Министерства и ведомства Украины
Об утверждении Порядка осуществления Государственной службой Украины по вопросам защиты персональных данных государственного контроля за соблюдением законодательства о защите персональных данных
Приказ от 22 июня 2012 г. № 947/5
Зарегистрирован в Министерстве юстиции Украины 26 июня 2012 г. под № 1064/21376
(извлечение)
В соответствии с частью первой статьи 22, частью второй статьи 23 Закона Украины «О защите персональных данных», подпунктами 12 — 18 пункта 4 Положения о Государственной службе Украины по вопросам защиты персональных данных, утвержденного Указом Президента Украины от 6 апреля 2011 года № 390, приказываю:
1. Утвердить Порядок осуществления Государственной службой Украины по вопросам защиты персональных данных государственного контроля за соблюдением законодательства о защите персональных данных (прилагается).
<…>
4. Настоящий приказ вступает в силу одновременно со вступлением в силу Закона Украины «О внесении изменений в некоторые законодательные акты Украины по усилению ответственности за нарушение законодательства о защите персональных данных» от 2 июня 2011 года № 3454-VI, но не ранее дня его официального опубликования.
Министр А. Лавринович
Утвержден приказом Министерства юстиции Украины от 22 июня 2012 года № 947/5
Порядок осуществления Государственной службой Украины по вопросам защиты персональных данных государственного контроля за соблюдением законодательства о защите персональных данных
Зарегистрирован в Министерстве юстиции Украины 26 июня 2012 г. под № 1064/21376
I. Общие положения
1.1. Настоящий Порядок регулирует механизмы осуществления Государственной службой Украины по вопросам защиты персональных данных (далее — ГСЗПД) государственного контроля за соблюдением требований законодательства о защите персональных данных путем проведения проверок физических лиц, физических лиц — предпринимателей, предприятий, учреждений и организаций всех форм собственности, органов государственной власти, являющихся владельцами и/или распорядителями баз персональных данных (далее — субъект проверки), а также оформления и рассмотрения результатов проверок.
1.2. В настоящем Порядке термины употребляются в следующем значении:
безвыездная проверка — плановая или внеплановая проверка деятельности субъекта проверки уполномоченными лицами ГСЗПД, которая проводится в помещении ГСЗПД на основании полученных от субъекта проверки документов и объяснений без выезда по месту нахождения субъекта проверки и/или по месту нахождения базы персональных данных;
выездная проверка — плановая или внеплановая проверка деятельности субъекта проверки работниками ГСЗПД, которая проводится по месту нахождения субъекта проверки и/или по месту нахождения базы персональных данных;
плановая проверка — проверка деятельности субъекта проверки, проводимая на основании плана проведения проверок на соответствующий квартал и год;
внеплановая проверка — проверка деятельности субъекта проверки, не предусмотренная в плане проведения проверок.
Другие термины в настоящем Порядке употребляются в значении, приведенном в Законе Украины «О защите персональных данных».
II. Организация и проведение проверок
2.1. Контроль за соблюдением субъектами проверки законодательства о защите персональных данных осуществляется ГСЗПД путем проведения проверок: плановых, внеплановых, выездных и безвыездных. Плановые и внеплановые проверки являются выездными и безвыездными.
2.2. Проверка проводится на основании соответствующего приказа ГСЗПД. В приказе ГСЗПД о проведении проверки определяются:
субъект проверки;
дата начала и дата окончания проверки;
состав комиссии, которой поручено проведение проверки (далее — комиссия), с определением ее председателя;
правовые основания проведения проверки.
2.3. В комиссию должны входить не меньше трех должностных лиц ГСЗПД. Возглавляет комиссию председатель комиссии, который определяется приказом ГСЗПД о проведении проверки. Председателем комиссии может быть лишь представитель ГСЗПД.
К работе комиссии могут привлекаться в установленном законодательством порядке работники других органов государственной власти, в том числе органов государственного управления, органов исполнительной власти и правоохранительных органов, а также специалисты (эксперты) (с согласия).
При необходимости состав комиссии может быть изменен приказом ГСЗПД.
