07.09.2012
16 липня поточного року набув чинності Порядок здійснення Державною службою України з питань захисту персональних даних (ДСЗПД) державного контролю за дотриманням законодавства в сфері захисту персональних даних, затверджений наказом Мін'юсту від 22.06.2012 № 947/5.
Так, Порядком передбачаються види та порядок проведення перевірок, повноваження ревізорів під час перевірки суб’єктів перевірки (установ, організацій, суб’єктів підприємницької діяльності): що і як перевіряється, скільки триває перевірка тощо.
Відповідно до Порядку перевірки можуть бути плановими, позаплановими, виїзними, безвиїзними.
Для перевірки ДСЗПД готує (1) повідомлення про проведення перевірки; (2) план проведення перевірки; (3) наказ про проведення перевірки відповідною комісією.
Під час перевірки голова та члени комісії мають право отримувати від керівника суб'єкта перевірки, інших посадових осіб, письмові й усні пояснення та іншу інформацію, що стосується питань, які перевіряються (у тому числі з обмеженим доступом), зокрема:
- установчі документи та інші документи, які регулюють організаційні засади діяльності суб'єкта перевірки;
- розпорядчі документи (накази, рішення, розпорядження, постанови тощо) та інші документи, якими затверджено мету обробки, перелік баз персональних даних та їх місцезнаходження, склад персональних даних у базах персональних даних, передбачено отримання згоди від суб'єкта персональних даних на обробку його персональних даних (у разі потреби), затверджено порядок внесення, зміни, поновлення, використання, поширення, знеособлення, знищення персональних даних у базі персональних даних, визначено відповідальну особу або структурний підрозділ, які здійснюють організацію роботи, пов'язаної із захистом персональних даних при їх обробці, порядок захисту персональних даних;
- наявність свідоцтв про державну реєстрацію баз персональних даних;
- іншу інформацію, яка дає змогу встановити наявність або відсутність порушення законодавства про захист персональних даних.
Також комісія має право на безперешкодний доступ до місць зберігання інформації, у тому числі й до комп'ютерів, магнітних носіїв інформації тощо, отримувати копій такої інформації.
Планові перевірки здійснюються відповідно до річних або квартальних планів, які затверджуються ДСЗПД до 1 грудня року, що передує плановому, або до 25 числа останнього місяця кварталу, що передує плановому. План проведення перевірок після його затвердження розміщується на офіційному веб-сайті ДСЗПД.
Перед початок проведення перевірки суб’єкту перевірки направляється повідомлення разом з копією наказу про проведення перевірки за місцезнаходженням або місцем проживання суб’єкта перевірки рекомендованим листом за 10 днів до початку проведення перевірки.
Строк перевірки не може перевищувати 10 робочих днів. За поданням голови комісії подовження строку проведення перевірки здійснюється уповноваженою посадовою особою ДСЗПД, яка прийняла рішення про проведення перевірки, але не більше аніж на 5 робочих днів.
Позапланові перевірки суб'єктів перевірки можуть проводитись за наявності однієї з таких, зокрема, підстав:
- звернення фізичних та юридичних осіб про порушення суб'єктом перевірки вимог законодавства про захист персональних даних;
- неподання у встановлений строк суб'єктом перевірки документів (відомостей, даних) на письмовий запит ДСЗПД щодо здійснення безвиїзної перевірки, а також письмових пояснень про причини, які перешкоджали поданню таких документів;
- виявлення та підтвердження недостовірності у відомостях (даних), наданих суб'єктом перевірки на письмовий запит ДСЗПД щодо здійснення безвиїзної перевірки, та/або якщо такі відомості (дані) не дають змоги оцінити виконання суб'єктом перевірки вимог законодавства про захист персональних даних;
- перевірка виконання суб'єктом перевірки приписів щодо усунення вимог законодавства про захист персональних даних, виданих за результатами проведення планових перевірок ДСЗПД.
За результатами здійснення планової або позапланової перевірки комісія складає у двох примірниках акт перевірки додержання законодавства у сфері захисту персональних даних.
Акт перевірки повинен містити один із таких висновків:
- про відсутність у діяльності суб'єкта перевірки порушень вимог законодавства про захист персональних даних;
- про виявлені у діяльності суб'єкта перевірки порушення вимог законодавства про захист персональних даних, їх детальний опис із посиланням на норми чинного законодавства, які порушено.
На підставі Акта перевірки, під час якої виявлено порушення вимог законодавства про захист персональних даних, комісією складається припис про усунення порушень вимог законодавства у сфері захисту персональних даних, виявлених під час перевірки
Суб'єкт перевірки повинен протягом визначеного у приписі строку (не менше ніж 30 календарних днів) вжити заходів щодо усунення порушень, зазначених у приписі, та письмово поінформувати ДСЗПД про усунення порушень разом із наданням копій документів, що це підтверджують.
У разі виявлення під час перевірки вчинення суб'єктом перевірки адміністративного правопорушення комісія складає протокол про адміністративне правопорушення в порядку, передбаченому законодавством та Порядком. У разі виявлення під час перевірки суб'єкта перевірки порушення у сфері захисту персональних даних ДСЗПД направляє необхідні матеріали до правоохоронних органів.
Порядок проведення перевірок Державною службою з питань захисту персональних даних.
Українська
Русский
English
