Укр. | Рус. | Eng

  

Гаряча лінія: 044-253-75-89, 0800-50-17-20
Захист персональних даних: 253-11-35, 253-53-94

 

Порядок здійснення Уповноваженим Верховної Ради України з прав людини контролю за додержанням законодавства про захист персональних даних

1. Загальні положення

1.1. Цей Порядок встановлює процедуру здійснення Уповноваженим Верховної Ради України з прав людини (далі – Уповноважений) контролю за додержанням вимог законодавства про захист персональних даних шляхом проведення перевірок фізичних осіб, фізичних осіб - підприємців, підприємств, установ і організацій усіх форм власності, органів державної влади та місцевого самоврядування, що є володільцями та/або розпорядниками персональних даних (далі - суб'єкт перевірки), а також оформлення і розгляд результатів перевірок.

1.2. У цьому Порядку терміни вживаються у такому значенні:

безвиїзна перевірка - планова або позапланова перевірка діяльності суб'єкта перевірки Уповноваженим та/або уповноваженими ним посадовими особами, яка проводиться в приміщенні Секретаріату Уповноваженого Верховної Ради України з прав людини на підставі отриманих від суб'єкта перевірки документів та пояснень без виїзду за місцезнаходженням суб'єкта перевірки та/або за місцем обробки персональних даних;

виїзна перевірка - планова або позапланова перевірка діяльності суб'єкта перевірки Уповноваженим та/або уповноваженими ним посадовими особами, яка проводиться за місцезнаходженням суб'єкта перевірки та/або безпосередньо на місці обробки персональних даних;

планова перевірка - перевірка діяльності суб'єкта перевірки, яка проводиться на підставі плану проведення перевірок на відповідний квартал та рік;

позапланова перевірка - перевірка діяльності суб'єкта перевірки, яка не передбачена в плані проведення перевірок.

акт перевірки – службовий документ, який засвідчує факт проведення перевірки діяльності суб’єкта перевірки та стан додержання ним вимог законодавства про захист персональних даних;

припис (вимога) - це обов’язкова для виконання у визначені строки письмова вимога Уповноваженого щодо усунення порушень вимог законодавства про захист персональних даних, яка вручається (надсилається) суб’єкту перевірки.

Інші терміни у цьому Порядку вживаються у значенні, наведеному в Законі України "Про захист персональних даних".


2. Організація та проведення перевірок

2.1. Контроль за додержанням суб'єктами перевірки законодавства про захист персональних даних здійснюється Уповноваженим та/або уповноваженими ним посадовими особами шляхом проведення перевірок: планових, позапланових, виїзних та безвиїзних. Планові та позапланові перевірки можуть бути виїзними та безвиїзними.

Предметом перевірки є додержання суб’єктом перевірки під час здійснення обробки персональних даних вимог Конституції України, Закону України «Про захист персональних даних», Типового порядку обробки персональних даних, а також чинних міжнародних договорів України у сфері захисту персональних даних, згода на обов’язковість яких надана Верховною Радою України.

2.2 Виїзна перевірка проводиться Уповноваженим та/або на підставі виданого ним іменного доручення такими посадовими особами (далі – уповноважені посадові особи):

- керівником Секретаріату та його заступником;

- Представниками Уповноваженого;

- керівниками структурних підрозділів Секретаріату та їх заступниками;

- працівниками Секретаріату Уповноваженого.

Доручення видається у письмовій формі на визначений у ньому строк.

2.3. До участі в перевірці в установленому законодавством порядку можуть бути залучені працівники органів державної влади, в тому числі органів державного управління, органів виконавчої влади та правоохоронних органів. В разі залучення вказаних осіб вони дають письмове зобов’язання про нерозголошення персональних даних, які стануть їм відомі в результаті проведення перевірки.

2.4. Виїзні перевірки здійснюються в робочий час суб’єкта перевірки, встановлений правилами внутрішнього трудового розпорядку.

2.5. Під час проведення перевірки Уповноважений, уповноважена посадова особа та суб'єкт перевірки мають права та обов'язки, передбачені у розділі 6 цього Порядку.

2.6. Суб'єкт перевірки зобов'язаний забезпечити доступ до приміщень, матеріалів і документів, необхідних для проведення перевірки, надавати інформацію і давати пояснення щодо фактичної та правової підстави своїх дій та рішень та забезпечити належні умови для проведення перевірки цієї інформації.

2.7. Безвиїзна перевірка проводиться в порядку, визначеному пп. 3.1 – 3.6 Розділу 3 Порядку здійснення провадження Уповноваженого Верховної Ради України з прав людини, з урахуванням положень цього Порядку Уповноваженим та/або уповноваженими посадовими особами.


