Відповідальністьза порушення закону про захист персональних даних

Views:
 
Category: Education
     
 

Presentation Description

Контроль за додержанням законодавства України про захист персональних даних. Відповідальність за правопорушення

Comments

Presentation Transcript

Контроль за додержанням законодавства України про захист персональних даних:

Контроль за додержанням законодавства України про захист персональних даних Відповідальність за порушення законодавства у сфері захисту персональних даних

Орган, що здійснює перевірки дотримання законодавства у сфері ЗПД та види перевірок:

Орган, що здійснює перевірки дотримання законодавства у сфері ЗПД та види перевірок Пункт 2.1 Порядку здійснення Уповноваженим Верховної Ради України з прав людини контролю за додержанням законодавства про захист персональних даних 2 Контроль за додержанням законодавства про захист персональних даних здійснюється : Уповноваженим ВРУ з прав людини; та/або уповноваженими ним посадовими особами. ВИДИ ПЕРЕВІРОК: Планові; Позапланові; Виїзні Безвиїзні. Планові та позапланові перевірки можуть бути виїзними та безвиїзними.

Предмет перевірки::

Предмет перевірки: Пункт 2.1 Порядку здійснення Уповноваженим Верховної Ради України з прав людини контролю за додержанням законодавства про захист персональних даних 3 Додержання суб’єктом перевірки під час здійснення обробки персональних даних вимог : Конституції України; Закону України «Про захист персональних даних»; Типового порядку обробки персональних даних; чинних міжнародних договорів України у сфері захисту персональних даних, згода на обов’язковість яких надана Верховною Радою України.

Виїзна перевірка:

Виїзна перевірка Пункти 2.2 та 2.3 Порядку здійснення Уповноваженим Верховної Ради України з прав людини контролю за додержанням законодавства про захист персональних даних 4 Виїзна перевірка проводиться Уповноваженим та/або на підставі виданого ним іменного доручення такими посадовими особами (далі - уповноважені посадові особи): керівником Секретаріату та його заступником; Представниками Уповноваженого; керівниками структурних підрозділів Секретаріату та їх заступниками ; працівниками Секретаріату Уповноваженого. Доручення видається у письмовій формі на визначений у ньому строк . До участі в перевірці в установленому законодавством порядку можуть бути залучені працівники органів державної влади , в тому числі органів державного управління, органів виконавчої влади та правоохоронних органів. В разі залучення вказаних осіб вони дають письмове зобов’язання про нерозголошення персональних даних, які стануть їм відомі в результаті проведення перевірки.

Виїзні перевірки:

Виїзні перевірки Пункти 2.4 та 2.6 Порядку здійснення Уповноваженим Верховної Ради України з прав людини контролю за додержанням законодавства про захист персональних даних 5 Виїзні перевірки здійснюються в робочий час суб’єкта перевірки , встановлений правилами внутрішнього трудового розпорядку . Суб'єкт перевірки зобов'язаний забезпечити доступ до: приміщень, матеріалів документів, необхідних для проведення перевірки, надавати інформацію і давати пояснення щодо фактичної та правової підстави своїх дій та рішень та забезпечити належні умови для проведення перевірки цієї інформації.

Планові перевірки:

Планові перевірки Пункти 3.1 та 3.4 Порядку здійснення Уповноваженим Верховної Ради України з прав людини контролю за додержанням законодавства про захист персональних даних 6 Планові перевірки проводяться відповідно до річних або квартальних планів. Річні затверджуються Уповноваженим до 1 грудня року , що передує плановому, а квартальні - до 25 числа останнього місяця кварталу , що передує плановому кварталу. У плані зазначаються категорії суб’єктів перевірок . План проведення перевірок після його затвердження розміщується на офіційному веб-сайті Уповноваженого . Планові перевірки здійснюються з періодичністю не частіше 1 (одного) разу на рі к . Датою , з якої починається відлік строку для визначення початку наступної планової перевірки, є дата закінчення попередньої планової перевірки .

