Що потрібно знати при перевірці Державною службою з питань захисту персональних даних

Незважаючи на нерозуміння представниками українського бізнесу поняття «персональні дані» та порядку роботи з ними, влада має всі повноваження починаючи з 1 липня 2012 притягати порушників, як до адміністративної, так і до кримінальної відповідальності. Спробуємо розібратися, до чого ж необхідно готуватися і як себе вести з представниками Служби при проведенні таких перевірок.

Як і будь-який контролюючий орган, Служба діє виключно в межах своїх повноважень. На жаль, конкретний порядок проведення перевірок на сьогоднішній день так і не був затверджений, незважаючи на те, що перевірки вже проводилися. З огляду на це, Служба керується лише загальними нормами Положення про Державну службу України з питань захисту персональних даних, затвердженого Указом Президента України від 06.04.2011 №390, згідно з яким Служба:

  1. розробляє і затверджує плани перевірок власників і (або) розпорядників баз персональних даних про дотримання ними вимог законодавства у сфері захисту персональних даних;
  2. проводить у межах своїх повноважень виїзні та невиїзні перевірки власників та (або) розпорядників баз персональних даних;
  3. видає власникам та (або) розпорядникам баз персональних даних обов’язкові для виконання приписи про усунення порушень законодавства про захист персональних даних і вимагає надання необхідної інформації та документів, що підтверджують усунення виявлених порушень;
  4. складає адміністративні протоколи про виявлені порушення законодавства у сфері захисту персональних даних;
  5. передає правоохоронним органам матеріали про виявлені порушення в сфері захисту персональних даних;
  6. здійснює контроль за дотриманням правил передачі персональних даних іноземним суб’єктам відносин, пов’язаних з персональними даними.

Проаналізувавши зазначені повноваження, можна тільки собі уявити, як в реальному житті представниками Служби проводитиметься перевірка. Такий стан справ дає необмежене поле і для неправомірних дій та зловживань з боку перевіряючих, і для банального нерозуміння суб’єктами перевірки всього, що буде відбуватися.

Все ж таки, враховуючи проект Порядку здійснення Державною службою з питань захисту персональних даних державного контролю за дотриманням законодавства про захист персональних даних, який був розміщений на офіційному сайті Служби для обговорення, і існуючу одиничну практику, можна виділити наступні етапи проведення перевірки.

1. Повідомлення про перевірку

Повідомлення та копія наказу про проведення перевірки повинно бути направлено на адресу місцезнаходження суб’єкта перевірки за 10 календарних днів до початку перевірки.

Необхідно звернути увагу, що в разі використання номінального юридичної адреси (досить поширена практика) необхідно стежити, щоб таке повідомлення все ж було отримано. Це пов’язано з тим, що при повторному вступі повідомлення про відсутність суб’єкта перевірки за місцезнаходженням комісією складається акт про неможливість проведення перевірки через відсутність юридичної особи або фізичної особи за місцем знаходження або місцем проживання, про що Служба може проінформувати правоохоронні органи.

Рекомендується також звернути увагу на вид перевірки (планова/позапланова та виїзна/невиїзна). Планові перевірки проводяться тільки на підставі затвердженого плану, який публікується на сайті Служби, в той час як для позапланової перевірки повинні бути відповідні підстави.

2. Проведення безпосередньої перевірки

У разі якщо все ж було отримано повідомлення про проведення перевірки, необхідно здійснити всі дії, які будуть спрямовані на попередження правопорушення в сфері захисту персональних даних. Зокрема, можуть бути оформлені внутрішні документи щодо захисту персональних даних, подані заяви на реєстрацію баз персональних даних і впорядковані документи як в електронному вигляді, так і в паперовій формі.

Візит членів комісії, спрямованих на перевірку, повинен починатися з пред’явлення ними службового посвідчення та надання плану проведення перевірки.

Цікавим фактом є те, що перевірка може проводитися як за місцезнаходженням юридичної особи, так і за місцезнаходженням баз персональних даних (далі – ПД), які, в свою чергу, можуть перебувати в інших областях і на зарубіжних серверах.

Також не може не викликати подиву те, що працівники Служби мають право безперешкодно потрапляти в будь-яке приміщення і мати доступ до документів, де обробляються персональні дані, тобто, іншими словами, навіть в приватну квартиру, якщо це фізична особа – підприємець.

Крім того, члени комісії мають право:

  • погоджувати з керівником суб’єкта перевірки або уповноваженою ним особою організаційні питання щодо проведення перевірки;
  • вимагати для перевірки необхідні документи та іншу інформацію у зв’язку з реалізацією своїх повноважень;
  • знімати копії з документів суб’єкта перевірки, необхідних для проведення перевірки і документування (фіксації) порушень, і вимагати їх посвідчення у встановленому законодавством порядку. У разі існування документа лише в електронній формі, за умови що даний документ створений суб’єктом перевірки, суб’єкт перевірки зобов’язаний надати його паперову копію, яка забезпечує візуальну форму відображення документа, завірену суб’єктом перевірки, в установленому законодавством порядку. У разі неможливості надати паперову копію, яка забезпечує візуальну форму відображення документа, проводиться огляд електронного документа, про що складається акт огляду електронного документа;
  • вимагати в межах своєї компетенції у керівника та/або посадових осіб суб’єкта перевірки надання письмових пояснень;
  • залучати (додатково до складу комісії) незалежних експертів для проведення перевірок.

При проведенні перевірки необхідно бути готовим відповісти на наступні питання і надати підтверджуючі документи щодо:

  1. цілі обробки ПД;
  2. складу і змісту ПД;
  3. особливих вимог до обробки ПД;
  4. джерел обробки ПД;
  5. терміни обробки ПД;
  6. правових підстав обробки ПД;
  7. посадових осіб, відповідальних за обробку персональних даних та порядку доступу до ПД інших осіб.

Також треба враховувати, що в разі наявності розпорядника баз персональних даних діяльність останнього також буде перевірена як додатковий етап перевірки.

3. Результати перевірки

За результатами перевірки комісія складає акт перевірки дотримання законодавства про захист персональних даних і в разі виявлення порушень виносить свій припис. Припис, в свою чергу, не передбачає застосування санкцій, але в ньому вказується строк, протягом якого суб’єкт перевірки повинен усунути порушення, про що в обов’язковому порядку зобов’язаний поінформувати Службу.

У разі невиконання припису представники Служби складають адміністративний протокол, який потім передається до суду. Адміністративний протокол розглядається в судовому засіданні і приймається рішення про накладення адміністративного стягнення, передбаченого Кодексом України про адміністративні правопорушення, на підставі якого суб’єктом перевірки сплачується штраф.

Вищевказані етапи перевірки є достатньо умовними, тому не можуть включати в себе всі можливі варіанти розвитку подій в кожній конкретній ситуації. Але все ж краще максимально попередити для себе негативні наслідки, ніж оскаржити дії Державної служби з питань захисту персональних даних в подальшому.

Юридичну правову допомогу Ви можете отримати у висококваліфікованих фахівців (юристів) юридичної фірми “Юріс-Консалт”

Стаття опублікована у середа, 11.07.2012, у категорії Право, суди. Ви можете відслідковувати відповіді на цю статтю за допомогою RSS 2.0.

Написати відповідь


1 × один =