Відповідно до частини першої статті 22, частини другої статті 23 Закону України "Про захист персональних даних" , підпунктів 12-18 пункту 4 Положення про Державну службу України з питань захисту персональних даних , затвердженого Указом Президента України від 06 квітня 2011 року № 390,

1. Затвердити Порядок здійснення Державною службою України з питань захисту персональних даних державного контролю за додержанням законодавства про захист персональних даних, що додається.

2. Департаменту взаємодії з органами влади (Зеркаль О.В.) подати цей наказ на державну реєстрацію відповідно до Указу Президента України від 03 жовтня 1992 року № 493 "Про державну реєстрацію нормативно-правових актів міністерств та інших органів виконавчої влади".

3. Контроль за виконанням цього наказу залишаю за собою.

4. Цей наказ набирає чинності одночасно з набранням чинності Законом України "Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних" від 02 червня 2011 року № 3454-VI, але не раніше дня його офіційного опублікування.

1.1. Цей Порядок врегульовує механізми здійснення Державною службою України з питань захисту персональних даних (далі - ДСЗПД) державного контролю за додержанням вимог законодавства про захист персональних даних шляхом проведення перевірок фізичних осіб, фізичних осіб-підприємців, підприємств, установ і організацій усіх форм власності, органів державної влади, що є володільцями та/або розпорядниками баз персональних даних (далі - суб’єкт перевірки), а також оформлення і розгляд результатів перевірок.

1.2. У цьому Порядку терміни вживаються у такому значенні:

безвиїзна перевірка - планова або позапланова перевірка діяльності суб’єкта перевірки уповноваженими особами ДСЗПД, яка проводиться в приміщенні ДСЗПД на підставі отриманих від суб’єкта перевірки документів та пояснень без виїзду за місцезнаходженням суб’єкта перевірки та/або за місцезнаходженням бази персональних даних;

виїзна перевірка - планова або позапланова перевірка діяльності суб’єкта перевірки працівниками ДСЗПД, яка проводиться за місцезнаходженням суб’єкта перевірки та/або за місцезнаходженням бази персональних даних;

планова перевірка - перевірка діяльності суб’єкта перевірки, яка проводиться на підставі плану проведення перевірок на відповідний квартал та рік;

позапланова перевірка - перевірка діяльності суб’єкта перевірки, яка не передбачена в плані проведення перевірок.

Інші терміни у цьому Порядку вживаються у значенні, наведеному в Законі України "Про захист персональних даних" .

2.1. Контроль за додержанням суб’єктами перевірки законодавства про захист персональних даних здійснюється ДСЗПД шляхом проведення перевірок: планових, позапланових, виїзних та безвиїзних. Планові та позапланові перевірки є виїзними та безвиїзними.

2.2. Перевірка проводиться на підставі відповідного наказу ДСЗПД. У наказі ДСЗПД про проведення перевірки визначаються:

суб’єкт перевірки;

дата початку та дата закінчення перевірки;

склад комісії, якій доручено проведення перевірки (далі - комісія), із визначенням її голови;

правові підстави проведення перевірки.

2.3. До комісії повинні входити не менше ніж три посадові особи ДСЗПД. Очолює комісію голова комісії, який визначається наказом ДСЗПД про проведення перевірки. Головою комісії може бути лише представник ДСЗПД.

До роботи комісії можуть залучатися в установленому законодавством порядку працівники інших органів державної влади, в тому числі органів державного управління, органів виконавчої влади та правоохоронних органів, а також фахівці (експерти) (за згодою).

За необхідності склад комісії може бути змінений наказом ДСЗПД.

2.4. Після підписання уповноваженою посадовою особою ДСЗПД наказу про проведення перевірки голова комісії:

забезпечує інформування керівника суб'єкта перевірки про проведення перевірки шляхом направлення повідомлення;

організовує роботу комісії, визначає коло питань, що підлягають перевірці, виходячи з того, є перевірка плановою чи позаплановою;

розподіляє між членами комісії конкретні завдання для перевірки;

забезпечує координацію роботи членів комісії при підготовці та проведенні перевірки;

визначає строк прибуття членів комісії на перевірку.

