У відповідності до статті 22 Закону України «Про захист персональних даних» контроль за додержанням законодавства про захист персональних даних здійснює Уповноважений державний орган з питань захисту персональних даних.
Згідно з Указом Президента України від 9 грудня 2010 року №1085/2010 «Про оптимізацію системи центральних органів виконавчої влади», в ході проведеної адміністративної реформи в Україні, було створено Державну службу України з питань захисту персональних даних (далі - ДСЗПД).
Положення про ДСЗПД було затверджено Указом Президента України від 6 квітня 2011 року №390/2011. Відповідно до зазначених у Положенні функцій та завдань, ДСЗПД здійснює у тому числі й державний нагляд та контроль за додержанням законодавства про захист персональних даних, зокрема:
- розробляє та затверджує плани перевірок володільців та (або) розпорядників баз персональних даних щодо дотримання ними вимог законодавства у сфері захисту персональних даних,
- проводить у межах своїх повноважень виїзні та безвиїзні перевірки володільців та (або) розпорядників баз персональних даних,
- видає володільцям та (або) розпорядникам баз персональних даних обов'язкові до виконання приписи щодо усунення порушень законодавства про захист персональних даних та вимагає надання необхідної інформації та документів, що підтверджують усунення виявлених порушень,
- складає адміністративні протоколи про виявлені порушення законодавства у сфері захисту персональних даних,
- передає правоохоронним органам матеріали про виявлені порушення у сфері захисту персональних даних.
- проводить у межах своїх повноважень виїзні та безвиїзні перевірки володільців та/або розпорядників баз персональних даних.
У відповідності до наданих прав та повноважень працівники ДСЗПД здійснюють виїзні та безвиїзні перевірки володільців та/або розпорядників баз персональних даних. При цьому кожна перевірка включає два обов'язкових етапи.
1-й етап - з'ясування статусу суб'єкта перевірки.
2-й етап - безпосередньо перевірка суб'єкта відносин, пов'язаних з персональними даними.
У разі наявності окрім володільця бази персональних даних також розпорядника перевірка розпорядника проводиться як додатковий етап.
На етапі з'ясування статусу суб'єкта перевірки працівниками ДСЗПД перевіряються такі питання:
1. Наявність у діяльності суб'єкта перевірки дійсного факту обробки персональних даних (тобто з'ясування сфери діяльності та процесів обробки інформації про фізичних осіб (зокрема, партнерів, клієнтів та інших можливих категорій фізичних осіб).
2. У відповідності до статті 4 Закону визначається належність суб'єкта перевірки до володільця або розпорядника баз персональних даних.
3. Згідно статті 9 Закону, шляхом надіслання відповідного інформаційного запиту до Державного реєстру баз персональних даних отримується інформація щодо наявності у суб'єкта перевірки Свідоцтва про реєстрації баз персональних даних, або наявність у суб'єкта перевірки підтвердження щодо відправлення заяви на реєстрацію баз персональних даних до ДСЗПД. При цьому також з'ясовується статус суб'єкта перевірки: володілець чи розпорядник бази персональних даних.
Етап перевірки суб'єкта відносин, пов'язаних з персональними даними, як володільця баз персональних даних включає в себе перевірку таких питань:
1. У відповідності до частини 1 статті 6 Закону, шляхом запитів документів з'ясовується мета обробки персональних даних суб'єктом перевірки, яка має бути сформульована в законах, інших нормативно-правових актах, положеннях, установчих чи інших документах, які регулюють діяльність володільця бази персональних даних. При цьому також перевіряється відповідність зазначеної мети заявницьким документам для реєстрації відповідної бази персональних даних.
2. Також шляхом запитів документів, згідно частини 3 статті 6 Закону, здійснюється перевірка складу та змісту персональних даних, що обробляються у відповідній базі персональних даних суб'єкта перевірки.
3. Визначається наявність у суб'єкта перевірки особливих вимог для обробки персональних даних у відповідності до вимог статті 7 Закону.
4. Згідно частини 4 статті 6 та частини 3 статті 12 Закону встановлюються джерела отримання відомостей про фізичну особу (первинні джерела у вигляді підписаних фізичною особою документів, відомостей, які фізична особа надає про себе або може загальнодоступні джерела, що також передбачено законодавством).
5. З метою перевірки питань регламентації процесів обробки персональних даних у суб'єкта перевірки згідно з статтею 8 Закону перевіряються строки обробки персональних даних у формі, що допускає ідентифікацію фізичної особи та правові підстави для встановлення саме таких строків обробки персональних даних.