2.4. После подписания уполномоченным должностным лицом ГСЗПД приказа о проведении проверки председатель комиссии:
обеспечивает информирование руководителя субъекта проверки о проведении проверки путем направления уведомления;
организует работу комиссии, определяет круг вопросов, подлежащих проверке, исходя из того, является проверка плановой или внеплановой;
распределяет между членами комиссии конкретные задания для проверки;
обеспечивает координацию работы членов комиссии при подготовке и проведении проверки;
определяет срок прибытия членов комиссии на проверку.
2.5. Члены комиссии принимают участие в работе комиссии и выполняют поставленные перед ними задачи.
Член комиссии имеет право единолично в соответствии с поставленными задачами исследовать отдельные вопросы проверки.
2.6. Для проведения проверки готовятся следующие документы:
уведомление о проведении проверки;
план проведения проверки;
приказ о проведении проверки.
2.7. Перед началом проведения проверки ГСЗПД направляется уведомление вместе с копией приказа о проведении проверки по месту нахождения или месту проживания субъекта проверки заказным письмом за 10 календарных дней до начала проведения проверки.
В случае невозможности проведения проверки из-за отсутствия у ГСЗПД подтверждения о получении субъектом проверки уведомления и копии приказа о проведении проверки, в том числе из-за отсутствия субъекта проверки по месту нахождения или месту проживания, субъекту проверки повторно направляются уведомление и копия приказа о проведении проверки.
В случае повторного поступления уведомления об отсутствии субъекта проверки по месту нахождения или по месту проживания комиссией составляется соответствующий акт о невозможности проведения проверки из-за отсутствия юридического или физического лица по месту нахождения или по месту его проживания по форме согласно приложению 1* к настоящему Порядку.
* Приложения не публикуются. — Примеч. ред.
2.8. Срок проведения проверки не может превышать 10 рабочих дней. По представлению председателя комиссии продление срока проведения проверки осуществляется уполномоченным должностным лицом ГСЗПД, принявшим решение о проведении проверки, но не более чем на 5 рабочих дней.
2.9. Первым днем проверки является день прибытия членов комиссии на проверку. В первый день проверки председатель комиссии предоставляет руководителю субъекта проверки, а при его отсутствии — уполномоченному им лицу план проведения проверки.
2.10. В ходе проведения проверки уполномоченные должностные лица ГСЗПД и субъекта проверки имеют права и обязанности, предусмотренные в разделе VII настоящего Порядка.
Председатель и члены комиссии имеют право получать у руководителя субъекта проверки, руководителей его структурных подразделений документы, письменные и устные объяснения и другую информацию, касающуюся проверяемых вопросов (в том числе с ограниченным доступом), необходимую для осуществления комиссией своих функций, в частности:
учредительные документы и другие документы, регулирующие организационные принципы деятельности субъекта проверки;
распорядительные документы (приказы, решения, распоряжения, постановления и т. п.) и другие документы, которыми утверждена цель обработки, перечень баз персональных данных и их местонахождение, состав персональных данных в базах персональных данных, предусмотрено получение согласия от субъекта персональных данных на обработку его персональных данных (в случае необходимости), утвержден порядок внесения, изменения, восстановления, использования, распространения, обезличивания, уничтожения персональных данных в базе персональных данных, определены ответственное лицо или структурное подразделение, которые осуществляют организацию работы, связанной с защитой персональных данных при их обработке, порядок защиты персональных данных, в том числе от незаконной обработки и незаконного доступа к ним;
наличие свидетельств о государственной регистрации баз персональных данных;
другую информацию, позволяющую установить наличие или отсутствие нарушения законодательства о защите персональных данных.
2.11. Субъект проверки обязан предоставить комиссии полную, всестороннюю и объективную информацию по всем вопросам, содержащимся в плане (программе) проведения проверки, и обеспечить надлежащие условия для проведения проверки этой информации.
2.12. Комиссия в случае необходимости имеет право получить заверенные в установленном законодательством порядке копии документов (выписки из документов), справки, а также письменные объяснения, заверенные подписями руководителя, или лица, исполняющего его обязанности, или руководителей соответствующих структурных подразделений субъекта проверки.
Комиссия имеет право на беспрепятственный доступ к местам хранения информации, в том числе и к компьютерам, магнитным носителям информации и т. п., получение копий такой информации.