2.5. Члени комісії беруть участь у роботі комісії та виконують поставлені перед ними завдання.

Член комісії має право одноособово відповідно до поставлених завдань досліджувати окремі питання перевірки.

2.6. Для проведення перевірки готуються такі документи:

повідомлення про проведення перевірки;

план проведення перевірки;

наказ про проведення перевірки.

2.7. Перед початком проведення перевірки ДСЗПД надсилається повідомлення разом з копією наказу про проведення перевірки за місцезнаходженням або місцем проживання суб’єкта перевірки рекомендованим листом за 10 календарних днів до початку проведення перевірки.

У випадку неможливості проведення перевірки через відсутність у ДСЗПД підтвердження про отримання суб’єктом перевірки повідомлення та копії наказу про проведення перевірки, в тому числі через відсутність суб’єкта перевірки за місцезнаходженням або місцем проживання, суб’єкту перевірки повторно направляються повідомлення та копія наказу про проведення перевірки.

У випадку повторного надходження повідомлення про відсутність суб’єкта перевірки за місцезнаходженням або за місцем проживання комісією складається відповідний акт про неможливість проведення перевірки через відсутність юридичної або фізичної особи за місцезнаходженням або за місцем її проживання за формою згідно з додатком 1 до цього Порядку.

2.8. Строк проведення перевірки не може перевищувати 10 робочих днів. За поданням голови комісії продовження строку проведення перевірки здійснюється уповноваженою посадовою особою ДСЗПД, яка прийняла рішення про проведення перевірки, але не більше ніж на 5 робочих днів.

2.9. Першим днем перевірки є день прибуття членів комісії на перевірку. У перший день перевірки голова комісії надає керівникові суб'єкта перевірки, а у разі його відсутності уповноваженій ним особі план проведення перевірки.

2.10. Під час проведення перевірки уповноважені посадові особи ДСЗПД та суб’єкта перевірки мають права та обов’язки, передбачені у розділі VII цього Порядку.

Голова та члени комісії мають право отримувати у керівника суб'єкта перевірки, керівників його структурних підрозділів документи, письмові й усні пояснення та іншу інформацію, що стосується питань, які перевіряються (у тому числі з обмеженим доступом), потрібну для здійснення комісією своїх функцій, зокрема:

установчі документи та інші документи, які регулюють організаційні засади діяльності суб’єкта перевірки;

розпорядчі документи (накази, рішення, розпорядження, постанови тощо) та інші документи, якими затверджено мету обробки, перелік баз персональних даних та їх місцезнаходження, склад персональних даних у базах персональних даних, передбачено отримання згоди від суб’єкта персональних даних на обробку його персональних даних (у разі потреби), затверджено порядок внесення, зміни, поновлення, використання, поширення, знеособлення, знищення персональних даних у базі персональних даних, визначено відповідальну особу або структурний підрозділ, які здійснюють організацію роботи, пов’язаної із захистом персональних даних при їх обробці, порядок захисту персональних даних, в тому числі від незаконної обробки та незаконного доступу до них;

наявність свідоцтв про державну реєстрацію баз персональних даних;

іншу інформацію, яка дає змогу встановити наявність або відсутність порушення законодавства про захист персональних даних.

2.11. Суб’єкт перевірки зобов’язаний надати комісії повну, всебічну та об'єктивну інформацію з усіх питань, які містяться в плані (програмі) проведення перевірки, та забезпечити належні умови для проведення перевірки цієї інформації.

2.12. Комісія у разі потреби має право отримати засвідчені в установленому законодавством порядку копії документів (виписки з документів), довідки, а також письмові пояснення, завірені підписами керівника, або особи, яка виконує його обов’язки, або керівників відповідних структурних підрозділів суб'єкта перевірки.

Комісія має право на безперешкодний доступ до місць зберігання інформації, у тому числі й до комп'ютерів, магнітних носіїв інформації тощо, отримання копій такої інформації.

2.13. У разі проведення безвиїзної перевірки ДСЗПД надсилає суб’єкту перевірки письмовий запит про надання документів, необхідних для проведення перевірки. Суб’єкт перевірки зобов’язаний у строк, визначений у запиті, надати ДСЗПД належним чином засвідчені копії документів, зазначених у запиті.

