Уполномоченный Верховной Рады по правам человека в ходе рассмотрения проблемных вопросов в сфере защиты персональных данных, сообщил, в частности, следующее.
1. С 01.01.2014 г. не существует процедуры регистрации баз персональных данных в соответствии с требованиями действующей редакции Закона о защите персональных данных. При этом требование об уведомлении Уполномоченного об обработке персональных данных, представляющих особый риск для прав и свобод субъектов персональных данных, распространяется на всех владельцев, которые осуществляют такую обработку, независимо от того, была ими зарегистрирована в предыдущий период соответствующая база персональных данных или нет.
Владельцам персональных данных необходимо провести анализ процессов обработки этих данных на предмет их отнесения к категории представляющих особый риск для прав и свобод субъектов персональных данных, и по его результатам принять соответствующее решение об уведомлении Уполномоченного и, в случае необходимости, подать соответствующее заявление.
Основным критерием при определении того, составляет ли определенная обработка риск для прав и свобод субъектов, является то, какие категории персональных данных обрабатываются.
Также следует обратить внимание, что с 01.01.2014 г. законодательством не установлена юридическая ответственность за нерегистрацию баз персональных данных, в том числе и тех, которые были созданы, но не были зарегистрированы до 01.01.2014 г.
2. Исключение понятия «согласие на обработку персональных данных» из Закона о защите персональных данных не лишает возможности использовать иные механизмы по обеспечению его применения. В частности, в Разъяснениях к Типовому порядку обработки персональных данных содержится определение упомянутого понятия и разъяснен порядок его предоставления (получения).
3. Обязательства обеспечить защиту персональных данных от случайных потери или уничтожения, от незаконной обработки, в том числе незаконного уничтожения или доступа, распространяется на всех владельцев, распорядителей персональных данных и третьих лиц и не зависит от необходимости уведомлять Уполномоченного об обработке персональных данных, представляющих особый риск для прав и свобод субъектов персональных данных.
При этом владельцы, распорядители персональных данных самостоятельно определяют порядок обработки персональных данных, учитывая специфику соответствующей сферы, в соответствии с Законом и Типовым порядком обработки персональных данных.
4. Контроль за соблюдением законодательства о защите персональных данных возлагается на Уполномоченного лишь с 01.01.2014 г. За совершение деяний, которые определялись как административные правонарушения до 01.01.2014 г., а после этой даты уже не относятся к таковым, с 01.01.2014 г. лица не могут быть привлечены к юридической ответственности.
5. Осуществление судами контроля за соблюдением законодательства о защите персональных данных должно происходить на основании законодательства о судоустройстве, то есть в процессе осуществления соответствующего судопроизводства (гражданского, административного, уголовного), а также путем предоставления Пленумом ВСУ разъяснений по результатам обобщения судебной практики (письмо от 03.03.2014 г. № 2/9-227067.14-1/НД-129).