01 січня 2011 року вступив у дію закон про захист персональних даних. Відповідно до ст.. 28 цього закону за порушення його вимог наступала відповідальність передбачена законом, проте ні закон про захист персональних даних, ні кодекс про адміністративні правопорушення, ні кримінальний кодекс, і жоден інший закон не передбачав чіткої конкретної відповідальності.
02 червня 2011 року було прийнято закон №3454 Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних. Даний закон вступить в дію 01 січня 2012 року. Згідно цього закону було доповнено кодекс про адміністративні правопорушення двома статями і кримінальний кодекс однією статтею.
Перед тим як перейти до аналізу санкцій за порушення персональних даних необхідно чітко усвідомити момент настання відповідальності та її розмір.
З 01.01.2011р. (тобто з моменту прийняття закону про персональні дані) володільці та розпорядники баз персональних даних (БПД) повинні були виконувати всі вимоги закону, зокрема отримувати згоду на обробку персональних даних (ПД), повідомляти суб’єктів ПД про включення їх даних до БПД, про передачу їх ПД третім особам та інші дії передбачені законом.
Якщо ці дії були виконані до 01.01.2011р., то за ці дії закон не передбачає жодної відповідальності.
Якщо ці дії були виконанні і були виявлені компетентним органом у період з 01.01.2011р. і до 31.12.2011р., то закон передбачає відповідальність, але конкретний розмір відповідальності не вказаний, тому ви порушили закон, але оскільки немає розміру відповідальності, то ви не будете відповідати перед законом (платити штраф, тощо).
Якщо ці дії були виконані після 01.01.2011р., а виявлені після 01.01.2012 року (тобто у новому році), то тоді вас буде притягнуто до відповідальності або адміністративної, або кримінальної, це залежить, як саме ви порушили закон.
Розглянемо детально, які санкції передбачає закон.
Адміністративна відповідальність:
Неповідомлення або несвоєчасне повідомлення суб`єкта персональних даних про його права у зв`язку із включенням його персональних даних до бази персональних даних, мету збору цих даних та осіб, яким ці дані передаються, - тягнуть за собою накладення штрафу на громадян від двохсот (3400,00 гривень) до трьохсот (5100,00 гривень) неоподатковуваних мінімумів доходів громадян і на посадових осіб, громадян - суб`єктів підприємницької діяльності - від трьохсот (5100,00 гривень) до чотирьохсот (6800,00 гривень) неоподатковуваних мінімумів доходів громадян.
Відповідно до ст.. 12 закону про захист персональних даних протягом 10 робочих днів повідомляється суб’єкта ПД про включення його ПД до БПД.
Неповідомлення або несвоєчасне повідомлення спеціально уповноваженого центрального органу виконавчої влади з питань захисту персональних даних про зміну відомостей, що подаються для державної реєстрації бази персональних даних, - тягнуть за собою накладення штрафу на громадян від ста (1700,00 грн.) до двохсот (3400,00 грн.) неоподатковуваних мінімумів доходів громадян і на посадових осіб, громадян - суб`єктів підприємницької діяльності - від двохсот (3400,00 грн.) до чотирьохсот (6800,00 грн.) неоподатковуваних мінімумів доходів громадян.
Відповідно до ст.. 9 закону про захист персональних даних протягом 10 робочих днів повідомляється спеціально уповноваженого центрального органу виконавчої влади з питань захисту персональних даних про зміну відомостей, що подаються для державної реєстрації бази персональних даних.
Повторне протягом року вчинення порушення з числа передбачених частинами першою або другою цієї статті, за яке особу вже було піддано адміністративному стягненню, - тягне за собою накладення штрафу на громадян від трьохсот (5100, грн..) до п`ятисот (8500,00 грн.) неоподатковуваних мінімумів доходів громадян і на посадових осіб, громадян - суб`єктів підприємницької діяльності - від чотирьохсот (6800,00 грн.) до семисот (11900,00 грн.) неоподатковуваних мінімумів доходів громадян.
