого центрального органу виконавчої влади з питань захисту персональних даних про зміну відомостей, що подаються для державної реєстрації бази персональних даних. Це пов’язано з тим, що ухилення від реєстрації само по собі, зазвичай, не завдає шкоди суб’єкту персональних даних, але створює передумови для інших порушень.
У контексті встановлення відповідальності за ухилення від державної реєстрації бази персональних даних також необхідно підкреслити те, що у відповідності до законодавства реєстрація баз персональних даних здійснюється за заявочним принципом, який полягає насамперед у тому, що володілець бази персональних даних самостійно визнає факт наявності персональних даних, усвідомлює необхідність забезпечення законної обробки та законного доступу до даних про фізичну особу про що ставить відмітку у відповідному розділі заяви на реєстрацію бази персональних даних.
Також, слід звернути увагу на розмір штрафів. За ухилення від державної реєстрації бази персональних даних максимальною санкцією є накладання штрафу у розмірі до тисячі неоподатковуваних мінімумів доходів громадян. У той же час, максимальною санкцією за неповідомлення або несвоєчасне повідомлення суб’єкта персональних даних про його права у зв’язку із включенням його персональних даних до бази персональних даних, мету збору цих даних та осіб, яким ці дані передаються, є накладання штрафу у розмірі до чотирьохсот неоподатковуваних мінімумів доходів громадян.
Окремо слід окреслити питання, які були висвітлені у коментарях Державної служби України з питань захисту персональних даних і які стосувалися умов, за яких буде порушуватися питання щодо притягнення до адміністративної та кримінальної відповідальності у сфері захисту персональних даних:
До ДСЗПД повинна бути надіслана скарга від фізичної особи (при цьому скарга має бути підкріплена документами, що підтверджують порушення у сфері захисту персональних даних). На підставі розгляду скарги Володільця чи Розпорядника баз персональних даних може бути включено до Плану перевірок дотримання вимог законодавства про захист персональних даних на відповідний період.
На підставі скарги або Плану ДСЗПД буде проведено перевірку володільців та (або) розпорядників баз персональних даних щодо дотримання ними вимог законодавства про захист персональних даних, в результаті якої буде надано припис про усунення порушень. В разі невиконання припису ДСЗПД складає адміністративний протокол, який потім передається до суду.
Після вступу в силу Закону України «Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних», у разі виявлення під час перевірки порушень передбачених статтями Кодексу України про адміністративні правопорушення буде складатись адміністративний протокол, а у разі виявлення порушень передбачених статтями Кримінального кодексу України — матеріали перевірки будуть передаватись правоохоронним органам.
Тільки наявність адміністративного протоколу, складеного представниками ДСЗПД, є підставою для проведення відповідного судового засідання та прийняття рішення про накладення адміністративного стягнення, передбаченого Кодексом України про адміністративні правопорушення, на підставі якого володільцем бази персональних даних сплачується штраф.
Ухиленням від державної реєстрації бази персональних даних не вважатиметься факт подачі володільцем бази персональних даних заяви про реєстрацію бази персональних даних до ДСЗПД до 1 липня 2012 року.
Єдиним органом виконавчої влади, на який законом покладеного завдання щодо контролю за додержанням вимог законодавства про захист персональних даних є Державна служба України з питань захисту персональних даних, а рішення про адміністративне стягнення прийматиме лише суд.
У теперішній час працівниками ДСЗПД закінчено роботу над розробкою проекту «Положення про порядок здійснення контролю у сфері захисту персональних даних», який розроблений у відповідності до Закону України «Про основні принципи державного нагляду (контролю) у сфері господарчої діяльності». Зазначений документ конкретизує значну кількість питань діяльності щодо практичного застосування вимог законодавства про відповідальність у сфері захисту персональних даних, визначення фактів порушень та притягнення до відповідальності порушників. Після реєстрації зазначеного документу Міністерством юстиції України він вступить в дію, що дозволить здійснити його апробацію на практиці.
З метою максимально повного висвітлення питання відповідальності володільців баз персональних даних насамперед необхідно також чітко висвітлити їх обов’язки щодо захисту персональних даних, що кореспондуються з правами суб’єкта персональних даних.
Для кращого розуміння питання можливого настання відповідальності володільців або розпорядників баз персональних даних сформуємо їх у відповідні групи.
1. Вчинення дій, пов’язаних з персональними даними без згоди суб’єкта персональних даних:
Обробка персональних даних без конкретних і законних цілей, що визначаються за згодою суб’єкта персональних даних.
Зміна визначеної мети обробки персональних даних без згоди суб’єкта персональних даних.