3. Проведення планової перевірки

3.1. Планові перевірки проводяться відповідно до річних або квартальних планів, які затверджуються Уповноваженим до 1 грудня року, що передує плановому, або до 25 числа останнього місяця кварталу, що передує плановому.

3.2. У плані зазначаються категорії суб’єктів перевірок. План проведення перевірок після його затвердження розміщується на офіційному веб-сайті Уповноваженого.

3.3. Планові перевірки суб'єкта перевірки щодо дотримання вимог законодавства у сфері захисту персональних даних здійснюються з періодичністю не частіше одного разу на рік.

3.4. Датою, з якої починається відлік строку для визначення початку наступної планової перевірки, є дата закінчення попередньої планової перевірки.

4. Проведення позапланової перевірки

4.1. Позапланові перевірки суб'єктів перевірки можуть проводитись за наявності однієї або декількох підстав/приводів, зокрема:

за власною ініціативою Уповноваженого;

при безпосередньому виявленні порушень вимог законодавства про захист персональних даних Уповноваженим, в тому числі і в результаті здійснення дослідження системних проблем щодо забезпечення права на приватність, повагу до приватного та сімейного життя;

при наявності інформації про порушення вимог законодавства про захист персональних даних в повідомленнях, опублікованих в засобах масової інформації, оприлюднених в мережі Інтернет;

обґрунтовані звернення фізичних та юридичних осіб з повідомленням про порушення фізичною особою, фізичною особою - підприємцем, підприємством, установою і організацією усіх форм власності, органом державної влади чи місцевого самоврядування, що є володільцями та/або розпорядниками персональних даних вимог законодавства про захист персональних даних;

виявлення недостовірності у відомостях (даних), наданих суб'єктом перевірки на письмовий запит Уповноваженого щодо здійснення безвиїзної перевірки, та/або якщо такі відомості (дані) не дають змоги оцінити виконання суб'єктом перевірки вимог законодавства про захист персональних даних;

контроль за виконанням суб'єктом перевірки приписів щодо усунення порушень вимог законодавства про захист персональних даних, виданих за результатами проведення перевірок.

5. Оформлення результатів перевірок

5.1. За результатами здійснення планової або позапланової перевірки Уповноважений та/або уповноважена посадова особи складає у двох примірниках акт перевірки додержання вимог законодавства про захист персональних даних (далі - Акт) за формою згідно з додатком 1 до цього Порядку.

5.2. Акт повинен містити такі відомості:

дату, час та місце складання;

посади, прізвища та ініціали осіб, що проводили перевірку;

посаду, прізвище та ініціали керівника (уповноваженої ним особи) або прізвище та ініціали фізичної особи суб'єкта перевірки;

вид перевірки (планова, позапланова, виїзна, безвиїзна);

для суб’єкта перевірки – органу державної влади та місцевого самоврядування: найменування, місцезнаходження;

для суб'єкта перевірки - юридичної особи: найменування, місцезнаходження;

для суб'єкта перевірки - фізичної особи та/або фізичної особи - підприємця: прізвище, ім'я та по батькові, місце проживання;

дані про дату, час початку та час закінчення перевірки, її загальну тривалість;

факти (обставини), які встановлено за результатами перевірки;

висновок про результати перевірки.

При складанні Акта мають бути додержані об'єктивність і вичерпність опису виявлених фактів і даних.

5.3. Акт повинен містити один із таких висновків:

про відсутність у діяльності суб'єкта перевірки порушень вимог законодавства про захист персональних даних;

про виявлені у діяльності суб'єкта перевірки порушення вимог законодавства про захист персональних даних, їх детальний опис із посиланням на норми чинного законодавства, які порушено.

Забороняється вносити до акта перевірки відомості про порушення, які не підтверджено документально.

5.4. В Акті викладаються всі виявлені під час перевірки факти невиконання (неналежного виконання) суб'єктом перевірки вимог законодавства про захист персональних даних.

5.5. У разі ненадання суб'єктом перевірки документів, необхідних для проведення перевірки, в Акті робиться запис про це із зазначенням причин.

5.6. Виїзна перевірка

5.6.1. За результатами проведення виїзної перевірки складається Акт в двох примірниках, який підписується Уповноваженим або уповноваженою посадовою особою (особами), яка проводила перевірку, та керівником суб'єкта перевірки або уповноваженою ним особою.

5.6.2. Якщо суб'єкт перевірки не погоджується з Актом, він підписує його із зауваженнями. Зауваження суб'єкта перевірки щодо здійснення уповноваженими посадовими особами контролю за дотриманням вимог законодавства про захист персональних даних є невід'ємною частиною Акта. При цьому, на останній сторінці всіх примірників Акта робиться запис: "Із зауваженнями".

