Лист Держслужби України з питань захисту персональних даних від 05.02.2013 р. №11/257-13
Що перевіряє ДСЗПД?
Насамперед дотримання вимог законодавства про захист персональних даних, а саме:
- Закону «Про захист персональних даних» від 01.06.2010 р. №2297-VI (у редакції від 20.11.2012 р.);
- Типового порядку обробки персональних даних у базах персональних даних, затвердженого наказом Мін'юсту від 30.12.2011 р. №3659/5.
Які порушення Закону №2297-VI є типовими?
1. Власник персональних даних зобов'язаний повідомляти уповноважений держорган з питань захисту персональних даних про кожну зміну відомостей, необхідних для реєстрації відповідної бази, протягом 10 робочих днів з дня настання такої зміни і не пізніше (ч. 6 ст. 9 Закону №2297-VI).
2. Використання персональних даних працівниками суб'єктів відносин, пов'язаних із персональними даними, має здійснюватися тільки відповідно до їхніх професійних чи службових або трудових обов'язків. Ця норма передбачає, що на підприємстві (в установі, організації) обробляти персональні дані можуть тільки ті особи, для яких посадовою інструкцією або іншими внутрішніми документами встановлено такий обов'язок. Особи, для яких жодними внутрішніми документами не передбачено здійснення обробки персональних даних, не повинні мати доступу до них (ч. 3 ст. 10 Закону №2297-VI).
3. Найбільше проблем виникає у суб'єктів, які здійснюють обробку персональних даних, з визначенням правових підстав виникнення права на таку обробку, які передбачені ч. 1 ст. 11 Закону №2297-VI.
4. Обробка персональних даних здійснюється для конкретних і законних цілей, визначених за згодою суб'єкта персональних даних, або у випадках, передбачених законами України, у порядку, встановленому законодавством (ч. 5 ст. 6 Закону №2297-VI).
5. Перш ніж отримати згоду суб'єкта на обробку його персональних даних власникові та/або розпорядникові персональних даних слід дізнатися, чи немає інших правових підстав для обробки персональних даних, зокрема дозволу на обробку персональних даних на підставі норм чинного законодавства України. Наприклад, обробка персональних даних працівників підприємства (установи, організації) з метою забезпечення реалізації трудових відносин не потребує згоди, однак якщо підприємство (установа, організація) збирають персональні дані, не передбачені трудовим законодавством, необхідно дістати згоду працівників на це.
6. Під час збору персональних даних або протягом 10 робочих днів з дня їх збору суб'єкта персональних даних повідомляють про власника, склад і зміст зібраних персональних даних, права такого суб'єкта, мету збору та осіб, яким передають його персональні дані (ч. 2 ст. 12 Закону №2297-VI).
7. Під час перевірок було також встановлено порушення ст. 16 Закону, яка визначає порядок доступу до персональних даних третьої особи. Власник бази персональних даних передавав їх третім особам з порушенням ч. 4 цієї статті, а саме – без зазначення усієї необхідної інформації, яка має міститися в запиті на доступ до персональних даних третіх осіб.
Які порушення Типового порядку обробки персональних даних зустрічаються найчастіше?
1. Зазначена у свідоцтві про держреєстрацію бази персональних даних (заяві про реєстрацію бази персональних даних) та/або у внутрішніх документах мета обробки відрізняється від мети, з якою суб’єкт перевірки здійснює обробку персональних даних, а склад персональних даних у базі значно відрізняється від складу персональних даних, зазначеного у свідоцтві про держреєстрацію бази персональних даних (заяві про реєстрацію бази) та/або у внутрішніх документах (п. 1.8 Типового порядку).
2. У внутрішніх документах суб’єкта перевірки, які встановлюють порядок обробки персональних даних, не визначений або тільки частково визначено порядок внесення, зміни, поновлення, використання, поширення, знеособлення, знищення персональних даних у базах персональних даних (п. 1.8 Типового порядку).
3. Суб’єктом перевірки не визначені відповідальні особи або структурний підрозділ, відповідальні за обробку та захист персональних даних (п. 1.8 Типового порядку).
4. У внутрішніх документах суб’єкта перевірки, які встановлюють порядок обробки персональних даних, не визначено або тільки частково визначено порядок захисту персональних даних, у тому числі від незаконної обробки та незаконного доступу до них (п. 1.8 Типового порядку).
5. Внутрішніми документами суб’єктів перевірок на відповідальних осіб або структурний підрозділ суб’єкта перевірки не покладалися або лише частково покладалися завдання, передбачені п. 1.9 Типового порядку.
6. Найбільш поширеними порушеннями серед перевірених суб’єктів були порушення розділів II і III Типового порядку, зокрема не визначено процедуру реєстрації результатів ідентифікації та/або автенти-фікації працівників суб’єкта перевірки, дій з обробки персональних даних, результатів перевірки цілісності засобів захисту персональних даних.
7. Не забезпечується належний захист приміщень, у яких зберігаються персональні дані як в електронній формі, так і у формі картотек, наприклад, двері у приміщеннях та/або шафах, сейфах не обладнано замками.
