Ще матеріали по темі:
Реєстрація БПД – роз’яснення, рекомендації та зразки документів
Електронна реєстрація БПД
Драконівські покарання за БПД
“ХОРОШІ” зміни до закону про БПД
Вето на зміни до закону про БПД
Зміни до Закону про БПД набрали чинності
З 16 липня набрав чинності «Порядок здійснення Державною службою України з питань захисту персональних даних державного контролю за додержанням законодавства про захист персональних даних».
Що необхідно знати при проведенні перевірки.
1. Перевірка проводиться на підставі відповідного наказу ДСЗПД, в якому має бути вказано суб’єкт перевірки, дати початку та закінчення, склад комісії (із визначенням її голови) та правові підстави проведення перевірки.
2. До комісії повинні входити не менше, як три працівники ДСЗПД. До роботи комісії можуть залучатися також працівники інших органів державної влади, а також фахівці (експерти). Склад комісії може бути змінений відповідним наказом.
3. Для проведення перевірки мають бути такі документи: повідомлення про проведення перевірки, план проведення перевірки, наказ про проведення перевірки.
4. За 10 календарних днів до початку перевірки суб’єкту перевірки рекомендованим листом надсилається повідомлення разом з копією наказу про проведення перевірки.
5. Строк проведення перевірки не може перевищувати 10 робочих днів. Продовження строку проведення перевірки здійснюється ДСЗПД, але не більше, як на 5 робочих днів.
6. Першим днем перевірки є день прибуття членів комісії на перевірку. Відразу надається план проведення перевірки.
7. Під час перевірки комісія має право отримувати документи, письмові й усні пояснення та іншу інформацію, з питань, що перевіряються (у тому числі з обмеженим доступом), а також засвідчені копії документів.
Комісія має право на безперешкодний доступ до місць зберігання інформації, у тому числі й до комп’ютерів, магнітних носіїв інформації тощо, отримання копій такої інформації (навіть якщо це – особисте житло підприємця!).
8. Підставою для планової перевірки є включення до плану проведення перевірок, які затверджуються Держзахистом до 1 грудня року (для річних планів), та до 25 числа останнього місяця кварталу (для наступного кварталу). План проведення перевірок опубліковується на офіційному сайті ДСЗПД. Планові перевірки здійснюються не частіше одного разу на п’ять років.
9. Позапланова перевірка проводиться при зверненні за власним бажанням, при зверненні про порушення вимог законодавства, при неподанні у встановлений строк документів (відомостей, даних) на письмовий запит ДСЗПД щодо здійснення безвиїзної перевірки, при виявленні недостовірності у відомостях (даних), наданих суб’єктом перевірки на письмовий запит ДСЗПД щодо здійснення безвиїзної перевірки, та/або якщо такі відомості (дані) не дають змоги оцінити виконання суб’єктом перевірки вимог законодавства про захист персональних даних, при перевірці виконання приписів. Інформація про проведення позапланової перевірки розміщується на офіційному веб-сайті ДСЗПД за 10 календарних днів до початку її проведення.
10. За результатами перевірки складається Акт, в якому має бути вказано: дату, час та місце складання Акта перевірки, посади, прізвища та ініціали осіб, що проводили перевірку, посаду, прізвище та ініціали керівника суб’єкта перевірки, вид перевірки (планова, позапланова, виїзна, безвиїзна), найменування (ПІБ), місцезнаходження (місце проживання) суб’єкта перевірки, дані про дату, час початку та час закінчення перевірки, її загальну тривалість, факти, встановлені перевіркою, а також висновок, який може бути таким:
– відсутність порушень вимог законодавства про захист персональних даних;
– виявлені порушення вимог законодавства про захист персональних даних, їх детальний опис із посиланням на норми чинного законодавства, які порушено.
Вказуються лише документально підтверджені факти. У випадку ненадання суб’єктом перевірки затребуваних документів, робиться запис про це із зазначенням причин.
Акт перевірки складається в двох примірниках та в останній день перевірки підписується всіма членами комісії та керівником суб’єкта перевірки.
!Якщо суб’єкт перевірки не погоджується з Актом перевірки, він підписує його із зауваженнями (робить запис: «Із зауваженнями, що додаються», зауваження оформлюються окремим документом). Якщо суб’єкт перевірки відмовляється отримати примірник Акту, він направляється протягом 5 робочих днів рекомендованим листом. Перший примірник Акта перевірки вручається суб’єкту перевірки, про що ставиться підпис на другому примірнику, який залищається в Держзахисті.
Будь-яка інформація, яка стала відомою під час проведення перевірки членам комісії, не підлягає розголошенню.
11. На підставі Акта перевірки, під час якої виявлено порушення вимог законодавства про захист персональних даних, комісією складається Припис про усунення порушень вимог законодавства у сфері захисту персональних даних, виявлених під час перевірки. Сам по собі Припис ще не передбачає застосування санкцій.
