Отсрочена ответственность за нарушение закона о защите персональных данных

4 февраля 2012 года вступил в силу закон № 4343-VІ, который переносит сроки наступления ответственности за нарушение требований Закона Украины «О защите персональных данных» на 1 июля 2012 года.

Принятие закона можно охарактеризовать как позитивный шаг: бизнес-структурам будет дано дополнительное время для адаптации к законодательным требованиям по защите персональных данных. Это даст компаниям возможность разработать необходимые документы (в частности, формы согласия лица на обработку его/ее персональных данных, уведомления лиц о их правах в связи с включением его/ее данных в базу, положение об обработке и защите персональных данных, договор между владельцем и распорядителем баз персональных данных и пр.), а также, при необходимости, нанять сотрудника, ответственного за обработку персональных данных, разработать соответствующее программное обеспечение для автоматизации процесса обработки и т.д. Особенно важен такой временной лагдля банков, страховых и крупных производственных компаний, а также других юридических лиц, обрабатывающих значительный массив персональных данных в процессе своей хозяйственной деятельности, поскольку сбор согласий от всех клиентов либо рассылка им соответствующих уведомлений об обработке персональных данных может занять от одной недели до нескольких месяцев.

Стоит отметить, что только сейчас, спустя полгода с момента, когда было положено начало практическому применению закона о защите персональных данных и были утверждены формы соответствующих регистрационных документов, становится понятным, с какими проблемами и трудностями столкнулся украинский бизнес в процессе применения норм закона о защите персональных данных. Кроме того, на сегодняшний день Национальным банком еще не утвержден порядок обработки персональных данных, составляющих банковскую тайну.

Что касается форм ответственности, закон предполагает административную и уголовную ответственность за нарушения в сфере защиты персональных данных. Так, за не уведомление лица о его правах в связи с созданием базы персональных данных, уклонение от государственной регистрации баз данных и от внесения изменений в регистрационные сведения, а также за несоблюдение установленного порядка защиты персональных данных предусмотрена административная ответственность в форме штрафа (размер штрафа колеблется от 1 700 до 17 000 грн). За незаконный сбор, хранение, использование, уничтожение и распространение конфиденциальной информации о лице установлена уголовная ответственность в виде штрафа (от 8 500 до 17 000 грн), исправительных работ, ареста или ограничения свободы.

Порядок привлечения виновных лиц к административной ответственности состоит в следующем: физическое лицо — потерпевший подает жалобу в Государственную службу по защите персональных данных с соответствующим обоснованием, на основании которой госслужба проводит проверку владельца и/или распорядителя базы персональных данных. По результатам проверки владельцу/распорядителю направляется предписание об устранении правонарушения, и уже в случае невыполнения требований предписания госслужбой составляется протокол об административном правонарушении, который впоследствии передается в суд.