Контроль за додерженням правового порядку захисту ПД

test.png

повноваження Уповноваженого

проведення перевірок

оформлення результатів перевірок

повідомлення Уповноваженого

dekor2.png

Контроль, Уповноважений Верховної Ради України з прав людини, захист персональних даних, чутливі персональні дані, перевірка, повідомлення про обробку.

Контроль за додержанням правового порядку захисту персональних даних полягає у встановленні відповідності процесу обробки персональних даних вимогам Конституції України, ЗУ «Про захист персональних даних», Типового порядку обробки персональних даних, а також чинним міжнародним договорам України у сфері захисту персональних даних, згода на обов’язковість яких надана Верховною Радою України.

Відповідно до положень ст. 22 ЗУ «Про захист персональних даних», здійснення контролю за додержанням законодавства про захист персональних даних покладено на Уповноваженого Верховної Ради України з прав людини та суди.

Судами функція контролю виконується опосередковано у процесі здійснення судочинства, а також шляхом надання Пленумом вищого спеціалізованого суду, за результатами узагальнення судової практики, роз’яснень рекомендаційного характеру з питань застосування спеціалізованими судами законодавства при вирішенні справ відповідної судової юрисдикції.

У зв’язку з цим безпосереднім контролюючим суб’єктом у сфері захисту персональних даних є Уповноважений Верховної Ради України з прав людини (далі – Уповноважений).

 

Повноваження
Уповноваженого

Уповноважений має такі повноваження у сфері захисту персональних даних
(ст. 23 ЗУ «Про захист персональних даних»):

1) отримувати пропозиції, скарги та інші звернення фізичних і юридичних осіб з питань захисту персональних даних та приймати рішення за результатами їх розгляду;

2) проводити на підставі звернень або за власною ініціативою виїзні та безвиїзні, планові, позапланові перевірки володільців або розпорядників персональних даних в порядку, визначеному Уповноваженим, із забезпеченням відповідно до закону доступу до приміщень, де здійснюється обробка персональних даних;

3) отримувати на свою вимогу та мати доступ до будь-якої інформації (документів) володільців або розпорядників персональних даних, які необхідні для здійснення контролю за забезпеченням захисту персональних даних, у тому числі доступ до персональних даних, відповідних баз даних чи картотек, інформації з обмеженим доступом;

4) затверджувати нормативно-правові акти у сфері захисту персональних даних у випадках, передбачених цим Законом;

5) за підсумками перевірки, розгляду звернення видавати обов’язкові для виконання вимоги (приписи) про запобігання або усунення порушень законодавства про захист персональних даних, у тому числі щодо зміни, видалення або знищення персональних даних, забезпечення доступу до них, надання чи заборони їх надання третій особі, зупинення або припинення обробки персональних даних;

6) надавати рекомендації щодо практичного застосування законодавства про захист персональних даних, роз’яснювати права і обов’язки відповідних осіб за зверненням суб’єктів персональних даних, володільців або розпорядників персональних даних, структурних підрозділів або відповідальних осіб з організації роботи із захисту персональних даних, інших осіб;

7) взаємодіяти із структурними підрозділами або відповідальними особами, які відповідно до цього Закону організовують роботу, пов’язану із захистом персональних даних при їх обробці; оприлюднювати інформацію про такі структурні підрозділи та відповідальних осіб;

8) звертатися з пропозиціями до Верховної Ради України, Президента України, Кабінету Міністрів України, інших державних органів, органів місцевого самоврядування, їх посадових осіб щодо прийняття або внесення змін до нормативно-правових актів з питань захисту персональних даних;

9) надавати за зверненням професійних, самоврядних та інших громадських об’єднань чи юридичних осіб висновки щодо проектів кодексів поведінки у сфері захисту персональних даних та змін до них;

10) складати протоколи про притягнення до адміністративної відповідальності та направляти їх до суду у випадках, передбачених законом.

11) інформувати про законодавство з питань захисту персональних даних, проблеми його практичного застосування, права і обов’язки суб’єктів відносин, пов’язаних із персональними даними;

12) здійснювати моніторинг нових практик, тенденцій та технологій захисту персональних даних;

13) організовувати та забезпечувати взаємодію з іноземними суб’єктами відносин, пов’язаних із персональними даними, у тому числі у зв’язку з виконанням Конвенції про захист осіб у зв’язку з автоматизованою обробкою персональних даних та Додаткового протоколу до неї, інших міжнародних договорів України у сфері захисту персональних даних;

14) брати участь у роботі міжнародних організацій з питань захисту персональних даних.

