ДЕРЖАВНА СЛУЖБА УКРАЇНИ З ПИТАНЬ ЗАХИСТУ ПЕРСОНАЛЬНИХ ДАНИХ

ЛИСТ

від 17 липня 2013 р. № 10/1892-13

Щодо розширення переліку правових підстав для обробки персональних даних

Державна служба України з питань захисту персональних даних (далі — Служба) розглянула звернення та зазначає таке.

Законом України від 20.11.2012 p. № 5491-VI «Про внесення змін до Закону України «Про захист персональних даних», який набув чинності 20.12.2012 р., внесено зміни, зокрема, до статті 11 Закону України «Про захист персональних даних», якими розширено перелік правових підстав для обробки персональних даних.

Статтею 11 Закону України «Про захист персональних даних» передбачено, що підставою для обробки персональних даних, окрім іншого, є укладення та виконання правочину, стороною якого є суб’єкт персональних даних або який укладено на користь суб’єкта персональних даних чи для здійснення заходів, що передують укладенню правочину на вимогу суб’єкта персональних даних.

Зазначене вище свідчить, що обробка персональних даних може здійснюватися не лише за згодою фізичної особи на обробку її персональних даних, а й з інших підстав, передбачених статтею 11 Закону України «Про захист персональних даних».

Факт реєстрації баз персональних даних не створює додаткових прав та обов’язків для володільців персональних даних. Таким чином, виконання вимог Закону України «Про захист персональних даних» суб’єктами відносин, пов’язаних з персональними даними, не залежить від того, чи зареєстрована у них база персональних даних.

Перш за все звертаємо увагу на те, що тлумачення та роз’яснення норм статей Кодексу України про адміністративні правопорушення виходить за межі компетенції Служби.

1. Відповідальність за порушення законодавства про захист персональних даних передбачено статтями 188³⁹ та 188⁴⁰ Кодексу України про адміністративні правопорушення (далі — КпАП).

2. Відповідно до пункту 1 частини першої статті 255 КпАП у справах про адміністративні правопорушення, що розглядаються органами, зазначеними в статтях 218–221 цього Кодексу, протоколи про правопорушення мають право складати уповноважені на те посадові особи спеціально уповноваженого центрального органу виконавчої влади з питань захисту персональних даних.

Тобто Служба уповноважена лише складати адміністративні протоколи про виявлені порушення законодавства у сфері захисту персональних даних у порядку, передбаченому законодавством та розділом VI Порядку здійснення Державною службою України з питань захисту персональних даних державного контролю за додержанням законодавства про захист персональних даних, затвердженого наказом Міністерства юстиції України від 22.06.2012 р. № 947/5, зареєстрованого в Міністерстві юстиції України 26.06.2012 р. за № 1064/21376 (далі — Порядок контролю).

За кожним випадком складання протоколу заводиться окрема справа про адміністративне правопорушення, до якої долучаються матеріали, що підтверджують факт вчинення адміністративного правопорушення та причетність до нього особи, стосовно якої складено протокол. Протокол про адміністративне правопорушення разом з іншими матеріалами у триденний строк з моменту його складання надсилається до місцевого загального суду за місцем вчинення правопорушення (п. 6.10 та п. 6.13 Порядку контролю).

Служба не має повноважень щодо розгляду справ про адміністративні правопорушення, накладення стягнення та встановлення критеріїв малозначності вчинених правопорушень.

Згідно зі статтею 221 КпАП судді районних, районних у місті, міських чи міськрайонних судів розглядають справи про адміністративні правопорушення, передбачені статтями 188³⁹, 188⁴⁰ цього Кодексу, а також вирішують питання щодо накладення адміністративного стягнення.

При малозначності вчиненого адміністративного правопорушення орган (посадова особа), уповноважений вирішувати справу (в нашому випадку це судді районних, районних у місті, міських чи міськрайонних судів), може звільнити порушника від адміністративної відповідальності і обмежитись усним зауваженням (стаття 22 КпАП).

Прикладом «разового» порушення законодавства про захист персональних даних може бути неповідомлення або несвоєчасне повідомлення суб’єкта персональних даних згідно із вимогами частини другої статті 12 Закону України «Про захист персональних даних», разове поширення персональних даних без належних на те правових підстав тощо. Як приклад триваючого порушення законодавства про захист персональних даних може бути випадок розміщення (поширення) володільцем персональних даних списку боржників з оплати за комунальні послуги, що містить персональні дані, факт якого було зафіксовано при проведенні перевірки.

Частиною другою статті 38 КпАП визначено, що якщо справи про адміністративні правопорушення відповідно до цього Кодексу чи інших законів підвідомчі суду (судді), стягнення може бути накладено не пізніш як через три місяці з дня вчинення правопорушення, а при триваючому правопорушенні — не пізніш як через три місяці з дня його виявлення, крім справ про адміністративні правопорушення, зазначені у частині третій цієї статті.