Головна  Карта сайту  Розміщення реклами на порталі

СПІЛЬНОТА КАДРОВИКІВ І ФАХІВЦІВ З УПРАВЛІННЯ ПЕРСОНАЛОМ
Ласкаво просимо
  Новини
  Бібліотека статей
  Нормативна база
  Зразки документів
  Виробничий календар
  Книжкова полиця
  Хто є хто
  Глосарій
  Розміщення реклами
  Наші партнери
  Форум
Нові матеріали
Табель обліку робочого часу: тонкощі заповнення
Підсумований облік робочого часу: для чого і як враховують неявки працівників
Номенклатура справ: етапи розроблення
Підписатися на розсилку





Facebook
Реклама
Реклама
Контроль за дотриманням вимог законодавства у сфері захисту персональних даних
Новини
30.01.2012
Контроль за дотриманням вимог законодавства у сфері захисту персональних даних
 

Поняття «персональні дані» та «захист персональних даних» є новими для нашої держави. Проте перші законодавчі кроки направлені на впровадження системи захисту персональних даних в Україні були зроблені ще у 1996 році.

Зокрема, базові елементи захисту персональних даних знайшли своє відображення у Конституції України. Так, статтею 32 КУ визначено, що:

  • ніхто не може зазнавати втручання в його особисте і сімейне життя, крім випадків, передбачених Конституцією України.
  • не допускається збирання, зберігання, використання та поширення конфіденційної інформації про особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.
  • кожний громадянин має право знайомитися в органах державної влади, органах місцевого самоврядування, установах і організаціях з відомостями про себе, які не є державною або іншою захищеною законом таємницею.
  • кожному гарантується судовий захист права спростовувати недостовірну інформацію про себе і членів своєї сім’ї та права вимагати вилучення будь-якої інформації, а також право на відшкодування матеріальної і моральної шкоди, завданої збиранням, зберіганням, використанням та поширенням такої недостовірної інформації.

Право на захист інформації про себе, право визначати порядок використання такої інформації та заперечувати проти небажаних дій з інформацією про себе є одним з елементів прав людини. А головним стратегічним завданням держави у сфері захисту персональних даних є побудова належної системи захисту персональних даних в Україні як елементу системи захисту прав людини.

6 липня 2010 року Верховною Радою України, шляхом прийняття відповідного Закону, було ратифіковано Конвенцію про захист осіб у зв’язку з автоматизованою обробкою персональних даних стосовно органів нагляду та транскордонних потоків даних. А вже 1 червня 2010 року було прийнято Закон України «Про захист персональних даних» (далі — Закону), яким було введено у правове поле України інститут захисту персональних даних.

У відповідності до статті 22 Закону «Про захист персональних даних» контроль за додержанням законодавства про захист персональних даних здійснює Уповноважений державний орган з питань захисту персональних даних.

Згідно з Указом Президента України від 9 грудня 2010 року № 1085/2010 «Про оптимізацію системи центральних органів виконавчої влади» в ході проведеної адміністративної реформи в Україні було створено Державну службу України з питань захисту персональних даних (далі — ДСЗПД). Положення про ДСЗПД було затверджено Указом Президента України від 6 квітня 2011 року № 390/2011. Відповідно до зазначених у Положенні функцій та завдань ДСЗПД здійснює, у тому числі, й державний нагляд та контроль за додержанням законодавства про захист персональних даних, зокрема:

  • розробляє та затверджує плани перевірок володільців та (або) розпорядників баз персональних даних щодо дотримання ними вимог законодавства у сфері захисту персональних даних;
  • проводить у межах своїх повноважень виїзні та безвиїзні перевірки володільців та (або) розпорядників баз персональних даних;
  • видає володільцям та (або) розпорядникам баз персональних даних обов’язкові до виконання приписи щодо усунення порушень законодавства про захист персональних даних та вимагає надання необхідної інформації та документів, що підтверджують усунення виявлених порушень;
  • складає адміністративні протоколи про виявлені порушення законодавства у сфері захисту персональних даних;
  • передає правоохоронним органам матеріали про виявлені порушення у сфері захисту персональних даних;
  • проводить у межах своїх повноважень виїзні та безвиїзні перевірки володільців та/або розпорядників баз персональних даних.