У разі відмови керівника суб'єкта перевірки або уповноваженої ним особи підписати Акт уповноважена посадова особа вносить до такого Акта відповідний запис.

5.6.3. Перший примірник Акта вручається керівнику суб'єкта перевірки або уповноваженій ним особі, про що ним (нею) ставиться підпис на другому примірнику Акта, який зберігається в Секретаріаті Уповноваженого.

У випадку відмови керівника суб'єкта перевірки або уповноваженої ним особи отримати другий примірник Акта він направляться суб'єкту перевірки протягом 5 робочих днів рекомендованим листом з повідомленням про вручення.

До примірника Акта, який зберігається в Секретаріаті Уповноваженого обов'язково додаються матеріали перевірки - копії документів, витяги з документів, належним чином засвідчені суб'єктом перевірки, пояснення, протоколи та інші документи.

5.7. Безвиїзна перевірка

5.7.1. За результатами проведення безвиїзної перевірки складається Акт в двох примірниках, який підписується Уповноваженим та/або уповноваженою посадовою особою (особами), яка проводила перевірку. Перший примірник надсилається суб’єкту перевірки для ознайомлення, а другий зберігається в Секретаріаті Уповноваженого.

5.7.2. До примірника Акта, який зберігається в Секретаріаті Уповноваженого, додаються матеріали перевірки - копії документів, витяги з документів, належним чином засвідчені суб'єктом перевірки, пояснення, протоколи та інші документи.

5.8. Будь-які виправлення та доповнення в Акті перевірки після його підписання не допускаються. Про виявлення описок після підписання Акта перевірки суб'єкт перевірки повідомляється письмово.

5.9. Будь-яка інформація, яка стала відомою Уповноваженому та/або уповноваженій посадовій особі (особам) під час проведення перевірки, не підлягає розголошенню.

5.10. На підставі Акта перевірки, під час якої виявлено порушення вимог законодавства про захист персональних даних, складається припис про усунення порушень вимог законодавства у сфері захисту персональних даних, виявлених під час перевірки, за формою згідно з додатком 2 до цього Порядку (далі - припис).

5.11. У приписі зазначаються:

номер, дата та місце складання припису;

для суб’єкта перевірки – органу державної влади та місцевого самоврядування: найменування, місцезнаходження;

для суб'єкта перевірки - юридичної особи: найменування, місцезнаходження, прізвище, ім'я та по батькові керівника юридичної особи;

для суб'єкта перевірки - фізичної особи та/або фізичної особи - підприємця: прізвище, ім'я та по батькові, місце її проживання;

підстава для видачі припису;

заходи необхідні для усунення порушень, виявлених під час перевірки;

строк виконання припису;

строк інформування суб'єктом перевірки Уповноваженого про усунення виявленого порушення;

підпис уповноваженої посадової особи (осіб), яка проводила перевірку.

5.12. Припис складається у двох примірниках: перший примірник не пізніше 5 робочих днів з дня складання Акта перевірки надсилається суб'єкту перевірки чи уповноваженій ним особі рекомендованим листом з повідомленням про вручення, а другий примірник залишається в Секретаріаті Уповноваженого.

На копії припису, який залишається у Секретаріаті Уповноваженого, проставляються відповідний вихідний номер і дата відправлення.

5.13. Суб'єкт перевірки повинен протягом визначеного у приписі строку (не менше ніж 30 календарних днів) вжити заходів щодо усунення порушень, зазначених у приписі, та письмово поінформувати Уповноваженого про усунення порушень разом із наданням копій документів, що це підтверджують.

5.14. Контроль за своєчасністю та повнотою виконання вимог, зазначених у приписі, здійснюється шляхом вивчення вказаних копій документів та, у разі необхідності, шляхом проведення позапланової перевірки.

5.15. У разі невиконання припису протягом вказаного у ньому строку Уповноважений або уповноважена посадова особа складає протокол про адміністративне правопорушення, передбачене статтею 188-40 Кодексу України про адміністративні правопорушення (далі - КУпАП) за формою та у порядку, передбаченому законодавством та Порядком оформлення матеріалів про адміністративні правопорушення.

5.16. У разі виявлення під час перевірки передбаченого статтею 188-39 чи статтею 188-40 КУпАП адміністративного правопорушення, вчиненого суб'єктом перевірки, Уповноважений або уповноважена посадова особа відповідно до пункту 1 частини першої статті 255 КУпАП складає протокол про адміністративне правопорушення за формою та у порядку, передбаченому законодавством та Порядком оформлення матеріалів про адміністративні правопорушення.

5.17. У разі виявлення під час перевірки суб'єкта перевірки ознак кримінального правопорушення Уповноважений направляє необхідні матеріали до правоохоронних органів.