Використання, поширення персональних даних без згоди суб’єкта.
Необґрунтоване посилання на забезпечення інтересів національної безпеки, економічного добробуту та прав людини при використанні та поширенні персональних даних без згоди суб’єкта.
Визначення строків зберігання персональних даних без згоди суб’єкта персональних даних.
Крім того, Закон чітко визначає дії володільця або розпорядника бази персональних даних, які визначаються умовами згоди суб’єкта персональних даних окрім випадків, передбачених законами України:
Обсяги персональних даних, які можуть бути включені до бази персональних даних, визначаються умовами згоди.
Порядок доступу до персональних даних третіх осіб.
Повідомлення про передачу персональних даних третій особі протягом десяти робочих днів.
Окремо слід зазначити те, що ДСЗПД веде Державний реєстр баз персональних даних, який надає можливість кожному громадянину отримати інформацію щодо внесених до нього записів, знати про місцезнаходження баз персональних даних, їх призначення та найменування, місцезнаходження та/або місце проживання (перебування) володільця чи розпорядника цієї бази.
Суб’єкт персональних даних також має право:
пред’являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким володільцем та розпорядником бази персональних даних, якщо ці дані обробляються незаконно чи є недостовірними;
оскаржувати рішення володільця або розпорядника баз персональних даних про відстрочення або відмову в доступі до персональних даних;
на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв’язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи;
звертатися з питань захисту своїх прав щодо персональних даних до органів державної влади, органів місцевого самоврядування, до повноважень яких належить здійснення захисту персональних даних;
застосовувати засоби правового захисту у разі порушення законодавства про захист персональних даних.
Оскарження зазначених рішень здійснюється до уповноваженого державного органу з питань захисту персональних даних (ДСЗПД), інших органів державної влади (Міністерства юстиції України) або до суду.
2. Відповідальність за порушення вимог щодо забезпечення законності обробки персональних даних (тобто обробка персональних даних):
Без згоди суб’єкта персональних даних або без наявності відповідного дозволу на обробку персональних даних, який надається володільцю бази персональних даних відповідно до закону, виключно для здійснення його повноважень.
Обробка персональних даних без згоди суб’єкта з необґрунтованим посиланням на необхідність захисту життєво важливих інтересів суб’єкта персональних даних.
Неотримання згоди суб’єкта персональних даних на обробку його персональних даних з посиланням на необхідність захисту життєво важливих інтересів суб’єкта персональних даних у час, коли отримання такої згоди стала можливою.
(Важливим при цьому є те, що при наданні суб’єктом персональних даних згоди на обробку його персональних даних він має право внести застереження стосовно обмеження права на обробку своїх персональних даних).
Ненадання працівникам дозволу на використання персональних даних лише у суворій відповідності до їхніх професійних чи службових або трудових обов’язків.
Не доведення до працівників вимоги щодо не припущення розголошення ними у будь-який спосіб персональних даних, які їм було довірено або які стали відомі у зв’язку з виконанням професійних чи службових або трудових обов’язків.
Не доведення до працівників вимоги стосовно того, що це зобов’язання є чинним після припинення ними діяльності, пов’язаної з персональними даними.
3. Відповідальність за невиконання або неналежне виконання процедур, пов’язаних з формулювання мети обробки персональних даних:
Невнесення чіткого формулювання мети обробки персональних даних до відповідних нормативно-правових чи статутних документів.
Неповідомлення суб’єкта персональних даних протягом десяти робочих днів з дня включення його персональних даних до бази персональних даних про мету збору даних виключно в письмовій формі.
4. Відповідальність за недотримання вимог щодо точності та достовірності персональних даних, які збираються та обробляються у базах персональних даних:
За невиконання заходів щодо оновлення персональних даних у разі необхідності.
За невнесення змін до персональних даних на підставі вмотивованої письмової вимоги суб’єкта персональних даних.
За ігнорування вимоги щодо невідкладного внесення змін до персональних даних, які не відповідають дійсності з моменту встановлення невідповідності.
За обробку відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи.
5. Відповідальність за формування складу та змісту персональних даних у базі персональних даних:
За невідповідність складу та змісту персональних даних визначеній меті їх обробки.
За надмірність персональних даних — збирання та обробку персональних даних, що не відповідає визначеній меті їх обробки.
За обробку персональних даних про расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, а також даних, що стосуються здоров’я чи статевого життя, окрім випадків, передбачених Законом.
6. Відповідальність за невиконання вимог, пов’язаних з державною реєстрацією бази персональних даних:
Неповідомлення суб’єкта персональних даних протягом десяти робочих днів з дня включення його персональних даних до бази персональних даних про його права, визначені Законом та осіб, яким передаються його персональні дані, виключно в письмовій формі.
