Головна  Карта сайту  Розміщення реклами на порталі

СПІЛЬНОТА КАДРОВИКІВ І ФАХІВЦІВ З УПРАВЛІННЯ ПЕРСОНАЛОМ
Ласкаво просимо
  Новини
  Бібліотека статей
  Нормативна база
  Зразки документів
  Виробничий календар
  Книжкова полиця
  Хто є хто
  Глосарій
  Розміщення реклами
  Наші партнери
  Форум
Нові матеріали
Дистанційна та надомна робота: основна відмінність та нюанси оформлення
Словник HR-а: 50 абревіатур, які має знати кожен фахівець
Табель обліку робочого часу: тонкощі заповнення
Підписатися на розсилку





Facebook
Реклама
Реклама
Контроль за дотриманням вимог законодавства у сфері захисту персональних даних
Новини
30.01.2012
Контроль за дотриманням вимог законодавства у сфері захисту персональних даних
 

Поняття «персональні дані» та «захист персональних даних» є новими для нашої держави. Проте перші законодавчі кроки направлені на впровадження системи захисту персональних даних в Україні були зроблені ще у 1996 році.

Зокрема, базові елементи захисту персональних даних знайшли своє відображення у Конституції України. Так, статтею 32 КУ визначено, що:

  • ніхто не може зазнавати втручання в його особисте і сімейне життя, крім випадків, передбачених Конституцією України.
  • не допускається збирання, зберігання, використання та поширення конфіденційної інформації про особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.
  • кожний громадянин має право знайомитися в органах державної влади, органах місцевого самоврядування, установах і організаціях з відомостями про себе, які не є державною або іншою захищеною законом таємницею.
  • кожному гарантується судовий захист права спростовувати недостовірну інформацію про себе і членів своєї сім’ї та права вимагати вилучення будь-якої інформації, а також право на відшкодування матеріальної і моральної шкоди, завданої збиранням, зберіганням, використанням та поширенням такої недостовірної інформації.

Право на захист інформації про себе, право визначати порядок використання такої інформації та заперечувати проти небажаних дій з інформацією про себе є одним з елементів прав людини. А головним стратегічним завданням держави у сфері захисту персональних даних є побудова належної системи захисту персональних даних в Україні як елементу системи захисту прав людини.

6 липня 2010 року Верховною Радою України, шляхом прийняття відповідного Закону, було ратифіковано Конвенцію про захист осіб у зв’язку з автоматизованою обробкою персональних даних стосовно органів нагляду та транскордонних потоків даних. А вже 1 червня 2010 року було прийнято Закон України «Про захист персональних даних» (далі — Закону), яким було введено у правове поле України інститут захисту персональних даних.

У відповідності до статті 22 Закону «Про захист персональних даних» контроль за додержанням законодавства про захист персональних даних здійснює Уповноважений державний орган з питань захисту персональних даних.

Згідно з Указом Президента України від 9 грудня 2010 року № 1085/2010 «Про оптимізацію системи центральних органів виконавчої влади» в ході проведеної адміністративної реформи в Україні було створено Державну службу України з питань захисту персональних даних (далі — ДСЗПД). Положення про ДСЗПД було затверджено Указом Президента України від 6 квітня 2011 року № 390/2011. Відповідно до зазначених у Положенні функцій та завдань ДСЗПД здійснює, у тому числі, й державний нагляд та контроль за додержанням законодавства про захист персональних даних, зокрема:

  • розробляє та затверджує плани перевірок володільців та (або) розпорядників баз персональних даних щодо дотримання ними вимог законодавства у сфері захисту персональних даних;
  • проводить у межах своїх повноважень виїзні та безвиїзні перевірки володільців та (або) розпорядників баз персональних даних;
  • видає володільцям та (або) розпорядникам баз персональних даних обов’язкові до виконання приписи щодо усунення порушень законодавства про захист персональних даних та вимагає надання необхідної інформації та документів, що підтверджують усунення виявлених порушень;
  • складає адміністративні протоколи про виявлені порушення законодавства у сфері захисту персональних даних;
  • передає правоохоронним органам матеріали про виявлені порушення у сфері захисту персональних даних;
  • проводить у межах своїх повноважень виїзні та безвиїзні перевірки володільців та/або розпорядників баз персональних даних.