Згідно ч. 2 ст. 4 ЗУ «Про Уповноваженого Верховної Ради України з прав людини», Уповноважений здійснює свою діяльність незалежно від інших державних органів та посадових осіб.

З метою реалізації повноважень щодо здійснення контролю за додержанням законодавства про захист персональних даних було запроваджено посаду представника Уповноваженого з питань захисту персональних даних, а в структурі Секретаріату Уповноваженого створено Департамент з питань захисту персональних даних.

ua

Наказ Уповноваженого Верховної Ради України з прав людини 
№ 7/8-12 від 26.07.2012 «Про затвердження Положення про представників Уповноваженого Верховної Ради України з прав людини»

1. Представники Уповноваженого Верховної Ради України з прав людини (далі – Представник) є посадовими особами, яким з метою здійснення парламентського контролю за додержанням конституційних прав і свобод людини і громадянина делегуються визначені повноваження Уповноваженого Верховної Ради України з прав людини (далі – Уповноважений) та на яких розповсюджуються гарантії забезпечення діяльності Уповноваженого.

 

Проведення
перевірок

Контроль Уповноваженим, його представником та іншими визначеними Уповноваженим службовими особами у сфері захисту персональних даних здійснюється шляхом проведення перевірок фізичних осіб, фізичних осіб – підприємців, підприємств, установ і організацій усіх форм власності, органів державної влади і місцевого самоврядування, що є володільцями та (або) розпорядниками персональних даних. Перевірки проводяться як за скаргами фізичних і юридичних осіб, так і за власною ініціативою Уповноваженого.

Розрізняють планові та позапланові перевірки, які можуть бути виїзними чи безвиїзними.

Процедура проведення перевірок встановлена Порядком здійснення Уповноваженим Верховної Ради з прав людини контролю за додержанням законодавства про захист персональних даних, затвердженим наказом Уповноваженого Верховної Ради України з прав людини від 8 січня 2014 р. № 1/02-14.

Планові перевірки здійснюються періодично, але не частіше одного разу на рік. Вони проводяться відповідно до річних або квартальних планів, які затверджуються Уповноваженим до 1 грудня року, що передує плановому, або до 25 числа останнього місяця кварталу, що передує плановому.

Позапланові перевірки суб'єктів можуть проводитись за наявності однієї або декількох підстав, а саме:

  • за власною ініціативою Уповноваженого;
  • при безпосередньому виявленні порушень вимог законодавства про захист персональних даних Уповноваженим, у тому числі і в результаті здійснення дослідження системних проблем щодо забезпечення права на приватність, повагу до приватного та сімейного життя;
  • при наявності інформації про порушення вимог законодавства про захист персональних даних у повідомленнях, опублікованих у засобах масової інформації, оприлюднених в мережі Інтернет;
  • обґрунтовані звернення фізичних та юридичних осіб з повідомленням про порушення фізичною особою, фізичною особою – підприємцем, підприємством, установою і організацією усіх форм власності, органом державної влади чи місцевого самоврядування, що є володільцями та/або розпорядниками персональних даних вимог законодавства про захист персональних даних;
  • виявлення недостовірності у відомостях (даних), наданих суб'єктом перевірки на письмовий запит Уповноваженого щодо здійснення безвиїзної перевірки, та (або) якщо такі відомості (дані) не дають змоги оцінити виконання суб'єктом перевірки вимог законодавства про захист персональних даних;
  • контроль за виконанням суб'єктом перевірки приписів щодо усунення порушень вимог законодавства про захист персональних даних, виданих за результатами проведення перевірок.

Якщо підставою для проведення позапланової перевірки є звернення або скарга фізичної чи юридичної особи, слід враховувати, що згідно з Типовим порядком обробки персональних даних інформація щодо операцій, пов'язаних з обробкою персональних даних фізичних осіб (суб'єктів персональних даних), зберігається володільцем чи розпорядником впродовж одного року з моменту закінчення року, в якому було здійснено операцію (п. 3.11).

Відтак, якщо скаргу буде подано після закінчення цього строку, значну кількість інформації щодо обробки персональних даних особи буде втрачено, що ускладнить оцінку виконання суб’єктом перевірки вимог законодавства про захист персональних даних.

У разі подання скарги безпосередньо суб'єктом персональних даних (тобто фізичною особою, персональні дані якої обробляються володільцем або розпорядником), бажано, щоб перед її направленням він пройшов низку процедур, спрямованих на самостійне вирішення проблеми. Це надасть змогу зробити скаргу більш переконливою та обґрунтованою.

