24.06.12
Печатать
Как защититься, защищая персональные данные?
О порядке проведения проверок Государственной службой по вопросам защиты персональных данных и способах защиты от них читайте в материале еженедельника «ЮРИСТ & ЗАКОН» от 21.06.2012, № 35 (публикуется на языке оригинала).
«Ви ще не захищаєте персональні дані? Тоді ми йдемо до Вас!» - схоже повідомлення найближчим часом може надійти до будь-якої юридичної особи та фізичної особи - підприємця від Державної служби з питань захисту персональних даних (далі - Служба) про проведення перевірки щодо дотримання ними вимог законодавства у сфері захисту персональних даних. Тобто, незважаючи на нерозуміння представників українського бізнесу поняття «персональних даних» та порядку роботи з ними, влада все ж має всі повноваження вже починаючи з 1 липня 2012 року притягувати порушників як до адміністративної, так і до кримінальної відповідальності. Спробуємо розібратися, до чого ж необхідно готуватися та як себе поводити із представниками Служби при проведенні таких перевірок.
Як і будь-який контролюючий орган, Служба діє виключно у межах своїх повноважень. На жаль, конкретного порядку проведення перевірок на сьогоднішній день так і не було затверджено, не дивлячись на те, що перевірки вже проводилися. Враховуючи зазначене, Служба керується лише загальними нормами Положення про Державну службу України з питань захисту персональних даних, затвердженого Указом Президента України від 06.04.2011 № 390, відповідно до якого Служба:
1) розробляє та затверджує плани перевірок володільців та (або) розпорядників баз персональних даних щодо дотримання ними вимог законодавства у сфері захисту персональних даних;
2) проводить у межах своїх повноважень виїзні та безвиїзні перевірки володільців та (або) розпорядників баз персональних даних;
3) видає володільцям та (або) розпорядникам баз персональних даних обов'язкові до виконання приписи щодо усунення порушень законодавства про захист персональних даних і вимагає надання необхідної інформації та документів, що підтверджують усунення виявлених порушень;
4) складає адміністративні протоколи про виявлені порушення законодавства у сфері захисту персональних даних;
5) передає правоохоронним органам матеріали про виявлені порушення у сфері захисту персональних даних;
6) здійснює контроль за дотримання правил передачі персональних даних іноземним суб'єктам відносин, пов'язаних з персональними даними.
Проаналізувавши зазначені повноваження, можна тільки собі уявити, як у реальному житті представниками Служби буде проводитися перевірка. Такий стан справ дає необмежене поле і для неправомірних дій та зловживань зі сторони перевіряючих, і для банального нерозуміння суб'єктами перевірки всього, що відбуватиметься.
Все ж, беручи до уваги проект Порядку здійснення Державною службою з питань захисту персональних даних державного контролю за додержанням законодавства про захист персональних даних, який було розміщено на офіційному сайті Служби для обговорення, та існуючу поодиноку практику, можна виокремити наступні етапи проведення перевірки.
1. Повідомлення про перевірку.
Повідомлення та копія наказу про проведення перевірки має бути надіслано на адресу місцезнаходження суб'єкта перевірки за 10 календарних днів до початку перевірки.
Необхідно звернути увагу, що у разі використання номінальної юридичної адреси (що є достатньо розповсюдженою практикою) необхідно слідкувати, аби таке повідомлення було все ж отримано. Це пов'язано з тим, що при повторному надходженні повідомлення про відсутність суб'єкта перевірки за місцезнаходженням комісією складається акт про неможливість проведення перевірки через відсутність юридичної особи або фізичної особи за місцезнаходженням або місцем проживання, про що Служба може проінформувати правоохоронні органи.
Рекомендується також звернути увагу на вид перевірки (планова/позапланова та виїзна/невиїзна). Планові перевірки проводяться лише на підставі затвердженого плану, який оприлюднюється на сайті Служби, в той час як для позапланової перевірки мають бути відповідні підстави.
