01 червня 2011 року Верховна Рада України ухвалила Закон «Про захист персональних даних» № 2297-VI (надалі — Закон). Закон покликаний захищати такі глобальні права людини, як інформація, що безпосередньо стосується її особисто, її кар’єри, сім’ї, здоров’я і тому подібне. При цьому, Закон створив немало "клопоту" підприємствам, які так чи інакше володіють базами персональних даних.

Перш за все, це припис Закону для всіх компаній, організацій всіх форм власності, які є володільцями бази персональних даних, проводити державну реєстрацію баз персональних даних.

Відповідно до ст.2 Закону, персональні дані - це відомості або сукупність відомостей про фізичну особу, яка може бути ідентифікована або може бути коректно ідентифікована. Зокрема, до персональних даних відноситься певний набір інформації (наприклад такий, як паспортні дані, відомості про реєстрацію, фактичне місце проживання, інформація про пільги, освіту, телефонні номери) яка дає можливість ідентифікувати клієнта – фізичну особу. Базами персональних даних вважається наявність на підприємстві картотек, архівів, де містяться дані про клієнтів – фізичних осіб, так само базами персональних даних є впорядковані зведення персональних даних в електронній формі.

Згідно ст.2 Закону, володілець бази персональних даних – фізична або юридична особа, якій законом або за згодою суб’єкта персональних даних надано право на обробку цих даних, яка затверджує мету обробки персональних даних у цій базі даних, встановлює склад цих даних та процедури їх обробки, якщо інше не визначено законом.

Однак законодавцем також дано визначення третьої особи, якою відповідно до ст.2 Закону є будь-яка особа, за винятком суб’єкта уповноваженого персональних даних, володільця чи розпорядника бази персональних даних та державного органу з питань захисту персональних даних, якій володільцем чи розпорядником бази персональних даних здійснюється передача персональних даних відповідно до закону.

Для усвідомлення важливості для юридичних осіб Закону слід звернути особливу увагу на відповідальність за порушення законодавства про захист персональних даних, передбачену змінами (Закон України від 02.06.2011 № 3454-VI) до Кодексу України про адміністративні правопорушення і Кримінального кодексу України, а саме:

  • Неповідомлення або несвоєчасне повідомлення суб’єкта персональних даних про його права у зв’язку із включенням його персональних даних до бази персональних даних, мету збору цих даних та осіб, яким ці дані передаються, тягнуть за собою накладення штрафу на громадян від двохсот до трьохсот неоподатковуваних мінімумів доходів громадян і на посадових осіб, громадян - суб’єктів підприємницької діяльності - від трьохсот до чотирьохсот неоподатковуваних мінімумів доходів громадян.

  • Неповідомлення або несвоєчасне повідомлення спеціально уповноваженого центрального органу виконавчої влади з питань захисту персональних даних про зміну відомостей, що подаються для державної реєстрації бази персональних даних, - тягнуть за собою накладення штрафу на громадян від ста до двохсот неоподатковуваних мінімумів доходів громадян і на посадових осіб, громадян - суб’єктів підприємницької діяльності - від двохсот до чотирьохсот неоподатковуваних мінімумів доходів громадян.

  • Ухилення від державної реєстрації бази персональних даних тягне за собою накладення штрафу на громадян від трьохсот до п’ятисот неоподатковуваних мінімумів доходів громадян і на посадових осіб, громадян - суб’єктів підприємницької діяльності - від п’ятисот до тисячі неоподатковуваних мінімумів доходів громадян.

  • Недодержання встановленого законодавством про захист персональних даних порядку захисту персональних даних у базі персональних даних, що призвело до незаконного доступу до них, тягне за собою накладення штрафу від трьохсот до тисячі неоподатковуваних мінімумів доходів громадян.

  • Невиконання законних вимог посадових осіб спеціально уповноваженого центрального органу виконавчої влади з питань захисту персональних даних щодо усунення порушень законодавства про захист персональних даних, тягне за собою накладення штрафу на посадових осіб, громадян - суб’єктів підприємницької діяльності від ста до двохсот неоподатковуваних мінімумів доходів громадян".

  • Незаконне збирання, зберігання, використання, знищення, поширення конфіденційної інформації про особу або незаконна зміна такої інформації, крім випадків, передбачених іншими статтями цього Кодексу, караються штрафом від п’ятисот до однієї тисячі неоподатковуваних мінімумів доходів громадян або виправними роботами на строк до двох років, або арештом на строк до шести місяців, або обмеженням волі на строк до трьох років.

  • Вищезгадані санкції застосовуватимуться з 01 січня 2012 року, саме тому володільцям баз персональних даних слід поклопотати про виконання вимог законодавства про захист персональних даних вже сьогодні, оскільки ризиком для них можуть бути не лише перевірки та санкції контролюючого органу, так і можливі судові позови громадян, права яких були порушені шляхом незаконного використання або зберігання їх персональних даних.