Загалом у 2011 році працівниками ДСЗПД було проведено 10 перевірок.

При цьому кожна перевірка включала в себе два обов’язкових етапи:

1-й етап — з’ясування статусу суб’єкта перевірки;

2-й етап — безпосередньо перевірка суб’єкта відносин, пов’язаних з персональними даними.

На етапі з’ясування статусу суб’єкта перевірки ДСЗПД перевірялися такі питання:

  1. Наявність у діяльності суб’єкта перевірки дійсного факту обробки персональних даних (тобто з’ясування сфери діяльності та процесів обробки інформації про фізичних осіб (зокрема співробітників, партнерів, клієнтів та інших можливих категорій фізичних осіб).
  2. У відповідності до статті 4 Закону визначалася належність суб’єкта перевірки до володільця або розпорядника баз персональних даних.
  3. Згідно зі статтею 9 Закону шляхом надіслання відповідного інформаційного запиту до Державного реєстру баз персональних даних отримувалася інформація щодо наявності у суб’єкта перевірки свідоцтва про реєстрацію баз персональних даних або наявність у суб’єкта перевірки підтвердження щодо відправлення заяви на реєстрацію баз персональних даних до ДСЗПД. При цьому також з’ясовувався статус суб’єкта перевірки: володілець чи розпорядник бази персональних даних.

Етап перевірки суб’єкта відносин, пов’язаних з персональними даними, як володільця баз персональних даних включав в себе перевірку таких питань:

  1. Відповідно до частини 1 статті 6 Закону шляхом запитів документів з’ясовувалася мета обробки персональних даних суб’єктом перевірки, яка має бути сформульована в законах, інших нормативно-правових актах, положеннях, установчих чи інших документах, які регулюють діяльність володільця бази персональних даних. При цьому також перевірялася відповідність зазначеної мети заявницьким документам для реєстрації відповідної бази персональних даних.

  2. Також шляхом запитів документів, згідно з частиною 3 статті 6 Закону, здійснювалася перевірка складу та змісту персональних даних, що обробляються у відповідній базі персональних даних суб’єкта перевірки.

  3. Визначалася наявність у суб’єкта перевірки особливих вимог для обробки персональних даних у відповідності до вимог статті 7 Закону.

  4. Згідно з частиною 4 статті 6 та частиною 3 статті 12 Закону встановлювалися джерела отримання відомостей про фізичну особу (первинні джерела у вигляді підписаних фізичною особою документів, відомостей, які фізична особа надає про себе або загальнодоступні джерела, що також передбачено законодавством).

  5. З метою перевірки питань регламентації процесів обробки персональних даних у суб’єкта перевірки згідно зі статтею 8 Закону перевірялися строки обробки персональних даних у формі, що допускає ідентифікацію фізичної особи та правові підстави для встановлення саме таких строків обробки персональних даних.

  6. Опрацювання документів, що підтверджують право суб’єкта перевірки на використання персональних даних або на обробку персональних даних. Тобто правові підстави, на яких здійснюється обробка персональних даних суб’єктом перевірки у відповідній базі персональних даних згідно статті 11 Закону. При цьому в ході вивчення документів визначаються підстави виникнення права суб’єктом перевірки на використання персональних даних: згода суб’єкта персональних даних на обробку його персональних даних та/або дозволу на обробку персональних даних, надана суб’єкту перевірки у відповідності до закону виключно для здійснення його повноважень. У ході опрацювання згоди суб’єкта на обробку його персональних даних також визначалася повнота охоплення наданої згоди суб’єкта персональних даних на обробку його персональних даних усіх процесів обробки. А у ході вивчення дозволу на обробку персональних даних, наданого суб’єкту перевірки як володільцю бази персональних даних відповідно до закону для здійснення його повноважень, з’ясовувалася відповідність конкретним положенням кожного закону (пункт, частина, стаття), яка передбачала право на обробку суб’єктом перевірки персональних даних фізичних осіб, а також здійснювалося встановлення відповідності процедур обробки персональних даних положенням закону, яким було передбачено право на обробку персональних даних.