6. Права та обов'язки уповноваженої посадової особи та посадових осіб суб'єкта перевірки

6.1. Уповноважена посадова особа при проведенні перевірки має право:

6.1.1. Безперешкодно входити на об'єкт перевірки за службовим посвідченням і мати безперешкодний доступ до місць зберігання інформації, у тому числі й до комп'ютерів, магнітних носіїв інформації тощо.

6.1.2. Отримувати на свою вимогу та мати доступ до будь-якої інформації (документів) володільців або розпорядників персональних даних, які необхідні для здійснення контролю за забезпеченням захисту персональних даних, у тому числі доступ до персональних даних, відповідних баз даних чи картотек, інформації з обмеженим доступом.

У разі існування документа лише в електронній формі за умови, що даний документ створений суб'єктом перевірки, суб'єкт перевірки зобов'язаний надати його паперову копію, що забезпечує візуальну форму відображення документа, засвідчену суб'єктом перевірки у встановленому законодавством порядку. У разі неможливості надати паперову копію, що забезпечує візуальну форму відображення документа, проводиться огляд електронного документа, про що складається акт огляду електронного документа за формою згідно з додатком 3 до цього Порядку.

6.1.3. Отримувати засвідчені у встановленому законодавством порядку копії документів.

6.1.4. Вимагати в межах своєї компетенції у керівника та/або посадових осіб суб'єкта перевірки надання завірених підписом письмових пояснень.

6.1.5. Звертатись у зв'язку з реалізацією своїх повноважень та відповідно до законодавства до органів прокуратури, інших правоохоронних органів.

6.1.6. Складати та підписувати приписи про запобігання або усунення порушень законодавства про захист персональних даних.

6.1.7. Складати та підписувати протоколи про притягнення до адміністративної відповідальності за виявлені порушення законодавства про захист персональних даних;

6.1.8. Залучати для складання протоколів осіб, присутніх при виявленні правопорушення.

6.2. Уповноважена посадова особа при проведенні перевірки зобов'язана:

6.2.1. Повно, об'єктивно та неупереджено здійснювати перевірку у межах визначених повноважень;

6.2.2. Повідомити керівника суб'єкта перевірки або уповноважену ним особу про свої обов'язки та повноваження, причину та мету перевірки, права, обов'язки керівника та посадових осіб суб'єкта перевірки;

6.2.3. Ознайомити керівника суб'єкта перевірки або уповноважену ним особу з результатами проведеної перевірки та/або протоколом про адміністративні правопорушення;

6.2.4. Визначати перелік необхідних для перевірки документів та строки їх надання;

6.2.5. Належним чином оформлювати результати перевірок;

6.2.6. Неухильно дотримуватись вимог до складання протоколів про адміністративні правопорушення, визначених Порядком оформлення матеріалів про адміністративні правопорушення.

6.3. Посадові особи суб'єкта перевірки, в тому числі керівник суб'єкта перевірки або уповноважена ним особа, під час здійснення перевірки мають право:

6.3.1. Перевіряти наявність в уповноваженої посадової особи (осіб) службового посвідчення та підстав для проведення перевірки;

6.3.2. Бути присутніми під час здійснення перевірки;

6.3.3. Одержувати та ознайомлюватись за результатами проведеної перевірки з Актом та/або протоколом про адміністративне правопорушення;

6.3.4. Надавати в письмовій формі свої пояснення та зауваження до Акта та/або протоколу про адміністративні правопорушення;

6.3.5. Оскаржувати в установленому законом порядку неправомірні дії уповноваженої посадової особи (осіб).

6.4. Посадові особи суб'єкта перевірки, в тому числі керівник суб'єкта перевірки або уповноважена ним особа, під час здійснення перевірки зобов'язані:

6.4.1. Безперешкодно допускати уповноважену посадову особу (осіб) на об'єкт перевірки та надавати доступ до документів та інших матеріалів, потрібних для проведення перевірки;

6.4.2. Надавати необхідні документи, та іншу інформацію, завірені підписом письмові пояснення, а також засвідчені в установленому законодавством порядку копії документів, що необхідні проведення перевірки;

6.4.3. Виконувати вимоги уповноваженої посадової особи (осіб) з питань додержання вимог законодавства про захист персональних даних.

ДОДАТОК 1. Акт перевірки додержання законодавства про захист персональних даних.

ДОДАТОК 2. Припис про усунення порушення вимог законодавства у сфері захисту персональних даних, виявленого під час перевірки.

ДОДАТОК 3. Акт огляду електронного документа.

Роз’яснення до Порядку здійснення Уповноваженим контролю за додержанням законодавства про захист персональних даних