ПЕРЕВІРКИ
У СФЕРІ ЗАХИСТУ
ПЕРСОНАЛЬНИХ ДАНИХ:
Мін'юст затвердив Порядок
Наказ Міністерства юстиції України № 947/5 від 22.06.12 р.
«Про затвердження Порядку здійснення Державною службою України з питань захисту персональних даних державного контролю за дотриманням законодавства про захист персональних даних»
Органом, уповноваженим на здійснення контролю у сфері дотримання володільцями (розпорядниками) БПД* законодавства в цій сфері, є ДСЗПД**. Документ (далі — Порядок № 947/5), що коментується, установлює правила проведення таких перевірок.
* Бази персональних даних.
** Державна служба України з питань захисту персональних даних.
Відразу зауважимо, що Порядок № 947/5 набирає чинності одночасно із Законом № 3454***, але не раніше дня офіційного опублікування (на момент підготовки цього номера документ, що коментується, не опублікований, а отже, ще не діє).
*** Закон України «Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних» від 02.06.2011 р. № 3454-VI (набрав чинності з 01.07.12 р.).
Зупинимося на основних моментах.
Порядком № 947/5 передбачено такі види перевірок: планові, позапланові, виїзні та безвиїзні.
Підставою для проведення планової перевірки є включення суб'єкта до плану проведення перевірок, який затверджується ДСЗПД до 1 грудня року, що передує плановому, або до 25 числа останнього місяця кварталу, що передує плановому. План перевірок розміщується на офіційному сайті ДСЗПД (www.zpd.gov.ua). Повідомлення про перевірку надсилається суб'єкту рекомендованим листом не пізніше ніж за 10 календарних днів до початку її проведення. Строк перевірки не може перевищувати 10 робочих днів (а за необхідності може бути продовжено не більш ніж на 5 робочих днів).
Позапланова перевірка проводиться за наявності однієї з підстав, перелічених у п. 4.1 Порядку № 947/5: зокрема, звернення фізичної або юридичної особи про порушення суб'єктом перевірки вимог законодавства про захист персональних даних; неподання в установлений строк документів на письмовий запит ДСЗПД щодо здійснення невиїзної перевірки, а також письмових пояснень про причини, що перешкоджали їх поданню****. Інформація про проведення позапланової перевірки розміщується на офіційному веб-сайті ДСЗПД за 10 календарних днів до її початку.
**** Строк, протягом якого володілець (розпорядник) БПД зобов'язаний подати необхідні документи, указується у відповідному письмовому запиті ДСЗПД (п. 2.13 Порядку № 947/5).
За результатами перевірки складається акт у двох примірниках (за формою додатка 2 до Порядку № 947/5). На підставі акта перевірки, під час якої виявлено порушення вимог законодавства у сфері захисту персональних даних, комісія, що проводила перевірку, складає припис (за формою додатка 4 до Порядку № 947/5). Припис не передбачає застосування санкцій до суб'єкта. Володілець (розпорядник) БПД зобов'язаний усунути зазначені у приписі порушення та письмово повідомити про це ДСЗПД.
Якщо під час перевірки виявлено вчинення адміністративного правопорушення (види порушень наведено у ст. 288 39 КУпАП)*, комісія складає протокол про адміністративне правопорушення (за формою додатка 5 до Порядку № 947/5), що підписується головою комісії та особою, стосовно якої складено протокол. Після цього у 3-денний строк справа передається до місцевого суду за місцем вчинення правопорушення на розгляд.
* Див. також консультацію на с. 20.
У разі виявлення під час перевірки кримінально караних порушень (незаконне збирання, зберігання, використання, знищення, поширення конфіденційної інформації про особу або незаконна зміна такій інформації) ДСЗПД направляє необхідні дані в правоохоронні органи.
Що стосується процедури проведення перевірки, то перевіряючі мають, зокрема, такі права (п. 7.1 Порядку № 947/5):
— безперешкодно входити на об'єкт перевірки за службовими посвідченнями і мати доступ до документів та інших матеріалів, потрібних для проведення перевірки;
— вимагати для перевірки необхідні документи та іншу інформацію у зв'язку з реалізацією своїх повноважень;
— знімати копії з документів суб'єкта перевірки, необхідних для проведення перевірки і документування (фіксування) порушень, та вимагати їх засвідчення в установленому законодавством порядку**. Примірний перелік документів, що перевірятимуться, наведено в п. 2.10 Порядку № 947/5, зокрема: установчі документи, свідоцтва про реєстрацію БПД, розпорядчі документи, якими затверджено мету обробки, перелік БПД та їх місцезнаходження, порядок ведення БПД, відповідальну особу тощо (по суті, це все має бути закріплено у внутрішньому документі — Положенні (порядку) обробки персональних даних у БПД***).
** Копії документів засвідчуються підписом керівника суб'єкта чи особи, яка виконує його обов'язки, або керівників відповідних структурних підрозділів суб'єкта перевірки (п. 2.12 Порядку № 947/5).
*** За основу цього документа можна взяти Типовий порядок обробки персональних даних у БПД, затверджений наказом Мін'юсту від 30.12.11 р. № 3659/5.
Потрібно знати важливий нюанс: у разі існування документа лише в електронній формі за умови, що цей документ створений суб'єктом перевірки, суб'єкт перевірки зобов'язаний надати його паперову копію, яка забезпечує візуальну форму відображення документа, засвідчену суб'єктом перевірки в установленому законодавством порядку. У разі неможливості надати паперову копію, що забезпечує візуальну форму відображення документа, провадиться огляд електронного документа, про що складається акт огляду електронного документа за формою додатка 7 до Порядку № 947/5. При цьому перевіряючі мають право на безперешкодний доступ до місць зберігання інформації, у тому числі й до комп'ютерів, магнітних носіїв інформації тощо (п. 2.12 Порядку № 947/5).
Ось такі не дуже приємні моменти потрібно враховувати суб'єктам, очікуючи «в гості» представників ДСЗПД з перевіркою.