Ухилення від державної реєстрації бази персональних даних - тягне за собою накладення штрафу на громадян від трьохсот (5100,00грн) до п`ятисот (8500,00грн) неоподатковуваних мінімумів доходів громадян і на посадових осіб, громадян - суб`єктів підприємницької діяльності - від п`ятисот (8500,00 грн) до тисячі (17000,00 грн)неоподатковуваних мінімумів доходів громадян.
Відповідно до ст.. 9 закону про захист персональних даних база персональних даних підлягає державній реєстрації. Багато суб’єктів господарювання (володільці БПД) вважають, що вони не володіють БПД у розумінні закону. Закон у дуже широкому розумінні трактує базу персональних даних. Якщо є фірма (або спд-фо) і в нього працюють дві особи, а відтак він має копії їх паспортів та трудові книжки, то це вже означає, що на фірмі ( у спд-фо) є база персональних даних, якщо на фірмі є лиш один директор (або спд –фо не має найманих працівників), але він має укладені договори із контрагентами фізичними особами, або його клієнт це фізичні особи (і він має їх ПІБ, або адреси проживання, або телефони, або мейли, або будь яку сукупність цих даних) – то це вже БПД, база розпочинається із 2 (тобто 2 і більше).
Фактично кожний хто повинен реєструвати БПД, але не зареєструє її до 31.12.2011р. буде мати гарантований штраф за вище вказаною правовою нормою, тобто мінімум 5100,00грн. або 8500,00грн. це дуже важливо усвідомити і розуміти, що строк до кінця року залишився невеликий буквально декілька днів
Недодержання встановленого законодавством про захист персональних даних порядку захисту персональних даних у базі персональних даних, що призвело до незаконного доступу до них, - тягне за собою накладення штрафу від трьохсот (5100,00 грн) до тисячі (17000,00 грн) неоподатковуваних мінімумів доходів громадян.
Відповідно до ст.. 13, 24 закону про захист персональних даних зберігання ПД передбачає дії щодо забезпечення їх цілісності та відповідного режиму доступу до них.
Невиконання законних вимог посадових осіб спеціально уповноваженого центрального органу виконавчої влади з питань захисту персональних даних щодо усунення порушень законодавства про захист персональних даних - тягне за собою накладення штрафу на посадових осіб, громадян - суб`єктів підприємницької діяльності від ста (1700,00 грн.) до двохсот (3400,00грн.) неоподатковуваних мінімумів доходів громадян
Відповідно до ст.. 23 закону про захист персональних даних спеціально уповноваженого центрального органу виконавчої влади з питань захисту персональних даних видає обов’язкові до виконання вказівки.
Кримінальна відповідальність:
Незаконне збирання, зберігання, використання, знищення, поширення конфіденційної інформації про особу або незаконна зміна такої інформації, крім випадків, передбачених іншими статтями цього Кодексу, - караються штрафом від п`ятисот (8500,00 грн) до однієї тисячі (17000,00 грн) неоподатковуваних мінімумів доходів громадян або виправними роботами на строк до двох років, або арештом на строк до шести місяців, або обмеженням волі на строк до трьох років.
Ті самі дії, вчинені повторно, або якщо вони заподіяли істотну шкоду охоронюваним законом правам, свободам та інтересам особи, - караються арештом на строк від трьох до шести місяців або обмеженням волі на строк від трьох до п`яти років, або позбавленням волі на той самий строк.
Примітка. Істотною шкодою у цій статті, якщо вона полягає у заподіянні матеріальних збитків, вважається така шкода, яка в сто і більше разів перевищує неоподатковуваний мінімум доходів громадян. У 2011 році це сума 94 100,00 грн., у 2012 році це сума 130 900,00 грн (сума приблизна оскільки на момент написання цієї статті держбюджету на 2012 рік не було, а був лише його проект).
Враховуючи розмір штрафу та обов’язковість реєстрації БПД (адже сплата штрафу не дає вам право не реєструвати БПД) рекомендую здійснити реєстрацію БПД (або скористатисьпослугами юриста), проте крім реєстрації БПД вам необхідно виконувати також ряд інших вимог закону.