2.13. В случае проведения безвыездной проверки ГСЗПД направляет субъекту проверки письменный запрос о предоставлении документов, необходимых для проведения проверки. Субъект проверки обязан в срок, определенный в запросе, предоставить ГСЗПД надлежащим образом заверенные копии документов, указанных в запросе.
III. Проведение плановой проверки
3.1. Основанием для проведения ГСЗПД плановой проверки субъекта проверки по соблюдению требований законодательства в сфере защиты персональных данных является включение субъекта в план проведения проверок.
3.2. Плановые проверки осуществляются в соответствии с годовыми или квартальными планами, которые утверждаются ГСЗПД до 1 декабря года, предшествующего плановому, или до 25 числа последнего месяца квартала, предшествующего плановому. План проведения проверок после его утверждения размещается на официальном веб-сайте ГСЗПД.
3.3. ГСЗПД осуществляет плановые проверки субъекта проверки по соблюдению требований законодательства в сфере защиты персональных данных с периодичностью не чаще одного раза в пять лет.
3.4. Датой, с которой начинается отсчет срока для определения начала следующей плановой проверки, является дата окончания предыдущей плановой проверки.
3.5. В случае необходимости получения от субъекта проверки документов, необходимых для проведения плановой безвыездной проверки, председатель комиссии принимает необходимые меры согласно пункту 2.13 раздела II настоящего Порядка.
IV. Проведение внеплановой проверки
4.1. Внеплановые проверки субъектов проверки могут проводиться при наличии одного из следующих оснований:
подачи субъектом проверки письменного заявления в ГСЗПД об осуществлении мер государственного надзора и контроля за соблюдением законодательства о защите персональных данных по его желанию;
обращения физических и юридических лиц о нарушении субъектом проверки требований законодательства о защите персональных данных;
неподачи в установленный срок субъектом проверки документов (сведений, данных) на письменный запрос ГСЗПД относительно осуществления безвыездной проверки, а также письменных объяснений о причинах, препятствовавших подаче таких документов;
выявления и подтверждения недостоверности в сведениях (данных), предоставленных субъектом проверки на письменный запрос ГСЗПД относительно осуществления безвыездной проверки, и/или если такие сведения (данные) не позволяют оценить выполнение субъектом проверки требований законодательства о защите персональных данных;
проверки выполнения субъектом проверки предписаний по устранению требований* законодательства о защите персональных данных, выданных по результатам проведения плановых проверок ГСЗПД.
* Очевидно, не требований, а их нарушений. — Примеч. ред.
4.2. Информация о проведении внеплановой проверки размещается на официальном веб-сайте ГСЗПД за 10 календарных дней до начала ее проведения.
4.3. В случае необходимости получения от субъекта проверки документов, необходимых для проведения внеплановой безвыездной проверки, председатель комиссии принимает необходимые меры в соответствии с пунктом 2.13 раздела II настоящего Порядка.
V. Оформление результатов проверок
5.1. По результатам осуществления плановой или внеплановой проверки комиссия составляет в двух экземплярах акт проверки соблюдения законодательства в сфере защиты персональных данных (далее — Акт проверки) по форме согласно приложению 2 к настоящему Порядку.
5.2. Акт проверки должен содержать следующие сведения:
дату, время и место составления Акта проверки;
должности, фамилии и инициалы лиц, проводивших проверку;
должность, фамилию и инициалы руководителя (уполномоченного им лица) субъекта проверки;
вид проверки (плановая, внеплановая, выездная, безвыездная);
для субъекта проверки — юридического лица: наименование, местонахождение;
для субъекта проверки — физического лица и/или физического лица — предпринимателя: фамилию, имя и отчество, место проживания;
данные о дате, времени начала и времени окончания проверки, ее общей продолжительности;
факты (обстоятельства), установленные по результатам проверки;
заключение о результатах проверки.
При составлении Акта проверки должно быть соблюдено объективное и исчерпывающее описание выявленных фактов и данных.
5.3. Акт проверки должен содержать одно из следующих заключений:
об отсутствии в деятельности субъекта проверки нарушений требований законодательства о защите персональных данных;
о выявленных в деятельности субъекта проверки нарушения требований законодательства о защите персональных данных, их детальное описание со ссылкой на нормы действующего законодательства, которые нарушены.
Не допускается излагать в Акте проверки предположения и факты, не подтвержденные документально.