У Приписі зазначаються номер, дата та місце складання припису, найменування, місцезнаходження, прізвище, ім’я та по батькові керівника юридичної особи, або прізвище, ім’я та по батькові, місце проживання фізичної особи, підстава для видачі припису, заходи щодо усунення порушень, виявлених під час перевірки, строк виконання припису, строк інформування суб’єктом перевірки ДСЗПД про усунення виявленого порушення, підпис голови комісії.
Припис складається у двох примірниках: перший примірник не пізніше 5 робочих днів з дня складання Акта перевірки надсилається суб’єкту перевірки рекомендованим листом.
Суб’єкт перевірки повинен протягом визначеного у приписі строку (який може бути встановленим не менше, як 30 календарних днів) вжити заходів щодо усунення порушень, зазначених у приписі, та письмово поінформувати ДСЗПД про усунення порушень разом із наданням копій документів, що це підтверджують.
12. Найстрашніше – у випадку виявлення під час перевірки адміністративного правопорушення, комісія складає відповідний протокол. При вирішенні питання щодо складення протоколу про адмінправопорушення комісією мають бути встановлені наявність складу адмінправопорушення, обставини, що виключають адміністративну відповідальність, обставини, що пом’якшують або обтяжують відповідальність, строк, протягом якого може бути накладено адміністративне стягнення. У протоколі обов’язково мають бути зазначені місце, час вчинення і суть адміністративного правопорушення, прізвища, місця проживання свідків і потерпілих, якщо вони є, пояснення особи, стосовно якої складено протокол. Викладені в Протоколі фактичні обставини дій чи бездіяльності мають відповідати складу адміністративного правопорушення, передбаченого КУпАП. Внесення до протоколу відомостей та висновків, що не підтверджені документально, а також надання морально-етичних оцінок діям не допускається. У випадку відмови особи, стосовно якої складено протокол, від підписання протоколу, в ньому проставляється відповідний запис. Особа, стосовно якої складено протокол, має право подати пояснення і зауваження щодо змісту протоколу, які додаються до протоколу, а також викласти мотиви своєї відмови від його підписання. Особі, стосовно якої складено протокол, роз’яснюються її права та обов’язки, передбачені статтею 268 КУпАП “…Особа, яка притягається до адміністративної відповідальності має право: знайомитися з матеріалами справи, давати пояснення, подавати докази, заявляти клопотання; при розгляді справи користуватися юридичною допомогою адвоката, іншого фахівця у галузі права, який за законом має право на надання правової допомоги особисто чи за дорученням юридичної особи, виступати рідною мовою і користуватися послугами перекладача, якщо не володіє мовою, якою ведеться провадження; оскаржити постанову по справі. Справа про адміністративне правопорушення розглядається в присутності особи, яка притягається до адміністративної відповідальності. Під час відсутності цієї особи справу може бути розглянуто лише у випадках, коли є дані про своєчасне її сповіщення про місце і час розгляду справи і якщо від неї не надійшло клопотання про відкладення розгляду справи…”, а також зміст статті 63 Конституції України “…Особа не несе відповідальності за відмову давати показання або пояснення щодо себе, членів сім’ї чи близьких родичів, коло яких визначається законом. Підозрюваний, обвинувачений чи підсудний має право на захист…”. Після оформлення і підписання протоколу формується справа про адміністративне правопорушення та у триденний строк з моменту його складання надсилається до місцевого загального суду за місцем вчинення правопорушення.
І перед завершенням матеріалу, новини від партнерів сайту – купить качественные магнитолы киев для своего автомобиля лучше всего в Интернет – магазине “Фокстрот-техніка для дому”, где есть огромный ассортимент выбора.
13. Голова та члени комісії мають право безперешкодно входити на об’єкт перевірки за службовим посвідченням і мати доступ до документів та інших матеріалів, потрібних для проведення перевірки, знімати копії з документів та вимагати їх засвідчення, вимагати у керівника, посадових осіб надання письмових пояснень, складати та підписувати приписи про усунення порушення вимог законодавства у сфері захисту персональних даних, складати та підписувати протоколи про адміністративні правопорушення у сфері захисту персональних даних.
Комісія зобов’язана ознайомити керівника з планом проведення перевірки, інформувати про обов’язки та повноваження голови та членів комісії, причину та мету перевірки, права, обов’язки керівника та посадових осіб суб’єкта перевірки, ознайомити з результатами проведеної перевірки, протоколом про адміністративні правопорушення, ознайомити особу, стосовно якої складено протокол, про її права та обов’язки, передбачені КУпАП, а також статтею 63 Конституції України, визначити перелік необхідних для перевірки документів та строки їх надання.
14. Посадові особи суб’єкта перевірки мають право перевіряти наявність у голови та членів комісії службового посвідчення та підстав для проведення перевірки, ознайомлюватись з Актом перевірки, протоколом про адміністративне правопорушення, надавати в письмовій формі свої пояснення та зауваження до Акта перевірки, протоколу про адміністративні правопорушення, оскаржувати в установленому законом порядку неправомірні дії голови та членів комісії.
