Теми статей
Обрати теми

Статистика перевірок Державної служби із захисту персональних даних; про найпоширеніші порушення законодавства про захист персональних даних; про санкції та заходи реагування, що застосовуються до порушників

Редакція БР
Лист від 05.02.2013 р. № 11/257-13

Практична ЗаПерДастика

Статистика перевірок Державної служби із захисту персональних даних;
 про найпоширеніші порушення законодавства про захист персональних даних;
 про санкції та заходи реагування, що застосовуються до порушників

Лист Державної служби України
з питань захисту персональних даних
від 05.02.2013 р. № 11/257-13*

* Наводимо запит, відповіддю на який є цей лист:

«Відомо, що в Україні стартували перевірки Державної служби України з питань захисту персональних даних (відповідний Порядок набрав чинності 16.07.2012 р.).

Прошу надати інформацію:

1. Яку кількість перевірок здійснено з 16.07.2012 р. по теперішній час? Яка кількість суб’єктів господарювання зазнала перевірок?

2. Які порушення виявлялися найчастіше в ході зазначених перевірок? Яку загальну кількість порушень було виявлено?

3. Які саме санкції й заходи реагування (приписи тощо) були застосовані до суб’єктів господарювання, що зазнали перевірок?».— Ред.

У відповідь на Ваш запит щодо доступу до публічної інформації Державна служба України з питань захисту персональних даних (далі — ДСЗПД України) у межах своєї компетенції повідомляє наступне.

1. ДСЗПД України за період з 16.07.2012 р. по 05.02.2013 р. всього було проведено 36 (з них 7 — у 2013 році) перевірок дотримання вимог законодавства про захист персональних даних. За вказаний період було здійснено перевірки 22 підприємств, установ, організацій, що здійснюють свою діяльність у різних сферах господарювання, 8 органів державної влади та місцевого самоврядування та 6 комунальних підприємств.

Під час здійснення заходів державного нагляду та контролю ДСЗПД України перевіряє додержання вимог законодавства про захист персональних даних, а саме: Закону України «Про захист персональних даних» від 01.06.2011 № 2297-VI (в редакції від 20.11.2012 р.) (далі — Закон), Типового порядку обробки персональних даних у базах персональних даних, затвердженого наказом Міністерства юстиції України від 30.12.2011 р. № 3659/5, зареєстрованого в Міністерстві юстиції України 03.01.2012 р. за № 1/20314 (далі — Типовий порядок).

Від редакції

Не густо . Але цей рівень активності ДСЗПД, мабуть, тішить.

 

2. За результатами проведених перевірок було виявлено ряд типових порушень законодавства про захист персональних даних, серед яких можна виділити наступні.

Частиною 6 статті 9 Закону визначено, що володілець персональних даних зобов’язаний повідомляти уповноважений державний орган з питань захисту персональних даних про кожну зміну відомостей, необхідних для реєстрації відповідної бази, не пізніш як протягом десяти робочих днів з дня настання такої зміни. У деяких суб’єктів перевірки було виявлено порушення даної вимоги, а саме: не було повідомлено ДСЗПД України про зміну місцезнаходження бази персональних даних або про зміну відомостей про розпорядників бази персональних даних.

Частина 3 статті 10 Закону встановлює, що використання персональних даних працівниками суб’єктів відносин, пов’язаних з персональними даними, повинно здійснюватися лише відповідно до їхніх професійних чи службових або трудових обов’язків. Дана норма передбачає, що на підприємстві (в установі, організації) обробку персональних даних можуть здійснювати лише ті особи, у яких посадовою інструкцією або іншими внутрішніми документами визначено обов’язок здійснення обробки персональних даних. Ті особи, для яких жодними внутрішніми документами не передбачено здійснення обробки персональних даних, не повинні мати доступ до цих даних.

Найбільше проблем виникає у суб’єктів, що здійснюють обробку персональних даних із визначенням правових підстав виникнення права на таку обробку, які передбачені частиною 1 статті 11 Закону.

