НОВОВВЕДЕНИЯ 2014 ГОДА ЗАКОНА УКРАИНЫ «О ЗАЩИТЕ ПЕРСОНАЛЬНЫХ ДАННЫХ»

 Редакцией Закона Украины «О защите персональных данных» № 2297- VI от 01.01.2014 года (далее — Закон) было введено новое понятие «данные, которые представляют особый риск для прав и свобод субъекта персональных данных».

 Статья 7 Закона дает нам четкий перечень персональных данных, которые относятся к категории «с особым риском». В нее попадают: данные о расовом или этническом происхождении, политических, религиозных или мировоззренческих убеждениях, членстве в политических партиях и профессиональных союзах, судимости, а также данных, касающихся здоровья, половой жизни, биометрических или генетических данных. Эта же статья полностью запрещает обработку указанной информации о субъекте, но ч.1 ст.9 Закона, все-таки устанавливает определенные исключения из этого правила: обработка допустима только с условием уведомления Уполномоченного Верховной Рады Украины по правам человека (далее -Уполномоченный) о ее проведении обработки и цели этой обработки, что является основным нововведением 2014 года Закона Украины «О защите персональных данных». 

 Большинство субъектов хозяйствования, как правило, абсолютно не касаются и не интересуются приведенной выше информацией о сотрудниках и контрагентах, но все же, из каждого правила есть исключения. Важным вопросом остается правовой статус информации, полученной субъектом хозяйствования в результате прохождения сотрудниками медицинских осмотров, которые предусматривает ст. 169 КзоТа. В результате анализа действующих норм законодательства и разъяснений уполномоченных органов, можно прийти к выводу, что Вы обязаны уведомить Уполномоченного о том, что обрабатываете информацию о состоянии здоровья сотрудника только в том случае, если Вы владеете детальной информацией о состоянии его здоровья (диагноз, мед.показания и прочее). Если же у Вас хранятся только медицинские заключения с формулировкой «годен» или «не годен» для выполнения определенных видов работ — субъект хозяйствования не обязан уведомлять Уполномоченного. Это не будет считаться обработкой данных «с особым риском».

С начала 2014 года процедура регистрации баз персональных данных как и Государственная служба по защите персональных данных, занимающиеся этим вопросом, были упразднены. А процедура регистрации сменилась процедурой уведомления Уполномоченного. Согласно положениям новой редакции Закона Вы должны уведомлять Уполномоченного лишь в случае обработки данных с «особым риском».

Помимо этих нововведений Закон «приготовил» дополнительный вид проверки со стороны Уполномоченного. Детальный порядок их проведения определяется не самим Законом, а Порядком осуществления Уполномоченным Верховной Рады Украины по правам человека контроля за соблюдением законодательства о защите персональных данных от 08 января 2014г. (далее- Порядок). Указанный Порядок определяет плановые, внеплановые, выездные и безвыездные проверки, которые могут проводится не только лично Уполномоченным но и Руководитель Секретариата Уполномоченного и его заместитель; представители Уполномоченного; руководители структурных подразделений Секретариата Уполномоченного и их заместители; работниками Секретариата Уполномоченного.

Уполномоченный и уполномоченные им лица во время проверок имеют право привлекать: представителей органов гос.власти, местного самоуправления, правоохранительные органы. Перед началом проверки они обязаны дать письменную расписку о неразглашении.

Периодичность плановых проверок определяется утвержденным планом на текущий год. Плановая проверка может проводится не чаще одного раза в год. План проверок на год публикуется на официальном сайте Уполномоченного. Допустим, если к Вам не приходила проверка в этом году — не факт, что она придет в следующем. Это связано не столько с проблемами в законодательстве, сколько с загруженностью работой Уполномоченного и его Секретариата. В связи со сменой редакции закона и передачей полномочий от ГСЗПД к Уполномоченному возникает некая непонятная ситуация: согласно п. 3.1. Порядка план проверок утверждается до 25 декабря года, который предшествует году в котором должны будут проводится проверки. Так как новая редакция Закона начала действовать с 01.01.14г., то план проверок на 2014г. Уполномоченным утвержден не был.

Исходя из этого можно сделать вывод о том, что 2014 год пройдет под знаком внеплановых проверок. п. 4.1. Порядка определяет ряд оснований для проведения такой проверки: 

  • по собственной инициативе Уполномоченного;

  • при непосредственном обнаружении нарушений требований законодательства о защите персональных данных Уполномоченным, в том числе и в результате проведения исследования системных проблем по обеспечению права на приватность, уважение частной и семейной жизни;

  • при наличии информации о нарушении требований законодательства о защите персональных данных в сообщениях, опубликованных в средствах массовой информации, обнародованных в сети Интернет;

  • обоснованные обращения физических и юридических лиц с сообщением о нарушении владельцами и/или распорядителями персональных данных субъекта требований законодательства о защите персональных данных;

  • выявления недостоверности в сведениях, предоставленных субъектом проверки по письменному запросу Уполномоченного по осуществлению невыездной проверки, и/или если такие сведения не позволяют оценить выполнение субъектом проверки требований законодательства о защите персональных данных;

  • контроль за выполнением субъектом проверки предписаний по устранению нарушений требований законодательства о защите персональных данных, выданных по результатам проведения проверок.

То есть, в основном внеплановые проверки будут проводится на основании поступивших жалоб либо выявленных неточностей и расхождений в документации.

Что касается выездных и безвыездных проверок, то это будет определятся лично Уполномоченным Во время проверок или предварительно перед их началом лица, уполномоченные их проводить, имеют право затребовать перечень документов для проведения проверки, предоставить им право доступа к конфиденциальной информации, получать распечатки с электронных носителей, требовать письменные пояснения у должностных лиц предприятий.

Так же на данный момент остается открытым вопрос, что делать и как быть тем субъектам хозяйствования, которые подали заявку на регистрацию базы персональных данных в 2012-2013гг. по упраздненным на сегодняшний день нормам Закона? Подпадают ли они под проверки Уполномоченного? Исходя из разъяснений Уполномоченного можно сказать о том, что все субъекты, которые зарегистрированы или подали заявку на регистрацию БПД до вступления в силу новой редакции ЗУ «О защите персональных данных» подпадают под проверку. Но, так как на данный момент Закон указывает только на конкретный ряд баз банных, которые подпадают под проверку, можно сделать вывод о том, что в первую очередь, проверять будут именно субъектов, обрабатывающих данные, которые представляют собой «особый риск» нарушений прав лица, а так же проверки на основании поступивших жалоб.

Автор

юрист ООО «ЮКК ДЕ-ЮРЕ»

Ирина Кравченко

853b