Базовий перелік питань для перевірки працівниками Державної служби України з питань захисту персональних даних дотримання суб'єктами перевірок (власниками/розпорядниками баз персональних даних або третіми особами) вимог законодавства про захист персональних даних :
1. Наявність у суб'єкта перевірки дійсного факту обробки персональних даних : з'ясування сфери діяльності, категорій суб'єктів персональних даних і категорій персональних даних, які обробляються.
2. Наявність документів, що регламентують діяльність суб'єкта перевірки :
- Для органів державної влади : Указ Президента України про створення і про затвердження відповідних Положень; свідчення про державну реєстрацію інших нормативних документів, регулюючих діяльність;
- Для суб'єктів господарювання : засновницькі документи;
- Для суб'єктів підприємницької діяльності : свідоцтво про державну реєстрацію фізичного особи-підприємця і свідоцтво про сплату єдиного податку (якщо особа є платником єдиного податку).
3. Статус суб'єкта перевірки : приналежність до власників/розпорядникам бази персональних даних або до третьої особи.
4. У разі наявності у розпорядника бази персональних даних, власником якої є орган державної влади або орган місцевого самоврядування, - перевірка його приналежності до державній або комунальній формі власностіяка відноситься до сфери управління цього органу.
5. Наявність у суб'єкта перевірки документів, що підтверджують реєстрацію баз персональних даних або копій документів стосовно їх відправки для реєстрації в ГСЗПД.
6. Правові підстави для здійснення обробки персональних даних у базі персональних даних :
- На підставі дозволу, наданого відповідно до законодавства України виключно для здійснення повноважень;
- На підставі згоди, наданої суб'єктом персональних даних на обробку його персональних даних.
7. У разі вивчення дозволу на обробку персональних даних, наданого суб'єктові перевірки відповідно до закону виключно для здійснення його повноважень, перевіряється відповідність конкретним положенням кожного акту (пункт, частина, стаття), які передбачають право на обробку суб'єктом перевірки персональних даних фізичних осіб, а також встановлення відповідності процедур обробки персональних даних положенням акту, яким було передбачено право на обробку персональних даних.
8. За наявності згоди суб'єкта персональних даних як правової основи для обробки персональних даних перевіряється і визначається повнота охоплення наданою згодою усіх встановлених суб'єктом перевірки процесів обробки персональних даних.
9. Наявність нормативно-правового акту, засновницького або іншого документу, регулюючого діяльність суб'єкта перевірки, який містить або стверджує мета обробки персональних даних.
10. Перевірка відповідності мети обробки персональних даних цілям, встановленою нормативно-правовими актами, засновницькими або іншими документами, а також меті, яка була вказана суб'єктом перевірки в заяві на реєстрацію бази персональних даних.
11. Перевірка відповідності певної або встановленої мети складу і змісту персональних даних, що містяться у відповідній базі персональних даних.
12. Установка джерел отримання відомостей про фізичну особу (первинні джерела у вигляді підписаних фізичною особою документів, відомостей, які фізична особа надає про себе або загальнодоступні джерела, що передбачено законодавством).
13. Наявність у суб'єкта перевірки персональних данихпо яких встановлені особливі вимоги для їх обробки, а також перевірка наявності відповідних правових підстав для їх обробки.
14. Наявність однозначно наданого згоди суб'єкта персональних даних на обробку персональних даних, по яких встановлені особливі вимоги для їх обробки.
15. Законність здійснення суб'єктом перевірки складових процесу обробки персональних даних відповідно до законодавства:
- Повідомлення суб'єкта персональних даних впродовж десяти робочих днів з дня включення його персональних даних у відповідну базу персональних даних;
- Забезпечення суб'єктом перевірки цілісності персональних даних і відповідного режиму доступу до них;
- Перевірка термінів обробки персональних даних у формі, що допускає ідентифікацію фізичної особи і правові підстави для встановлення саме таких термінів обробки персональних даних;
- Наявність і законність процедур поширення персональних даних (правові підстави, забезпечення захисту персональних даних при їх передачі, виконання стороною, якою здійснювалася передачі персональних даних відповідних гарантій виконання вимог законодавства);
- Законність процедур знищення персональних даних (наявність фактів про персональні дані, термін зберігання яких збіг, а також наявність фактів обробки персональних даних суб'єкта, правовідносини по яких припинено);
- Наявність повідомлення суб'єкта персональних даних про включення у базу персональних даних, його права, визначені Законом, мету збору даних і осіб, яким передаються його персональні дані;
- Відповідність даних і відомостей, представлених суб'єктом перевірки для реєстрації баз персональних даних фактичному стану обробки персональних даних у суб'єкта перевірки;
- Законність встановленого в суб'єктові перевірки порядку доступу до персональних даних.
16. Наявність у суб'єкта перевірки документів, що встановлюють процедури обробки персональних даних і пов'язаних зі збором, реєстрацією, накопиченням, зберіганням, адаптацією, зміною, оновленням, використанням і поширенням (поширенням, реалізацією, передачею), знеособленням, знищенням відомостей про фізичну особу.
17. Встановленням суб'єктом перевірки :
- Порядку внесення, зміни, оновлення, використання, поширення, знеособлення, знищення персональних даних у базі персональних даних;
- Порядку захисту персональних даних, у тому числі від незаконної обробки і незаконного доступу до них;
- Поширення на усі дії суб'єкта перевірки усіх вимог по захисту персональних даних від незаконної обробки, а також від незаконного доступу до них.
18. Наявність у суб'єкта перевірки - власника бази персональних даних розпорядника бази. У разі наявності розпорядника перевіряється:
- Документальне підтвердження факту укладення договору у письмовій формі між власником і розпорядником баз персональних даних;
- Відповідність умов обробки розпорядником бази персональних даних умовам, які визначені у відповідному договорі з власником баз персональних даних (зокрема, відповідність цілям, складу, змісту, об'єму і так далі). А також з'ясування, чи не надано розпорядникові бази персональних даних більше повноважень по обробці персональних даних, чим у власника.
19. Порядок доступу до персональних даних, які обробляються суб'єктом перевірки третіх осіб.
20. Наявність передачі персональних даних іноземним суб'єктам стосунківпов'язаних з персональними даними. У разі наявності - встановлення відповідних процедур.
21. Наявність документу про визначення структурного підрозділу або відповідальної особиякі організовують роботу, пов'язану із захистом персональних даних при їх обробці, а також документів, що регламентують його діяльність.
22. Виконання структурним підрозділом або відповідальною особою завдань по організації роботи, пов'язаної із захистом персональних даних при їх обробці.
23. Ведення суб'єктом перевірки обліку фактів надання і позбавлення працівників права доступу до персональних даних і їх обробки, а також спроб і фактів несанкціонованих і незаконних дій з обробки персональних даних.
24. Розмежування режимів доступу співробітників до обробки персональних даних у базі персональних даних відповідно до їх професійних, трудових або службових обов'язків.
25. Організація обробки суб'єктом перевірки персональних даних в складі інформаційної (автоматизованою) системиу якій забезпечується захист персональних даних відповідно до законодавства.
26. Виконання суб'єктом перевірки вимог по впровадженню організаційних і технічних заходів захисту персональних даних при їх обробці у формі картотек.
Олексій Мервинский, голова Державної служби України з питань захисту персональних даних