Неповідомлення ДСЗПД про кожну зміну відомостей, необхідних для реєстрації відповідної бази, не пізніш як протягом десяти робочих днів з для настання такої зміни.
7. Відповідальність за дії, пов’язані з обробкою персональних даних:
Умисне приховування, ненаданням чи несвоєчасним наданням, що призвели до випадкової втрати, знищення, пошкодження.
Знищення персональних даних в базах персональних даних у випадках, що не передбачені Законом.
Неповідомлення протягом десяти робочих днів суб’єкта персональних даних про зміну чи знищення персональних даних або обмеження доступу до них, а також не здійснення відповідного повідомлення суб’єктів відносин, пов’язаних із персональними даними, яким ці дані було передано.
Обробляти персональні дані у формі, що допускає ідентифікацію фізичної особи, якої вони стосуються, у строк, не більший ніж це необхідно відповідно до їх законного призначення.
8. Відповідальність за ненадання або несвоєчасне надання суб’єкту персональних даних доступу до його персональних даних, що містяться у відповідній базі персональних даних:
Відстрочення доступу суб’єкта персональних даних до своїх персональних даних.
Ненадання суб’єкту персональних даних можливості реалізовувати право безоплатного одержання будь-яких відомостей про себе у будь-якого суб’єкта відносин, пов’язаних з персональними даними, без зазначення мети запиту.
Ігнорування запиту суб’єкта персональних даних на предмет його задоволення.
Ненадання відповіді на запит суб’єкта персональних даних більше ніж десять робочих днів з дня його надходження.
Неповідомлення протягом десяти робочих днів особи, яка подала запит, що запит буде задоволено або направлення відмови у наданні відомостей із зазначенням підстави з посиланням на конкретний нормативно-правовий акт.
Недотримання строків безоплатного задоволення запиту суб’єкта персональних даних (більше ніж тридцять календарних днів) щодо надання відповіді про те, чи зберігаються його персональні дані у відповідній базі персональних даних, а також надання змісту його персональних даних, які зберігаються, та джерела отримання цих відомостей.
Ненадання інформації суб’єкту персональних даних про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються його персональні дані, що містяться у відповідній базі персональних даних.
Невиконання вимоги, що у разі відстрочення доступу до персональних даних третіх осіб допускається у разі, якщо необхідні дані не можуть бути надані протягом тридцяти календарних днів з дня надходження запиту (проте, загальний термін вирішення питань, порушених в запиті, не може перевищувати сорока п’яти календарних днів).
Неповідомлення суб’єкта персональних даних про відстрочення у письмовій формі з роз’ясненням порядку оскарження такого рішення із зазначенням: прізвища, ім’я та по-батькові посадової особи, дати відправлення повідомлення, причини відстрочення та строку, протягом якого буде задоволено запит.
9. Відповідальність за не створення умов для захисту персональних даних у базі персональних даних:
Незабезпечення захисту персональних даних від незаконного доступу до них.
Незабезпечення цілісності персональних даних у базі персональних даних.
Незабезпечення відповідного режиму доступу до персональних даних.
Не визначення структурного підрозділу або відповідальної особи, яка організовує роботу, пов’язану із захистом персональних даних при їх обробці.
Незабезпечення фізичною особою, яка володіє персональними даними особистого захисту баз персональних даних.
10. Відповідальність за порушення вимог при поширенні (розповсюдженні, реалізації, передачі) відомостей про фізичну особу з урахуванням того, що виконання вимог встановленого режиму захисту персональних даних забезпечує сторона, що поширює ці дані:
Розголошення відомостей стосовно суб’єктів персональних даних, доступ до персональних даних яких надається іншим суб’єктам відносин, пов’язаних з такими даними.
Надання доступу до персональних даних третій особі, якщо зазначена особа відмовляється взяти на себе зобов’язання щодо забезпечення вимог Закону або неспроможна їх забезпечити.
Надання права на використання персональних даних без створення відповідних умов для захисту цих даних та перевірки вжитих стороною, якій передаються персональні дані, створених нею заходів щодо забезпечення вимог Закону.
Доручення обробки персональних даних розпоряднику володільцем без укладання з розпорядником договору в письмовій формі.
Обробка персональних даних розпорядником не у відповідності до чітко встановленої мети обробки персональних даних та в обсягах, що були визначені в умовах укладеного договору.
Використовувати відомості про особисте життя фізичної особи як чинник, що підтверджує чи спростовує її ділові якості.