Загалом у 2011 році працівниками ДСЗПД було проведено 10 перевірок.

При цьому кожна перевірка включала в себе два обов’язкових етапи:

1-й етап — з’ясування статусу суб’єкта перевірки;

2-й етап — безпосередньо перевірка суб’єкта відносин, пов’язаних з персональними даними.

На етапі з’ясування статусу суб’єкта перевірки ДСЗПД перевірялися такі питання:

  1. Наявність у діяльності суб’єкта перевірки дійсного факту обробки персональних даних (тобто з’ясування сфери діяльності та процесів обробки інформації про фізичних осіб (зокрема співробітників, партнерів, клієнтів та інших можливих категорій фізичних осіб).
  2. У відповідності до статті 4 Закону визначалася належність суб’єкта перевірки до володільця або розпорядника баз персональних даних.
  3. Згідно зі статтею 9 Закону шляхом надіслання відповідного інформаційного запиту до Державного реєстру баз персональних даних отримувалася інформація щодо наявності у суб’єкта перевірки свідоцтва про реєстрацію баз персональних даних або наявність у суб’єкта перевірки підтвердження щодо відправлення заяви на реєстрацію баз персональних даних до ДСЗПД. При цьому також з’ясовувався статус суб’єкта перевірки: володілець чи розпорядник бази персональних даних.

Етап перевірки суб’єкта відносин, пов’язаних з персональними даними, як володільця баз персональних даних включав в себе перевірку таких питань:

  1. Відповідно до частини 1 статті 6 Закону шляхом запитів документів з’ясовувалася мета обробки персональних даних суб’єктом перевірки, яка має бути сформульована в законах, інших нормативно-правових актах, положеннях, установчих чи інших документах, які регулюють діяльність володільця бази персональних даних. При цьому також перевірялася відповідність зазначеної мети заявницьким документам для реєстрації відповідної бази персональних даних.

  2. Також шляхом запитів документів, згідно з частиною 3 статті 6 Закону, здійснювалася перевірка складу та змісту персональних даних, що обробляються у відповідній базі персональних даних суб’єкта перевірки.

  3. Визначалася наявність у суб’єкта перевірки особливих вимог для обробки персональних даних у відповідності до вимог статті 7 Закону.

  4. Згідно з частиною 4 статті 6 та частиною 3 статті 12 Закону встановлювалися джерела отримання відомостей про фізичну особу (первинні джерела у вигляді підписаних фізичною особою документів, відомостей, які фізична особа надає про себе або загальнодоступні джерела, що також передбачено законодавством).

  5. З метою перевірки питань регламентації процесів обробки персональних даних у суб’єкта перевірки згідно зі статтею 8 Закону перевірялися строки обробки персональних даних у формі, що допускає ідентифікацію фізичної особи та правові підстави для встановлення саме таких строків обробки персональних даних.

  6. Опрацювання документів, що підтверджують право суб’єкта перевірки на використання персональних даних або на обробку персональних даних. Тобто правові підстави, на яких здійснюється обробка персональних даних суб’єктом перевірки у відповідній базі персональних даних згідно статті 11 Закону. При цьому в ході вивчення документів визначаються підстави виникнення права суб’єктом перевірки на використання персональних даних: згода суб’єкта персональних даних на обробку його персональних даних та/або дозволу на обробку персональних даних, надана суб’єкту перевірки у відповідності до закону виключно для здійснення його повноважень. У ході опрацювання згоди суб’єкта на обробку його персональних даних також визначалася повнота охоплення наданої згоди суб’єкта персональних даних на обробку його персональних даних усіх процесів обробки. А у ході вивчення дозволу на обробку персональних даних, наданого суб’єкту перевірки як володільцю бази персональних даних відповідно до закону для здійснення його повноважень, з’ясовувалася відповідність конкретним положенням кожного закону (пункт, частина, стаття), яка передбачала право на обробку суб’єктом перевірки персональних даних фізичних осіб, а також здійснювалося встановлення відповідності процедур обробки персональних даних положенням закону, яким було передбачено право на обробку персональних даних.