  7. Законності здійснення суб’єктом перевірки складових процесу обробки персональних даних включала в себе перевірку:

    • законності суб’єктом перевірки процедур збирання персональних даних відповідно до статті 12 Закону (зокрема, з’ясовувалося дотримання вимоги щодо повідомлення суб’єкта персональних даних протягом 10 робочих днів з дня включення його персональних даних до відповідної бази персональних даних);

    • законність процедур зберігання суб’єктом перевірки персональних даних згідно з вимогами статей 13 та 15 Закону. Так, з’ясовувалося, яким чином забезпечується цілісність персональних даних та режим доступу до них (хто має доступ до процесів обробки персональних даних у відповідних базах персональних даних, а також хто має доступ до персональних даних та/або може вносити відповідні зміни). Також з’ясовувалися встановлені у суб’єкта перевірки строки зберігання персональних даних та правові підстави для їх встановлення;

    • законність процедур поширення суб’єктом перевірки персональних даних у відповідності до вимог статті 14 Закону. Зокрема, з’ясовувалися: наявність фактів поширення персональних даних, а у разі їх наявності правові підстави для цього; визначалися питання забезпечення захисту персональних даних при їх передачі, а також виконання стороною, якій здійснювалася передача персональних даних відповідних гарантій щодо виконання вимог Закону;

    • законність процедур знищення суб’єктом перевірки персональних даних у відповідності до статті 15 Закону. Зокрема, з’ясовувалася наявність у суб’єкта перевірки фактів щодо збереження персональних даних, строк зберігання яких закінчився, а також з’ясовувалася наявність фактів здійснення обробки персональних даних суб’єкта, правовідносини з яким припинено;
    • наявність письмового повідомлення суб’єктів персональних даних протягом 10 робочих днів з дня включення його персональних даних до бази персональних даних у відповідності до вимог статті 12 Закону про його права, визначені Законом, мету збору даних та осіб, яким передаються його персональні дані;

    • відповідності даних та відомостей, що подавалися суб’єктом перевірки для державної реєстрації бази персональних даних згідно зі статтею 9 Закону та містяться у Державному реєстрі баз персональних даних, фактичному стану обробки персональних даних у суб’єкта перевірки;

    • законності встановленого у суб’єкта перевірки порядку доступу до персональних даних у відповідності до вимог статті 16 Закону на підставі перевірки наявності та вивчення документів, які регламентують цей порядок;

    • наявності у суб’єкта перевірки структурного підрозділу або відповідальної особи, яка організовує роботу, пов’язану із захистом персональних даних при їх обробці згідно з вимогами статті 24 Закону шляхом вивчення відповідних документів, наданих суб’єктом перевірки.

У разі наявності у суб’єкта перевірки розпорядника бази персональних даних додатково здійснюється перевірка:

  1. Наявності укладеного між суб’єктом перевірки як володільцем бази персональних даних та розпорядником бази персональних даних відповідного договору у письмовій формі у відповідності до вимог статті 11 Закону.

  2. Відповідності умов обробки розпорядником бази персональних даних умов обробки персональних даних умовам, що визначені у відповідному договорі з володільцем баз персональних даних (зокрема, меті, складу, змісту, обсягу тощо). При цьому здійснюється перевірка змісту договору на предмет належної регламентації процедур обробки персональних даних розпорядником бази персональних даних, а також з’ясування, чи не надано договором розпоряднику бази персональних даних більше повноважень щодо обробки персональних даних, ніж є у володільця бази. У цьому контексті може також виникнути необхідність перевірки володільця бази персональних даних щодо наявних у нього повноважень щодо обробки персональних даних.

  3. Дотримання розпорядником бази персональних даних усіх зазначених вище питань, які перевірялися на відповідність вимогам Закону у володільця бази персональних даних.

За результатами здійснення працівниками ДСЗПД в межах своїх повноважень контролю за додержанням вимог законодавства про захист персональних даних із забезпеченням відповідно до Закону доступу до інформації, пов’язаної з обробкою персональних даних у базі персональних даних, та до приміщень, де здійснюється їх обробка, складаються відповідні акти та виносяться обов’язкові для виконання законні вимоги (приписи) про усунення виявлених порушень законодавства про захист персональних даних.

