Что нужно знать при проверке Государственной службой по вопросам защиты персональных данных

Что нужно знать при проверке Государственной службой по вопросам защиты персональных данных

защита персональных данных«Вы еще не защищаете персональные данные? Тогда мы идем к вам» — похожее сообщение в ближайшее время может поступить любому юридическому лицу и физическому лицу — предпринимателю от Государственной службы по вопросам защиты персональных данных о проведении проверки соблюдения ими требований законодательства в сфере защиты персональных данных.

Несмотря на непонимание представителями украинского бизнеса понятия «персональные данные» и порядка работы с ними, власть имеет все полномочия начиная с 1 июля 2012 привлекать нарушителей, как к административной, так и к уголовной ответственности. Попробуем разобраться, к чему же необходимо готовиться и как себя вести с представителями Службы при проведении таких проверок.

Как и любой контролирующий орган, Служба действует исключительно в пределах своих полномочий. К сожалению, конкретный порядок проведения проверок на сегодняшний день так и не был утвержден, несмотря на то, что проверки уже проводились. Учитывая это, Служба руководствуется лишь общими нормами Положения о Государственной службе Украины по вопросам защиты персональных данных, утвержденного Указом Президента Украины от 06.04.2011 №390, согласно которому Служба:

1) разрабатывает и утверждает планы проверок владельцев и (или) распорядителей баз персональных данных о соблюдении ими требований законодательства в сфере защиты персональных данных;

2) проводит в пределах своих полномочий выездные и невыездные проверки владельцев и (или) распорядителей баз персональных данных;

3) выдает владельцам и (или) распорядителям баз персональных данных обязательные для выполнения предписания об устранении нарушений законодательства о защите персональных данных и требует предоставления необходимой информации и документов, подтверждающих устранение выявленных нарушений;

4) составляет административные протоколы о выявленных нарушениях законодательства в сфере защиты персональных данных;

5) передает правоохранительным органам материалы о выявленных нарушениях в сфере защиты персональных данных;

6) осуществляет контроль за соблюдением правил передачи персональных данных иностранным субъектам отношений, связанных с персональными данными.

Проанализировав указанные полномочия, можно только себе представить, как в реальной жизни представителями Службы будет проводиться проверка. Такое положение дел дает неограниченное поле и для неправомерных действий и злоупотреблений со стороны проверяющих, и для банального непонимания субъектами проверки всего, что будет происходить.

Все же, учитывая проект Порядка осуществления Государственной службой по вопросам защиты персональных данных государственного контроля за соблюдением законодательства о защите персональных данных, который был размещен на официальном сайте Службы для обсуждения, и существующую единичную практику, можно выделить следующие этапы проведения проверки.

1. Сообщение о проверке

Сообщения и копия приказа о проведении проверки должно быть направлено на адрес местонахождения субъекта проверки за 10 календарных дней до начала проверки.

Необходимо обратить внимание, что в случае использования номинального юридического адреса (достаточно распространенная практика) необходимо следить, чтобы такое сообщение все же было получено. Это связано с тем, что при повторном поступлении сообщения об отсутствии субъекта проверки по местонахождению комиссией составляется акт о невозможности проведения проверки из-за отсутствия юридического лица или физического лица по месту нахождения или месту жительства, о чем Служба может проинформировать правоохранительные органы.

Рекомендуется также обратить внимание на вид проверки (плановая / внеплановая и выездная / невыездная). Плановые проверки проводятся только на основании утвержденного плана, который публикуется на сайте Службы, в то время как для внеплановой проверки должны быть соответствующие основания.

2. Проведение непосредственной проверки

В случае если все же было получено сообщение о проведении проверки, необходимо осуществить все действия, которые будут направлены на предупреждение правонарушения в сфере защиты персональных данных. В частности, могут быть оформлены внутренние документы по защите персональных данных, поданы заявления на регистрацию баз персональных данных и упорядочены документы как в электронном виде, так и в бумажной форме.

Визит членов комиссии, направленных на проверку, должен начинаться с предъявления ими служебного удостоверения и предоставления плана проведения проверки.

Интересным фактом является то, что проверка может проводиться как по местонахождению юридического лица, так и по местонахождению баз персональных данных (далее — ПД), которые, в свою очередь, могут находиться в других областях и на зарубежных серверах.

Также не может не вызывать удивления то, что работники Службы имеют право беспрепятственно попадать в любое помещение и иметь доступ к документам, где обрабатываются персональные данные, т.е., другими словами, даже в частную квартиру, если это физическое лицо — предприниматель.

Кроме того, члены комиссии имеют право:

— согласовывать с руководителем субъекта проверки или уполномоченным им лицом организационные вопросы относительно проведения проверки;

— требовать для проверки необходимые документы и другую информацию в связи с реализацией своих полномочий;

— снимать копии с документов субъекта проверки, необходимых для проведения проверки и документирования (фиксации) нарушений, и требовать их удостоверения в установленном законодательством порядке. В случае существования документа лишь в электронной форме, при условии что данный документ создан субъектом проверки, субъект проверки обязан предоставить его бумажную копию, которая обеспечивает визуальную форму отображения документа, заверенную субъектом проверки, в установленном законодательством порядке. В случае невозможности предоставить бумажную копию, которая обеспечивает визуальную форму отображения документа, проводится осмотр электронного документа, о чем составляется акт осмотра электронного документа;

— требовать в пределах своей компетенции у руководителя и / или должностных лиц субъекта проверки предоставления письменных объяснений;

— привлекать (дополнительно в состав комиссии) независимых экспертов для проведения проверок.

При проведении проверки необходимо быть готовым ответить на следующие вопросы и предоставить подтверждающие документы относительно:

1) цели обработки ПД;

2) состава и содержания ПД;

3) особых требований к обработке ПД;

4) источников обработки ПД;

5) сроки обработки ПД;

6) правовых оснований обработки ПД;

7) должностных лиц, ответственных за обработку персональных данных и порядка доступа к ПД других лиц.

Также надо учитывать, что в случае наличия распорядителя баз персональных данных деятельность последнего также будет проверена как дополнительный этап проверки.

3. Результаты проверки

По результатам проверки комиссия составляет акт проверки соблюдения законодательства о защите персональных данных и в случае выявления нарушений выносит свое предписание. Предписание, в свою очередь, не предусматривает применения санкций, но в нем указывается срок, в течение которого субъект проверки должен устранить нарушения, о чем в обязательном порядке обязан проинформировать Службу.

В случае невыполнения предписания представители Службы составляют административный протокол, который затем передается в суд. Административный протокол рассматривается в судебном заседании и принимается решение о наложении административного взыскания, предусмотренного Кодексом Украины об административных правонарушениях, на основании которого субъектом проверки уплачивается штраф.

Заключение

Вышеуказанные этапы проверки являются достаточно условными, поэтому не могут включать в себя все возможные варианты развития событий в каждой конкретной ситуации. Но все же лучше максимально предупредить для себя негативные последствия, чем обжаловать действия Государственной службы по вопросам защиты персональных данных в дальнейшем.

По материалам:
Обсуждение закрыто.