Отключить рекламу

Подпишитесь!


24.06.12
559 20 Печатать

Как защититься, защищая персональные данные?

   О порядке проведения проверок Государственной службой по вопросам защиты персональных данных и способах защиты от них читайте в материале еженедельника «ЮРИСТ & ЗАКОН» от 21.06.2012, № 35 (публикуется на языке оригинала).
   
   «Ви ще не захищаєте персональні дані? Тоді ми йдемо до Вас!» - схоже повідомлення найближчим часом може надійти до будь-якої юридичної особи та фізичної особи - підприємця від Державної служби з питань захисту персональних даних (далі - Служба) про проведення перевірки щодо дотримання ними вимог законодавства у сфері захисту персональних даних. Тобто, незважаючи на нерозуміння представників українського бізнесу поняття «персональних даних» та порядку роботи з ними, влада все ж має всі повноваження вже починаючи з 1 липня 2012 року притягувати порушників як до адміністративної, так і до кримінальної відповідальності. Спробуємо розібратися, до чого ж необхідно готуватися та як себе поводити із представниками Служби при проведенні таких перевірок.
   
   Як і будь-який контролюючий орган, Служба діє виключно у межах своїх повноважень. На жаль, конкретного порядку проведення перевірок на сьогоднішній день так і не було затверджено, не дивлячись на те, що перевірки вже проводилися. Враховуючи зазначене, Служба керується лише загальними нормами Положення про Державну службу України з питань захисту персональних даних, затвердженого Указом Президента України від 06.04.2011 № 390, відповідно до якого Служба:
   
   1) розробляє та затверджує плани перевірок володільців та (або) розпорядників баз персональних даних щодо дотримання ними вимог законодавства у сфері захисту персональних даних;
   
   2) проводить у межах своїх повноважень виїзні та безвиїзні перевірки володільців та (або) розпорядників баз персональних даних;
   
   3) видає володільцям та (або) розпорядникам баз персональних даних обов'язкові до виконання приписи щодо усунення порушень законодавства про захист персональних даних і вимагає надання необхідної інформації та документів, що підтверджують усунення виявлених порушень;
   
   4) складає адміністративні протоколи про виявлені порушення законодавства у сфері захисту персональних даних;
   
   5) передає правоохоронним органам матеріали про виявлені порушення у сфері захисту персональних даних;
   
   6) здійснює контроль за дотримання правил передачі персональних даних іноземним суб'єктам відносин, пов'язаних з персональними даними.
   
   Проаналізувавши зазначені повноваження, можна тільки собі уявити, як у реальному житті представниками Служби буде проводитися перевірка. Такий стан справ дає необмежене поле і для неправомірних дій та зловживань зі сторони перевіряючих, і для банального нерозуміння суб'єктами перевірки всього, що відбуватиметься.
   
   Все ж, беручи до уваги проект Порядку здійснення Державною службою з питань захисту персональних даних державного контролю за додержанням законодавства про захист персональних даних, який було розміщено на офіційному сайті Служби для обговорення, та існуючу поодиноку практику, можна виокремити наступні етапи проведення перевірки.
   
   1. Повідомлення про перевірку.
   
   Повідомлення та копія наказу про проведення перевірки має бути надіслано на адресу місцезнаходження суб'єкта перевірки за 10 календарних днів до початку перевірки.

   
   Необхідно звернути увагу, що у разі використання номінальної юридичної адреси (що є достатньо розповсюдженою практикою) необхідно слідкувати, аби таке повідомлення було все ж отримано. Це пов'язано з тим, що при повторному надходженні повідомлення про відсутність суб'єкта перевірки за місцезнаходженням комісією складається акт про неможливість проведення перевірки через відсутність юридичної особи або фізичної особи за місцезнаходженням або місцем проживання, про що Служба може проінформувати правоохоронні органи.
   
   Рекомендується також звернути увагу на вид перевірки (планова/позапланова та виїзна/невиїзна). Планові перевірки проводяться лише на підставі затвердженого плану, який оприлюднюється на сайті Служби, в той час як для позапланової перевірки мають бути відповідні підстави.
   
   2. Проведення безпосередньої перевірки.
   
   У разі якщо все ж було отримано повідомлення про проведення перевірки, необхідно здійснити всі дії, які будуть спрямовані на попередження правопорушення у сфері захисту персональних даних. Зокрема, можуть бути оформлені внутрішні документи щодо захисту персональних даних, подані заяви на реєстрацію баз персональних даних та упорядковані документи як в електронному вигляді, так і в паперовій формі.
   
   Візит членів комісії, направлених на перевірку, має починатися із пред'явлення ними службового посвідчення та надання плану проведення перевірки.
   
   Цікавим фактом є те, що перевірка може проводиться як за місцезнаходженням юридичної особи, так і за місцезнаходженням баз персональних даних (далі - ПД), які, в свою чергу, можуть перебувати в інших областях та на закордонних серверах.
   
