"Ви ще не захищаєте персональні дані? Тоді мі йдемо до Вас"! - схоже повідомлення найближчим часом може надійти до будь-якої юридичної особини та фізичної особини - підприємця від Державної служби з питань захисту персональних даних (далі - Служба) про проведення перевірки щодо дотримання ними вимог законодавства у сфері захисту персональних даних. Тобто, незважаючи на нерозуміння представників українського бізнесу поняття "Персональних даних" та порядку роботи з ними, влада усе ж має всі повноваження вже починаючи з 1 липня 2012 року притягувати порушників як до адміністративної, так і до кримінальної відповідальності. Спробуємо розібратися, до чого ж необхідно готуватися та як собі поводити із передставниками Служби при проведенні таких перевірок.
Як і будь-який контролюючий орган, Служба діє виключно у межах своїх повноважень. На шкода, конкретного порядку проведення перевірок на сьогоднішній день так і не було затверджено, не дивлячись на ті, що перевірки вже проводилися. Враховуючи зазначене, Служба керується лише загальними нормами Положення про Державну службу України з питань захисту персональних даних, затвердженого Указом Президента України від 06.04.2011 № 390, відповідно до якого Служба:
1) розробляє та затверджує плани перевірок володільців та (або) розпорядників баз персональних даних щодо дотримання ними вимог законодавства у сфері захисту персональних даних;
2) проводити у межах своїх повноважень виїзні та безвиїзні перевірки володільців та (або) розпорядників баз персональних даних;
3) видає володільцям та (або) розпорядникам баз персональних даних обов' язкові до виконання приписи щодо усунення порушень законодавства про захист персональних даних і вимагає надання необхідної інформації та документів, що підтверджують усунення виявлених порушень;
4) складає адміністративні протоколи про виявлені порушення законодавства у сфері захисту персональних даних;
5) передає правоохоронним органам матеріали про виявлені порушення у сфері захисту персональних даних;
6) здійснює контроль за дотримання правив передачі персональних даних іноземним суб' єктам відносин, пов'язаних з персональними даними.
Проаналізувавши зазначені повноваження, можна тільки собі уявити, як у реальному житті передставниками Служби буде проводитися перевірка. Такий стан справ дає необмежене поле і для неправомірних дій та зловживань зі сторони перевіряючих, і для банального нерозуміння суб' єктами перевірки всього, що відбуватиметься.
Усе ж, беручи до уваги проект Порядку здійснення Державною службою з питань захисту персональних даних державного контролю за додержанням законодавства про захист персональних даних, який було розміщено на офіційному сайті Служби для обговорення, та існуючу поодиноку практику, можна виокремити наступні етапи проведення перевірки.
1. Повідомлення про перевірку.
Повідомлення та копія наказу про проведення перевірки має бути надіслано на адресі місцезнаходження суб' єкта перевірки за 10 календарних днів до качану перевірки.
Необхідно звернути увагу, що у разі використання номінальної юридичної адреси (що є достатньо розповсюдженою практикою) необхідно слідкувати, аби таке повідомлення було усе ж отримано. Це пов'язано з тим, що при повторному надходженні повідомлення про відсутність суб' єкта перевірки за місцезнаходженням комісією складається акт про неможливість проведення перевірки через відсутність юридичної особини або фізичної особини за місцезнаходженням або місцем проживання, про що Служба може проінформувати правоохоронні органи.
"Планові перевірки проводяться лише на підставі затвердженого плану, який оприлюднюється на сайті Служби, в тій година як для позапланової перевірки мають бути відповідні підстави" |
Рекомендується також звернути увагу на вигляд перевірки (планова/позапланова та виїзна/невиїзна). Планові перевірки проводяться лише на підставі затвердженого плану, який оприлюднюється на сайті Служби, в тій година як для позапланової перевірки мають бути відповідні підстави.
2. Проведення безпосередньої перевірки.
У разі якщо усе ж було отримано повідомлення про проведення перевірки, необхідно здійснити всі дії, які будуть спрямовані на попередження правопорушення у сфері захисту персональних даних. Зокрема, можуть бути оформлені внутрішні документи щодо захисту персональних даних, подані заяви на реєстрацію баз персональних даних та упорядковані документи як в електронному вигляді, так і в паперовій формі.
