Контроль і перевірки у сфері персональних даних

22.06.2012 Міністерство юстиції України затвердило наказ №947/5 “Про затвердження Порядку здійснення Державною службою України з питань захисту персональних даних державного контролю за дотриманням законодавства про захист персональних даних”. Наказ набрав чинності з 16.07.2012, з дня його офіційного опублікування в Офіційному віснику України.

Порядком встановлено механізм здійснення Державною службою України з питань захисту персональних даних (ДСЗПД) державного контролю за дотриманням вимог законодавства про захист персональних даних.

Суб’єктами перевірки визнані всі власники та/або розпорядники баз персональних даних (фізичні особи, фізичні особи – підприємці, підприємства, установи та організації всіх форм власності, органи державної влади).

ДСЗПД проводить планові і позапланові перевірки, які можуть бути як виїзні, так і безвиїзні.

Затверджено переліки документів, які складаються для перевірки:

  • повідомлення про проведення перевірки;
  • план проведення перевірки;
  • наказ про проведення перевірки.

Підставою для проведення планових перевірок є включення суб’єкта до плану проведення перевірок (не частіше 1 разу на 5 років). Планові перевірки здійснюються відповідно до річних або квартальних планів, які затверджуються до 1 грудня року, що передує плановому, або до 25 числа останнього місяця кварталу, що передує плановому. План проведення перевірок після його затвердження розміщується на офіційному веб-сайті ДСЗПД.

Позапланові перевірки можуть проводитися за наявності однієї з таких підстав:

  • надання суб’єктом перевірки письмової заяви до ДСЗПД про здійснення заходів державного нагляду і контролю за дотриманням законодавства про захист персональних даних за його бажанням;
  • звернення фізичних та юридичних осіб про порушення суб’єктом перевірки вимог законодавства про захист персональних даних;
  • ненадання у встановлений термін суб’єктом перевірки документів (відомостей, даних) на письмовий запит ДСЗПД щодо здійснення безвиїзно перевірки, а також письмових пояснень про причини, які перешкоджали поданню таких документів;
  • виявлення та підтвердження недостовірності в даних, наданих суб’єктом перевірки на письмовий запит ДСЗПД щодо здійснення безвиїзно перевірки, та/або якщо такі дані не дають можливості оцінити виконання суб’єктом перевірки вимог законодавства про захист персональних даних;
  • перевірка виконання суб’єктом перевірки приписів щодо усунення вимог законодавства про захист персональних даних, виданих за результатами проведення планових перевірок ДСЗПД (саме так і написано: усунення вимог законодавства).

Повідомлення про проведення перевірки надсилається суб’єкту рекомендованим листом за 10 календарних днів до початку перевірки разом з копією наказу.

В наказі визначаються:

  • суб’єкт перевірки;
  • дата початку та дата кінця перевірки;
  • склад комісії з визначенням її керівника;
  • правові підстави проведення перевірки.

У перший день перевірки суб’єкту перевірки надається план проведення перевірки.

Під час перевірки голова та члени комісії мають право одержувати від керівника суб’єкта перевірки, інших посадових осіб, письмові та усні пояснення та іншу інформацію, яка стосується питань, які перевіряються (у тому числі з обмеженим доступом), зокрема:

  • установчі документи та інші документи, які регулюють організаційні основи діяльності суб’єкта перевірки;
  • розпорядчі документи (накази, рішення, розпорядження, постанови тощо) та інші документи, якими затверджено мета обробки, перелік баз персональних даних та їх місцезнаходження, склад персональних даних в базах персональних даних, передбачено отримання згоди від суб’єкта персональних даних на обробку його персональних даних (у разі необхідності), затверджений порядок внесення, зміни, поновлення, використання, поширення, знеособлення, знищення персональних даних у базі персональних даних, визначено відповідальну особу або структурний підрозділ, які здійснюють організацію роботи, пов’язаної із захистом персональних даних при їх обробці, порядок захисту персональних даних;
  • наявність свідоцтв про державну реєстрацію баз персональних даних;
  • іншу інформацію, яка дає можливість встановити наявність або відсутність порушень законодавства про захист персональних даних.

Також комісія має право на безперешкодний доступ до місць зберігання інформації, у тому числі й до комп’ютерів, магнітним носіям інформації тощо, отримувати копій такої інформації.

Стандартний термін проведення перевірки не може перевищувати 10 робочих днів (в окремих випадках може бути продовжений не більше ніж на 5 робочих днів).

Результат перевірки відображаються в Акті, де зазначається:

  • відсутність порушень вимог законодавства; або
  • виявлені порушення вимог законодавства про захист персональних даних (їх детальний опис).

Суб’єкт перевірки має право підписати Акт з власними зауваженнями.

У разі встановлення наявності порушень комісія не пізніше 5 робочих днів з дня складання Акту надсилає рекомендованим листом суб’єкту перевірки або уповноваженої ним особі Припис, відповідно до якого останній вживає заходів щодо усунення порушень протягом визначеного в Розпорядженні терміну (не менше ніж 30 календарних днів) і письмово інформує про усунення порушень ДСЗПД з наданням копій документів, що підтверджують це.

Глава комісії також уповноважений складати протоколи про адміністративні правопорушення в сфері захисту персональних даних (після оформлення протоколу справа передається в суд).

Нагадаємо, що 1 липня вступили в силу штрафні санкції за порушення Закону про захист персональних даних.

Юридичну правову допомогу Ви можете отримати у висококваліфікованих фахівців (юристів) юридичної фірми “Юріс-Консалт”

Стаття опублікована у п`ятниця, 17.08.2012, у категорії Право, суди. Ви можете відслідковувати відповіді на цю статтю за допомогою RSS 2.0.

Написати відповідь


− чотири = 5

--


Календар публікацій

Серпень 2012
П В С Ч П С Н
« Лип   Вер »
 12345
6789101112
13141516171819
20212223242526
2728293031