Позапланові перевірки:

Позапланові перевірки Пункт 4.1 Порядку здійснення Уповноваженим Верховної Ради України з прав людини контролю за додержанням законодавства про захист персональних даних 7 Проводяться за наявності однієї або декількох підстав/приводів, зокрема: за власною ініціативою Уповноваженого; при безпосередньому виявленні порушень вимог законодавства про захист персональних даних Уповноваженим, в тому числі і в результаті здійснення дослідження системних проблем щодо забезпечення права на приватність, повагу до приватного та сімейного життя; при наявності інформації про порушення вимог законодавства про захист персональних даних в повідомленнях, опублікованих в засобах масової інформації, оприлюднених в мережі Інтернет ; обґрунтовані звернення фізичних та юридичних осіб з повідомленням про порушення фізичною особою, фізичною особою - підприємцем, підприємством, установою і організацією усіх форм власності, органом державної влади чи місцевого самоврядування , що є володільцями та/або розпорядниками персональних даних вимог законодавства про захист персональних даних; виявлення недостовірності у відомостях (даних), наданих суб'єктом перевірки на письмовий запит Уповноваженого щодо здійснення безвиїзної перевірки, та/або якщо такі відомості (дані) не дають змоги оцінити виконання суб'єктом перевірки вимог законодавства про захист персональних даних; контроль за виконанням суб'єктом перевірки приписів щодо усунення порушень вимог законодавства про захист персональних даних, виданих за результатами проведення перевірок.

Приклад повідомлення про перевірку органом, який мав на це право в 2013 році:

Приклад повідомлення про перевірку органом, який мав на це право в 2013 році ДСЗПД, 30 квітня 2013 року 8

Витяг із запиту, направленого в ході перевірки органом, який мав на це право в 2013 році:

Витяг із запиту, направленого в ході перевірки органом, який мав на це право в 2013 році ДСЗПД, 30 квітня 2013 року 9 У строк до 13 травня 2013 року необхідно надати наступну інформацію, належним чином завірені матеріали і документи, пов'язані із обробкою персональних даних користувачів сайту www . pravda . com . ua / ( далі - Користувачі Сайту ): документи, які регулюють організаційні засади діяльності Товариства з обмеженою відповідальністю «Інформаційне агентство «Українська правда» (установчий акт, статут, засновницький договір, положення тощо). документи (накази, рішення, розпорядження, постанови, умови, правила тощо), якими визначено: 2.1. перелік баз персональних даних та їх місцезнаходження; 2.1. мету обробки персональних даних; 2.3. склад персональних даних Користувачів Сайту; документи (накази, рішення, розпорядження, постанови, умови, правила тощо), якими визначено порядок: внесення (збирання) персональних даних Користувачів Сайту; зміни, поновлення (оновлення) персональних даних Користувачів Сайту; використання персональних даних Користувачів Сайту; поширення персональних даних Користувачів Сайту; знеособлення персональних даних Користувачів Сайту; зберігання персональних даних Користувачів Сайту; знищення персональних даних Користувачів Сайту; доступу до персональних даних Користувачів Сайту третіх осіб ;

Витяг із запиту, направленого в ході перевірки органом, який мав на це право в 2013 році:

Витяг із запиту, направленого в ході перевірки органом, який мав на це право в 2013 році ДСЗПД, 30 квітня 2013 року 10 підрозділ, який(а) організовує роботу, пов'язану із захистом персональних даних Користувачів Сайту при їх обробці, відповідно до закону; документи, якими визначено порядок захисту персональних даних Користувачів Сайту, в тому числі від незаконної обробки та незаконного доступу до них; документи, якими визначено правові підстави обробки персональних даних Користувачів Сайту відповідно до статті 11 Закону України «Про захист персональних даних»; документи, які підтверджують стан дотримання вимог законодавства щодо обробки персональних даних, стосовно яких встановлено особливі вимоги (у разі обробки таких даних), зокрема наявність однозначної згоди суб'єкта персональних даних на обробку таких даних; документи, які підтверджують виконання вимог щодо своєчасного повідомлення Користувачів Сайту про володільця персональних даних, склад та зміст зібраних персональних даних, права Користувачів Сайту, визначені Законом України «Про захист персональних даних», мету збору персональних даних та осіб, яким передаються їх персональні дані; інформацію про перелік осіб, яким поширюються персональні дані Користувачів Сайту;