Візит членів комісії, направлених на перевірку, має починатися із пред'явлення ними службового посвідчення та надання плану проведення перевірки.
"Перевірка може проводитися як за місцезнаходженням юридичної особини, так і за місцезнаходженням баз персональних даних" |
Цікавим фактом є ті, що перевірка може проводитися як за місцезнаходженням юридичної особини, так і за місцезнаходженням баз персональних даних (далі - ПД), які, у свою чергу, можуть перебувати в інших областях та на закордонних серверах.
Також не може не викликати підвербу ті, що працівники Служби мають право безперешкодно потрапляти до будь-якого приміщення та мати доступ до документів, де обробляються персональні дані, тобто, іншими словами, навіть до приватної квартири, якщо це фізична особа - підприємець.
Крім того, членуй комісії мають право:
Максим Лебедєв |
- узгоджувати із керівником суб' єкта перевірки або уповноваженою ним особою організаційні питання щодо проведення перевірки;
- вимагати для перевірки необхідні документи та іншу інформацію у зв'язку з реалізацією своїх повноважень;
- знімати копії з документів суб' єкта перевірки, необхідних для проведення перевірки та документування (фіксування) порушень, та вимагати їх засвідчення у встановленому законодавством порядку. У разі існування документу лише в електронній формі, за умови що даний документ створений суб' єктом перевірки, суб' єкт перевірки зобов'язаний надати його паперову копію, що забезпечує візуальну форму відображення документу, засвідчену суб' єктом перевірки, у встановленому законодавством порядку. У разі неможливості надати паперову копію, що забезпечує візуальну форму відображення документу, проводитися огляд електронного документу, про що складається акт огляду електронного документу;
- вимагати в межах своєї компетенції у керівника та/або посадових осіб суб' єкта перевірки надання письмових пояснень;
- залучати (додатково до складу комісії) незалежних експертів для проведення перевірок.
Під годину проведення перевірки необхідно бути готуємо відповісти на наступні запитання та надати підтверджуючі документи стосовно:
1) мети обробки ПД;
2) складу та змісту ПД;
3) особливих вимог до обробки ПД;
4) джерел обробки ПД;
5) строків обробки ПД;
6) правових підстав обробки ПД;
7) посадових осіб, відповідальних за обробку персональних даних та порядок доступу до ПД інших осіб.
Також треба враховувати, що у разі наявності розпорядника баз персональних даних діяльність останнього також буде перевірено як додатковий етап перевірки.
3. Результати перевірки.
За результатами перевірки комісія складає акт перевірки дотримання законодавства про захист персональних даних та у разі виявлення порушень виносить свій припис. Припис, у свою чергу, не передбачає застосування санкцій, але в ньому зазначається термін, протягом якого суб' єкт перевірки повинний усунути порушення, про що в обов'язковому порядку зобов'язаний проінформувати Службу.
У разі невиконання припису передставники Служби складають адміністративний протокол, який потім передається до суду. Адміністративний протокол розглядається у судновому засіданні та приймається рішення про накладення адміністративного стягнення, передбаченого Кодексом України про адміністративні правопорушення, на підставі якого суб' єктом перевірки сплачується штраф.
ВИСНОВОК:
Вищевказані етапи перевірки є досить умовними, а тому не можуть включати в собі всі можливі варіанти розвитку подій у кожній конкретній ситуації. Та усе ж краще максимально попередити для собі негативні наслідки, ніж оскаржувати дії Державної служби з питань захисту персональних даних у подальшому.
Максим Лебедєв
старший юрист
_______________________
"ЮРИСТ & ЗАКОН" - це електронне аналітичне видання, що входить в інформаційно-правові системи ЛІГА :ЗАКОН і створене спеціально для юристів і фахівців, що потребують якісної аналітичної інформації про зміни, що відбуваються в правовому полі України. З питань придбання "ЮРИСТ & ЗАКОН" звертайтеся до менеджерам ЛІГА :ЗАКОН чи до регіональним дилерам.