Чи реально притягти до відповідальності за порушення захисту персональних даних в Україні?

Що таке персональні дані?

Закони України «Про захист персональних даних» та «Про інформацію» містять два визначення терміну "персональні дані". Проаналізувавши їх, робимо висновок, що персональні дані (інформація про фізичну особу) — це відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована.

Відповідно до ст. 5 Закону, персональні дані можуть бути віднесені до конфіденційної інформації про особу законом або відповідною особою. Згідно ст. 11 Закону про інформацію, до конфіденційної інформації про фізичну особу належать, зокрема, дані про національність особи, її освіту, сімей ний стан, релігій ні переконання, стан здоров'я, а також адреса, дата і місце народження.

Контроль та відповідальність

Відповідно до ч. 1 ст. 24 Закону, володільці, розпорядники персональних даних та треті особи зобов'язані забезпечити захист цих даних від випадкових втрати або знищення, від незаконної обробки, у т. ч. незаконного знищення чи доступу до них. Відповідно до ст. 22 Закону, контроль за дотриманням законодавства про захист персональних даних здійснюють уповноважений Верховної Ради України з прав людини у сфері захисту персональних даних.

Згідно з роз'ясненнями до Порядку здійснення Уповноваженим контролю за дотриманням законодавства про захист персональних даних від 08.01.2014 р., Уповноважений, окрім інших функцій, здійснює контроль за дотриманням законодавства про захист персональних даних. З цією метою за скаргами юридичних та фізичних осіб, а також за власною ініціативою він проводить перевірки дотримання вимог відповідних законів. Суб'єктами таких перевірок є володільці та розпорядники персональних даних, якими, відповідно до ст. 4 Закону, можуть бути підприємства, установи і організації усіх форм власності, органи державної влади чи місцевого самоврядування, фізичні особи-підприємці, які обробляють персональні дані відповідно до закону.

Водночас законодавцем впроваджений ще один механізм врегулювання питань, що стосуються порушення обробки персональних даних. Згідно п. 5, 6 та 11 ст. 8 Закону, суб'єкт персональних даних має право:

• пред'являти володільцю персональних даних вмотивовану вимогу з запереченням проти обробки своїх персональних даних;
• пред'являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким володільцем та розпорядником персональних даних, якщо ці дані обробляються незаконно чи є недостовірними;
• відкликати згоду на обробку персональних даних.

Дієвим способом захисту порушених прав, пов'язаних із захистом персональних даних, є звернення суб'єкта персональних даних у формі письмової скарги (запиту) до володільців та розпорядників таких персональних даних.

Варто звернути увагу і на те, що згідно з чинним законодавством України, звернення до Уповноваженого не позбавляє особу права звернутися до суду, але в такому випадку слід пам'ятати, що Уповноважений зупиняє вже розпочатий розгляд звернення у випадку, якщо стає відомо, що зацікавлена особа подала позов, заяву або скаргу до суду.

У судовому порядку притягнення володільця або розпорядника персональних даних до адміністративної відповідальності можливе за ст. 188-39 Кодексу України про адміністративні правопорушення. До того ж, за незаконне збирання, зберігання, використання, знищення, поширення конфіденційної інформації про особу або незаконну зміну такої інформації (крім випадків, передбачених іншими статтями Кримінального кодексу України) особу може бути притягнуто до кримінальної відповідальності за ст. 182 Кримінального кодексу України.