Зокрема, з метою врегулювання проблемних питань суб'єкт персональних даних може звернутися в порядку, передбаченому ЗУ «Про звернення громадян», безпосередньо до володільця чи розпорядника, дії або бездіяльність якого призвели, на його думку, до порушення його права на захист персональних даних.

Якщо в результаті розгляду звернення проблемне питання не буде вирішене, суб'єкт персональних даних може звернутися за захистом своїх прав до Уповноваженого. У такому разі у зверненні (скарзі) суб’єкт має зазначити, яких заходів було вжито для поновлення порушених прав, до яких установ, організацій, органів чи посадових осіб направлялися звернення та якими були результати їх розгляду, а також додати копії усіх наявних підтверджуючих документів.

У випадку, коли особа не може отримати інформацію щодо обробки своїх персональних даних у зв’язку із законним обмеженням цього права (наприклад, при обробці персональних даних у процесі здійснення оперативно-розшукової діяльності), однак, має обґрунтовані підозри щодо порушення її права на захист персональних даних, вона може звернутися зі скаргою до Уповноваженого. За результатами такої перевірки особа повідомляється про виявлені порушення її прав та вжиті заходи.

Безвиїзна перевірка – планова або позапланова перевірка діяльності суб'єкта перевірки Уповноваженим та (або) уповноваженими ним посадовими особами, яка проводиться у приміщенні Секретаріату Уповноваженого на підставі отриманих від суб'єкта перевірки документів та пояснень без виїзду за місцезнаходженням суб'єкта перевірки та (або) за місцем обробки персональних даних.

Виїзна перевірка , натомість, проводиться за місцезнаходженням суб'єкта перевірки та (або) безпосередньо на місці обробки персональних даних.

До участі у перевірці в установленому законодавством порядку можуть бути залучені працівники органів державної влади, в тому числі органів державного управління, органів виконавчої влади та правоохоронних органів. У разі залучення вказаних осіб вони дають письмове зобов’язання про нерозголошення персональних даних, які стануть їм відомі в результаті проведення перевірки.

Окрім ст. 23 ЗУ «Про захист персональних даних» права та обов’язки уповноваженої посадової особи та посадових осіб суб’єкта перевірки визначено положеннями п. 6 Порядку здійснення Уповноваженим Верховної Ради з прав людини контролю за додержанням законодавства про захист персональних даних, затвердженим наказом Уповноваженого Верховної Ради України з прав людини від 8 січня 2014 р. № 1/02-14.

Під час перевірки уповноважені посадові особи мають право доступу до будь-яких документів чи інформації, необхідних для її проведення, у тому числі інформації з обмеженим доступом (зокрема персональних даних), а також доступу до усіх приміщень, де здійснюється обробка персональних даних. Єдиною умовою надання такого доступу є необхідність таких дій для проведення контролю за забезпеченням захисту персональних даних.

За невиконання законних вимог Уповноваженого Верховної Ради України з прав людини або його представників щодо вчасного надання документів, інформації та доступу до приміщень передбачена відповідальність згідно ст. 188-40 Кодексу України про адміністративні правовопорушення (далі – КУпАП).

За результатами проведеної перевірки відповідними посадовими особами складається акт, у якому зазначається інформація щодо встановлених в ході перевірки фактів невиконання або неналежного виконання суб'єктом перевірки вимог законодавства про захист персональних даних, а також висновок про результати перевірки.

На підставі акта перевірки, під час якої виявлено порушення вимог законодавства про захист персональних даних, складається припис про усунення таких порушень, а у разі виявлення передбаченого ст. 188-39 чи ст. 188-40 КУпАП адміністративного правопорушення, вчиненого суб’єктом перевірки – протокол про адміністративне правопорушення

Виходячи з цього, слід зауважити, що акт складається виключно за результатами проведення перевірки. Якщо за результатами розгляду звернення буде виявлено правопорушення, що не вимагатиме проведення перевірки (наприклад, для підтвердження факту такого правопорушення не потрібно отримувати додаткові матеріали або достатньо отримати підтверджуючі документи чи пояснення сторін), працівниками Секретаріату буде відразу винесено припис або відповідно складено протокол.

У приписі викладаються заходи, яких суб’єкту необхідно вжити у встановлені строки для усунення порушень, виявлених під час перевірки.

У разі невиконання припису Уповноважений або уповноважена посадова особа складає протокол про адміністративне правопорушення, передбачене ст. 188-40 КУпАП за формою та у порядку, передбаченому законодавством та Порядком оформлення матеріалів про адміністративні правопорушення.

У випадку виявлення під час перевірки ознак кримінального правопорушення Уповноважений направляє необхідні матеріали до правоохоронних органів.

