Відповідальність за порушення законодавства в сфері захисту персональних даних

Інститут захисту персональних даних було введено в правове життя України відносно недавно.

Першою спробою нормативного закріплення основних принципів системи захисту персональних даних була ратифікація Конвенції про захист осіб у зв’язку з автоматизованою обробкою персональних даних шляхом прийняття Верховною Радою України відповідно Закону.

Наступним важливим кроком в сфері правового регулювання захисту персональних даних як відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована, було прийняття Закону України «Про захист персональних даних», який набрав чинності 1 січня 2011 р.

Здійснення державного нагляду та контролю за додержанням законодавства про захист персональних даних відповідно до ст.ст. 22, 23 вказаного Закону покладено на Державну службу України з питань захисту персональних даних, яка відповідно до Положення про неї, затвердженого Указом Президента України від 6 квітня 2011 р., уповноважена:

  • розробляти та затверджувати плани перевірок володільців та (або) розпорядників баз персональних даних;

  • проводити в межах своїх повноважень виїзні та безвиїзні перевірки володільців та (або) розпорядників баз персональних даних;

  • видавати володільцям та (або) розпорядникам баз персональних даних обов’язкові до виконання приписи щодо усунення порушень законодавства про захист персональних даних та вимагати надання необхідної інформації та документів, що підтверджують усунення виявлених порушень;

  • складати адміністративні протоколи про виявлені порушення законодавства у сфері захистку персональних даних;

  • передавати правоохоронним органам матеріали про виявлені порушення у сфері захисту персональних даних тощо.

Незважаючи на те, що Закон України «Про захист персональних даних» з самого початку містив положення про контроль та нагляд за дотриманням вимог законодавства в сфері захисту персональних даних та передбачав відповідальність за порушення законодавства про захист персональних даних, відповідні зміни та доповнення до Кримінального кодексу України та Кодексу про адміністративні правопорушення були внесені лише 2 червня 2011 р. Законом «Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних», який набрав чинності 1 липня 2012 р.

Відповідно до цього Закону встановлюється адміністративна та кримінальна відповідальність за порушення обігу даних.

Так, до Кодексу України про адміністративні правопорушення внесено дві статті, що встановлюють відповідальність за

  • неповідомлення або несвоєчасне повідомлення суб’єкта персональних даних про його права у зв’язку із включенням його персональних даних до бази персональних даних, мету збору цих даних та осіб, яким ці дані передаються;

  • неповідомлення або несвоєчасне повідомлення спеціально уповноваженого центрального органу виконавчої влади з питань захисту персональних даних про зміну відомостей, що подаються для державної реєстрації бази персональних даних;

  • ухилення від державної реєстрації бази персональних даних;

  • недодержання встановленого законодавством про захист персональних даних порядку захисту персональних даних у базі персональних даних, що призвело до незаконного доступу до них;

  • невиконання законних вимог посадових осіб спеціально уповноваженого центрального органу виконавчої влади з питань захисту персональних даних щодо усунення порушень законодавства про захист персональних даних.

У Кримінальному кодексі України закон змінює статтю 182 щодо порушення недоторканості приватного життя. Так, за незаконне збирання, зберігання, використання, знищення, поширення конфіденційної інформації про особу або незаконна зміна такої інформації, крім випадків, передбачених іншими статтями Кодексу на особу може бути покладено штраф від п’ятисот до однієї тисячі неоподатковуваних мінімумів доходів громадян або її може бути притягнуто до виправних робіт на строк до двох років або накладено арешт на строк до шести місяців, або обмежено волі на строк до трьох років. 

Тому, на сьогоднішній день відсутність реєстрації бази персональних даних не тягне за собою кримінальну відповідальність осіб, які є володільцями бази даних. Відповідальність може настати у випадку, коли збирання, зберігання, використання, знищення чи поширення інформації з баз даних здійснюється без згоди особи, чиї персональні дані внесені до бази даних. Отже, однією із передумов законності формування та використання бази даних є одержання згоди особи, чиї персональні дані внесені до бази даних.