Витяг із запиту, направленого в ході перевірки органом, який мав на це право в 2013 році:

Витяг із запиту, направленого в ході перевірки органом, який мав на це право в 2013 році ДСЗПД, 30 квітня 2013 року 11 інформацію про мету, обсяг (склад) та умови поширення персональних даних Користувачів Сайту суб'єктами, які здійснюють обробку персональних даних з використанням веб-ресурсів та документи, які визначають підстави для передачі таких відомостей (угоди, пропозиції укласти договір, прийняті Вами, тощо ): twitter.com vk.com toboads.com epravda.com.ua champion.com.ua hit.ua bemobile.ua c8.net.ua google . com img . com . ua admixer . net adriver.ru adnet.com.ua facebook.com twimg . com gemius . pl yadro . ru adocean . pl bigmir . net google-analytics.com

Права перевіряючих:

Права перевіряючих Пункти 6.1.1-6.1.3 Порядку здійснення Уповноваженим Верховної Ради України з прав людини контролю за додержанням законодавства про захист персональних даних 12 Безперешкодно входити на об'єкт перевірки за службовим посвідченням і мати безперешкодний доступ до місць зберігання інформації , у тому числі й до комп'ютерів, магнітних носіїв інформації тощо . Отримувати на свою вимогу та мати доступ до будь-якої інформації (документів) володільців або розпорядників персональних даних, які необхідні для здійснення контролю за забезпеченням захисту персональних даних, у тому числі доступ до персональних даних, відповідних баз даних чи картотек , інформації з обмеженим доступом . У разі існування документа лише в електронній формі за умови, що даний документ створений суб'єктом перевірки, суб'єкт перевірки зобов'язаний надати його паперову копію, що забезпечує візуальну форму відображення документа, засвідчену суб'єктом перевірки у встановленому законодавством порядку. У разі неможливості надати паперову копію, що забезпечує візуальну форму відображення документа, проводиться огляд електронного документа , про що складається акт огляду електронного документа за формою згідно з додатком 3 до цього Порядку . Отримувати засвідчені у встановленому законодавством порядку копії документів .

Акт огляду електронного документу:

Акт огляду електронного документу Додаток 3 до Порядку здійснення Уповноваженим Верховної Ради України з прав людини контролю за додержанням законодавства про захист персональних даних 13

Права перевіряючих (продовження):

Права перевіряючих (продовження) Пункти 6.1.4-6.1.8 Порядку здійснення Уповноваженим Верховної Ради України з прав людини контролю за додержанням законодавства про захист персональних даних 14 Вимагати в межах своєї компетенції у керівника та/або посадових осіб суб'єкта перевірки надання завірених підписом письмових пояснень . Звертатись у зв'язку з реалізацією своїх повноважень та відповідно до законодавства до органів прокуратури, інших правоохоронних органів . Складати та підписувати приписи про запобігання або усунення порушень законодавства про захист персональних даних. Складати та підписувати протоколи про притягнення до адміністративної відповідальності за виявлені порушення законодавства про захист персональних даних; Залучати для складання протоколів осіб, присутніх при виявленні правопорушення .