Положенням про Державну службу України з питань захисту персональних даних також передбачається у відповідності до покладеного на ДСЗПД завдання щодо контролю за додержанням вимог законодавства про захист персональних даних надання від суб’єкта перевірки необхідної інформації та документів, що підтверджують усунення виявлених порушень.

Окремо слід зазначити, що у ході проведених працівниками ДСЗПД перевірок протягом 2010 року виявлено цілу низку типових порушень у сфері захисту персональних даних, що мають загальний характер, а також таких, які є характерними для певних галузей та сфер діяльності.

Серед типових порушень, характерних для більшості перевірених володільців та розпорядників баз персональних даних, можна зазначити такі:

  1. Відсутність реєстрації баз персональних даних в Державному реєстрі баз персональних даних або відмітки щодо відправлення заяви на реєстрацію бази.
  2. Відсутність затвердженої внутрішніми розпорядчими документами мети обробки персональних даних, їх складу та змісту.
  3. Відсутня можливість оцінки забезпечення цілісності персональних даних та режиму доступу до них.
  4. Відсутність затверджених процедур обробки персональних даних (наприклад, як відбувається збір, зберігання, використання, поширення персональних даних; хто має до них доступ і в якій мірі).
  5. Відсутність належних правових підстав обробки персональних даних (наприклад, відсутність документованої згоди суб’єкта на обробку його персональних даних, або наявна згода на обробку персональних даних, отримана від суб’єкта, не охоплює всі процеси обробки, у тому числі ті, що здійснюються розпорядниками баз персональних даних).
  6. Неповідомлення або несвоєчасне повідомлення суб’єкта персональних даних про його права у зв’язку із включенням його персональних даних до бази персональних даних, мету збору цих даних та осіб, яким ці дані передаються.
  7. Відсутність належно оформлених письмових договорів з розпорядниками баз персональних даних, в яких чітко врегульовано відносини, пов’язані з обробкою персональних даних, визначено мету та обсяги обробки персональних даних розпорядником.
  8. Відсутні документи про затвердження особи, яка організовує роботу, пов’язану із захистом персональних даних при їх обробці.
  9. При здійсненні обробки персональних даних у якості розпорядника бази персональних даних не врегульовуються належним чином відповідні договірні відносини з володільцем бази персональних даних в частині дотримання вимог законодавства про захист персональних даних; здійснює обробку персональних даних в обсягах, що перевищують права володільця бази персональних даних, при цьому, в окремих випадках:
    • розпорядник діє на основі письмового договору, за яким володілець визначив йому такі права стосовно обробки персональних даних, на які сам не є уповноваженим;
    • розпорядник фактично здійснює обробку персональних даних, без належно оформленого договору з володільцем, при цьому обробляє персональні дані в обсягах, що перевищують права володільця.

На сьогодні ДСЗПД проводиться аналіз усієї отриманої під час перевірок інформації з метою розробки та формування рекомендацій стосовно запобігання порушенням законодавства про захист персональних даних.

Також досвід, отриманий завдяки проведеним перевіркам, буде втілено у Положенні про порядок здійснення Державною службою України з питань захисту персональних даних державного контролю за додержанням законодавства про захист персональних даних, проект якого зараз доопрацьовується фахівцями ДСЗПД.

Олексій Мервінський
По материалам «ЮРИСТ & ЗАКОН»
HR-Лига
Переглядів: 13253 Надіслати другу Версія для друку
 
