Персональні дані

 

 Додаткової уваги потребує  те, що володілець реєструє базу  персональних даних, а саме  надає відомості про неї, які включаються до Державного реєстру баз персональних даних, однак не передає Державній службі України з питань захисту персональних даних наявні в ній персональні дані.

 

 Згідно частини 4 статті 9 Закону  володілець бази персональних  даних зобов’язаний повідомляти Державну службу України з питань захисту персональних даних про кожну зміну відомостей , необхідних для реєстрації бази персональних даних не пізніш ніж протягом 10 робочих днів з дня настання такої зміни.

 

 Володілець бази персональних  даних надсилає Державній службі України з питань захисту персональних даних заяву про внесення змін до відомостей необхідних для реєстрації, за формою встановленою наказом Міністерства юстиції України «Про затвердження форм заяв про реєстрацію бази персональних даних та про внесення змін до відомостей Державного реєстру баз персональних даних і порядку їх подання» від 8 липня 2011 року № 1824/5. Володілець позначає «видалити» тих відомостей заяви, які змінились. На заміну ним шляхом позначення «додати» володілець подає нові відомості.

 

 Свідоцтво про внесення змін  до відомостей, необхідних для  реєстрації бази персональних  даних не надається. Натомість,  Державна служба приймає рішення  про внесення змін до відомостей, необхідних для реєстрації бази  персональних даних шляхом надсилання володільцю бази персональних даних листа, в якому повідомляє про прийняте рішення.

 

 Для видалення бази персональних  даних з Державного реєстру  баз персональних даних, володілець  такої бази направляє в Державну  службу захисту персональних  даних заяву про внесення змін до відомостей Державного реєстру баз персональних даних та позначає «вилучити» всі поля відомостей, які були внесені.

 

ЗГОДА СУБ’ЄКТА НА ОБРОБКУ ПЕРСОНАЛЬНИХ ДАНИХ ТА ВИМОГИ ДО ЇЇ ОФОРМЛЕННЯ

 

 Обробка персональних даних  відповідно до частини 5 статті 6 Закону здійснюється за згодою суб’єкта персональних даних, або у випадках, передбачених законами України, у порядку, встановленому законодавством.

 

 Так, відповідно до абзацу  п’ятого статті 2 Закону згодою  суб’єкта персональних даних є будь-яке документоване, зокрема письмове, добровільне волевиявлення фізичної особи щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки.

 

 Обробка даних про фізичну  особу без її згоди не допускається, крім випадків, визначених Законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини. В цьому випадку під Законами розуміються всі інші Закони, які надають право на обробку персональних даних із зазначенням чіткого переліку таких даних.

 

 Закон також дозволяє здійснювати  обробку персональних даних без  згоди субєкта персональних даних  , якщо обробка персональних даних  є необхідною для захисту його  життєво важливих інтересів. У  такому випадку обробляти персональні  дані без згоди суб’єкта персональних даних можна до часу, коли отримання згоди стане можливим.

 

 Згідно з вимогами Закону  згода суб’єкта персональних  даних на обробку персональних  даних повинна містити інформацію  щодо:

 

- мети , яка визначається володільцем  бази персональних даних в залежності від виду його діяльності, при здійсненні якої виникає необхідність у обробці персональних даних у базах персональних даних, конкретних цілей обробки персональних даних, для досягнення яких володілець бази персональних даних обробляє персональні дані у цій базі (стаття 2 Закону);

 

- обсягу персональних даних,  а саме чіткого переліку персональних  даних фізичної особи, які можуть  обробляються володільцем бази  персональних даних у цій базі (стаття 6 Закону);

 

- порядку використання персональних даних , який передбачає дії володільця бази щодо обробки цих даних, в тому числі використання персональних даних працівниками володільця бази персональних даних, відповідно до їхніх професійних чи службових або трудових обов’язків, дії щодо їх захисту, а також дії щодо надання часткового або повного права обробки персональних даних іншим суб’єктам відносин, пов’язаних із персональними даними (стаття 10 Закону);

 

- порядку поширення персональних  даних , який передбачає дії  володільця бази персональних даних щодо передачі відомостей про фізичну особу з бази персональних даних (стаття 14 Закону);

 

- порядку доступу до персональних  даних третіх осіб , який визначає  дії володільця бази персональних  даних у разі отримання запиту  від третьої особи щодо доступу до персональних даних, у тому числі порядок доступу суб’єкта персональних даних до відомостей про себе (стаття 16 Закону).