6. Опрацьовуються документи, що підтверджують право суб'єкта перевірки на використання персональних даних або на обробку персональних даних. Тобто правові підстави, на яких здійснюється обробка персональних даних суб'єктом перевірки у відповідній базі персональних даних згідно статті 11 Закону. При цьому в ході вивчення документів визначаються підстави виникнення права суб'єктом перевірки на використання персональних даних: згода суб'єкта персональних даних на обробку його персональних даних та/або дозволу на обробку персональних даних, наданий суб'єкту перевірки у відповідності до закону виключно для здійснення його повноважень. У ході опрацювання згоди суб'єкта на обробку його персональних даних також визначаються повнота охоплення наданої згоди суб'єкта персональних даних на обробку його персональних даних всіх процесів обробки. А у ході вивчення дозволу на обробку персональних даних, наданого суб'єкту перевірки як володільцю бази персональних даних відповідно до закону для здійснення його повноважень, з'ясовується відповідність конкретним положенням кожного закону (пункт, частина, стаття), яка передбачала право на обробку суб'єктом перевірки персональних даних фізичних осіб, а також здійснюється встановлення відповідності процедур обробки персональних даних положенням закону, яким було передбачено право на обробку персональних даних.
7. Перевірка законності здійснення суб'єктом перевірки складових процесу обробки персональних даних включає в себе перевірку:
- Законності суб'єктом перевірки процедур збирання персональних даних відповідно до статті 12 Закону (зокрема, з'ясовується дотримання вимоги щодо повідомлення суб'єкта персональних даних протягом 10 робочих днів з дня включення його персональних даних до відповідної бази персональних даних);
- Законність процедур зберігання суб'єктом перевірки персональних даних згідно з вимогами статей 13 та 15 Закону. Так, з'ясовується яким чином забезпечується цілісність персональних даних та відповідний режим доступу до них (хто має доступ до процесів обробки персональних даних у відповідних базах персональних даних, а також хто має доступ до персональних даних та/або може вносити відповідні зміни). Також з'ясовуються встановлені у суб'єкта перевірки строки зберігання персональних даних та правові підстави для їх встановлення;
- Законність процедур поширення суб'єктом перевірки персональних даних у відповідності до вимог статті 14 Закону. Зокрема, з'ясовується: наявність фактів поширення персональних даних, а у разі їх наявності правові підстави для цього; визнаються питання забезпечення захисту персональних даних при їх передачі, а також виконання стороною, якій здійснювалася передача персональних даних відповідних гарантій щодо виконання вимог Закону;
- Законність процедур знищення суб'єктом перевірки персональних даних у відповідності до статті 15 Закону. Зокрема з'ясовується наявність у суб'єкта перевірки наявних фактів щодо збереження персональних даних, строк зберігання яких закінчився, а також з'ясовується наявність фактів здійснення обробки персональних даних суб'єкта, правовідносини з яким припинено;
- Наявність письмового повідомлення суб'єкта персональних даних протягом 10 робочих днів з дня включення його персональних даних до бази персональних даних у відповідності до вимог статті 12 Закону про його права, визначені Законом, мету збору даних та осіб, яким передаються його персональні дані;
- Відповідності даних та відомостей , що подавалися суб'єктом перевірки для державної реєстрації бази персональних даних згідно з статтею 9 Закону та містяться у Державному реєстрі баз персональних даних фактичному стану обробки персональних даних у суб'єкта перевірки;
- Законності встановленого у суб'єкта перевірки порядку доступу до персональних даних у відповідності до вимог статті 16 Закону на підставі перевірки наявності та вивчення документів, які регламентують цей порядок;
- Наявності у суб'єкта перевірки структурного підрозділу або відповідальної особи, яка організовує роботу, пов'язану із захистом персональних даних при їх обробці згідно з вимогами статті 24 Закону шляхом вивчення відповідних документів, наданих суб'єктом перевірки.
У разі наявності у суб'єкта перевірки розпорядника бази персональних даних додатково здійснюється перевірка:
1. Наявності укладеного між суб'єктом перевірки як володільцем бази персональних даних та розпорядником бази персональних даних відповідного договору у письмовій формі у відповідності до вимог статті 11 Закону.
