Контроль за дотриманням вимог законодавства у сфері захисту персональних даних

Поняття "персональні дані" та "захист персональних даних" є новими для нашої держави. Проте перші законодавчі кроки направлені на впровадження системи захисту персональних даних в Україні були зроблені ще у 1996 році.

Зокрема, базові елементи захисту персональних даних знайшли своє відображення у Конституції України. Так, статтею 32 КУ визначено, що:

• ніхто не може зазнавати втручання в його особисте і сімейне життя, крім випадків, передбачених Конституцією України.

• не допускається збирання, зберігання, використання та поширення конфіденційної інформації про особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.

• кожний громадянин має право знайомитися в органах державної влади, органах місцевого самоврядування, установах і організаціях з відомостями про себе, які не є державною або іншою захищеною законом таємницею.

• кожному гарантується судовий захист права спростовувати недостовірну інформацію про себе і членів своєї сім'ї та права вимагати вилучення будь-якої інформації, а також право на відшкодування матеріальної і моральної шкоди, завданої збиранням, зберіганням, використанням та поширенням такої недостовірної інформації.

Право на захист інформації про себе, право визначати порядок використання такої інформації та заперечувати проти небажаних дій з інформацією про себе є одним з елементів прав людини. А головним стратегічним завданням держави у сфері захисту персональних даних є побудова належної системи захисту персональних даних в Україні як елементу системи захисту прав людини.

 

6 липня 2010 року Верховною Радою України, шляхом прийняття відповідного Закону, було ратифіковано Конвенцію про захист осіб у зв'язку з автоматизованою обробкою персональних даних стосовно органів нагляду та транскордонних потоків даних. А вже 1 червня 2010 року було прийнято Закон України "Про захист персональних даних" (далі - Закону), яким було введено у правове поле України інститут захисту персональних даних.

У відповідності до статті 22 Закону "Про захист персональних даних" контроль за додержанням законодавства про захист персональних даних здійснює Уповноважений державний орган з питань захисту персональних даних.

Згідно з Указом Президента України від 9 грудня 2010 року № 1085/2010 "Про оптимізацію системи центральних органів виконавчої влади" в ході проведеної адміністративної реформи в Україні було створено Державну службу України з питань захисту персональних даних (далі - ДСЗПД). Положення про ДСЗПД було затверджено Указом Президента України від 6 квітня 2011 року № 390/2011. Відповідно до зазначених у Положенні функцій та завдань ДСЗПД здійснює, у тому числі, й державний нагляд та контроль за додержанням законодавства про захист персональних даних, зокрема:

• розробляє та затверджує плани перевірок володільців та (або) розпорядників баз персональних даних щодо дотримання ними вимог законодавства у сфері захисту персональних даних;

• проводить у межах своїх повноважень виїзні та безвиїзні перевірки володільців та (або) розпорядників баз персональних даних;

• видає володільцям та (або) розпорядникам баз персональних даних обов'язкові до виконання приписи щодо усунення порушень законодавства про захист персональних даних та вимагає надання необхідної інформації та документів, що підтверджують усунення виявлених порушень;

• складає адміністративні протоколи про виявлені порушення законодавства у сфері захисту персональних даних;

• передає правоохоронним органам матеріали про виявлені порушення у сфері захисту персональних даних;

• проводить у межах своїх повноважень виїзні та безвиїзні перевірки володільців та/або розпорядників баз персональних даних.

Загалом у 2011 році працівниками ДСЗПД було проведено 10 перевірок.

При цьому кожна перевірка включала в себе два обов'язкових етапи:

1-й етап - з'ясування статусу суб'єкта перевірки;

2-й етап - безпосередньо перевірка суб'єкта відносин, пов'язаних з персональними даними.

На етапі з'ясування статусу суб'єкта перевірки ДСЗПД перевірялися такі питання:

 

1. Наявність у діяльності суб'єкта перевірки дійсного факту обробки персональних даних (тобто з'ясування сфери діяльності та процесів обробки інформації про фізичних осіб (зокрема співробітників, партнерів, клієнтів та інших можливих категорій фізичних осіб).

2. У відповідності до статті 4 Закону визначалася належність суб'єкта перевірки до володільця або розпорядника баз персональних даних.

3. Згідно зі статтею 9 Закону шляхом надіслання відповідного інформаційного запиту до Державного реєстру баз персональних даних отримувалася інформація щодо наявності у суб'єкта перевірки свідоцтва про реєстрацію баз персональних даних або наявність у суб'єкта перевірки підтвердження щодо відправлення заяви на реєстрацію баз персональних даних до ДСЗПД. При цьому також з'ясовувався статус суб'єкта перевірки: володілець чи розпорядник бази персональних даних.

Етап перевірки суб'єкта відносин, пов'язаних з персональними даними, як володільця баз персональних даних включав в себе перевірку таких питань:

1. Відповідно до частини 1 статті 6 Закону шляхом запитів документів з'ясовувалася мета обробки персональних даних суб'єктом перевірки, яка має бути сформульована в законах, інших нормативно-правових актах, положеннях, установчих чи інших документах, які регулюють діяльність володільця бази персональних даних. При цьому також перевірялася відповідність зазначеної мети заявницьким документам для реєстрації відповідної бази персональних даних.