Визначені законодавством заходи реагування не передбачають надання компенсації особі, чиї права могло бути порушено вчиненим правопорушенням. Водночас, за особою залишається право на звернення до суду з позовом про відшкодування шкоди, завданої порушенням її права на захист персональних даних. У такому випадку основним доказом порушення її прав буде відповідний припис Уповноваженого або рішення суду за результатами розгляду протоколу про притягнення до адміністративної відповідальності.

 

Повідомлення
Уповноваженого

У межах здійснення контролю за додержанням правового порядку захисту персональних даних встановлено механізм повідомлення Уповноваженого про обробку персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних. Йдеться про так звані «чутливі персональні дані».

Відповідно до ст. 9 ЗУ «Про захист персональних даних»  володілець зобов’язаний повідомляти Уповноваженого про обробку чутливих персональних даних.

Визначення видів обробки персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних, та категорії суб’єктів, на яких поширюється вимога щодо повідомлення, належить до повноважень Уповноваженого.

Так, для цілей Порядку повідомлення, Уповноваженим обробка персональних даних, що становить особливий ризик для прав і свобод суб’єктів, визначена як будь-яка дія або сукупність дій, а саме збирання, реєстрація, накопичення, зберігання, адаптування, зміна, поновлення, використання і поширення (розповсюдження, реалізація, передача), знеособлення, знищення, у тому числі з використанням інформаційних (автоматизованих) систем, яка здійснюється відносно персональних даних про:

  • расове, етнічне та національне походження;
  • політичні, релігійні або світоглядні переконання;
  • членство в політичних партіях та/або організаціях, професійних спілках, релігійних організаціях чи в громадських організаціях світоглядної спрямованості;
  • стан здоров’я;
  • статеве життя;
  • біометричні дані; 
  • генетичні дані; 
  • притягнення до адміністративної чи кримінальної відповідальності; 
  • застосування щодо особи заходів в рамках досудового розслідування; 
  • вжиття щодо особи заходів, передбачених ЗУ «Про оперативно-розшукову діяльність»;
  • вчинення щодо особи тих чи інших видів насильства;
  • місцеперебування та/або шляхи пересування особи.

Процедура та форма повідомлення встановлена Порядком повідомлення Уповноваженого Верховної Ради України з прав людини про обробку персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних, про структурний підрозділ або відповідальну особу, що організовує роботу, пов’язану із захистом персональних даних при їх обробці, а також оприлюднення вказаної інформації.

Володілець персональних даних повідомляє Уповноваженого про здійснення ним будь-яких видів обробки персональних даних, які становлять особливий ризик для прав і свобод суб’єктів персональних даних, крім випадків, якщо (п. 2.1 вказаного Порядку) :

1) здійснюється обробка, єдиною метою якої є ведення реєстру для надання інформації населенню, який відкритий для населення в цілому;

2) обробка здійснюється громадськими об’єднаннями, політичними партіями та/або організаціями, професійними спілками, об’єднаннями роботодавців, релігійними організаціями, громадськими організаціями світоглядної спрямованості за умови, що обробка стосується виключно персональних даних членів цих об’єднань та не передається без їх згоди;

3) обробка необхідна для реалізації прав та виконання обов’язків володільця персональних даних у сфері трудових правовідносин відповідно до закону.

Володілець персональних даних повідомляє Уповноваженого про обробку чутливих персональних даних, упродовж тридцяти робочих днів з дня початку такої обробки, подаючи до Секретаріату заяву за затвердженою формою. Також володілець персональних даних, який повідомив Уповноваженого про їх обробку, зобов’язаний повідомляти Уповноваженого і про кожну зміну відомостей, що підлягають повідомленню, упродовж десяти робочих днів з дня настання такої зміни. Зазначена інформація підлягає оприлюдненню на офіційному веб-сайті Уповноваженого.

Заява про обробку персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних

Заява про зміну відомостей щодо обробки персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних

Заява про припинення обробки персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних

Заява про структурний підрозділ або відповідальну особу, що організовує роботу, пов’язану із захистом персональних даних при їх обробці

Заява направляється листом на адресу Секретаріату Уповноваженого, або іншим доступним володільцю способом (факсом, електронною поштою, через скриньку, спеціально розміщену на 1 поверсі Секретаріату Уповноваженого).

Заява про обробку чутливих персональних даних повинна містити відомості про:

1) володільця і розпорядника персональних даних:

  • П.І.Б., реєстраційний номер облікової картки платника податків, паспортні дані, місце проживання для фізичної особи;
  • найменування, код ЄДРПОУ, адреса реєстрації та/або місцезнаходження для юридичної особи.