Дивіться також:
Додаткові підставі звільнення працівників: Рада врахувала пропозиції Президента
Яка інформація має бути в наказі про призупинення дії трудового договору?
Збереження заробітної плати на час навчальних відпусток
Для яких іноземців не потрібно отримувати дозвіл на працевлаштування?
Продовжено на 3 місяці відстрочки від мобілізації
Чи повинен роботодавець інформувати та звітувати про стан охорони праці на підприємстві?
Особливості надання відпусток: основні зміни
Чи зараховується до страхового стажу період догляду за особою з інвалідністю?
Підстави та переваги укладення договору аутстафінгу
Правонаступництво у трудових відносинах: основні акценти
Паперові лікарняні повернуться, за необґрунтовані стягуватимуть кошти
У червні працюючі пенсіонери отримають підвищені виплати
Випробувальний термін для неповнолітніх працівників
Вручення повісток на підприємствах: новий порядок проведення призову
У трудовій книжці нечіткий відбиток печатки: чи потрапляє період в страховий стаж?
Договір з нефіксованим робочим часом: якою може бути максимальна тривалість роботи?
Яким категоріям працівників слід проходити періодичний психіатричний огляд?
Бронювання працівників: як скласти довідку про середню зарплату?
Чи додавати військовий квиток до електронної трудової книжки?
Які військовозобов’язані мають право на відстрочку?
Мінекономіки про округлення при обчисленні середньої заробітної плати
Правила облаштування робочого місця особи з інвалідністю та отримання компенсації
Розрахунок із працівником, який звільняється
На який період запроваджуються норми Закону України «Про організацію трудових відносин в умовах воєнного стану»?
Чи може ФОП-роботодавець розірвати трудові договори у разі своєї мобілізації?
Хто і де може вручати повістки: що каже новий закон про мобілізацію?
В якому випадку особі з інвалідністю може бути відмовлено у працевлаштуванні?
Особливості надання відпусток без збереження зарплати піл час дії воєнного стану
За яких умов період перебування на обліку в центрі зайнятості зараховується до страхового стажу?
Чи може вчитель працювати дистанційно з-за кордону?
Списки працівників на бронювання, подані до 10 травня, погоджує Генштаб
Трудові vs цивільно-правові договори: що обрати?
Оформлення відносин з тимчасовими працівниками у період дії воєнного стану
Затверджено показники середньої зарплати за І квартал 2024 року
Як оформити дозвіл на працевлаштування іноземців?
Працівник у відпустці або на лікарняному: чи треба інформувати про надходження повістки?
Чи мають переваги працівники передпенсійного віку у разі скорочення штату?
Що слід врахувати роботодавцю при організації робіт у літній період?
Захист трудових прав та встановлення факту перебування в трудових правовідносинах
Трудові зміни 2024: останні новації КЗпП
Мобілізація та військовий облік: що зобов’язані виконувати роботодавці?
Встановлення суміщення суміснику
Що змінилося щось у питаннях військового обліку та мобілізації жінок?
Підписано Закон про регулювання праці домашніх працівників
Кого з керівників і працівників бронюють незалежно від звання, віку та ВОС?
Пенсія за віком: умови дострокового призначення
Закріплення роботодавцем у трудових договорах додаткових умов, які покращують становище працівників
Додаткові гарантії на відпочинок осіб з інвалідністю
Новий порядок оформлення військово-облікових документів
Розширено перелік критеріїв для бронювання працівників ОПК
Всі новини
Реклама
Проекти для професіоналів

КАДРОВИК.UA

 Свіжий номер
Про журнал
Живий Журнал
Придбати
Форум кадровиків

ДІЛОВОДСТВО

 Про журнал
Архів журналу
Живий Журнал
Придбати

ОХОРОНА ПРАЦІ і ПОЖЕЖНА БЕЗПЕКА

 Про журнал
Архів журналу
Живий Журнал
Придбати

ПОСІБНИКИ/СПЕЦВИПУСКИ

 «Організація охорони праці від А до Я»

 «Прийняття працівників на роботу»

 «Суміщення та інші види додаткових робіт»

 «Реорганізація підприємства: дії кадровика»

КУРСИ

 Курс «Підвищення кваліфікації з військового обліку»

 Курс підвищення кваліфікації «Кадрова справа для професіонала»
Оголошення
Шановні відвідувачі!
З усіх питань щодо роботи порталу звертайтесь до адміністратора
2024 © МЕДІА-ПРО
2024 © HR Liga
Copyright © 2005–2024 HR Liga
Використання матеріалів із журналів Групи компаній «МЕДІА-ПРО» лише за погодженням з редакцією (адміністрацією) порталу.
Редакція (адміністрація) залишає за собою право не розділяти думку авторів матеріалів, що розміщуються.
Редакція (адміністрація) порталу не несе відповідальності за збитки, які можуть бути завдані внаслідок використання, невикористання або неналежного використання інформації, що міститься на порталі.
Відповідальність за достовірність інформації та інших відомостей несуть автори публікацій.
З усіх питань пишіть на admin@hrliga.com