3.1. Підставою для проведення ДСЗПД планової перевірки суб’єкта перевірки щодо дотримання вимог законодавства у сфері захисту персональних даних є включення суб’єкта до плану проведення перевірок.

3.2. Планові перевірки здійснюються відповідно до річних або квартальних планів, які затверджуються ДСЗПД до 1 грудня року, що передує плановому, або до 25 числа останнього місяця кварталу, що передує плановому. План проведення перевірок після його затвердження розміщується на офіційному веб-сайті ДСЗПД.

3.3. ДСЗПД здійснює планові перевірки суб’єкта перевірки щодо дотримання вимог законодавства у сфері захисту персональних даних з періодичністю не частіше одного разу на п’ять років.

3.4. Датою, з якої починається відлік строку для визначення початку наступної планової перевірки, є дата закінчення попередньої планової перевірки.

3.5. У разі потреби одержання від суб’єкта перевірки документів, які необхідні для проведення планової безвиїзної перевірки, голова комісії вживає необхідних заходів відповідно до пункту 2.13 розділу ІІ цього Порядку.

4.1. Позапланові перевірки суб’єктів перевірки можуть проводитись за наявності однієї з таких підстав:

подання суб’єктом перевірки письмової заяви до ДСЗПД про здійснення заходу державного нагляду та контролю за дотриманням законодавства про захист персональних даних за його бажанням;

звернення фізичних та юридичних осіб про порушення суб’єктом перевірки вимог законодавства про захист персональних даних;

неподання у встановлений строк суб’єктом перевірки документів (відомостей, даних) на письмовий запит ДСЗПД щодо здійснення безвиїзної перевірки, а також письмових пояснень про причини, які перешкоджали поданню таких документів;

виявлення та підтвердження недостовірності у відомостях (даних), наданих суб’єктом перевірки на письмовий запит ДСЗПД щодо здійснення безвиїзної перевірки, та/або якщо такі відомості (дані) не дають змоги оцінити виконання суб’єктом перевірки вимог законодавства про захист персональних даних;

перевірка виконання суб’єктом перевірки приписів щодо усунення вимог законодавства про захист персональних даних, виданих за результатами проведення планових перевірок ДСЗПД.

4.2. Інформація про проведення позапланової перевірки розміщується на офіційному веб-сайті ДСЗПД за 10 календарних днів до початку її проведення.

4.3. У разі потреби одержання від суб’єкта перевірки документів, які необхідні для проведення позапланової безвиїзної перевірки, голова комісії вживає необхідних заходів відповідно до пункту 2.13 розділу ІІ цього Порядку.

5.1. За результатами здійснення планової або позапланової перевірки комісія складає у двох примірниках акт перевірки додержання законодавства у сфері захисту персональних даних (далі - Акт перевірки) за формою згідно з додатком 2 до цього Порядку.

5.2. Акт перевірки повинен містити такі відомості:

дату, час та місце складання Акта перевірки;

посади, прізвища та ініціали осіб, що проводили перевірку;

посаду, прізвище та ініціали керівника (уповноваженої ним особи) суб’єкта перевірки;

вид перевірки (планова, позапланова, виїзна, безвиїзна);

для суб’єкта перевірки - юридичної особи: найменування, місцезнаходження;

для суб’єкта перевірки - фізичної особи та/або фізичної особи - підприємця: прізвище, ім’я та по батькові, місце проживання;

дані про дату, час початку та час закінчення перевірки, її загальну тривалість;

факти (обставини), які встановлено за результатами перевірки;

висновок про результати перевірки.

При складанні Акта перевірки мають бути додержані об’єктивність і вичерпність опису виявлених фактів і даних.

5.3. Акт перевірки повинен містити один із таких висновків:

про відсутність у діяльності суб’єкта перевірки порушень вимог законодавства про захист персональних даних;

про виявлені у діяльності суб’єкта перевірки порушення вимог законодавства про захист персональних даних, їх детальний опис із посиланням на норми чинного законодавства, які порушено.

Не допускається викладати в Акті перевірки припущення та факти, не підтверджені документально.