 

ПОРЯДОК ТА ПІДСТАВИ ПОВІДОМЛЕННЯ СУБ’ЄКТА ПЕРСОНАЛЬНИХ ДАНИХ ПРО ЙОГО ПРАВА, ЩО СТОСУЮТЬСЯ ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ 

 

 Однією зі складових процесу обробки персональних даних є їх збирання, що передбачає дії з підбору чи впорядкування відомостей про фізичну особу та внесення їх до бази персональних даних.

 

 Так, згідно зі статтею  12 Закону володілець бази персональних  даних протягом десяти робочих днів з дня включення персональних даних до бази персональних даних, що є дією зі збирання персональних даних, зобов’язаний повідомити суб’єкта персональних даних, виключно в письмовій формі , про його права, що визначені статтею 8 Закону, мету збору даних, яка визначається володільцем бази персональних даних, та осіб, яким будуть передаватися персональні дані.

 

 Володілець бази звільняється  від виконання вказаного обов’язку  лише у разі, якщо персональні  дані збираються ним із загальнодоступних джерел. Під визначенням «загальнодоступні джерела інформації», зокрема, розуміються друковані засоби масової інформації, засоби телерадіомовлення, інтернет-портали, публічні виступи та інші джерела інформації, до яких фізичні та юридичні особи мають вільний, необмежений чинним законодавством, доступ.

 

ОБРОБКА ПЕРСОНАЛЬНИХ ДАНИХ ФІЗИЧНИМИ  ОСОБАМИ-ПІДПРИЄМЦЯМИ ТА САМОЗАЙНЯТИМИ  ОСОБАМИ

 

 Частиною 1 статті 24 Закону визначено,  що фізичні особи-підприємці, у  тому числі лікарі, які мають  відповідну ліцензію, адвокати, нотаріуси особисто забезпечують захист персональних даних, якими вони володіють згідно з вимогами закону.

 

КОНТРОЛЬ ЗА ДОДЕРЖАННЯМ ЗАКОНОДАВСТВА  ПРО ЗАХИСТ ПЕРСОНАЛЬНИХ ДАНИХ

 

 Здійснення контролю за додержанням  законодавства про захист персональних даних відповідно до статті 23 Закону покладено на Державну службу України з питань захисту персональних даних.

 

 Так, відповідно до підпункт 14 пункту 3 Положення про Державну службу України з питань захисту персональних даних, затвердженого Указом Президента України від 6 квітня 2011 року № 390, Державна служба України з питань захисту персональних даних здійснює контроль за додержанням законодавства про захист персональних даних шляхом проведення виїзних та безвиїзних перевірок володільців та (або) розпорядників баз персональних даних.

 

 Також відповідно до підпункту 16 пункту 3 цього Положення Державна служба України з питань захисту персональних даних складає адміністративні протоколи про виявленні порушення законодавства у сфері захисту персональних даних.

 

 Але справи про адміністративні  правопорушення у сфері захисту  персональних даних розглядаються  згідно зі статтею 221 Кодексу  України про адміністративні  правопорушення виключно районними,  районними у місті, міськими  чи міськрайонними судами.

 

ВІДПОВІДАЛЬНІСТЬ ЗА ПОРУШЕННЯ  ЗАКОНОДАВСТВА ПРО ЗАХИСТ ПЕРСОНАЛЬНИХ ДАНИХ 

 

 З метою забезпечення виконання  громадянами, органами державної  влади та місцевого самоврядування, підприємствами, установами організаціями  незалежно від форми власності  вимог Закону 2 червня 2011 року Верховною Радою України було прийнято Закон України «Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних», який набирає чинності з 1 січня 2012 року.

 

 Відповідно до цього закону  громадяни, посадові особи, громадяни  – суб’єкти підприємницької  діяльності притягуються до адміністративної  відповідальності за вчинення  таких правопорушень: 

 

1) неповідомлення або несвоєчасне  повідомлення суб’єкта персональних даних про його права у зв’язку із включенням його персональних даних до бази персональних даних, мету збору цих даних та осіб, яким ці дані передаються;

 

2) неповідомлення або несвоєчасне  повідомлення спеціально уповноваженого  центрального органу виконавчої влади з питань захисту персональних даних про зміну відомостей, що подаються для державної реєстрації бази персональних даних;

 

3) ухилення від державної реєстрації  бази персональних даних; 

 

4) недодержання встановленого  законодавством про захист персональних даних порядку захисту персональних даних у базі персональних даних, що призвело до незаконного доступу до них;

 

5) невиконання законних вимог  посадових осіб спеціально уповноваженого  центрального органу виконавчої  влади з питань захисту персональних даних щодо усунення порушень законодавства про захист персональних даних.

 

 За порушення недоторканості  приватного життя, а саме за  незаконне збирання, зберігання, використання, знищення, поширення конфіденційної  інформації про особу або незаконна зміна такої інформації винна особа притягується до кримінальної відповідальності.