5.4. В Акте проверки излагаются все выявленные в ходе проверки факты невыполнения (ненадлежащего выполнения) субъектом проверки требований законодательства в сфере защиты персональных данных.
5.5. В случае непредоставления субъектом проверки документов, необходимых для проведения проверки, в Акте проверки делается запись об этом с указанием причин.
5.6. Акт проверки составляется в двух экземплярах и в последний день проверки подписывается всеми членами комиссии и руководителем субъекта проверки или уполномоченным им лицом.
Если субъект проверки не соглашается с Актом проверки, он подписывает его с замечаниями. Замечания субъекта проверки, касающиеся осуществления ГСЗПД государственного надзора и контроля за соблюдением требований законодательства о защите персональных данных, являются неотъемлемой частью Акта проверки. В случае отказа руководителя субъекта проверки или уполномоченного им лица подписать Акт проверки член комиссии вносит в такой акт соответствующую запись. В случае отказа руководителя субъекта проверки или уполномоченного им лица получить второй экземпляр Акта проверки он направляется субъекту проверки в течение 5 рабочих дней заказным письмом.
5.7. Первый экземпляр Акта проверки вручается руководителю субъекта проверки или уполномоченному им лицу, о чем им ставится подпись на втором экземпляре Акта проверки, который хранится в ГСЗПД.
К экземпляру Акта проверки ГСЗПД обязательно прилагаются материалы проверки — копии документов, извлечения из документов, надлежащим образом заверенные субъектом проверки, объяснения, протоколы и другие документы.
Акт проверки регистрируется в Журнале учета результатов проверки соблюдения законодательства о защите персональных данных по форме согласно приложению 3 к настоящему Порядку, который хранится в ГСЗПД.
5.8. Член комиссии, который не соглашается с заключениями комиссии, указанными в Акте проверки, подписывает его с письменным изложением своего отдельного мнения, которое является неотъемлемой частью Акта проверки. При этом перед подписанием Акта проверки членом комиссии делается запись: «С отдельным мнением, которое прилагается».
5.9. Если субъект проверки имеет замечания по фактам и заключениям, изложенным в Акте проверки, перед подписанием он делает запись: «С замечаниями, которые прилагаются». Замечания оформляются отдельным документом и заверяются подписью руководителя субъекта проверки или уполномоченного им лица. Замечания руководителя субъекта проверки или уполномоченного им лица являются неотъемлемой частью Акта проверки.
5.10. Любые исправления и дополнения в Акте проверки после его подписания членами комиссии не допускаются. О выявлении описок после подписания Акта проверки субъекту проверки сообщается в письменном виде.
5.11. Никакая информация, ставшая известной в ходе проведения проверки членам комиссии, не подлежит разглашению.
5.12. На основании Акта проверки, в ходе которой выявлено нарушение требований законодательства о защите персональных данных, комиссией составляется предписание об устранении нарушений требований законодательства в сфере защиты персональных данных, выявленных в ходе проверки, по форме согласно приложению 4 к настоящему Порядку (далее — предписание). Предписание не предусматривает применение санкций в отношении субъекта проверки. Предписание подписывается председателем комиссии.
5.13. В предписании указываются:
номер, дата и место составления предписания;
для субъекта проверки — юридического лица: наименование, местонахождение, фамилия, имя и отчество руководителя юридического лица;
для субъекта проверки — физического лица и/или физического лица — предпринимателя: фамилия, имя и отчество, его место проживания;
основание для выдачи предписания;
меры по устранению нарушений, выявленных в ходе проверки;
срок выполнения предписания;
срок информирования субъектом проверки ГСЗПД об устранении выявленного нарушения;
подпись председателя комиссии.
5.14. Предписание составляется в двух экземплярах: первый экземпляр не позднее 5 рабочих дней со дня составления Акта проверки направляется субъекту проверки или уполномоченному им лицу заказным письмом, а второй экземпляр остается в ГСЗПД. На копии предписания, остающегося в ГСЗПД, проставляются соответствующий исходящий номер и дата отправления.
5.15. Субъект проверки должен в течение определенного в предписании срока (не менее 30 календарных дней) принять меры по устранению нарушений, указанных в предписании, и в письменном виде проинформировать ГСЗПД об устранении нарушений вместе с предоставлением копий документов, которые это подтверждают.