  7. Законності здійснення суб’єктом перевірки складових процесу обробки персональних даних включала в себе перевірку:

    • законності суб’єктом перевірки процедур збирання персональних даних відповідно до статті 12 Закону (зокрема, з’ясовувалося дотримання вимоги щодо повідомлення суб’єкта персональних даних протягом 10 робочих днів з дня включення його персональних даних до відповідної бази персональних даних);

    • законність процедур зберігання суб’єктом перевірки персональних даних згідно з вимогами статей 13 та 15 Закону. Так, з’ясовувалося, яким чином забезпечується цілісність персональних даних та режим доступу до них (хто має доступ до процесів обробки персональних даних у відповідних базах персональних даних, а також хто має доступ до персональних даних та/або може вносити відповідні зміни). Також з’ясовувалися встановлені у суб’єкта перевірки строки зберігання персональних даних та правові підстави для їх встановлення;

    • законність процедур поширення суб’єктом перевірки персональних даних у відповідності до вимог статті 14 Закону. Зокрема, з’ясовувалися: наявність фактів поширення персональних даних, а у разі їх наявності правові підстави для цього; визначалися питання забезпечення захисту персональних даних при їх передачі, а також виконання стороною, якій здійснювалася передача персональних даних відповідних гарантій щодо виконання вимог Закону;

    • законність процедур знищення суб’єктом перевірки персональних даних у відповідності до статті 15 Закону. Зокрема, з’ясовувалася наявність у суб’єкта перевірки фактів щодо збереження персональних даних, строк зберігання яких закінчився, а також з’ясовувалася наявність фактів здійснення обробки персональних даних суб’єкта, правовідносини з яким припинено;
    • наявність письмового повідомлення суб’єктів персональних даних протягом 10 робочих днів з дня включення його персональних даних до бази персональних даних у відповідності до вимог статті 12 Закону про його права, визначені Законом, мету збору даних та осіб, яким передаються його персональні дані;

    • відповідності даних та відомостей, що подавалися суб’єктом перевірки для державної реєстрації бази персональних даних згідно зі статтею 9 Закону та містяться у Державному реєстрі баз персональних даних, фактичному стану обробки персональних даних у суб’єкта перевірки;

    • законності встановленого у суб’єкта перевірки порядку доступу до персональних даних у відповідності до вимог статті 16 Закону на підставі перевірки наявності та вивчення документів, які регламентують цей порядок;

    • наявності у суб’єкта перевірки структурного підрозділу або відповідальної особи, яка організовує роботу, пов’язану із захистом персональних даних при їх обробці згідно з вимогами статті 24 Закону шляхом вивчення відповідних документів, наданих суб’єктом перевірки.

У разі наявності у суб’єкта перевірки розпорядника бази персональних даних додатково здійснюється перевірка:

  1. Наявності укладеного між суб’єктом перевірки як володільцем бази персональних даних та розпорядником бази персональних даних відповідного договору у письмовій формі у відповідності до вимог статті 11 Закону.

  2. Відповідності умов обробки розпорядником бази персональних даних умов обробки персональних даних умовам, що визначені у відповідному договорі з володільцем баз персональних даних (зокрема, меті, складу, змісту, обсягу тощо). При цьому здійснюється перевірка змісту договору на предмет належної регламентації процедур обробки персональних даних розпорядником бази персональних даних, а також з’ясування, чи не надано договором розпоряднику бази персональних даних більше повноважень щодо обробки персональних даних, ніж є у володільця бази. У цьому контексті може також виникнути необхідність перевірки володільця бази персональних даних щодо наявних у нього повноважень щодо обробки персональних даних.

  3. Дотримання розпорядником бази персональних даних усіх зазначених вище питань, які перевірялися на відповідність вимогам Закону у володільця бази персональних даних.

За результатами здійснення працівниками ДСЗПД в межах своїх повноважень контролю за додержанням вимог законодавства про захист персональних даних із забезпеченням відповідно до Закону доступу до інформації, пов’язаної з обробкою персональних даних у базі персональних даних, та до приміщень, де здійснюється їх обробка, складаються відповідні акти та виносяться обов’язкові для виконання законні вимоги (приписи) про усунення виявлених порушень законодавства про захист персональних даних.

Положенням про Державну службу України з питань захисту персональних даних також передбачається у відповідності до покладеного на ДСЗПД завдання щодо контролю за додержанням вимог законодавства про захист персональних даних надання від суб’єкта перевірки необхідної інформації та документів, що підтверджують усунення виявлених порушень.

