Державна служба України з питань захисту персональних даних (далі - Служба) розглянула звернення та зазначає таке.

Законом України від 20.11.2012 p. № 5491-VI "Про внесення змін до Закону України "Про захист персональних даних", який набув чинності 20.12.2012 р., внесено зміни, зокрема, до статті 11 Закону України "Про захист персональних даних" , якими розширено перелік правових підстав для обробки персональних даних.

Статтею 11 Закону України "Про захист персональних даних" передбачено, що підставою для обробки персональних даних, окрім іншого, є укладення та виконання правочину, стороною якого є суб'єкт персональних даних або який укладено на користь суб'єкта персональних даних чи для здійснення заходів, що передують укладенню правочину на вимогу суб'єкта персональних даних.

Зазначене вище свідчить, що обробка персональних даних може здійснюватися не лише за згодою фізичної особи на обробку її персональних даних, а й з інших підстав, передбачених статтею 11 Закону України "Про захист персональних даних" .

Факт реєстрації баз персональних даних не створює додаткових прав та обов'язків для володільців персональних даних. Таким чином, виконання вимог Закону України "Про захист персональних даних" суб'єктами відносин, пов'язаних з персональними даними, не залежить від того, чи зареєстрована у них база персональних даних.

Перш за все звертаємо увагу на те, що тлумачення та роз'яснення норм статей Кодексу України про адміністративні правопорушення виходить за межі компетенції Служби.

1. Відповідальність за порушення законодавства про захист персональних даних передбачено статтями 188-39 та 188-40 Кодексу України про адміністративні правопорушення (далі - КпАП).

2. Відповідно до пункту 1 частини першої статті 255 КпАП у справах про адміністративні правопорушення, що розглядаються органами, зазначеними в статтях 218-221 цього Кодексу, протоколи про правопорушення мають право складати уповноважені на те посадові особи спеціально уповноваженого центрального органу виконавчої влади з питань захисту персональних даних.

Тобто Служба уповноважена лише складати адміністративні протоколи про виявлені порушення законодавства у сфері захисту персональних даних у порядку, передбаченому законодавством та розділом VI Порядку здійснення Державною службою України з питань захисту персональних даних державного контролю за додержанням законодавства про захист персональних даних , затвердженого наказом Міністерства юстиції України від 22.06.2012 р. № 947/5, зареєстрованого в Міністерстві юстиції України 26.06.2012 р. за № 1064/21376 (далі - Порядок контролю).