Обов'язки перевіряючих:

Обов'язки перевіряючих Пункт 6.2 Порядку здійснення Уповноваженим Верховної Ради України з прав людини контролю за додержанням законодавства про захист персональних даних 15 Повно, об'єктивно та неупереджено здійснювати перевірку у межах визначених повноважень ; Повідомити керівника суб'єкта перевірки або уповноважену ним особу про свої обов'язки та повноваження, причину та мету перевірки, права, обов'язки керівника та посадових осіб суб'єкта перевірки; Ознайомити керівника суб'єкта перевірки або уповноважену ним особу з результатами проведеної перевірки та/або протоколом про адміністративні правопорушення ; Визначати перелік необхідних для перевірки документів та строки їх надання ; Належним чином оформлювати результати перевірок ; Неухильно дотримуватись вимог до складання протоколів про адміністративні правопорушення, визначених Порядком оформлення матеріалів про адміністративні правопорушення .

Права осіб, яких перевіряють:

Права осіб, яких перевіряють Пункт 6.3 Порядку здійснення Уповноваженим Верховної Ради України з прав людини контролю за додержанням законодавства про захист персональних даних 16 Перевіряти наявність в уповноваженої посадової особи (осіб) службового посвідчення та підстав для проведення перевірки; Бути присутніми під час здійснення перевірки; Одержувати та ознайомлюватись з результатами проведеної перевірки з Актом та/або протоколом про адміністративне правопорушення; Надавати в письмовій формі свої пояснення та зауваження до Акта та/або протоколу про адміністративні правопорушення; Оскаржувати в установленому законом порядку неправомірні дії уповноваженої посадової особи (осіб ).

Обов'язки тих, кого перевіряють:

Обов'язки тих, кого перевіряють Пункт 6.4 Порядку здійснення Уповноваженим Верховної Ради України з прав людини контролю за додержанням законодавства про захист персональних даних 17 Безперешкодно допускати уповноважену посадову особу (осіб) на об'єкт перевірки та надавати доступ до документів та інших матеріалів, потрібних для проведення перевірки; Надавати необхідні документи, та іншу інформацію , завірені підписом письмові пояснення , а також засвідчені в установленому законодавством порядку копії документів, що необхідні проведення перевірки; Виконувати вимоги уповноваженої посадової особи (осіб) з питань додержання вимог законодавства про захист персональних даних.

Оформлення результатів перевірок:

Оформлення результатів перевірок Пункти 5.1 та 5.3 Порядку здійснення Уповноваженим Верховної Ради України з прав людини контролю за додержанням законодавства про захист персональних даних 18 За результатами здійснення планової або позапланової перевірки Уповноважений та/або уповноважена посадова особи складає у 2-х примірниках акт перевірки додержання вимог законодавства про захист персональних даних (Акт). Акт повинен містити один із таких висновків: про відсутність у діяльності суб'єкта перевірки порушень вимог законодавства про захист персональних даних; про виявлені у діяльності суб'єкта перевірки порушення вимог законодавства про захист персональних даних, їх детальний опис із посиланням на норми чинного законодавства, які порушено. Забороняється вносити до акта перевірки відомості про порушення, які не підтверджено документально.

Оформлення результатів перевірок:

Оформлення результатів перевірок Пункти 5.10 та 5.12 Порядку здійснення Уповноваженим Верховної Ради України з прав людини контролю за додержанням законодавства про захист персональних даних 19 На підставі Акта перевірки, під час якої виявлено порушення вимог законодавства про захист персональних даних, складається припис про усунення порушень вимог законодавства у сфері захисту персональних даних (Припис). Припис складається у двох примірниках: перший примірник не пізніше 5 робочих днів з дня складання Акта перевірки надсилається суб'єкту перевірки чи уповноваженій ним особі рекомендованим листом з повідомленням про вручення, а другий примірник залишається в Секретаріаті Уповноваженого.

Контроль за виконанням Припису:

Контроль за виконанням Припису Пункти 5.13 та 5.14 Порядку здійснення Уповноваженим Верховної Ради України з прав людини контролю за додержанням законодавства про захист персональних даних 20 Суб'єкт перевірки повинен протягом визначеного у приписі строку ( не менше ніж 30 календарних днів) вжити заходів щодо усунення порушень , зазначених у приписі, та письмово поінформувати Уповноваженого про усунення порушень разом із наданням копій документів, що це підтверджують . Контроль за своєчасністю та повнотою виконання вимог, зазначених у приписі, здійснюється шляхом вивчення вказаних копій документів та, у разі необхідності , шляхом проведення позапланової перевірки.