Далі матеріали по темі:
Реєстрація БПД – роз’яснення, рекомендації та зразки документів
Електронна реєстрація БПД
Драконівські покарання за БПД
“ХОРОШІ” зміни до закону про БПД
Вето на зміни до закону про БПД
Зміни до Закону про БПД набрали чинності
Здравствуйте, Татьяна. Ситуация, аналогичная с внесением персональных данных учредителей в Единый государственный реестр. Я постарался подробно проанализировать данный вопрос в материале – http://rus.problem-net.com/novosti-o-registratsii/egr-baza-personalnyih-dannyih/ – “…из разъяснения Госслужбы о обработке данных в Госреестре физических лиц – налогоплательщиков – “… обработка персональных данных осуществляется для конкретных и законных целей, определенных по согласию субъекта персональных данных или в случаях, предусмотренных законами Украины, в порядке, установленном законодательством. Учитывая указанные требования, согласие субъекта персональных данных не требуется, если разрешение на обработку персональных данных предоставляется владельцу базы персональных данных (например, органу государственной власти) соответственно закону, исключительно для осуществления его полномочий … “ . То есть, государственному регистратору не нужно брать заявления о согласии на обработку персональных данных и предоставлять соответствующее уведомление….”.
Добрый день! У меня такой вопрос. Государственный орган согласно закона вносит в реестр субъектов издательского дела. При этом, в заявлении субъекта о внесении в реестр указываются персональные данные его учредителей – физ лиц. А само заявление подписыет уполномоченное лицо субъекта издательского де (например, ген директор), а не конкретные учредители. Обязан ли гос. орган требовать от каждого учредителя согласия на обработку его персональных данных и что делать, если такого согласия нет. Дело в том, что отказ от дачи такого согласия не является основанием для отказа внесения в реестр. БПД по этому реестру госорганом зарегистрирована. Заранее благодарна за помощь.
Здравствуйте, Ксения. Полностью с Вами согласен – определение “персональные данные” слишком расплывчато. По письму Госслужбызащиты – обратите внимание на слово “рекомендует”, которое не предусматривает обязательность выполнения указанной нормы. Данные о руководителе есть общедоступними (Ст.20 Закона о госрегистрации “…1. Відомості, що містяться в Єдиному державному реєстрі, є відкритими і загальнодоступними..”), и при подписании договоров обязательно предоставляется Выписка или Извлечение из Единого госреестра, где указаны подписанты и их полномочия (ограничения). В исключительных случаях, даже предоставляется документ, удостоверяющий личность, но его данные не фиксируются. Поэтому, я остаюсь при своем мнении, хотя окончательный ответ может дать только судебная практика. И, конечно, вся ответственность принятия решения – Ваша. Если решите застраховаться – берите заявление о согласии на обработку персональных данных, но давать уведомление не обязательно: Ст.12 Закона “О защите персональных данных” – “…3. Повідомлення не здійснюється, якщо персональні дані збираються із загальнодоступних джерел…”.
Валентин спасибо огромное за такую быструю реакцию. Обычно ответа можно ждать неделями :) Однако, если Вы считаете, что физическое лицо, подписывающее договор или иной документ нельзя индентифицировать, то это означает, что договор или иной документ не подписан или подписан неустановленным физическим лицом. Кроме того, обратите внимание на письмо Гос.службы на которое я ссылалась в предыдущем письме – ведь данные на визитке тоже не всегда содержат даже номеров телефонов, а адресная книга электронной почты – только имена и фамилии. Однако Гос.служба относит их к персональным данным. Понятие что считается персональными данными настолько расплывчато, но при этом указывает при их помощи можно индентифицировать лицо – а в договоре это сделать можно имея Ф.И.О. и должность. Посмотрите пожалуйста с этой стороны. И спасибо Вам огромное еще раз
Здравствуйте, Ксения. Я уверен, что данные о подписантах юридических лиц, которые указываются в договорах, не являются персональными данными (есть только ФИО, и больше никаких личных данных, по которым можно идентифицировать лицо, (если, конечно, не указаны паспортные данные) – ведь и телефон, и адрес, и р/с принадлежат юрлицу). Другое дело – договора с предпринимателями – в них содержатся персональные данные. Но правильна ли моя уверенность – ответ может дать только судебная практика. Поэтому весь риск принятия решения – за Вами.
Уважаемый Валентин, по Вашему мнению, являются ли первичные документы предприятия, договора предприятия с контрагентами базами персональных данных. Почему задаю такой вопрос: по мнению Гос.службы по вопросам защиты персональных данных, которое она изложила в своем письме от 02.04.2012 г. № 10/1106-12, данные визиток, списка контактов в мобильном телефоне, адресной книге электронной почты следует относить к определению “персональные данные” физического лица. Следуя логике гос.службы – первичные документы и договора предприятия содержат персональные данные физических лиц, которые уполномочены подписывать вышеуказанные документы. Вот поэтому и возник такой вопрос. Спасибо заранее за ответ.
Здравствуйте, Тамила. Пока-еще да. Но уже зарегистрирован законопроект о том, что не надо будет регистрировать базы персональных даних, ведение которых связано с обеспечением и реализацией трудовых отношений.
если у меня есть наемные работники, я тоже должна регистрировать базу данных?