5.16. В случае выявления в ходе проверки совершения субъектом проверки административного правонарушения комиссия составляет протокол об административном правонарушении в порядке, предусмотренном законодательством и в разделе VI настоящего Порядка.
5.17. В случае выявления в ходе проверки субъекта проверки нарушения в сфере защиты персональных данных ГСЗПД направляет необходимые материалы в правоохранительные органы.
VI. Порядок составления протоколов об административных правонарушениях в сфере защиты персональных данных
6.1. Уполномоченным лицом ГСЗПД на составление протоколов об административных правонарушениях в сфере защиты персональных данных в соответствии с пунктом 1 части первой статьи 255 Кодекса Украины об административных правонарушениях (далее — КУоАП) является председатель комиссии. Протокол об административном правонарушении составляется по форме, приведенной в приложении 5 к настоящему Порядку (далее — протокол).
6.2. При решении вопроса о составлении протокола об административном правонарушении председателем комиссии устанавливаются:
наличие состава административного правонарушения;
наличие полномочий ГСЗПД на составление протокола;
достижение лицом, привлекаемым к административной ответственности, возраста, после которого наступает административная ответственность;
обстоятельства, исключающие административную ответственность;
обстоятельства, смягчающие или отягощающие ответственность за административное правонарушение;
срок, в течение которого может быть наложено на лицо административное взыскание.
6.3. Все реквизиты протокола заполняются разборчивым почерком на украинском языке. В соответствующих графах, не заполняемых при составлении протокола, проставляется прочерк. Заполнение протокола карандашом не допускается.
6.4. В протоколе излагаются следующие сведения:
дата и место его составления, должность, фамилия, имя, отчество лица, составившего протокол;
сведения о лице, в отношении которого составлен протокол;
место, время совершения и суть административного правонарушения;
нормативный акт, предусматривающий ответственность за данное правонарушение;
фамилии, места проживания свидетелей и потерпевших, если они имеются;
объяснение лица, в отношении которого составлен протокол;
другие сведения, необходимые для решения дела.
Если правонарушением причинен материальный ущерб, об этом также указывается в протоколе.
6.5. Изложенные в протоколе фактические обстоятельства совершенных действий или бездействия должны соответствовать составу административного правонарушения, предусмотренного КУоАП.
Внесение в протокол сведений и заключений, не подтвержденных документально, а также предоставление морально-этических оценок действиям правонарушителей не допускаются.
6.6. В случае отказа лица, в отношении которого составлен протокол, от подписания протокола об административном правонарушении в нем делается запись об этом председателем комиссии. Лицо, в отношении которого составлен протокол, имеет право подать объяснения и замечания по содержанию протокола, которые прилагаются к протоколу, а также изложить мотивы своего отказа от его подписания.
6.7. Лицу, в отношении которого составлен протокол, разъясняются его права и обязанности, предусмотренные статьей 268 КУоАП, а также содержание статьи 63 Конституции Украины. Факт ознакомления лица, в отношении которого составлен протокол, с правами и обязанностями в протоколе заверяется его подписью с указанием даты.
6.8. Протокол подписывается председателем комиссии и лицом, в отношении которого составлен протокол.
6.9. Не допускается зачеркивание или исправление сведений, заносимых в протокол, а также внесение дополнительных записей после того, как протокол подписан лицом, в отношении которого он составлен.
6.10. После оформления и подписания протокола формируется дело об административном правонарушении для передачи его в суд.
По каждому случаю составления протокола заводится отдельное дело об административном правонарушении, к которому приобщаются материалы, подтверждающие факт совершения административного правонарушения и причастность к нему лица, в отношении которого составлен протокол.
6.11. Дело об административном правонарушении состоит из следующих материалов:
протокол об административном правонарушении;
материалы (акт проверки или извлечение из него), которые содержат признаки административного правонарушения и подтверждают факт его совершения;
объяснения и замечания лица, в отношении которого составлен протокол (в случае если они поданы не на бланке протокола);
предписание (в случае составления) и документы, подтверждающие его выполнение (при наличии);
опись необходимых документов.
6.12. При наличии к делу об административном правонарушении могут приобщаться следующие материалы:
объяснения свидетелей;
заключения по результатам работы комиссии;
копии должностных обязанностей и других документов, касающихся правонарушения.