5.4. В Акті перевірки викладаються всі виявлені під час перевірки факти невиконання (неналежного виконання) суб’єктом перевірки вимог законодавства у сфері захисту персональних даних.

5.5. У разі ненадання суб’єктом перевірки документів, необхідних для проведення перевірки, в Акті перевірки робиться запис про це із зазначенням причин.

5.6. Акт перевірки складається в двох примірниках та в останній день перевірки підписується всіма членами комісії та керівником суб'єкта перевірки або уповноваженою ним особою.

Якщо суб’єкт перевірки не погоджується з Актом перевірки, він підписує його із зауваженнями. Зауваження суб’єкта перевірки щодо здійснення ДСЗПД державного нагляду та контролю за дотриманням вимог законодавства про захист персональних даних є невід’ємною частиною Акта перевірки. У разі відмови керівника суб’єкта перевірки або уповноваженої ним особи підписати Акт перевірки член комісії вносить до такого акта відповідний запис. У випадку відмови керівника суб’єкта перевірки або уповноваженої ним особи отримати другий примірник Акта перевірки він направляється суб’єкту перевірки протягом 5 робочих днів рекомендованим листом.

5.7. Перший примірник Акта перевірки вручається керівнику суб’єкта перевірки або уповноваженій ним особі, про що ним (нею) ставиться підпис на другому примірнику Акта перевірки, який зберігається в ДСЗПД.

До примірника Акта перевірки ДСЗПД обов’язково додаються матеріали перевірки - копії документів, витяги з документів, належним чином засвідчені суб’єктом перевірки, пояснення, протоколи та інші документи.

Акт перевірки реєструється в Журналі обліку результатів перевірки додержання законодавства про захист персональних даних за формою згідно з додатком 3 до цього Порядку, що зберігається в ДСЗПД.

5.8. Член комісії, який не погоджується з висновками комісії, зазначеними в Акті перевірки, підписує його з письмовим викладенням своєї окремої думки, що є невід’ємною частиною Акта перевірки. При цьому перед підписанням Акта перевірки членом комісії робиться запис: "З окремою думкою, що додається".

5.9. Якщо суб'єкт перевірки має зауваження щодо фактів та висновків, викладених в Акті перевірки, перед підписанням він робить запис: "Із зауваженнями, що додаються". Зауваження оформлюються окремим документом та засвідчуються підписом керівника суб'єкта перевірки або уповноваженої ним особи. Зауваження керівника суб'єкта перевірки або уповноваженої ним особи є невід'ємною частиною Акта перевірки.

5.10. Будь-які виправлення та доповнення в Акті перевірки після його підписання членами комісії не допускаються. Про виявлення описок після підписання Акта перевірки суб’єкт перевірки повідомляється письмово.

5.11. Будь-яка інформація, яка стала відомою під час проведення перевірки членам комісії, не підлягає розголошенню.

5.12. На підставі Акта перевірки, під час якої виявлено порушення вимог законодавства про захист персональних даних, комісією складається припис про усунення порушень вимог законодавства у сфері захисту персональних даних, виявлених під час перевірки, за формою згідно з додатком 4 до цього Порядку (далі - припис). Припис не передбачає застосування санкцій щодо суб’єкта перевірки. Припис підписується головою комісії.

5.13. У приписі зазначаються:

номер, дата та місце складання припису;

для суб’єкта перевірки - юридичної особи: найменування, місцезнаходження, прізвище, ім’я та по батькові керівника юридичної особи;

для суб’єкта перевірки - фізичної особи та/або фізичної особи - підприємця: прізвище, ім’я та по батькові, місце її проживання;

підстава для видачі припису;

заходи щодо усунення порушень, виявлених під час перевірки;

строк виконання припису;

строк інформування суб’єктом перевірки ДСЗПД про усунення виявленого порушення;

підпис голови комісії.

5.14. Припис складається у двох примірниках: перший примірник не пізніше 5 робочих днів з дня складання Акта перевірки надсилається суб'єкту перевірки чи уповноваженій ним особі рекомендованим листом, а другий примірник залишається в ДСЗПД. На копії припису, який залишається у ДСЗПД, проставляються відповідний вихідний номер і дата відправлення.