Прес-служба офісу омбудсмана повідомили, що виявлено грубе порушення прав суб'єктів персональних даних з боку Вищої школи адвокатури Національної асоціації адвокатів України.
Співробітники Департаменту у сфері захисту персональних даних Секретаріату Уповноваженого ВР з прав людини здійснили позапланову виїзну перевірку дотримання прав і свобод людини і громадянина у сфері захисту персональних даних Вищою школою адвокатури Національної асоціації адвокатів України.
За результатами перевірки встановлено:
- Вища школа адвокатури надає освітні послуги для адвокатів, помічників адвокатів, стажистів адвокатів, а також для інших осіб у формі онлайн курсів;
- реєстрація користувачів та оплата послуг здійснюється за допомогою онлайн-форми, яка розміщена за адресою hsa.org.ua, фізичний хостинг (розміщення даних на сервері) якої відбувається на території Німеччини;
- реєстраційна форма передбачає збір таких персональних даних: ПІБ, телефон, e-mail, стать;
- подальша обробка персональних даних користувачів (у тому числі зберігання таких даних) здійснюється за адресою online.hsa.org.ua з використанням онлайн-платформи «antitreningi.ru», фізичний хостинг якої відбувається на території Російської Федерації;
- Вища школа адвокатури не отримувала від користувачів згоду на транскордонну передачу персональних даних та не повідомляла користувачів про передачу їх персональних за межі нашої країни (ні до такої передачі, ні після), що є грубим порушенням законодавства в сфері захисту персональних даних та прав користувачів.
Фактично, створена ситуація за якої персональні дані адвокатів, помічників адвокатів, стажистів адвокатів, а також інших осіб - користувачів освітніх послуг Вищої школи адвокатури, без їх відома та згоди передаються іноземним суб'єктам, які здійснюють свою діяльність на території Німеччини та Російської Федерації.
За результатами перевірки відповідно до вимог законодавства:
- складено Акт перевірки додержання законодавства про захист персональних даних;
- видано Припис про усунення виявлених порушень;
- складено та передано до суду протокол про адміністративне правопорушення, передбаченого частиною 4 статті 188-39 Кодексу України про адміністративні правопорушення.
Приписом, зокрема, висунуто такі вимоги:
- повідомити усіх осіб які проходили онлайн курси про транскордонну передачу їх персональних даних;
- повідомляти про таку передачу осіб які будуть проходити курси у майбутньому;
- забезпечити отримання однозначної добровільної, поінформованої згоди від користувачів на транскордонну передачу та обробку їх персональних даних;
- припинити обробку персональних даних користувачів, що здійснюється/здійснюватиметься за допомогою онлайн-платформи до здійснення зазначених вище повідомлень та отримання відповідної згоди.