Копии документов, приобщаемых к материалам дела об административном правонарушении, заверяются в установленном порядке.
6.13. Протокол об административном правонарушении вместе с другими материалами в трехдневный срок с момента его составления направляется в местный общий суд по месту совершения правонарушения.
6.14. Составленные протоколы об административных правонарушениях регистрируются в Журнале учета материалов об административных правонарушениях, который ведется ГСЗПД по форме согласно приложению 6 к настоящему Порядку.
6.15. Дела об административных правонарушениях, которые передаются в суд, прошиваются и нумеруются по листам. В описи дела указываются: порядковый номер, полное название документа, его дата, порядковые номера листов, а также общее количество документов и листов цифрами и словами. Опись подписывается уполномоченным лицом ГСЗПД, проставляется дата ее составления и заверяется печатью.
6.16. После получения сведений о принятом судом решении по делу об административном правонарушении в Журнал учета материалов об административных правонарушениях вносятся сведения о результатах рассмотрения дела: номер и дата вынесенного судом решения, сведения о суде (судье), принявшем решение, результатах рассмотрения дела.
6.17. Материалы об административных правонарушениях подшиваются к делу по порядковым номерам Журнала учета материалов об административных правонарушениях.
6.18. Сроки хранения материалов об административных правонарушениях и Журнала учета материалов об административных правонарушениях устанавливаются согласно действующему законодательству.
6.19. При передаче сформированного в ГСЗПД дела об административном правонарушении в суд с соответствующего дела делается копия, которая остается на хранении в ГСЗПД.
VII. Права и обязанности председателя и членов комиссии, должностных лиц субъекта проверки
7.1. Председатель комиссии, члены комиссии при проведении проверки имеют право:
беспрепятственно входить на объект проверки по служебному удостоверению и иметь доступ к документам и другим материалам, необходимым для проведения проверки;
согласовывать с руководителем субъекта проверки или уполномоченным им лицом организационные вопросы по проведению проверки;
требовать для проверки необходимые документы и другую информацию в связи с реализацией своих полномочий;
снимать копии с документов субъекта проверки, необходимых для проведения проверки и документирования (фиксирования) нарушений, и требовать их удостоверения в установленном законодательством порядке. В случае существования документа только в электронной форме при условии, что этот документ создан субъектом проверки, субъект проверки обязан предоставить его бумажную копию, обеспечивающую визуальную форму отражения документа, заверенную субъектом проверки в установленном законодательством порядке. В случае невозможности предоставить бумажную копию, обеспечивающую визуальную форму отражения документа, проводится просмотр электронного документа, о чем составляется акт просмотра электронного документа по форме согласно приложению 7 к настоящему Порядку;
требовать в рамках своей компетенции у руководителя и/или должностных лиц субъекта проверки предоставления письменных объяснений;
в связи с реализацией своих полномочий и согласно законодательству обращаться в органы прокуратуры, другие правоохранительные органы.
7.2. Кроме прав, предоставленных председателю комиссии и членам комиссии в соответствии с пунктом 7.1 настоящего раздела, председатель комиссии дополнительно имеет право:
составлять и подписывать предписания об устранении нарушения требований законодательства в сфере защиты персональных данных;
составлять и подписывать протоколы об административных правонарушениях в сфере защиты персональных данных;
привлекать для составления протоколов лиц, присутствующих при выявлении правонарушения.
7.3. Председатель комиссии, члены комиссии при проведении проверки обязаны:
полно, объективно и беспристрастно осуществлять проверку в рамках определенных полномочий;
ознакомить руководителя субъекта проверки или уполномоченное им лицо с планом проведения проверки;
сообщить руководителю субъекта проверки или уполномоченному им лицу об обязанностях и полномочиях председателя и членов комиссии, причине и цели проверки, правах, обязанностях руководителя и должностных лиц субъекта проверки;
ознакомить руководителя субъекта проверки или уполномоченное им лицо с результатами проведенной проверки и/или протоколом об административных правонарушениях;
ознакомить лицо, в отношении которого составлен протокол, о его правах и обязанностях, предусмотренных КУоАП, а также статьей 63 Конституции Украины;
определить перечень необходимых для проверки документов и сроки их предоставления;
надлежащим образом оформлять результаты проверок;
неуклонно соблюдать требования к составлению протоколов об административных правонарушениях, определенных настоящим Порядком.