2. Проведення безпосередньої перевірки.
У разі якщо все ж було отримано повідомлення про проведення перевірки, необхідно здійснити всі дії, які будуть спрямовані на попередження правопорушення у сфері захисту персональних даних. Зокрема, можуть бути оформлені внутрішні документи щодо захисту персональних даних, подані заяви на реєстрацію баз персональних даних та упорядковані документи як в електронному вигляді, так і в паперовій формі.
Візит членів комісії, направлених на перевірку, має починатися із пред'явлення ними службового посвідчення та надання плану проведення перевірки.
Цікавим фактом є те, що перевірка може проводиться як за місцезнаходженням юридичної особи, так і за місцезнаходженням баз персональних даних (далі - ПД), які, в свою чергу, можуть перебувати в інших областях та на закордонних серверах.
Також не може не викликати подиву те, що працівники Служби мають право безперешкодно потрапляти до будь-якого приміщення та мати доступ до документів, де обробляються персональні дані, тобто, іншими словами, навіть до приватної квартири, якщо це фізична особа - підприємець.
Крім того, члени комісії мають право:
- узгоджувати із керівником суб'єкта перевірки або уповноваженою ним особою організаційні питання щодо проведення перевірки;
- вимагати для перевірки необхідні документи та іншу інформацію у зв'язку з реалізацією своїх повноважень;
- знімати копії з документів суб'єкта перевірки, необхідних для проведення перевірки та документування (фіксування) порушень, та вимагати їх засвідчення у встановленому законодавством порядку. У разі існування документа лише в електронній формі, за умови що даний документ створений суб'єктом перевірки, суб'єкт перевірки зобов'язаний надати його паперову копію, що забезпечує візуальну форму відображення документа, засвідчену суб'єктом перевірки, у встановленому законодавством порядку. У разі неможливості надати паперову копію, що забезпечує візуальну форму відображення документа, проводиться огляд електронного документа, про що складається акт огляду електронного документа;
- вимагати в межах своєї компетенції у керівника та/або посадових осіб суб'єкта перевірки надання письмових пояснень;
- залучати (додатково до складу комісії) незалежних експертів для проведення перевірок.
Під час проведення перевірки необхідно бути готовим відповісти на наступні запитання та надати підтверджуючі документи стосовно:
1) мети обробки ПД;
2) складу та змісту ПД;
3) особливих вимог до обробки ПД;
4) джерел обробки ПД;
5) строків обробки ПД;
6) правових підстав обробки ПД;
7) посадових осіб, відповідальних за обробку персональних даних та порядок доступу до ПД інших осіб.
Також треба враховувати, що у разі наявності розпорядника баз персональних даних діяльність останнього також буде перевірено як додатковий етап перевірки.
3. Результати перевірки.
За результатами перевірки комісія складає акт перевірки дотримання законодавства про захист персональних даних та у разі виявлення порушень виносить свій припис. Припис, у свою чергу, не передбачає застосування санкцій, але в ньому зазначається термін, протягом якого суб'єкт перевірки повинен усунути порушення, про що в обов'язковому порядку зобов'язаний проінформувати Службу.
У разі невиконання припису представники Служби складають адміністративний протокол, який потім передається до суду. Адміністративний протокол розглядається у судовому засіданні та приймається рішення про накладення адміністративного стягнення, передбаченого Кодексом України про адміністративні правопорушення, на підставі якого суб'єктом перевірки сплачується штраф.
ВИСНОВОК:
Вищевказані етапи перевірки є досить умовними, а тому не можуть включати в себе всі можливі варіанти розвитку подій у кожній конкретній ситуації. Та все ж краще максимально попередити для себе негативні наслідки, ніж оскаржувати дії Державної служби з питань захисту персональних даних у подальшому.