Згідно з частиною 5 статті 6 Закону обробка персональних даних здійснюється для конкретних і законних цілей, визначених за згодою суб’єкта персональних даних, або у випадках, передбачених законами України, у порядку, встановленому законодавством. Серед перевірених суб’єктів господарювання було виявлено, що ними порушувались вимоги законодавства в частині обробки персональних даних без згоди суб’єкта персональних даних. Володілець бази персональних даних повинен, перш ніж здійснювати обробку персональних даних, отримати згоду суб’єкта персональних даних на обробку цих даних.

Разом з цим у ході перевірок було виявлено, що деякі володільці та/або розпорядники персональних даних не розуміють, на якій з правових підстав, передбачених статтею 11 Закону, вони використовують персональні дані. Перш ніж отримувати у суб’єкта згоду на обробку персональних даних, володільцю та/або розпоряднику персональних даних необхідно визначити, чи немає інших правових підстав для обробки персональних даних, зокрема дозволу на обробку персональних даних, наданого на підставі норм чинного законодавства України. Наприклад, обробка персональних даних працівників підприємства (установи, організації) з метою забезпечення реалізації трудових відносин не потребує згоди, проте якщо підприємством (установою, організацією) збираються персональні дані, які не передбачені трудовим законодавством, необхідно отримати згоду працівників на обробку таких даних.

Не менше порушень стосується і частин 4 та 5 статті 4 Закону стосовно обробки персональних даних розпорядниками персональних даних. По-перше, обробка персональних даних розпорядниками здійснювалась без укладеного договору між володільцем та розпорядником персональних даних. По-друге, розпорядники персональних даних здійснювали обробку персональних даних в обсязі, який перевищував обсяг, наданий розпоряднику володільцем персональних даних, та з метою, яка не відповідала меті обробки персональних даних володільця персональних даних.

Частина 2 статті 12 Закону визначає, що у момент збору персональних даних або протягом десяти робочих днів з дня збору персональних даних суб’єкт персональних даних повідомляється про володільця персональних даних, склад та зміст зібраних персональних даних, права такого суб’єкта, визначені цим Законом, мету збору персональних даних та осіб, яким передаються його персональні дані. Проте, як показала практика проведених перевірок, мали місце неповідомлення або несвоєчасне повідомлення суб’єктів персональних даних про обробку їх даних. У деяких суб’єктів перевірок таке повідомлення не містило необхідної інформації, визначеної частиною 2 статті 12 Закону.

Під час перевірок було також встановлено порушення статті 16 Закону, яка визначає порядок доступу до персональних даних третіх осіб. Володілець бази персональних даних здійснював передачу персональних даних третім особам з порушенням частини 4 цієї статті, а саме — без зазначення усієї необхідної інформації, що повинна міститися у запиті на доступ до персональних даних третіх осіб.

Окрім порушень Закону було виявлено і порушення Типового порядку обробки персональних даних. Так, у більшості суб’єктів перевірок було виявлено порушення вимог пункту 1.8 Типовою порядку, а саме:

зазначена у свідоцтві про державну реєстрацію бази персональних даних (заяві про реєстрацію бази персональних даних) та/або у внутрішніх документах мета обробки відрізняється від мети, з якою суб’єкт перевірки здійснює обробку персональних даних, а склад персональних даних у базі персональних даних у дійсності значно відрізняється від складу персональних даних, який зазначений у свідоцтві про державну реєстрацію бази персональних даних (заяві про реєстрацію бази персональних даних) та/або у внутрішніх документах;

у внутрішніх документах суб’єкта перевірки, що встановлюють порядок обробки персональних даних, не визначено або лише частково визначено порядок внесення, зміни, поновлення, використання, поширення, знеособлення, знищення персональних даних у базах персональних даних;

— суб’єктом перевірки не визначено відповідальних осіб або структурний підрозділ, відповідальні за обробку і захист персональних даних;

— у внутрішніх документах суб’єкта перевірки, що встановлюють порядок обробки персональних даних, не визначено або лише частково визначено порядок захисту персональних даних, в тому числі від незаконної обробки та незаконного доступу до них.