2) обробку персональних даних:

  • персональні дані, що обробляються;
  • мету обробки персональних даних (з посиланням на нормативно-правові акти, положення, установчі чи інші документи, які регулюють діяльність володільця персональних даних);
  • категорію чи категорії суб’єктів, чиї персональні дані обробляються;
  • третіх осіб, яким передаються персональні дані суб’єктів;
  • транскордонну передачу персональних даних;
  • місце (фактична адреса) обробки персональних даних;
  • загальний опис технічних та організаційних заходів, що здійснюються володільцем персональних даних, для забезпечення їх захисту.

Підґрунтям для закріплення в ЗУ «Про захист персональних даних» такої норми стало відповідне положення Директиви 95/46/ЄС.

ep.png

Директива 95/46/ЄС «Про захист фізичних осіб при обробці персональних даних і про вільне переміщення таких даних»

Стаття 20. Попередня перевірка

1. Держави-члени визначають операції із обробки, що можуть мати певний ризик для прав і свобод суб’єктів даних, і перевіряють, щоб ці операції із обробки вивчалися до початку обробки.

2. Такі попередні перевірки здійснюються наглядовим органом після одержання повідомлення від контролера чи посадової особи з питань захисту даних, що при виникненні сумнівів повинні радитися з наглядовим органом.

Викладена норма Директиви 95/46/ЄС більш логічна та дієва, адже йдеться саме про попередню перевірку, метою якої є запобігання можливим порушенням законодавства про захист персональних даних. Натомість, згідно чинного національного законодавства України, на володільців покладається обов’язок повідомлення Уповноваженого про обробку чутливих персональних даних, що вже відбувається. Тобто, у разі проведення такої обробки не у відповідності із законодавчими приписами, права суб’єкта персональних даних на момент повідомлення вже буде порушено.

З іншого боку, володілець персональних даних, який вклав певні матеріально-технічні ресурси в організацію процесу обробки не зацікавлений у внесенні змін до операцій з такої обробки, а тому намагатиметься направити повідомлення з якомога загальнішими відомостями, що по суті не надають можливості зробити конкретні висновки стосовно операцій, які ним здійснюються.

Якщо володільцем припинено обробку персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних, він має повідомити Уповноваженого про припинення такої обробки впродовж десяти днів. У цьому випадку оприлюднені на офіційному веб-сайті Уповноваженого відомості щодо обробки підлягають видаленню.

Статтею 188-39 КУпАП встановлено відповідальність за неповідомлення або несвоєчасне повідомлення Уповноваженого про обробку персональних даних або про зміну відомостей, які підлягають повідомленню згідно із законом, повідомлення неповних чи недостовірних відомостей.

« на початок сторінки »

В Україні здійснення контролю за додержанням законодавства про захист персональних даних покладено на:
Державний Департамент України з питань захисту персональних даних
Державну Службу України з питань захисту персональних даних
Прем’єр-міністра України
Уповноваженого Верховної Ради України з прав людинb
Службу безпеки України
Контроль у сфері захисту персональних даних здійснюється шляхом проведення:
планових та позапланових перевірок
щорічних та квартальних перевірок
обов’язкових та факультативних перевірок
формальних та кваліфікаційних перевірок
камеральних, документальних та фактичних перевірок
За результатами проведеної перевірки відповідними посадовими особами складається:
довідка
акт
рішення
припис
протокол
В якому випадку володілець персональних даних не повинен повідомляти Уповноваженого про здійснення обробки персональних даних?
обробка здійснюється відносно персональних даних про членство в політичних партіях та/або організаціях, професійних спілках, релігійних організаціях чи в громадських організаціях світоглядної спрямованості
обробка необхідна для реалізації прав та виконання обов’язків володільця персональних даних у сфері трудових правовідносин відповідно до закону
обробка здійснюється відносно даних про притягнення до адміністративної чи кримінальної відповідальності
обробка здійснюється відносно персональних даних про місцеперебування та/або шляхи пересування особи
в усіх перелічених випадках володілець має повідомляти Уповноваженого
В які строки володілець персональних даних має повідомити Уповноваженого про обробку чутливих персональних даних?
за тридцять робочих днів до початку такої обробки
за десять робочих днів до початку такої обробки
упродовж тридцяти робочих днів з дня початку такої обробки
упродовж трьох місяців з дня початку такої обробки
упродовж одного року з дня початку такої обробки

© О.О. Тихомиров та ін. | Право, суспільство, держава, безпека: інформаційний вимір | tihoma-law.at.ua