Государственная служба по вопросам защиты представила общественности проект Положения о порядке проведения проверок.
Государственная служба по вопросам защиты персональных
данных (далее – Служба) на своём сайте опубликовала проект Положения о порядке
осуществления контроля над защитой персональных данных.
Проект – это, конечно, ещё не утверждённое Положение. Но,
насколько я понимаю, он уже направлен в Минюст. А это значит, что обсуждать уже
есть что, и вероятность принятия именно такого Положения достаточно высока.
О приятном. Согласно проекту Положения плановая проверка
Службы не может проводиться чаще, чем раз в пять лет, а план проверок на год
публикуется на сайте Службы. Таким образом, предприятие будет заранее знать,
когда его будут проверять.
О неприятном. Предусмотрено много оснований для проведения
внеплановой проверки. Обратить внимание хочу на следующее:
- у разі ненадання суб’єктом перевірки, на дії
(бездіяльність) якого отримано скаргу щодо порушення ним законодавства у сфері
захисту персональних даних, пояснень та документального підтвердження
відсутності відповідних порушень на письмовий запит ДСЗПД протягом десяти
робочих днів з дня його отримання субєктом;
- виявлено недостовірність (ймовірну недостовірність) у
відомостях (даних), наданих суб’єктом перевірки на письмовий запит ДСЗПД, або якщо такі відомості (дані) не дають змоги
оцінити виконання суб’єктом перевірки вимоги законодавства;
Эти два основания вызывают вопросы. Проблема не в
предполагаемой сути этих положений, а в выбранной форме. Понятно, что основанием
внеплановой проверки может быть отсутствие ответа на запрос Службы. Вполне
логично и то, что недостоверность может быть таким основанием.
Но формулировки «ймовірну недостовірність», «не дають змоги
оцінити» - субъективные. Они оставляют значительные резервы для злоупотреблений
со стороны Службы. Было бы желание...
Ещё одно интересное основание:
- отримано звернення органів державної влади відповідно до
їх повноважень, визначених законодавством, щодо необхідності ініціювання ДСЗПД
перевірки суб’єкта перевірки.
На данный момент сложно представить, что за орган может
инициировать такую проверку. Поэтому хотелось бы уточнить: речь идёт о «мёртвой»
норме, которая заработает, если кому-то дадут такие полномочия или это
положение будет трактоваться широко и некоторые государственные органы
воспользуются этим для «отправки» проверок на предприятия?
Но самый неприятный для всех пункт в Положении даже не этот.
Наибольшую угрозу политике конфиденциальности любого
предприятия представляет следующая норма:
3.7. Суб’єкт перевірки повинен забезпечити необхідні умови
для проведення перевірки та зобов’язаний на вимогу членів комісії, організувати
доступ в приміщення, де здійснюється обробка персональних даних, а також у разі
необхідності надавати комісії письмові пояснення щодо обробки ним персональних
даних. Під час проведення перевірки комісія має право знімати копії з будь-яких
документів суб’єкта перевірки, необхідних для проведення перевірки та
документування (фіксування) порушень, та вимагати їх засвідчення у
встановленому законодавством порядку.
Разумеется, вопрос необходимости тех или иных документов для
проверки – исключительно желание проверяющего лица. Поэтому следует понимать,
что этот пункт предоставляет проверяющему право получать доступ к ЛЮБЫМ
документам предприятия.
Такая норма не порадует отечественный бизнес. Она представляет
серьёзную угрозу конфиденциальности хранимой на предприятии информации.
Но, тем не менее, Положение оставляет и лазейку для защиты
от этой неприятной обязанности предоставлять любые документы.
В качестве основания для непредоставления запрашиваемых
документов можно рассматривать следующий пункт Положения:
3.12. Доступ до персональних даних конкретної особи з метою
перевірки правомірності їх обробки суб’єктом перевірки здійснюється за
наявності у комісії доручення цієї особи щодо отримання інформації про
місцезнаходження БПД, яка містить його персональні дані, мету обробки
персональних даних, призначення та дані про суб’єкта перевірки (для суб’єкта
перевірки - юридичної особи: найменування, прізвище ім’я та по батькові
уповноваженої нею особи, місцезнаходження; для суб’єкта перевірки - фізичної особи: прізвище ім’я та по
батькові, місце проживання).
Данная норма прямо не предусматривает право отказать
проверяющему лицу в предоставлении документа, если в нём содержатся
персональные данные физического лица. Но при этом в Положении указано, что
данные конкретного физического лица предоставляются только при наличии соответствующего
поручения такого физического лица.
Исходя из этого, я допускаю возможность обосновать отказ в
предоставлении конкретного документа тем, что в нём содержатся персональные
данные конкретного физического лица, а у должностного лица Службы отсутствует
документ, подтверждающий наличие
поручения физического лица на проверку его персональных данных и уровня их
защиты.
Безусловно, вопрос неоднозначный и дискуссионный, но,
считаю, как способ защиты его рассматривать можно.
В целом же предлагаемое Положение о порядке проведения
проверок ничего нового нам не принесло, большинство норм в нём ожидаемы.
Большего ожидаю от Типового порядка обработки персональных
данных в базах персональных данных. Возможно, в его финальной версии увидим
что-то интересное.
Рубрика "Блоги читачів" є майданчиком вільної журналістики та не модерується редакцією. Користувачі самостійно завантажують свої матеріали на сайт. Редакція не поділяє позицію блогерів та не відповідає за достовірність викладених ними фактів.