Максим Лебедєв,
старший юрист
ЮФ «Гвоздій та Оберкович»
«Ви ще не захищаєте персональні дані? Тоді ми йдемо до Вас!» - схоже повідомлення найближчим часом може надійти до будь-якої юридичної особи та фізичної особи - підприємця від Державної служби з питань захисту персональних даних (далі - Служба) про проведення перевірки щодо дотримання ними вимог законодавства у сфері захисту персональних даних. Тобто, незважаючи на нерозуміння представників українського бізнесу поняття «персональних даних» та порядку роботи з ними, влада все ж має всі повноваження вже починаючи з 1 липня 2012 року притягувати порушників як до адміністративної, так і до кримінальної відповідальності. Спробуємо розібратися, до чого ж необхідно готуватися та як себе поводити із представниками Служби при проведенні таких перевірок.
Як і будь-який контролюючий орган, Служба діє виключно у межах своїх повноважень. На жаль, конкретного порядку проведення перевірок на сьогоднішній день так і не було затверджено, не дивлячись на те, що перевірки вже проводилися. Враховуючи зазначене, Служба керується лише загальними нормами Положення про Державну службу України з питань захисту персональних даних, затвердженого Указом Президента України від 06.04.2011 № 390, відповідно до якого Служба:
1) розробляє та затверджує плани перевірок володільців та (або) розпорядників баз персональних даних щодо дотримання ними вимог законодавства у сфері захисту персональних даних;
2) проводить у межах своїх повноважень виїзні та безвиїзні перевірки володільців та (або) розпорядників баз персональних даних;
3) видає володільцям та (або) розпорядникам баз персональних даних обов'язкові до виконання приписи щодо усунення порушень законодавства про захист персональних даних і вимагає надання необхідної інформації та документів, що підтверджують усунення виявлених порушень;
4) складає адміністративні протоколи про виявлені порушення законодавства у сфері захисту персональних даних;
5) передає правоохоронним органам матеріали про виявлені порушення у сфері захисту персональних даних;
6) здійснює контроль за дотримання правил передачі персональних даних іноземним суб'єктам відносин, пов'язаних з персональними даними.
Проаналізувавши зазначені повноваження, можна тільки собі уявити, як у реальному житті представниками Служби буде проводитися перевірка. Такий стан справ дає необмежене поле і для неправомірних дій та зловживань зі сторони перевіряючих, і для банального нерозуміння суб'єктами перевірки всього, що відбуватиметься.
Все ж, беручи до уваги проект Порядку здійснення Державною службою з питань захисту персональних даних державного контролю за додержанням законодавства про захист персональних даних, який було розміщено на офіційному сайті Служби для обговорення, та існуючу поодиноку практику, можна виокремити наступні етапи проведення перевірки.
1. Повідомлення про перевірку.
Повідомлення та копія наказу про проведення перевірки має бути надіслано на адресу місцезнаходження суб'єкта перевірки за 10 календарних днів до початку перевірки.
Необхідно звернути увагу, що у разі використання номінальної юридичної адреси (що є достатньо розповсюдженою практикою) необхідно слідкувати, аби таке повідомлення було все ж отримано. Це пов'язано з тим, що при повторному надходженні повідомлення про відсутність суб'єкта перевірки за місцезнаходженням комісією складається акт про неможливість проведення перевірки через відсутність юридичної особи або фізичної особи за місцезнаходженням або місцем проживання, про що Служба може проінформувати правоохоронні органи.
Рекомендується також звернути увагу на вид перевірки (планова/позапланова та виїзна/невиїзна). Планові перевірки проводяться лише на підставі затвердженого плану, який оприлюднюється на сайті Служби, в той час як для позапланової перевірки мають бути відповідні підстави.
2. Проведення безпосередньої перевірки.
У разі якщо все ж було отримано повідомлення про проведення перевірки, необхідно здійснити всі дії, які будуть спрямовані на попередження правопорушення у сфері захисту персональних даних. Зокрема, можуть бути оформлені внутрішні документи щодо захисту персональних даних, подані заяви на реєстрацію баз персональних даних та упорядковані документи як в електронному вигляді, так і в паперовій формі.