Порядок притягнення до відповідальності:

Порядок притягнення до відповідальності Пункти 5.15 - 5.17 Порядку здійснення Уповноваженим Верховної Ради України з прав людини контролю за додержанням законодавства про захист персональних даних 21 У разі невиконання припису протягом вказаного у ньому строку Уповноважений або уповноважена посадова особа складає протокол про адміністративне правопорушення, передбачене статтею 188-40 Кодексу України про адміністративні правопорушення (далі - КУпАП) за формою та у порядку, передбаченому законодавством та Порядком оформлення матеріалів про адміністративні правопорушення. У разі виявлення під час перевірки передбаченого статтею 188-39 чи статтею 188-40 КУпАП адміністративного правопорушення, вчиненого суб'єктом перевірки, Уповноважений або уповноважена посадова особа відповідно до пункту 1 частини першої статті 255 КУпАП складає протокол про адміністративне правопорушення за формою та у порядку, передбаченому законодавством та Порядком оформлення матеріалів про адміністративні правопорушення. У разі виявлення під час перевірки суб'єкта перевірки ознак кримінального правопорушення Уповноважений направляє необхідні матеріали до правоохоронних органів .

Стаття 188-40 КУпАП. Невиконання законних вимог Уповноваженого Верховної Ради України з прав людини:

Стаття 188-40 КУпАП. Невиконання законних вимог Уповноваженого Верховної Ради України з прав людини Адміністративна відповідальність 22 Невиконання законних вимог Уповноваженого Верховної Ради України з прав людини або представників Уповноваженого Верховної Ради України з прав людини - тягне за собою накладення штрафу на посадових осіб, громадян - суб'єктів підприємницької діяльності від ста до двохсот неоподатковуваних мінімумів доходів громадян (тобто від 1700 до 3200 гривень).

Стаття 188-39 КУпАП. Порушення законодавства у сфері захисту персональних даних:

Стаття 188-39 КУпАП. Порушення законодавства у сфері захисту персональних даних Адміністративна відповідальність 23 1. Неповідомлення або несвоєчасне повідомлення Уповноваженого Верховної Ради України з прав людини про обробку персональних даних або про зміну відомостей, які підлягають повідомленню згідно із законом, повідомлення неповних чи недостовірних відомостей - тягнуть за собою накладення штрафу на громадян від ста до двохсот неоподатковуваних мінімумів доходів громадян і на посадових осіб, громадян - суб’єктів підприємницької діяльності - від двохсот до чотирьохсот неоподатковуваних мінімумів доходів громадян. 2. Невиконання законних вимог (приписів) Уповноваженого Верховної Ради України з прав людини або визначених ним посадових осіб секретаріату Уповноваженого Верховної Ради України з прав людини щодо запобігання або усунення порушень законодавства про захист персональних даних - тягнуть за собою накладення штрафу на громадян від двохсот до трьохсот неоподатковуваних мінімумів доходів громадян і на посадових осіб, громадян - суб’єктів підприємницької діяльності - від трьохсот до однієї тисячі неоподатковуваних мінімумів доходів громадян. 3. Повторне протягом року вчинення порушення з числа передбачених частинами першою або другою цієї статті, за яке особу вже було піддано адміністративному стягненню, - тягне за собою накладення штрафу на громадян від трьохсот до п’ятисот неоподатковуваних мінімумів доходів громадян і на посадових осіб, громадян - суб’єктів підприємницької діяльності - від п’ятисот до двох тисяч неоподатковуваних мінімумів доходів громадян.

