22.06.2012 Министерство юстиции Украины утвердило приказ № 947/5 «Про затвердження Порядку здійснення Державною службою України з питань захисту персональних даних державного контролю за додержанням законодавства про захист персональних даних». Приказ вступил в силу с 16.07.2012, со дня его официального опубликования в Офіційному віснику України.

Порядком установлен механизм осуществления Государственной службой Украины по вопросам защиты персональных данных (ГСЗПД) государственного контроля за соблюдением требований законодательства о защите персональных данных.

Субъектами проверки признаны все владельцы и/или распорядители баз персональных данных (физические лица, физические лица — предприниматели, предприятия, учреждения и организации всех форм собственности, органы государственной власти).

ГСЗПД проводит плановые и внеплановые проверки, которые могут быть как выездные, так и безвыездные.

Утверждены перечни документов, которые составляются для проверки:

- сообщение о проведении проверки;

- план проведения проверки;

- приказ о проведении проверки.

Основанием для проведения плановых проверок является включение субъекта в план проведения проверок (не чаще 1 раза в 5 лет). Плановые проверки осуществляются в соответствии с годовым или квартальным планами, которые утверждаются до 1 декабря года, предшествующего плановому, или до 25 числа последнего месяца квартала, предшествующего плановому. План проведения проверок после его утверждения размещается на официальном веб-сайте ГСЗПД.

Внеплановые проверки могут проводиться при наличии одного из таких оснований:

предоставление субъектом проверки письменного заявления в ГСЗПД об осуществлении мероприятий государственного надзора и контроля за соблюдением законодательства о защите персональных данных по его желанию;

обращение физических и юридических лиц о нарушении субъектом проверки требований законодательства о защите персональных данных;

непредоставление в установленный срок субъектом проверки документов (ведомостей, данных) на письменный запрос ГСЗПД относительно осуществления безвыездной проверки, а также письменных объяснений о причинах, которые препятствовали представлению таких документов;

выявление и подтверждение недостоверности в данных, предоставленных субъектом проверки на письменный запрос ГСЗПД относительно осуществления безвыездной проверки, и/или если такие данные не дают возможности оценить выполнение субъектом проверки требований законодательства о защите персональных данных;

проверка выполнения субъектом проверки предписаний относительно устранения требований законодательства о защите персональных данных, выданных по результатам проведения плановых проверок ГСЗПД (именно так и написано: устранение требований законодательства).

Сообщение о проведении проверки присылается субъекту заказным письмом за 10 календарных дней до начала проверки вместе с копией приказа.

В приказе определяются:

- субъект проверки;

- дата начала и дата конца проверки;

- состав комиссии с определением ее руководителя;

- правовые основания проведения проверки.

В первый день проверки субъекту проверки предоставляется план проведения проверки.

Во время проверки глава и члены комиссии имеют право получать от руководителя субъекта проверки, других должностных лиц, письменные и устные объяснения и другую информацию, которая касается вопросов, которые проверяются (в том числе с ограниченным доступом), в частности:

- учредительные документы и другие документы, которые регулируют организационные основы деятельности субъекта проверки;

- распорядительные документы (приказы, решения, распоряжения, постановления и т.п.) и другие документы, которыми утверждена цель обработки, перечень баз персональных данных и их местонахождение, состав персональных данных в базах персональных данных, предусмотрено получение согласия от субъекта персональных данных на обработку его персональных данных (в случае необходимости), утвержден порядок внесения, изменения, возобновления, использования, распространения, обезличивания, уничтожения персональных данных в базе персональных данных, определено ответственное лицо или структурный подразделение, которые осуществляют организацию работы, связанной с защитой персональных данных при их обработке, порядок защиты персональных данных;

- наличие свидетельств о государственной регистрации баз персональных данных;

- другую информацию, которая дает возможность установить наличие или отсутствие нарушений законодательства о защите персональных данных.

Также комиссия имеет право на беспрепятственный доступ к местам хранения информации, в том числе и к компьютерам, магнитным носителям информации и т.п., получать копий такой информации.

Стандартный срок проведения проверки не может превышать 10 рабочих дней (в отдельных случаях может быть продлен не более чем на 5 рабочих дней).

Результат проверки отображаются в Акте, где отмечается:

отсутствие нарушений требований законодательства; или

выявленные нарушения требований законодательства о защите персональных данных (их детальное описание).

Субъект проверки имеет право подписать Акт с собственными замечаниями.

В случае установления наличия нарушений комиссия не позднее 5 рабочих дней со дня составления Акта присылает заказным письмом субъекту проверки или уполномоченной им лицу Предписание, в соответствии с которым последний принимает меры относительно устранения нарушений на протяжении определенного в Предписании срока (не меньше чем 30 календарных дней) и письменно информирует об устранении нарушений ГСЗПД с предоставлением копий документов, подтверждающих это.

Глава комиссии также уполномочен составлять протоколы об административных правонарушениях в сфере защиты персональных данных (после оформления протокола дело передается в суд).

Напомним, 1 июля вступили в силу штрафные санкции за нарушение Закона о защите персональных данных.

По материалам: [необходимо зарегистрироваться для просмотра ссылки]