Окремо слід зазначити, що у ході проведених працівниками ДСЗПД перевірок протягом 2010 року виявлено цілу низку типових порушень у сфері захисту персональних даних, що мають загальний характер, а також таких, які є характерними для певних галузей та сфер діяльності.

Серед типових порушень, характерних для більшості перевірених володільців та розпорядників баз персональних даних, можна зазначити такі:

  1. Відсутність реєстрації баз персональних даних в Державному реєстрі баз персональних даних або відмітки щодо відправлення заяви на реєстрацію бази.
  2. Відсутність затвердженої внутрішніми розпорядчими документами мети обробки персональних даних, їх складу та змісту.
  3. Відсутня можливість оцінки забезпечення цілісності персональних даних та режиму доступу до них.
  4. Відсутність затверджених процедур обробки персональних даних (наприклад, як відбувається збір, зберігання, використання, поширення персональних даних; хто має до них доступ і в якій мірі).
  5. Відсутність належних правових підстав обробки персональних даних (наприклад, відсутність документованої згоди суб’єкта на обробку його персональних даних, або наявна згода на обробку персональних даних, отримана від суб’єкта, не охоплює всі процеси обробки, у тому числі ті, що здійснюються розпорядниками баз персональних даних).
  6. Неповідомлення або несвоєчасне повідомлення суб’єкта персональних даних про його права у зв’язку із включенням його персональних даних до бази персональних даних, мету збору цих даних та осіб, яким ці дані передаються.
  7. Відсутність належно оформлених письмових договорів з розпорядниками баз персональних даних, в яких чітко врегульовано відносини, пов’язані з обробкою персональних даних, визначено мету та обсяги обробки персональних даних розпорядником.
  8. Відсутні документи про затвердження особи, яка організовує роботу, пов’язану із захистом персональних даних при їх обробці.
  9. При здійсненні обробки персональних даних у якості розпорядника бази персональних даних не врегульовуються належним чином відповідні договірні відносини з володільцем бази персональних даних в частині дотримання вимог законодавства про захист персональних даних; здійснює обробку персональних даних в обсягах, що перевищують права володільця бази персональних даних, при цьому, в окремих випадках:
    • розпорядник діє на основі письмового договору, за яким володілець визначив йому такі права стосовно обробки персональних даних, на які сам не є уповноваженим;
    • розпорядник фактично здійснює обробку персональних даних, без належно оформленого договору з володільцем, при цьому обробляє персональні дані в обсягах, що перевищують права володільця.

На сьогодні ДСЗПД проводиться аналіз усієї отриманої під час перевірок інформації з метою розробки та формування рекомендацій стосовно запобігання порушенням законодавства про захист персональних даних.

Також досвід, отриманий завдяки проведеним перевіркам, буде втілено у Положенні про порядок здійснення Державною службою України з питань захисту персональних даних державного контролю за додержанням законодавства про захист персональних даних, проект якого зараз доопрацьовується фахівцями ДСЗПД.

Олексій Мервінський
По материалам «ЮРИСТ & ЗАКОН»
HR-Лига
Переглядів: 13224 Надіслати другу Версія для друку
 
