Лист Уповноваженого ВРУ з прав людини від 03.03.2014 № 2/9-227067.14-1/НД-129 Уповноважений ВРУ з прав людини (далі — омбудсмен) повідомив, що з 01.01.2014 законодавством не встановлено юридичну відповідальність за нереєстрацію баз персональних даних, у тому числі й тих, що були створені, але не були зареєстровані до 01.01.2014.
Також омбудсмен зазначив, що володільцям та розпорядникам персональних даних отримувати згоду на обробку таких даних доведеться, зокрема, у тих випадках, коли існує потреба для обробки цих даних, а інші передбачені статтею 11 Закону України «Про захист персональних даних» від 01.06.2010 №
2297-VI підстави для обробки таких даних не поширюються на цей випадок обробки даних.
Зобов’язання забезпечити захист персональних даних від випадкових втрати або знищення, незаконної обробки, у тому числі незаконного знищення чи доступу до персональних даних поширюється на всіх володільців, розпорядників персональних даних та третіх осіб. Таке зобов’язання не залежить від необхідності повідомляти омбудсмену про обробку персональних даних, що становить особливий ризик для прав і свобод суб’єктів персональних даних.
При цьому володільці, розпорядники персональних даних самостійно визначають порядок обробки персональних даних, враховуючи специфіку обробки персональних даних у різних сферах.