Також під час перевірок було виявлено, що внутрішніми документами суб’єктів перевірок на відповідальних осіб або структурний підрозділ суб’єкта перевірки не покладались або частково покладались завдання, передбачені пунктом 1.9 Типового порядку.

Найпоширенішими порушеннями серед перевірених суб’єктів були порушення, в більшій чи меншій мірі, розділу II та III Типового порядку, зокрема, не було визначено процедуру здійснення реєстрації результатів ідентифікації та/або автентифікації працівників суб’єкта перевірки, дій з обробки персональних даних, результатів перевірки цілісності засобів захисту персональних даних.

Окрім порушень, зазначених вище, деякими суб’єктами перевірок не забезпечувався належний захист приміщень, у яких знаходяться персональні дані, як в електронній формі так і у формі картотек, наприклад, двері у приміщеннях та/або шафах, сейфах не були обладнані замками.

Надати інформацію про загальну кількість виявлених порушень неможливо, оскільки така статистика в ДСЗПД України не ведеться.

3. За результатами проведених перевірок було видано 30 приписів про усунення порушення вимог законодавства у сфері захисту персональних даних, виявлених під час перевірки. Суб’єктами перевірки вимоги приписів виконано у повному обсязі. Звертаємо увагу, що у разі невиконання законних вимог припису щодо усунення порушень законодавства про захист персональних даних ДСЗПД України буде розглядати ці дії як порушення, передбачене статтею 18840Кодексу України про адміністративні правопорушення, внаслідок чого буде складено протокол про адміністративне правопорушення та передано матеріали до суду.

Окрім того, за результатами проведених перевірок у 2013 році було складено два протоколи про адміністративні правопорушення, передбачені частинами 1 та 2 статті 18839, а матеріали справи передані до суду.*

* І вже дехто заплатив чималі штрафи (постановою Подільського районного суду м. Києва від 07.02.2013 р. у справі № 758/119/13 з директора ТОВ <...> стягнуто 3400 грн).— Ред.

За результатами проведеного аналізу порушень, виявлених під час перевірок, відділом контролю розроблено методичні рекомендації та роз’яснення стосовно застосування законодавства про захист персональних даних суб’єктами перевірок, що здійснюють свою діяльність у різних сферах господарювання з метою попередження порушень вимог законодавства в подальшому. Зокрема, i>листи з роз’ясненнями та рекомендаціями щодо приведення у відповідність до законодавства про захист персональних даних були направлені до Міністерства внутрішніх справ України та Міністерства регіонального розвитку, будівництва та житлово-комунального господарства України, Асоціації колекторського бізнесу, закладів освіти.

Додатково інформуємо, що Ви як суб’єкт персональних даних, які обробляються ДСЗП України у зв’язку з розглядом Вашого звернення, маєте права, визначені статтею 8 Закону України «Про захист персональних даних». Персональні дані, вказані у Вашому звернені, обробляються у «Базі персональних даних фізичних осіб, які вступають в правові відносини з ДСЗПД України», реєстраційний номер № 735 у Державному реєстрі баз персональних даних. Звернення та матеріали щодо його опрацювання реєструються та зберігаються в ДСЗПД України відповідно до Інструкції з діловодства за зверненнями громадян в органах державної влади і місцевого самоврядування, об’єднаннях громадян, на підприємствах, в установах, організаціях незалежно від форм власності, в засобах масової інформації, затвердженої Постановою Кабінету Міністрів України від 14.04.97 р. № 348.

Голова О. Мервінський

App
Завантажуйте наш мобільний додаток Factor

© Factor.Media, 1995 -
Всі права захищені

Використання матеріалів без узгодження з редакцією заборонено

Ознайомитись з договором-офертою

Приєднуйтесь
Адреса
м. Харків, 61002, вул. Сумська, 106а
Ми приймаємо
ic-privat ic-visa ic-visa

Ми використовуємо cookie-файли, щоб зробити сайт максимально зручним для вас та аналізувати використання наших продуктів та послуг, щоб збільшити якість рекламних та маркетингових активностей. Дізнатися більше про те, як ми використовуємо ці файли можна тут.

Дякуємо, що читаєте нас Увійдіть і читайте далі