Дивіться також:
Держстат оновив форми № 1-ПВ та № 1-РС
Електронна трудова книжка: відповіді на запитання
Нагадуємо про особливості трудових відносин в умовах воєнного стану
Чи є право на щорічну відпустку під час призупинення дії трудових договорів?
Поновлення на посаді та стягнення середнього заробітку: що слід ураховувати?
Обов’язкова індексація заробітної плати від «А» до «Я» у 2024 році
Виправлення неправильного або неточного запису в трудовій книжці
Чи буде автоматичний перерахунок пенсії з 1 квітня працюючому пенсіонеру?
Рада збирається підвищити розмір допомоги при народженні дитини
Відпустки у зв’язку з поганим настроєм дозволили в Китаї
Як роботодавцям подати трудові книжки працівників на оцифрування?
Працівник переїхав до іншої частини України або за кордон: звільняти чи ні?
Спрощений режим регулювання трудових відносин: корисна інфографіка
У яких випадках заборонено звільняти вагітних жінок і працівників із дітьми?
Трудові спори: на що звертає увагу ВС
Які наслідки для роботодавця несе зменшення призовного віку до 25 років?
Трудовий договір з нефіксованим робочим часом: корисна інфографіка
Як розрахувати середній заробіток працівнику, який з 1 квітня у відпустці чи відрядженні?
Чи буде враховано до страхового стажу період, коли людина перебувала на обліку у центрі зайнятості?
Деякі зміни в законодавстві в умовах воєнного стану при звільненні
Чи може роботодавець відмовити у наданні відпустки під час воєнного стану?
У лікарняному поставили відмітку про алкогольне сп’яніння: чи виплатять допомогу?
Нещасний випадок на виробництві: в якому розмірі виплачується допомога?
Новації Закону про мобілізацію: бронювання працівників
Як підтвердити стаж, якщо немає трудової книжки чи записів у ній?
Для яких категорій працівників є обов’язковим медичний огляд?
Працівник призваний на службу у ЗСУ: які він має гарантії?
Чи має право працівник в умовах спрощеного регулювання трудових відносин на відпустки?
Новий Закон про мобілізацію: основні зміни
Як обчислювати середню зарплату для компенсації невикористаної відпустки?
Термін дії строкового трудового договору може визначатися настанням певної події
Чи можна взяти лише останні 5 років заробітної плати при призначенні пенсії?
Звільнення у разі появи на роботі в нетверезому стані
Коли дозволено звільнити працівника через встановлення інвалідності?
Повідомлення про масове вивільнення працівників
Обчислюємо пенсію за віком
Звільнення за прогул
Виплати сім’ї потерпілого внаслідок нещасного випадку на виробництві
Звільнити не можна залишити: чи підлягають звільненню мобілізовані працівники під час воєнного стану?
Компенсаційні виплати роботодавцям: зміни з квітня 2024 року
Припинення трудового договору за вимогою працівника без дотримання двотижневого строку попередження
Які штрафи пропонуються за порушення правил військового обліку та мобілізації?
Алгоритм дій роботодавця під час сигналу «Повітряна тривога»
Особливості призначення пенсій в умовах воєнного стану
Працівник у день звільнення не працював: як здійснити розрахунок?
Як нарахувати ЄСВ, якщо працівник відпрацював неповний місяць і звільнився?
Сумарне чи щорічне підвищення кваліфікації для атестації вчителя?
Мобілізованим працівникам можуть повернути виплату середнього заробітку роботодавцем
Чи потрібно інформувати службу зайнятості про скорочення працівників?
МОН презентує проект нового закону «Про професійну освіту»
Всі новини
Реклама
Проекти для професіоналів

КАДРОВИК.UA

 Свіжий номер
Про журнал
Живий Журнал
Придбати
Форум кадровиків

ДІЛОВОДСТВО

 Про журнал
Архів журналу
Живий Журнал
Придбати

ОХОРОНА ПРАЦІ і ПОЖЕЖНА БЕЗПЕКА

 Про журнал
Архів журналу
Живий Журнал
Придбати

ПОСІБНИКИ/СПЕЦВИПУСКИ

 «Медогляди — що має знати спеціаліст з ОП»

 «Підстави звільнення працівників. Частина 2»

 «ФОП і охорона праці. Як правильно організувати в умовах війни?»

 «Мобілізований працівник: алгоритм дій для кадровика. Оновлене видання»

КУРСИ

 Курс «Підвищення кваліфікації з військового обліку»

 Курс підвищення кваліфікації «Кадрова справа для професіонала»
Оголошення
Шановні відвідувачі!
З усіх питань щодо роботи порталу звертайтесь до адміністратора
2024 © МЕДІА-ПРО
2024 © HR Liga
Copyright © 2005–2024 HR Liga
Використання матеріалів із журналів Групи компаній «МЕДІА-ПРО» лише за погодженням з редакцією (адміністрацією) порталу.
Редакція (адміністрація) залишає за собою право не розділяти думку авторів матеріалів, що розміщуються.
Редакція (адміністрація) порталу не несе відповідальності за збитки, які можуть бути завдані внаслідок використання, невикористання або неналежного використання інформації, що міститься на порталі.
Відповідальність за достовірність інформації та інших відомостей несуть автори публікацій.
З усіх питань пишіть на admin@hrliga.com