2. Також шляхом запитів документів, згідно з частиною 3 статті 6 Закону, здійснювалася перевірка складу та змісту персональних даних, що обробляються у відповідній базі персональних даних суб'єкта перевірки.

3. Визначалася наявність у суб'єкта перевірки особливих вимог для обробки персональних даних у відповідності до вимог статті 7 Закону.

4. Згідно з частиною 4 статті 6 та частиною 3 статті 12 Закону встановлювалися джерела отримання відомостей про фізичну особу (первинні джерела у вигляді підписаних фізичною особою документів, відомостей, які фізична особа надає про себе або загальнодоступні джерела, що також передбачено законодавством).

5. З метою перевірки питань регламентації процесів обробки персональних даних у суб'єкта перевірки згідно зі статтею 8 Закону перевірялися строки обробки персональних даних у формі, що допускає ідентифікацію фізичної особи та правові підстави для встановлення саме таких строків обробки персональних даних.

6. Опрацювання документів, що підтверджують право суб'єкта перевірки на використання персональних даних або на обробку персональних даних. Тобто правові підстави, на яких здійснюється обробка персональних даних суб'єктом перевірки у відповідній базі персональних даних згідно статті 11 Закону. При цьому в ході вивчення документів визначаються підстави виникнення права суб'єктом перевірки на використання персональних даних: згода суб'єкта персональних даних на обробку його персональних даних та/або дозволу на обробку персональних даних, надана суб'єкту перевірки у відповідності до закону виключно для здійснення його повноважень. У ході опрацювання згоди суб'єкта на обробку його персональних даних також визначаласяповнота охоплення наданої згоди суб'єкта персональних даних на обробку його персональних даних усіх процесів обробки. А у ході вивчення дозволу на обробку персональних даних, наданого суб'єкту перевірки як володільцю бази персональних даних відповідно до закону для здійснення його повноважень, з'ясовувалася відповідність конкретним положенням кожного закону (пункт, частина, стаття), яка передбачала право на обробку суб'єктом перевірки персональних даних фізичних осіб, а також здійснювалося встановлення відповідності процедур обробки персональних даних положенням закону, яким було передбачено право на обробку персональних даних.

7. Законності здійснення суб'єктом перевірки складових процесу обробки персональних даних включала в себе перевірку:

• законності суб'єктом перевірки процедур збирання персональних даних відповідно до статті 12 Закону (зокрема, з'ясовувалося дотримання вимоги щодо повідомлення суб'єкта персональних даних протягом 10 робочих днів з дня включення його персональних даних до відповідної бази персональних даних);

• законність процедур зберігання суб'єктом перевірки персональних даних згідно з вимогами статей 13 та 15 Закону. Так, з'ясовувалося, яким чином забезпечується цілісність персональних даних та режим доступу до них (хто має доступ до процесів обробки персональних даних у відповідних базах персональних даних, а також хто має доступ до персональних даних та/або може вносити відповідні зміни). Також з'ясовувалися встановлені у суб'єкта перевірки строки зберігання персональних даних та правові підстави для їх встановлення;

• законність процедур поширення суб'єктом перевірки персональних даних у відповідності до вимог статті 14 Закону. Зокрема, з'ясовувалися: наявність фактів поширення персональних даних, а у разі їх наявності правові підстави для цього; визначалися питання забезпечення захисту персональних даних при їх передачі, а також виконання стороною, якій здійснювалася передача персональних даних відповідних гарантій щодо виконання вимог Закону;

• законність процедур знищення суб'єктом перевірки персональних даних у відповідності до статті 15 Закону. Зокрема, з'ясовувалася наявність у суб'єкта перевірки фактів щодо збереження персональних даних, строк зберігання яких закінчився, а також з'ясовувалася наявність фактів здійснення обробки персональних даних суб'єкта, правовідносини з яким припинено;

• наявність письмового повідомлення суб'єктів персональних даних протягом 10 робочих днів з дня включення його персональних даних до бази персональних даних у відповідності до вимог статті 12 Закону про його права, визначені Законом, мету збору даних та осіб, яким передаються його персональні дані;

• відповідності даних та відомостей, що подавалися суб'єктом перевірки для державної реєстрації бази персональних даних згідно зі статтею 9 Закону та містяться у Державному реєстрі баз персональних даних, фактичному стану обробки персональних даних у суб'єкта перевірки;

• законності встановленого у суб'єкта перевірки порядку доступу до персональних даних у відповідності до вимог статті 16 Закону на підставі перевірки наявності та вивчення документів, які регламентують цей порядок;

 

• наявності у суб'єкта перевірки структурного підрозділу або відповідальної особи, яка організовує роботу, пов'язану із захистом персональних даних при їх обробці згідно з вимогами статті 24 Закону шляхом вивчення відповідних документів, наданих суб'єктом перевірки.