2. Відповідності умов обробки розпорядником бази персональних даних умовам, що визначені у відповідному договорі з володільцем баз персональних даних (зокрема, відповідність меті, складу, змісту, обсягу тощо). При цьому здійснюється перевірка змісту договору на предмет належної регламентації процедур обробки персональних даних розпорядником бази персональних даних, а також з'ясування чи не надано договором розпоряднику бази персональних даних більше повноважень щодо обробки персональних даних, ніж є у володільця бази. У цьому контексті може також виникнути необхідність перевірки володільця бази персональних даних щодо наявних у нього повноважень з обробки персональних даних.
3. Дотримання розпорядником бази персональних даних усіх зазначених вище питань, які перевірялися на відповідність вимогам Закону у володільця бази персональних даних.
Олексій Мервінський |
За результатами здійснення працівниками ДСЗПД перевірок, в межах своїх повноважень щодо контролю за додержанням вимог законодавства про захист персональних даних із забезпеченням відповідно до Закону доступу до інформації, пов'язаної з обробкою персональних даних у базі персональних даних, та до приміщень, де здійснюється їх обробка, складаються відповідні акти та виносяться обов'язкові для виконання законні вимоги (приписи) про усунення виявлених порушень законодавства про захист персональних даних.
Положенням про Державну службу України з питань захисту персональних даних також передбачається у відповідності до покладеного на ДСЗПД завдання щодо контролю за додержанням вимог законодавства про захист персональних даних надання від суб'єкта перевірки необхідної інформації та документів, що підтверджують усунення виявлених порушень.
Окремо слід зазначити, що у ході проведених працівниками ДСЗПД перевірок виявлено цілу низку типових порушень у сфері захисту персональних даних, що мають загальний характер, а також таких, які є характерними для певних галузей та сфер діяльності.
Серед типових порушень, характерних для більшості перевірених володільців та розпорядників баз персональних даних, можна зазначити наступні:
1. Відсутність реєстрації баз персональних даних в Державному реєстрі баз персональних даних або відмітки щодо відправлення заяви на реєстрацію бази.
2. Відсутність затвердженої внутрішніми розпорядчими документами мети обробки персональних даних, їх складу та змісту.
3. Відсутня можливість оцінки забезпечення цілісності персональних даних та режиму доступу до них.
4. Відсутність затверджених процедур обробки персональних даних (наприклад, як відбувається збір, зберігання, використання, поширення персональних даних; хто має до них доступ і в якій мірі).
5. Відсутність належних правових підстав обробки персональних даних (наприклад, відсутність документованої згоди суб'єкта на обробку його персональних даних, або наявна згода на обробку персональних даних, отримана від суб'єкта, не охоплює всі процеси обробки, у тому числі ті, що здійснюються розпорядниками баз персональних даних).
6. Неповідомлення або несвоєчасне повідомлення суб'єкта персональних даних про його права у зв'язку із включенням його персональних даних до бази персональних даних, мету збору цих даних та осіб, яким ці дані передаються.
7. Відсутність належно оформлених письмових договорів з розпорядниками баз персональних даних, в яких чітко врегульовано відносини, пов'язані з обробкою персональних даних, визначено мету та обсяги обробки персональних даних розпорядником.
8. Відсутність документів про затвердження особи, яка організовує роботу, пов'язану із захистом персональних даних при їх обробці.
9. При здійсненні обробки персональних даних у якості розпорядника бази персональних даних не врегульовуються належним чином відповідні договірні відносини з володільцем бази персональних даних в частині дотримання вимог законодавства про захист персональних даних: здійснює обробку персональних даних в обсягах, що перевищують права володільця бази персональних даних, при цьому, в окремих випадках:
- розпорядник діє на основі письмового договору, за яким володілець визначив йому такі права стосовно обробки персональних даних, на які сам не є уповноваженим;
- розпорядник фактично здійснює обробку персональних даних, без належно оформленого договору з володільцем, при цьому обробляє персональні дані в обсягах, що перевищують права володільця.
На сьогоднішній день, ДСЗПД проводиться аналіз усієї отриманої під час перевірок інформації з метою розробки та формування рекомендацій стосовно запобігання порушенням законодавства про захист персональних даних.
Також досвід, отриманий завдяки проведеним перевіркам, буде втілено у Положенні про порядок здійснення Державною службою України з питань захисту персональних даних державного контролю за додержанням законодавства про захист персональних даних.
Олексій Мервінський, голова Державної служби України з питань захисту персональних даних.