Вопрос о защите персональных данных поднимался на протяжении многих лет и не был четко урегулирован законодательством. Механизмы защиты либо отсутствовали вовсе, либо были урегулированы различными нормативными актами.

Практически в течение двух лет парламент принимал закон, регулирующий данный вопрос. И, видимо, в большей степени во исполнение обязательств Украины перед Европейским Союзом документ все-таки был принят.

Так, Закон Украины «О защите персональных данных» (Закон) вступит в силу 1 января 2011 года. Тем не менее, вопрос защиты персональных данных и доступа к ним и в этом законодательном акте до конца не урегулирован, хотя в нем систематизированы права тех, о ком собирают информацию, и обязанности тех, кто ее собирает и обрабатывает.

В соответствии с Законом персональные данные — это сведения или совокупность сведений о физическом лице, которое идентифицировано либо может быть конкретно идентифицировано.

Это достаточно широкое и не конкретизированное понятие. В большинстве европейских стран существует определенная классификация персональных данных, в частности, есть общие данные (фамилия, имя, дата и место рождения и пр.) и «уязвимые» персональные данные (история болезни, расовая принадлежность, религиозные взгляды и прочие). В Законе Украины «О защите персональных данных» такая классификация отсутствует, и именно данные личного характера («уязвимые») подлежат контролю над их использованием и распространением. В результате неурегулирования указанным Законом этого вопроса распространение всех персональных данных, в том числе фамилии, имени, отчества лица, может осуществляться только по предварительному согласию такого лица.

То есть в соответствии с Законом компании, которые занимаются обработкой персональных данных (предприятия, учреждения и организации всех форм собственности, органы государственной власти или органы местного самоуправления, физические лица — предприниматели), обязаны хранить документы, которыми подтверждается согласие субъекта этих сведений на их обработку. Отметим, что регистрация баз персональных данных осуществляется по заявочному принципу путем сообщения, а заявление о регистрации базы персональных данных подается собственником базы персональных данных в уполномоченный государственный орган по вопросам защиты персональных данных.

Собственно говоря, для того чтобы включить сведения в базу, необходимо письменное извещение субъекта на протяжении десяти рабочих дней. Также Закон устанавливает существенные ограничения на доступ к таким данным для третьих лиц.

В частности, нормативным актом преду­смотрено, что субъекты, чьи персональные данные занесены в базу, имеют право получать информацию об условиях доступа к персональным данным, о тех третьих лицах, которым такой доступ будет предоставлен. Кроме того, субъект также может предъявлять мотивированное требование запретить обработку своих персональных данных органами власти.

Не менее важным остается вопрос об ответственности за нарушение законодательства в сфере защиты персональных данных. В соответствии со статьей 28 Закона нарушение законодательства о защите персональных данных влечет за собой ответственность, установленную законом. При этом в Законе не предусмотрены внесения изменений ни в Уголовный, ни в Кодекс Украины об административных нарушениях.

Однако в парламенте зарегистрирован законопроект, которым предусматривается установить уголовную и административную ответственность за нарушение законодательства о защите персональных данных.

Так, в соответствии с законопроектом «О внесении изменений в некоторые законодательные акты Украины относительно нарушения законодательства о защите персональных данных» (рег. № 7355, инициатор — Кабинет Министров Укра­ины) предлагается внести изменения в Уголовный кодекс Украины, Кодекс Укра­ины об административных правонарушениях, Уголовно-процессуальный кодекс Украины и Закон Украины от 2 октября 1992 года № 2657-XII «Об информации».

Как говорится в пояснительной записке, законопроект направлен на установление ответственности, в частности — в части незаконного сбора, хранения, использования или распространения конфиденциальной информации о лице; незаконного сбора, регистрации, накопления, хранения, адаптации, изменения, обновления, использования, уничтожения или распространения, или передачи конфиденциальной информации о лице третьим лицам с нарушением требований закона и пр.

В соответствии с законопроектом правительством предлагается изменить и само определение информации о лице с изложением статьи 23 Закона Украины «Об информации» в новой редакции. Так, согласно проекту, такой информацией являются сведения или совокупность сведений о лице, которое идентифицировано или может быть конкретно идентифицировано.

Предполагается расширить и статью 182 Уголовного кодекса Украины, преду­сматривающую ответственность за нарушение неприкосновенности частной жизни, а именно: в абзац 1 данной статьи включить также ответственность за незаконные регистрацию, накопление, адаптирование, изменение, восстановление и уничтожение.

Статьями, по которым наступает ответственность за нарушение требований о защите информации о лице, если это привело к распространению и искажению этой информации и причинило лицу вред, а также за умышленное предоставление доступа (собственником, распорядителем базы персональных данных или уполномоченным лицом) к информации о лице и за передачу ее третьим лицам предлагается дополнить Уголовный кодекс Украины.

Возможно, с урегулированием вопроса об ответственности за нарушение законодательства о защите персональных данных можно ожидать и внесения изменений или принятия новых актов, в которых будет прописан более четкий механизм доступа к информации. Хотя без практики сложно сказать о действии данных новшеств. Очевидно одно — сложностей в применении Закона «Украины о защите персональных данных» будет предостаточно.