У разі наявності у суб'єкта перевірки розпорядника бази персональних даних додатково здійснюється перевірка:

1. Наявності укладеного між суб'єктом перевірки як володільцем бази персональних даних та розпорядником бази персональних даних відповідногодоговору у письмовій формі у відповідності до вимог статті 11 Закону.

2. Відповідності умов обробкирозпорядником бази персональних даних умов обробки персональних даних умовам, що визначені у відповідному договорі з володільцем баз персональних даних (зокрема, меті, складу, змісту, обсягу тощо). При цьому здійснюється перевірка змісту договору на предмет належної регламентації процедур обробки персональних даних розпорядником бази персональних даних, а також з'ясування, чи не надано договором розпоряднику бази персональних даних більше повноважень щодо обробки персональних даних, ніж є у володільця бази. У цьому контексті може також виникнути необхідність перевірки володільця бази персональних даних щодо наявних у нього повноважень щодо обробки персональних даних.

3. Дотримання розпорядником бази персональних даних усіх зазначених вище питань, які перевірялися на відповідність вимогам Закону у володільця бази персональних даних.

  

За результатами здійснення працівниками ДСЗПД в межах своїх повноважень контролю за додержанням вимог законодавства про захист персональних даних із забезпеченням відповідно до Закону доступу до інформації, пов'язаної з обробкою персональних даних у базі персональних даних, та до приміщень, де здійснюється їх обробка, складаються відповідні акти та виносяться обов'язкові для виконання законні вимоги (приписи) про усунення виявлених порушень законодавства про захист персональних даних.

 

Положенням про Державну службу України з питань захисту персональних даних також передбачається у відповідності до покладеного на ДСЗПД завдання щодо контролю за додержанням вимог законодавства про захист персональних даних надання від суб'єкта перевірки необхідної інформації та документів, що підтверджують усунення виявлених порушень.

Окремо слід зазначити, що у ході проведених працівниками ДСЗПД перевірок протягом 2010 року виявлено цілу низку типових порушень у сфері захисту персональних даних, що мають загальний характер, а також таких, які є характерними для певних галузей та сфер діяльності.

Серед типових порушень, характерних для більшості перевірених володільців та розпорядників баз персональних даних, можна зазначити такі:

1. Відсутність реєстрації баз персональних даних в Державному реєстрі баз персональних даних або відмітки щодо відправлення заяви на реєстрацію бази.

2. Відсутність затвердженої внутрішніми розпорядчими документами мети обробки персональних даних, їх складу та змісту.

3. Відсутня можливість оцінки забезпечення цілісності персональних даних та режиму доступу до них.

4. Відсутність затверджених процедур обробки персональних даних (наприклад, як відбувається збір, зберігання, використання, поширення персональних даних; хто має до них доступ і в якій мірі).

5. Відсутність належних правових підстав обробки персональних даних (наприклад, відсутність документованої згоди суб'єкта на обробку його персональних даних, або наявна згода на обробку персональних даних, отримана від суб'єкта, не охоплює всі процеси обробки, у тому числі ті, що здійснюються розпорядниками баз персональних даних).

6. Неповідомлення або несвоєчасне повідомлення суб'єкта персональних даних про його права у зв'язку із включенням його персональних даних до бази персональних даних, мету збору цих даних та осіб, яким ці дані передаються.

7. Відсутність належно оформлених письмових договорів з розпорядниками баз персональних даних, в яких чітко врегульовано відносини, пов'язані з обробкою персональних даних, визначено мету та обсяги обробки персональних даних розпорядником.

8. Відсутні документи про затвердження особи, яка організовує роботу, пов'язану із захистом персональних даних при їх обробці.

9. При здійсненні обробки персональних даних у якості розпорядника бази персональних даних не врегульовуються належним чином відповідні договірні відносини з володільцем бази персональних даних в частині дотримання вимог законодавства про захист персональних даних; здійснює обробку персональних даних в обсягах, що перевищують права володільця бази персональних даних, при цьому, в окремих випадках:

- розпорядник діє на основі письмового договору, за яким володілець визначив йому такі права стосовно обробки персональних даних, на які сам не є уповноваженим;

 

- розпорядник фактично здійснює обробку персональних даних, без належно оформленого договору з володільцем, при цьому обробляє персональні дані в обсягах, що перевищують права володільця.

На сьогодні ДСЗПД проводиться аналіз усієї отриманої під час перевірок інформації з метою розробки та формування рекомендацій стосовно запобігання порушенням законодавства про захист персональних даних.

Також досвід, отриманий завдяки проведеним перевіркам, буде втілено у Положенні про порядок здійснення Державною службою України з питань захисту персональних даних державного контролю за додержанням законодавства про захист персональних даних, проект якого зараз доопрацьовується фахівцями ДСЗПД.

 

 

"ЮРИСТ & ЗАКОН" від 24.01.2012, № 04