№9(2012)

Законодавство України про захист персональних даних складає Закон України «Про захист персональних даних» від 01.06.2010 р. №2297-VI (далі – Закон №2297), який регулює порядок захисту персональних даних під час їх обробки суб’єктами персональних даних в базах персональних даних. Закон №2297 набрав чинності 1 січня 2011 року.
Відповідно до п. 1 ч. 1 ст. 22 Закону №2297, контроль за дотриманням законодавства про захист персональних даних здійснює уповноважений державний орган з питань захисту персональних даних. Із метою реалізації державної політики і здійснення контролю у сфері захисту персональних даних 6 квітня 2011 року Указом Президента №390/2011 (далі – Указ) було створено Державну службу України з питань захисту персональних даних (далі – ДСЗПД).

ДСЗПД діє в межах повноважень, передбачених ст. 23 Закону №2297, а саме:

• реєструє бази персональних даних;
• здійснює контроль за дотриманням законодавства про захист персональних даних шляхом проведення виїзних або невиїзних, планових або позапланових перевірок із правом доступу до інформації, яка міститься у базах персональних даних, та до приміщень, де здійснюється їх обробка;
• за результатами проведених перевірок у випадку виявлення порушень законодавства у сфері захисту персональних даних на підставі п. 1 ч. 1 ст. 255 Кодексу України «Про адміністративні правопорушення» (далі – КУАП) складає протоколи про адміністративні правопорушення;
• видає обов’язкові до виконання приписи щодо усунення порушень законодавства про захист персональних даних власникам та/або розпорядникам баз персональних даних тощо.

Із 1 липня 2012 року запроваджено відповідальність за порушення законодавства у сфері захисту персональних даних шляхом доповнення КУАП ст.ст. 18839 та 18840 та викладенням ст. 182 Кримінального кодексу України (далі – КК України) у новій редакції. Вищевказані зміни і доповнення було внесено до КУАП та КК України згідно з Законом «Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних» від 02.06.2011 р. №3454. Детальніше відповідальність за порушення законодавства у сфері захисту персональних даних і відповідний аналіз норм чинного законодавства буде розглянуто в окремій темі.
З метою виявлення порушень і забезпечення контролю за дотриманням суб’єктами персональних даних законодавства Мін’юстом 22.06.2012 р. було видано Наказ №947/5 (далі – Наказ), яким затверджено Порядок здійснення Державною службою України з питань захисту персональних даних державного контролю за дотриманням законодавства про захист персональних даних (далі – Порядок). Наказ набув чинності зовсім нещодавно, а саме 16 липня 2012 року.
Отже, згідно з затвердженим Порядком, контроль за дотриманням законодавства про захист персональних даних здійснюється у формі планових, позапланових, виїзних та безвиїзних перевірок власників або розпорядників баз персональних даних.
Підставою для проведення перевірок є відповідний наказ ДСЗПД, в якому має зазначатися суб’єкт перевірки, дати початку і закінчення перевірки, склад комісії, якій доручено проведення перевірки, із визначенням її голови та правові підстави проведення перевірки.

ДСЗПД зобов’язана за 10 календарних днів до початку перевірки надіслати рекомендованим листом за місцезнаходженням або місцем проживання суб’єкта перевірки відповідне повідомлення разом із копією наказу про проведення перевірки. За відсутності підтвердження отримання суб’єктом перевірки документів, у т. ч. за відсутності суб’єкта перевірки за місцезнаходженням або місцем проживання, ДСЗПД повторно надсилає повідомлення та копію наказу про проведення перевірки. У випадку повторного одержання відомостей про відсутність суб’єкта перевірки за місцезнаходженням або місцем проживання комісією ДСЗПД складається акт про неможливість проведення перевірки через відсутність юридичної особи за місцезнаходженням або фізичної особи – за місцем проживання. Акт про неможливість проведення перевірки складається за формою, визначеною Порядком.
Перевірка проводиться у термін, який не може перевищувати 10 робочих днів, причому строк може бути продовжений уповноваженою посадовою особою ДСЗПД, яка прийняла рішення про проведення перевірки за поданням голови комісії, але не більше ніж на п’ять робочих днів.
Права та обов’язки учасників перевірки (голови та членів комісії ДСЗПД, посадових осіб суб’єкта перевірки) передбачені у розділі VII Порядку.
Планові перевірки здійснюються ДСЗПД на підставі затверджених річних або квартальних планів перевірки, які схвалюються до 1 грудня року, що передує плановому, або до 25 числа останнього місяця кварталу, що передує плановому. Планові перевірки проводяться не частіше одного разу на п’ять років.

Порядок містить вичерпний перелік підстав, за наявності однієї з яких можуть проводитись позапланові перевірки, а саме: за заявою суб’єкта перевірки про необхідність проведення перевірки за бажанням такого суб’єкта перевірки; за зверненням юридичних або фізичних осіб про порушення суб’єктом перевірки вимог законодавства про захист персональних даних; неподання відповіді на письмовий запит ДСЗПД щодо здійснення безвиїзної перевірки; виявлення та підтвердження недостовірності у відомостях (даних), наданих суб’єктом перевірки на письмовий запит ДСЗПД щодо здійснення безвиїзної перевірки; перевірка порядку виконання суб’єктом перевірки приписів, виданих за результатами проведення планових перевірок.

Інформація щодо проведення позапланових перевірок ДСЗПД розміщується на веб-сайті ДСЗПД (http://zpd.gov.ua/dszpd/uk/index) за 10 календарних днів до початку її проведення.
За результатами проведення планових та позапланових перевірок комісією ДСЗПД у двох примірниках складається Акт перевірки дотримання законодавства у сфері захисту персональних даних. Акт перевірки має містити один із висновків: про відсутність порушень або виявлені порушення вимог законодавства про захист персональних даних у діяльності суб’єкта перевірки.
На підставі Акту перевірки про виявлені порушення комісією ДСЗПД складається припис про усунення порушень вимог законодавства у сфері захисту персональних даних, виявлених під час перевірки. Припис не передбачає застосування санкцій відносно суб’єкта перевірки, але якщо під час проведення перевірки буде виявлено факт адміністративного правопорушення, комісією ДСЗПД, відповідно до розділу VI Порядку, складається протокол про адміністративне правопорушення.

Форма припису про усунення порушень, Акту перевірки та адміністративного протоколу встановлюються Порядком.
Дотримання норм чинного матеріального права України щодо захисту персональних даних, ознайомлення із процедурою здійснення перевірок, знання прав і обов’язків учасників перевірок, перевірка дотримання перевіряючими порядку допуску до проведення перевірок забезпечать надійний юридичний захист ваших персональних даних і допоможуть уникнути спекуляцій перевіряючих органів у сфері захисту персональних даних.