ПРОВЕРКИ
В СФЕРЕ ЗАЩИТЫ
ПЕРСОНАЛЬНЫХ ДАННЫХ:
Минюст утвердил Порядок
Приказ Министерства юстиции Украины от 22.06.12 г. № 947/5
«Об утверждении Порядка осуществления Государственной службой Украины по вопросам защиты персональных данных государственного контроля за соблюдением законодательства о защите персональных данных»
Органом, уполномоченным на осуществление контроля в сфере соблюдения владельцами (распорядителями) БПД* законодательства в этой сфере, является ГСЗПД**. Комментируемый документ (далее — Порядок № 947/5) устанавливает правила проведения таких проверок.
* Базы персональных данных.
** Государственная служба Украины по вопросам защиты персональных данных.
Сразу скажем, что Порядок № 947/5 вступает в силу одновременно с Законом № 3454***, но не ранее дня официального опубликования (на момент подготовки данного номера комментируемый документ не опубликован, а значит, еще не действует).
*** Закон Украины «О внесении изменений в некоторые законодательные акты Украины об усилении ответственности за нарушение законодательства о защите персональных данных» от 02.06.2011 г. № 3454-VI (вступил в силу с 01.07.12 г.).
Остановимся на основных моментах.
Порядком № 947/5 предусмотрены такие виды проверок: плановые, внеплановые, выездные и безвыездные.
Основанием для проведения плановой проверки является включение субъекта в план проведения проверок, который утверждается ГСЗПД до 1 декабря года, который предшествует плановому, или до 25 числа последнего месяца квартала, который предшествует плановому. План проверок размещается на официальном сайте ГСЗПД (www.zpd.gov.ua). Уведомление о проверке направляется субъекту заказным письмом не позднее чем за 10 календарных дней до начала ее проведения. Срок проверки не может превышать 10 рабочих дней (а при необходимости может быть продлен не более чем на 5 рабочих дней).
Внеплановая проверка проводится при наличии одного из оснований, перечисленных в п. 4.1 Порядка № 947/5: в частности, обращение физического или юридического лица о нарушении субъектом проверки требований законодательства о защите персональных данных; неподача в установленный срок документов на письменный запрос ГСЗПД относительно осуществления невыездной проверки, а также письменных объяснений о причинах, которые препятствовали их подаче****. Информация о проведении внеплановой проверки размещается на официальном веб-сайте ГСЗПД за 10 календарных дней до ее начала.
**** Срок, в течение которого владелец (распорядитель) БПД обязан предоставить требуемые документы, указывается в соответствующем письменном запросе ГСЗПД (п. 2.13 Порядка № 947/5).
По результатам проверки составляется акт в 2-х экземплярах (по форме приложения 2 к Порядку № 947/5). На основании акта проверки, во время которой выявлены нарушения требований законодательства в сфере защиты персональных данных, комиссия, проводившая проверку, составляет предписание (по форме приложения 4 к Порядку № 947/5). Предписание не предусматривает применение санкций к субъекту. Владелец (распорядитель) БПД обязан устранить указанные в предписании нарушения и письменно уведомить об этом ГСЗПД.
Если в ходе проверки выявлено совершение административного правонарушения (виды нарушений приведены в ст. 28839 КоАП),* комиссия составляет протокол об административном правонарушении (по форме приложения 5 к Порядку № 947/5), который подписывается председателем комиссии и лицом, относительно которого составлен протокол. После этого в 3-дневный срок дело передается в местный суд по месту совершения правонарушения на рассмотрение.
* См. также консультацию на с. 20.
В случае выявления во время проверки уголовно наказуемых нарушений (незаконный сбор, хранение, использование, уничтожение, распространение конфиденциальной информации о лице или незаконное изменение такой информации) ГСЗПД направляет необходимые данные в правоохранительные органы.
Что касается процедуры проведения проверки, то проверяющие имеют, в частности, такие права (п. 7.1 Порядка № 947/5):
— беспрепятственно входить на объект проверки по служебным удостоверениям и иметь доступ к документам и другим материалам, нужным для проведения проверки;
— требовать для проверки необходимые документы и другую информацию в связи с реализацией своих полномочий;
— снимать копии с документов субъекта проверки, необходимых для проведения проверки и документирования (фиксирования) нарушений, и требовать их засвидетельствования в установленном законодательством порядке**. Примерный перечень документов, которые будут проверяться, приведен в п. 2.10 Порядка № 947/5, в частности: учредительные документы, свидетельства о регистрации БПД, распорядительные документы, которыми утверждена цель обработки, перечень БПД и их местонахождение, порядок ведения БПД, ответственное лицо и т. п. (по сути, это все должно быть закреплено во внутреннем документе — Положении (порядке) обработки персональных данных в БПД***).
** Копии документов заверяются подписью руководителя субъекта или лица, которое выполняет его обязанности, или руководителей соответствующих структурных подразделений субъекта проверки (п. 2.12 Порядка № 947/5).
*** За основу данного документа можно взять Типовой порядок обработки персональных данных в БПД, утвержденный приказом Минюста от 30.12.11 г. № 3659/5.
Следует знать важный нюанс: в случае существования документа лишь в электронной форме при условии, что данный документ создан субъектом проверки, субъект проверки обязан предоставить его бумажную копию, которая обеспечивает визуальную форму отражения документа, удостоверенную субъектом проверки в установленном законодательством порядке. В случае невозможности предоставить бумажную копию, которая обеспечивает визуальную форму отражения документа, проводится осмотр электронного документа, о чем составляется акт осмотра электронного документа по форме приложения 7 к Порядку № 947/5. При этом проверяющие имеют право на беспрепятственный доступ к местам хранения информации, в том числе и к компьютерам, магнитным носителям информации и т. п. (п. 2.12 Порядка № 947/5).
Вот такие не очень приятные моменты нужно учитывать субъектам, ожидая «в гости» представителей ГСЗПД с проверкой.