   Також не може не викликати подиву те, що працівники Служби мають право безперешкодно потрапляти до будь-якого приміщення та мати доступ до документів, де обробляються персональні дані, тобто, іншими словами, навіть до приватної квартири, якщо це фізична особа - підприємець.
   
   Крім того, члени комісії мають право:
   
   - узгоджувати із керівником суб'єкта перевірки або уповноваженою ним особою організаційні питання щодо проведення перевірки;
   
   - вимагати для перевірки необхідні документи та іншу інформацію у зв'язку з реалізацією своїх повноважень;
   
   - знімати копії з документів суб'єкта перевірки, необхідних для проведення перевірки та документування (фіксування) порушень, та вимагати їх засвідчення у встановленому законодавством порядку. У разі існування документа лише в електронній формі, за умови що даний документ створений суб'єктом перевірки, суб'єкт перевірки зобов'язаний надати його паперову копію, що забезпечує візуальну форму відображення документа, засвідчену суб'єктом перевірки, у встановленому законодавством порядку. У разі неможливості надати паперову копію, що забезпечує візуальну форму відображення документа, проводиться огляд електронного документа, про що складається акт огляду електронного документа;
   
   - вимагати в межах своєї компетенції у керівника та/або посадових осіб суб'єкта перевірки надання письмових пояснень;
   
   - залучати (додатково до складу комісії) незалежних експертів для проведення перевірок.
   
   Під час проведення перевірки необхідно бути готовим відповісти на наступні запитання та надати підтверджуючі документи стосовно:
   
   1) мети обробки ПД;
   
   2) складу та змісту ПД;
   
   3) особливих вимог до обробки ПД;
   
   4) джерел обробки ПД;
   
   5) строків обробки ПД;
   
   6) правових підстав обробки ПД;
   
   7) посадових осіб, відповідальних за обробку персональних даних та порядок доступу до ПД інших осіб.
   
   Також треба враховувати, що у разі наявності розпорядника баз персональних даних діяльність останнього також буде перевірено як додатковий етап перевірки.
   
   3. Результати перевірки.
   
   За результатами перевірки комісія складає акт перевірки дотримання законодавства про захист персональних даних та у разі виявлення порушень виносить свій припис. Припис, у свою чергу, не передбачає застосування санкцій, але в ньому зазначається термін, протягом якого суб'єкт перевірки повинен усунути порушення, про що в обов'язковому порядку зобов'язаний проінформувати Службу.
   
   У разі невиконання припису представники Служби складають адміністративний протокол, який потім передається до суду. Адміністративний протокол розглядається у судовому засіданні та приймається рішення про накладення адміністративного стягнення, передбаченого Кодексом України про адміністративні правопорушення, на підставі якого суб'єктом перевірки сплачується штраф.
   
   ВИСНОВОК:
   
   Вищевказані етапи перевірки є досить умовними, а тому не можуть включати в себе всі можливі варіанти розвитку подій у кожній конкретній ситуації. Та все ж краще максимально попередити для себе негативні наслідки, ніж оскаржувати дії Державної служби з питань захисту персональних даних у подальшому.
   
   Максим Лебедєв,
   
   старший юрист
   
   ЮФ «Гвоздій та Оберкович»

По материалам ЛИГА:ЗАКОН
Теги
Отключить рекламу
Комментарии
  • Аноним
24.06.12 22:48

а как быть тем, кто не получил до сих пор ответа? мы в конце 2011 года отослали запрос .... и тишина

Ответить
    Оценить
  • 0
  • 0
  • Женя
24.06.12 22:59

У нас также нет ответа, а как же в г.Харькове вместо почтовых ящиков квитанции на оплату коммунальных услуг оставляют в подьезде на батарее, и все кому не лень изучают мои персональные данные. Вот Укртелеком присылают счета в конвертах. Кто за это будет отвечать?

Ответить
    Оценить
  • 0
  • 0
  • Аноним
24.06.12 23:01

у нас была подобная ситуация мы через сайт где регистрировались, задали вопрос по обратной связи и нам на прошлой неделе пришел официальный ответ на электронку, что не зарегистрированы базы, т.к. не корректно были наложены электронные подписи ответа ждали 7 месяцев)))(((((

Ответить
    Оценить
  • 0
  • 0
  • Наталия
24.06.12 23:37

Похоже Служба по защите персональных данных- эта служба по поддержки рейдеров и коллекторов. Мне надо получить информацию а какой-то фирме , я обращаюсь в службу по защите ПД ( типа жалуюсь) они идут проверять: везде, лезут. т.к. закон написан так, что не понятно толком, что им вообще нужно! и за бабло дают мне информацию какую мне нужно. и попробуй потом докажи, откуда информацию слили!

