Уповноважений Верховної Ради з прав людини в ході розгляду проблемних питань у сфері захисту персональних даних, повідомив, зокрема, наступне.
1. З 01.01.2014 р. не існує процедури реєстрації баз персональних даних відповідно до вимог діючої редакції Закону про захист персональних даних. При цьому вимога про повідомлення Уповноваженого про обробку персональних даних, що представляють особливий ризик для прав і свобод суб'єктів персональних даних, поширюється на усіх власників, які здійснюють таку обробку, незалежно від того, була ними зареєстрована в попередній період відповідна база персональних даних або ні.
Власникам персональних даних необхідно провести аналіз процесів обробки цих даних на предмет їх віднесення до категорії тих, що представляють особливий ризик для прав і свобод суб'єктів персональних даних, і по його результатах прийняти відповідне рішення про повідомлення Уповноваженого і, у разі потреби, подати відповідну заяву.
Основним критерієм при визначенні того, чи складає певна обробка ризик для прав і свобод суб'єктів, являється те, які категорії персональних даних обробляються.
Також слід звернути увагу, що з 01.01.2014 р. законодавством не встановлена юридична відповідальність за нереєстрацію баз персональних даних, у тому числі і тих, які були створені, але не були зареєстровані до 01.01.2014 р.
2. Виключення поняття "Згода на обробку персональних даних" із Закону про захист персональних даних не позбавляє можливості використовувати інші механізми по забезпеченню його застосування. Зокрема, в Роз'ясненнях до Типового порядку обробки персональних даних міститься визначення згаданого поняття і роз'яснений порядок його надання (отримання).
3. Зобов'язання забезпечити захист персональних даних від випадкової втрати або знищення, від незаконної обробки, у тому числі незаконного знищення або доступу, поширюється на усіх власників, розпорядників персональних даних і третіх осіб і не залежить від необхідності повідомляти Уповноваженого про обробку персональних даних, що представляють особливий ризик для прав і свобод суб'єктів персональних даних.
При цьому власники, розпорядники персональних даних самостійно визначають порядок обробки персональних даних, зважаючи на специфіку відповідної сфери, відповідно до Закону і Типового порядку обробки персональних даних.
4. Контроль за дотриманням законодавства про захист персональних даних покладається на Уповноваженого лише з 01.01.2014 р. За здійснення діянь, які визначалися як адміністративні правопорушення до 01.01.2014 р., а після цієї дати вже не відносяться до таких, з 01.01.2014 р. особи не можуть притягати до юридичної відповідальності.
5. Здійснення судами контролю за дотриманням законодавства про захист персональних даних повинно відбуватися на підставі законодавства про судоустрій, тобто в процесі здійснення відповідного судочинства (цивільного, адміністративного, карного), а також шляхом надання Пленумом ВСУ роз'яснень за результатами узагальнення судової практики (лист від 03.03.2014 р. № 2/9-227067.14-1/НД-129).