7.4. Должностные лица субъекта проверки, в том числе руководитель субъекта проверки или уполномоченное им лицо, при осуществлении проверки имеют право:
проверять наличие у председателя и членов комиссии служебного удостоверения и оснований для проведения проверки;
присутствовать при осуществлении проверки;
получать и знакомиться по результатам проведенной проверки с Актом проверки и/или протоколом об административном правонарушении;
предоставлять в письменной форме свои объяснения и замечания к Акту проверки и/или протоколу об административных правонарушениях;
обжаловать в установленном законом порядке неправомерные действия председателя и членов комиссии.
7.5. Должностные лица субъекта проверки, в том числе руководитель субъекта проверки или уполномоченное им лицо, при осуществлении проверки обязаны:
беспрепятственно допускать председателя и членов комиссии на объект проверки и предоставлять доступ к документам и другим материалам, необходимым для проведения проверки;
предоставлять необходимые документы и другую информацию, а также заверенные в установленном законодательством порядке копии документов, которые могут быть источником информации о нарушении законодательства о защите персональных данных;
выполнять требования председателя и членов комиссии по вопросам соблюдения законодательства о защите персональных данных.
И. о. директора Департамента взаимодействия с органами власти С. Мартыненко
комментарий редакции
Базы персональных данных: ждать ли проверяющих?
Госслужба по защите персональных данных наконец-то получила утвержденный Минюстом Порядок осуществления госконтроля. Впрочем, его отсутствие не мешало ей проводить проверки и раньше. Уже в IV квартале 2011 года Госслужба работала по утвержденному и размещенному на ее сайте (http://zpd.gov.ua) плану проведения проверок. Правда, в него вошло всего 9 субъектов хозяйствования. В плане проведения проверок на III квартал 2012 года и того меньше — лишь четыре юрлица, три из которых — коллекторские фирмы. Что касается внеплановых проверок, то пока субъектов хозяйствования, в отношении которых таковые были проведены, можно пересчитать по пальцам одной руки.
Объяснить такую низкую активность Госслужбы в проведении проверок можно сразу несколькими факторами: во-первых, у Госслужбы все еще нет территориальных органов, во-вторых, ее основные усилия направлены на обработку заявлений о регистрации баз персональных данных, основной поток которых пришелся на конец 2011 года и с которым до сих пор Госслужба справиться не может. На данный момент продолжают обрабатываться заявления, поступившие в Госслужбу в декабре 2011 года — январе 2012 года; при этом, к примеру, в первом квартале 2012 года было зарегистрировано 6427 баз персональных данных, а к числу необработанных заявлений за первый же квартал прибавилось еще 859765 заявлений. Как видим, в нормальный ритм работы Госслужба войдет еще нескоро.
Безусловно, неким сдерживающим обстоятельством был и факт отсутствия утвержденного Порядка проведения проверок, а также возможности применения санкций, если по результатам контрольного мероприятия выявлены нарушения действующего законодательства. Напомним, соответствующие админштрафы, размер которых в отдельных случаях может достигать 17000 грн., вступили в действие 1 июля 2012 года (подробно о базах персональных данных, порядке их регистрации и возможной ответственности см. «Налоги и бухгалтерский учет», 2012, № 48). Вынуждены оговориться: до проекта закона, которым Кабмин предлагал отменить необходимость регистрации баз персональных данных, связанных с трудовыми отношениями (фактически речь идет о БПД «Работники», которая, по мнению самой Госслужбы, есть у каждого субъекта хозяйствования с наемными сотрудниками), у парламентариев, которые ушли на каникулы до 4 сентября, дело так и не дошло.
В отношении самого Порядка проведения проверок следует обратить внимание на такие моменты:
1. Судя по всему, Минюст при его утверждении исходил из того, что Закон Украины «Об основных принципах государственного надзора (контроля) в сфере хозяйственной деятельности» от 05.04.2007 г. № 877-V на деятельность Госслужбы по защите персональных данных распространяться не должен. Как можно предположить, аргумент традиционный — вопросы защиты персональных данных с хозяйственной деятельностью не связаны, а потому и в сферу действия Закона не попадают.