Стаття 188-39 КУпАП. Порушення законодавства у сфері захисту персональних даних (продовження):

Стаття 188-39 КУпАП. Порушення законодавства у сфері захисту персональних даних (продовження) Адміністративна відповідальність 24 4. Недодержання встановленого законодавством про захист персональних даних порядку захисту персональних даних, що призвело до незаконного доступу до них або порушення прав суб’єкта персональних даних , - тягне за собою накладення штрафу на громадян від ста до п’ятисот неоподатковуваних мінімумів доходів громадян і на посадових осіб, громадян - суб’єктів підприємницької діяльності - від трьохсот до однієї тисячі неоподатковуваних мінімумів доходів громадян. 5. Повторне протягом року вчинення порушення , передбаченого частиною четвертою цієї статті, за яке особу вже було піддано адміністративному стягненню , - тягне за собою накладення штрафу від однієї тисячі до двох тисяч неоподатковуваних мінімумів доходів громадян.

Стаття 182 ККУ. Порушення недоторканності приватного життя :

Стаття 182 ККУ. Порушення недоторканності приватного життя Кримінальна відповідальність 25 1. Незаконне збирання, зберігання, використання, знищення, поширення конфіденційної інформації про особу або незаконна зміна такої інформації , крім випадків, передбачених іншими статтями цього Кодексу,- караються штрафом від п'ятисот до однієї тисячі неоподатковуваних мінімумів доходів громадян або виправними роботами на строк до двох років , або арештом на строк до шести місяців , або обмеженням волі на строк до трьох років. 2. Ті самі дії, вчинені повторно , або якщо вони заподіяли істотну шкоду охоронюваним законом правам, свободам та інтересам особи, - караються арештом на строк від трьох до шести місяців або обмеженням волі на строк від трьох до п'яти років, або позбавленням волі на той самий строк. Примітка. Істотною шкодою у цій статті, якщо вона полягає у заподіянні матеріальних збитків , вважається така шкода, яка в сто і більше разів перевищує неоподатковуваний мінімум доходів громадян.

Стаття 132 ККУ. Розголошення відомостей про проведення медичного огляду на виявлення зараження вірусом імунодефіциту людини чи іншої невиліковної інфекційної хвороби :

Стаття 132 ККУ. Розголошення відомостей про проведення медичного огляду на виявлення зараження вірусом імунодефіциту людини чи іншої невиліковної інфекційної хвороби Кримінальна відповідальність 26 Розголошення службовою особою лікувального закладу , допоміжним працівником , який самочинно здобув інформацію , або медичним працівником відомостей про проведення медичного огляду особи на виявлення зараження вірусом імунодефіциту людини чи іншої невиліковної інфекційної хвороби , що є небезпечною для життя людини, або захворювання на синдром набутого імунодефіциту (СНІД) та його результатів , що стали їм відомі у зв'язку з виконанням службових або професійних обов'язків , - карається штрафом від п'ятдесяти до ста неоподатковуваних мінімумів доходів громадян або громадськими роботами на строк до двохсот сорока годин, або виправними роботами на строк до двох років, або обмеженням волі на строк до трьох років, з позбавленням права обіймати певні посади чи займатися певною діяльністю на строк до трьох років або без такого.

Стаття 145 ККУ. Незаконне розголошення лікарської таємниці :

Стаття 145 ККУ. Незаконне розголошення лікарської таємниці Кримінальна відповідальність 27 Умисне розголошення лікарської таємниці особою, якій вона стала відома у зв'язку з виконанням професійних чи службових обов'язків, якщо таке діяння спричинило тяжкі наслідки, - карається штрафом до п'ятдесяти неоподатковуваних мінімумів доходів громадян або громадськими роботами на строк до двохсот сорока годин, або позбавленням права обіймати певні посади чи займатися певною діяльністю на строк до трьох років, або виправними роботами на строк до двох років.

Дякую за увагу!:

Дякую за увагу! 28 З повагою, Людмила Опришко , адвокат, медіа-юрист ІРРП 2014 рік