Государство

Кого будет проверять омбудсмен и какое наказание грозит в случае выявления нарушений?

Лина Немченко, партнер МЮФ Baker&McKenzie

В сфере защиты персональных данных произошли два важных изменения. Во-первых, с 1 января эти вопросы переданы от Госслужбы по вопросам защиты персональных данных в ведение омбудсмена (Уполномоченного Верховной Рады по правам человека). Во-вторых, регистрация баз персональных данных теперь заменена уведомлением омбудсмена об обработке "рискованных" персональных данных. Предприятия обязаны подать такие уведомления до 1 июля. После этой даты они в любой момент могут подвергнуться проверке. "ДС" выясняла:

Омбудсмен будет проверять владельцев и распорядителей персональных данных. Это могут быть как предприятия всех форм собственности, так и органы власти, а также физлица-предприниматели, которые обрабатывают персональные данные. В целом омбудсмен выполняет те же функции, что и Госслужба, но его полномочия расширились. Он может проводить проверки по собственной инициативе, в ходе которых имеет право затребовать информацию с ограниченным доступом (тайную, конфиденциальную и служебную).

В том числе получить доступ к конкретному компьютеру или другим носителям информации. За отказ предоставить такую информацию обычным гражданам грозит штраф в 3,4-5,1 тыс. грн., а должностным лицам и предпринимателям - 5,1-17 тыс. грн. В целом за нарушения законодательства о защите персональных данных предусмотрены штрафы в размере от 1,7 тыс. до 34 тыс. грн. Если будет установлено, что обработка конфиденциальной информации физ- или юрлица проводится незаконно, омбудсмен может обратиться в правоохранительные органы для привлечения нарушителей к уголовной ответственности (максимальное наказание - заключение на срок от трех до пяти лет).

После выявления нарушений омбудсмен составляет предписание об его устранении или протокол об административном нарушении. Таковым считается неуведомление об обработке рискованных персональных данных или предоставление неполных либо недостоверных данных. К административным нарушениям также относят невыполнение предписаний омбудсмена или несоблюдение порядка защиты персональных данных, что привело к незаконному доступу к ним или нарушению прав субъекта персональных данных.

Изменения несут определенный позитив. Процедура уведомления омбудсмена легче, чем регистрация, которая проводилась раньше. К тому же сообщать надо только об обработке так называемых рискованных данных. К ним относятся, например, информация о расовом, этническом и национальном происхождении, состоянии здоровья, биометрические данные, данные о месте пребывания субъекта (в каком банкомате человек снял деньги или в каком магазине рассчитался карточкой). Поэтому в зоне риска могут оказаться банки, медучреждения (как частные, так и государственные), предприятия торговли и общепита, операторы связи и др.
Выездные проверки, кроме самого омбудсмена, по его именному поручению могут проводить работники секретариата: от руководителей до рядовых сотрудников. Официально они будут называться "уполномоченными должностными лицами". Все они находятся в Киеве, а потому проведение выездных проверок в регионах в ближайшее время вряд ли будет очень частым.

При этом, правда, нет четкого регламентирования того, что будет считаться надлежащим исполнением требований. Например, нет однозначного ответа,  нужно ли утверждать порядок доступа работников к персональным данным приказом по предприятию или другим способом, как часто проводить обучение персонала, чтобы это считалось регулярным, и т. д. Главный риск такой неопределенности в том, что вывод проверяющего о соблюдении предприятием законодательства может основываться не на четких объективных критериях, а на его субъективных оценочных суждениях.