2. Виды проверок, проводимых Госслужбой по защите персональных данных, привычные — плановые (выездные и безвыездные) и внеплановые (которые также могут осуществляться как с выездом по местонахождению БПД, так и без него). Непривычно другое: и о плановых, и о внеплановых проверках Госслужба обязана заблаговременно, а именно за 10 календарных дней, сообщить проверяемому субъекту путем направления уведомления о проверке с копией приказа о ее проведении. Кроме того, субъект хозяйствования может узнать о том, что его ждет плановый либо внеплановый визит Госслужбы по защите персональных данных (и о том, что стало для этого основанием), ознакомившись с размещаемыми на сайте Госслужбы планами проверок на квартал, а также приказами о проведении внеплановых проверок.
3. Проверки Госслужбы могут проводиться в том числе по месту проживания физических лиц (например, если оно было указано в заявлении о регистрации базы персональных данных в качестве места ее нахождения).
4. Срок проведения проверки (как плановой, так и внеплановой) не может превышать 10 рабочих дней с возможностью продления еще не более чем на 5 рабочих дней. В этой части наблюдаются сразу два противоречия комментируемого Порядка Закону № 877, который, во-первых, предусматривает сокращенную длительность проверок для субъектов малого предпринимательства (до 5 рабочих дней плановые проверки, до двух — внеплановые) и, во-вторых, запрещает продлевать внеплановые.
5. Наиболее неприятно выглядят полномочия, названные в пунктах 2.12 и 2.13 комментируемого Порядка. Речь в них идет о праве проверяющих получить «удостоверенные в установленном законодательством порядке копии документов (выписки из документов), справки, а также письменные пояснения, заверенные подписями руководителя либо лица, выполняющего его обязанности, или же руководителей соответствующих структурных подразделений предприятия», о праве доступа к местам хранения информации, в том числе к компьютерам (для ознакомления с электронными документами с экрана компьютера), магнитным носителям информации, возможности проверяющих получать копии такой информации, а также о праве направлять субъектам хозяйствования письменный запрос о предоставлении документов в срок, указанный в запросе (законодательно такой срок не установлен). Причем перечень документов, которые могут истребовать проверяющие, по задумке, должен был быть ограничен документами, названными в п. 2.10. Но составители Порядка, видимо, тоже это понимая, решили завершить его фразой «другая информация, дающая возможность установить наличие либо отсутствие нарушений законодательства о защите персональных данных», развязывающей руки проверяющим.
Безусловно, каждая конкретная ситуация требует индивидуального подхода. Однако если требование о предоставлении тех или иных документов покажется субъекту хозяйствования неприемлемым, он может отказать представителям Госслужбы в его удовлетворении (рекомендуем делать это в письменной форме с пояснением причин отказа), учитывая, что, во-первых, согласно Закону Украины «О защите персональных данных» от 01.06.2010 г. № 2297-VI доступ к информации, связанной с обработкой персональных данных, и к помещениям, где осуществляется такая обработка, должен осуществляться согласно закону (т. е. такой порядок должен быть установлен на уровне закона, а не приказа Минюста), во-вторых, действующее законодательство не предусматривает штрафных санкций ни для самого предприятия, ни для его должностных лиц, ни для физлиц-предпринимателей в случае отказа от предоставления документов, испрашиваемых Госслужбой.
В случае получения проверяющими такого отказа последующее развитие событий может быть следующим: 1) субъект, в отношении которого проводится проверка, может получить письменное предписание об устранении требований законодательства о защите персональных данных в виде непредоставления истребуемой информации (иначе — штраф на должностных лиц либо физлицо-предпринимателя в размере от 100 до 200 не облагаемых налогом минимумов доходов граждан, т. е. от 1700 до 3400 грн.), либо 2) Госслужба обратится в суд с требованием обязать предоставить ей необходимую информацию. Впрочем, в удовлетворении подобных требований, если они и будут поступать, суды, как можно предположить, будут отказывать, тем более что самим Порядком проведения проверок предусмотрен способ реагирования на отказ предоставить необходимые документы. Такой отказ служит основанием для проведения внеплановой проверки. Каждый новый отказ — новое основание для новой внеплановой проверки.
Впрочем, надеемся, что с необходимостью продумывать варианты реагирования на подобные требования Госслужбы по защите персональных данных субъекты хозяйствования столкнутся еще нескоро.
Елена Уварова