Ответить
    Оценить
  • 0
  • 0
  • Наталия
24.06.12 23:41

Похоже Служба по защите персональных данных- эта служба по поддержки рейдеров и коллекторов. Мне надо получить информацию о какой-то фирме , я обращаюсь в службу по защите ПД ( типа жалуюсь), они идут проверять......везде, лезут., т.к. закон написан так, что не понятно толком, что им вообще нужно и за "бабло" дают мне ту информацию, какую мне нужно. Попробуй потом докажи, откуда информацию слили!

Ответить
    Оценить
  • 0
  • 0
  • Бух
24.06.12 23:46

Я звонила в пятницу 22 числа и уточняла где сведетельство, сказали что обрабатывают данные 7 декабря , а ведь народ ринулся сдавать в декабре, так что +3 месяца обеспечено - не ждите раньше сказали. Вот так вот и живем

Ответить
    Оценить
  • 0
  • 0
  • IrinkaSvetl
25.06.12 00:08

а по закону в 10 дневный строк дожны дать ответ... получается мы им должны, а они - как всегда..))))))

Ответить
    Оценить
  • 0
  • 0
  • Ага
25.06.12 00:31

хай переносять штрафи на з 01.01.2013 і доводять до толку законодавство, роз"яснять все

Ответить
    Оценить
  • 0
  • 0
  • Лю
25.06.12 01:08

весело. я 22 декабря регистрировала эти базы дурацкие. значит к сентябрю будем ждать ответ на маразм.

Ответить
    Оценить
  • 0
  • 0
  • Серж
25.06.12 01:23

Кто бы сомневался, новая замануха для лишней проверки, а главное - тема новая для народа, денег снять можно с чего угодно, например, висит на стене график отпусков с "персональными данными" - штраф, "не захистили" :).

Ответить
    Оценить
  • 0
  • 0
  • Inkognito
25.06.12 01:38

Лучше бы совсем отменили этот маразм.

Ответить
    Оценить
  • 0
  • 0
  • Мартиничка
25.06.12 02:41

Маразм никогда не отменят, потому что им страдают чиновники и депутаты.

Ответить
    Оценить
  • 0
  • 0
  • Евгений
25.06.12 03:26

А деж нещасним депутатам ВР брати гроші на обіди з малинкою та клубникою по 700 грн.за кг.Шановні "Бухи" нам би так жити,

Ответить
    Оценить
  • 0
  • 0
  • Ага
25.06.12 03:33

а в школі дошка пошани, і фото з П.І.Б. відмінників - ці дані тоже мають захищатися, тоже треба згода?

Ответить
    Оценить
  • 0
  • 0
  • лАКмус
25.06.12 06:57

Да, смотрите глубже.......согласие-то необходимо получить от РОДИТЕЛЕЙ....ггы-гы, да , еще, и нотраиально заверить, + орган опеки....(а то мало-ли что........может родители во вред деточке согласие дали). :))))))))

Ответить
    Оценить
  • 0
  • 0
  • ЕЛЕНА
26.06.12 00:01

МУТЬ, ЖУТЬ, МАРАЗМ, БРЕДЯТИНА! От словосочетания "база персональных данных" - тошно. Что защищать, как защищать, зачем защищать, для чего это все, для кого. Ни целей, ни причин ясных, четких нет. Пьные депутаты сбивают уже десятки тысяч людей на остановках и дорогах - ни то, что не сидят в тюрьмах, даже штрафы не платят . А здесь, поди ж ты, ФИО работника - защити как, только Богу известно, а то штрафы по 17 000, грн.

Ответить
    Оценить
  • 0
  • 0
  • Гена
26.06.12 02:08

Я так понимаю, что на всю Украину работает 5-10 человек по обработке этих дебильных баз???

Ответить
    Оценить
  • 0
  • 0
  • бухг
26.06.12 02:26

Зато каких ВАЖНЫХ 5-10 человек. И бюджет пополнят именно они. Кто-то читал где по пунктах написано что конкретно должно быть на предприятии. А то все пишут взагали по загалями. Протокол, посадова инстр., положення , наказ . Киньте ссылку плиз

Ответить
    Оценить
  • 0
  • 0
  • Упс
26.06.12 05:50

захист все ж таки повинен бути. А не мої дані щоб поширювалися то на ліво, то на право, щоб ніхто мої дані нікому не передава без моєї згоди, але ... Взяти хоча б примітивні телефонні довідники, які продаються у книгарнях, і там маса персональних даних, в свою чергу фізособи-підприємці подавали туди свою інформацію, чи то безкоштовно, чи то круту рекламку за гроші, і звідти ті дані як то говориться "по секрету - по всему свету", от і вся вам згода

Ответить
    Оценить
  • 0
  • 0
  • Бухг
27.06.12 06:43

Хочется конкретики что должно быть.

Ответить
    Оценить
  • 0
  • 0
Комментирование новости отключено
Для того, чтоб распечатать текст необходимо авторизоваться или зарегистрироваться