Візит членів комісії, направлених на перевірку, має починатися із пред'явлення ними службового посвідчення та надання плану проведення перевірки.
Цікавим фактом є те, що перевірка може проводиться як за місцезнаходженням юридичної особи, так і за місцезнаходженням баз персональних даних (далі - ПД), які, в свою чергу, можуть перебувати в інших областях та на закордонних серверах.
Також не може не викликати подиву те, що працівники Служби мають право безперешкодно потрапляти до будь-якого приміщення та мати доступ до документів, де обробляються персональні дані, тобто, іншими словами, навіть до приватної квартири, якщо це фізична особа - підприємець.
Крім того, члени комісії мають право:
- узгоджувати із керівником суб'єкта перевірки або уповноваженою ним особою організаційні питання щодо проведення перевірки;
- вимагати для перевірки необхідні документи та іншу інформацію у зв'язку з реалізацією своїх повноважень;
- знімати копії з документів суб'єкта перевірки, необхідних для проведення перевірки та документування (фіксування) порушень, та вимагати їх засвідчення у встановленому законодавством порядку. У разі існування документа лише в електронній формі, за умови що даний документ створений суб'єктом перевірки, суб'єкт перевірки зобов'язаний надати його паперову копію, що забезпечує візуальну форму відображення документа, засвідчену суб'єктом перевірки, у встановленому законодавством порядку. У разі неможливості надати паперову копію, що забезпечує візуальну форму відображення документа, проводиться огляд електронного документа, про що складається акт огляду електронного документа;
- вимагати в межах своєї компетенції у керівника та/або посадових осіб суб'єкта перевірки надання письмових пояснень;
- залучати (додатково до складу комісії) незалежних експертів для проведення перевірок.
Під час проведення перевірки необхідно бути готовим відповісти на наступні запитання та надати підтверджуючі документи стосовно:
1) мети обробки ПД;
2) складу та змісту ПД;
3) особливих вимог до обробки ПД;
4) джерел обробки ПД;
5) строків обробки ПД;
6) правових підстав обробки ПД;
7) посадових осіб, відповідальних за обробку персональних даних та порядок доступу до ПД інших осіб.
Також треба враховувати, що у разі наявності розпорядника баз персональних даних діяльність останнього також буде перевірено як додатковий етап перевірки.
3. Результати перевірки.
За результатами перевірки комісія складає акт перевірки дотримання законодавства про захист персональних даних та у разі виявлення порушень виносить свій припис. Припис, у свою чергу, не передбачає застосування санкцій, але в ньому зазначається термін, протягом якого суб'єкт перевірки повинен усунути порушення, про що в обов'язковому порядку зобов'язаний проінформувати Службу.
У разі невиконання припису представники Служби складають адміністративний протокол, який потім передається до суду. Адміністративний протокол розглядається у судовому засіданні та приймається рішення про накладення адміністративного стягнення, передбаченого Кодексом України про адміністративні правопорушення, на підставі якого суб'єктом перевірки сплачується штраф.
ВИСНОВОК:
Вищевказані етапи перевірки є досить умовними, а тому не можуть включати в себе всі можливі варіанти розвитку подій у кожній конкретній ситуації. Та все ж краще максимально попередити для себе негативні наслідки, ніж оскаржувати дії Державної служби з питань захисту персональних даних у подальшому.
Максим Лебедєв,
старший юрист
ЮФ «Гвоздій та Оберкович»
Рубрика:
- Прочее
- /
Бухгалтер 911 подчеркивает: содержание авторских материалов может не совпадать с политикой и точкой зрения редакции. Среди авторов материалов, которые публикуются, есть не только представители редакционной команды.
Информация, представленная в конкретной публикации, отражает позицию автора. Редакция не вмешивается в авторские материалы, не редактирует тексты и, следовательно, не несет ответственности за их содержание.
Комментарии
Блоги 
 (1).jpg?v=1710160023)
.jpg?v=1710191819)
.jpg?v=1709910824)