Защита персональных данных: порядок проведения проверок

Захист персональних даних: порядок проведення перевірок

Нагадаємо, що з 1 липня 2012 року запроваджено відповідальність у сфері захисту персональних даних (ЗУ N 3454-VI від 02.06.2011 р.). Цим законом вводяться суттєві адміністративні санкції, а також посилено кримінальну відповідальність.

Але ж виявити порушення можна лише в ході перевірки. Саме тому Міністерство юстиції вирішило швидко затвердити порядок проведення перевірок у сфері ЗПД. Треба сказати, що проект цього порядку було розроблено вже давно, з ним можна було ознайомитися на сайті ДСЗПД ( Державної служби України з питань захисту персональних даних) - http://www.zpd.gov.ua/ , адже саме ДСЗПД і буде органом контролю. Одразу наголосимо, що затверджений порядок в деяких моментах досить суттєво відрізняється від проекту. Але давайте про все по черзі.

Розглянемо найсуттєвіші норми порядку.

1. До комісії, що проводить перевірки, повинні входити не менше ніж 3 посадові особи ДСЗПД (один з них – голова комісії). До роботи комісії можуть залучатися працівники інших органів державної влади, в тому числі органів державного управління, органів виконавчої влади та правоохоронних органів, а також фахівці (експерти) (за згодою).

2. За 10 календарних днів до початку проведення перевірки ДСЗПД надсилає повідомлення разом з копією наказу про проведення перевірки за місцезнаходженням або місцем проживання суб’єкта перевірки рекомендованим листом.

3. Перевірки можуть бути планові, позапланові, виїзні та безвиїзні.

Підставою проведення планової перевірки є включення суб’єкта до плану проведення перевірок на відповідний квартал та рік, який розміщується на офіційному веб-сайті ДСЗПД. Проводиться вона не частіше одного разу на 5 років.

Позапланова перевірка проводиться за наявності однієї з визначених у порядку підстав, наприклад:

- звернення фізичних та юридичних осіб про порушення суб’єктом перевірки вимог законодавства про захист персональних даних;

- неподання у встановлений строк суб’єктом перевірки документів (відомостей, даних) на письмовий запит ДСЗПД щодо здійснення безвиїзної перевірки, а також письмових пояснень про причини, які перешкоджали поданню таких документів

Важливо, що інформація про проведення позапланової перевірки розміщується на офіційному веб-сайті ДСЗПД за 10 календарних днів до початку її проведення (у проекті Порядку не було вимоги про будь-яке попередження про позапланову перевірку!).

У разі проведення безвиїзної перевірки ДСЗПД надсилає суб’єкту перевірки письмовий запит про надання документів, необхідних для проведення перевірки. Суб’єкт перевірки зобов’язаний у строк, визначений у запиті, надати ДСЗПД належним чином засвідчені копії документів, зазначених у запиті.

4. Строк проведення перевірки не може перевищувати 10 робочих днів. За поданням голови комісії продовження строку проведення перевірки здійснюється уповноваженою посадовою особою ДСЗПД, яка прийняла рішення про проведення перевірки, але не більше ніж на 5 робочих днів.

5. У п. 7.1 розділу VII Порядку N 947/5 від 22.06.2012 р. міститься перелік прав голови та членів комісії при проведенні перевірки, зокрема:

- безперешкодно входити на об’єкт перевірки за службовим посвідченням і мати доступ до документів та інших матеріалів, потрібних для проведення перевірки;

- вимагати для перевірки необхідні документи та іншу інформацію у зв'язку з реалізацією своїх повноважень;

- знімати копії з документів суб’єкта перевірки, необхідних для проведення перевірки та документування (фіксування) порушень, та вимагати їх засвідчення у встановленому законодавством порядку.

Крім того, ще й у п. 2.10 Порядку міститься інформація щодо прав голови та членів комісії, а саме: вони мають право отримувати у керівника суб'єкта перевірки, керівників його структурних підрозділів документи, письмові й усні пояснення та іншу інформацію, що стосується питань, які перевіряються (у тому числі з обмеженим доступом), потрібну для здійснення комісією своїх функцій, зокрема:

- установчі документи та інші документи, які регулюють організаційні засади діяльності суб’єкта перевірки;

- розпорядчі документи (накази, рішення, розпорядження, постанови тощо) та інші документи, якими затверджено мету обробки, перелік БПД та їх місцезнаходження, склад персональних даних у БПД, тощо;

- наявність свідоцтв про державну реєстрацію БПД;

- іншу інформацію, яка дає змогу встановити наявність або відсутність порушення законодавства про захист персональних даних.

Також прописано, що комісія має право на безперешкодний доступ до місць зберігання інформації, у тому числі й до комп'ютерів, магнітних носіїв інформації тощо, отримання копій такої інформації.

! Цікавим є той момент, що у Порядку немає норми, яка містилася у проекті, а саме:

" Доступ до персональних даних конкретної особи з метою перевірки правомірності їх обробки суб’єктом перевірки здійснюється за наявності у комісії доручення цієї особи щодо отримання інформації про місцезнаходження БПД, яка містить його персональні дані, мету обробки персональних даних, призначення та дані про суб’єкта перевірки."

Іншими словами, передбачалося, що доступ контролерів до самих персональних даних буде обмежено. В новому порядку всі норми прописані таким чином, що нібито дають право доступу до всієї потрібної інформації (тобто включаючи і самі персональні дані). Але при цьому треба пам’ятати, що в самому Законі N 2297 (ст.23) прописано право доступу лише до інформації, пов'язаної з обробкою(!) персональних даних.

 

6. За результатами перевірки комісія складає акт перевірки в двох примірниках.

На підставі акта перевірки, у ході якої виявлено порушення вимог законодавства, не пізніше 5 робочих днів складається припис про усунення порушень, виявлених під час перевірки. Припис не передбачає застосування санкцій щодо суб’єкта перевірки. Суб'єкт перевірки повинен протягом визначеного у приписі строку (не менше ніж 30 календарних днів) вжити заходів щодо усунення порушень, зазначених у приписі, та письмово поінформувати ДСЗПД про усунення порушень разом із наданням копій документів, що це підтверджують.

У разі виявлення під час перевірки (у проекті було ще й "за наслідками перевірки") вчинення суб’єктом перевірки адміністративного правопорушення комісія складає протокол про адміністративне правопорушення.

У разі виявлення під час перевірки суб’єкта перевірки порушення (тут в тексті Порядку неточність, має бути – " ознак злочину") у сфері захисту персональних даних ДСЗПД направляє необхідні матеріали до правоохоронних органів.

---------------------------

Наказ Міністерства юстиції України "Про затвердження Порядку здійснення Державною службою України з питань захисту персональних даних державного контролю за додержанням законодавства про захист персональних даних" (N 947/5 від 22.06.2012 р.)

Зареєстровано в Міністерстві юстиції 26 червня 2012 р. за N 1064/21376

Планована дата офіційної публікації та набуття чинності: 16.07.2012 р.("Офіційний вісник" N 51)

Интернет-портал Компании "Динай"
http://www.dinai.com/open_review.php?id=202051815