ГОСУДАРСТВЕННАЯ СЛУЖБА УКРАИНЫ ПО ВОПРОСАМ ЗАЩИТЫ ПЕРСОНАЛЬНЫХ ДАННЫХ

ПИСЬМО

от 5 февраля 2013 г. № 11/257-13

Относительно доступа к публичной информации

В ответ на Ваш запрос относительно доступа к публичной информации Государственная служба Украины по вопросам защиты персональных данных (далее — ГСЗПД Украины) в пределах своей компетенции сообщает следующее.

1. ГСЗПД Украины за период с 16.07.2012 по 05.02.2013 все было проведено 36 (из них 7 — в 2013 году) проверок соблюдения требований законодательства о защите персональных данных. За указанный период были осуществлены проверки 22 предприятий, учреждений, организаций, которые осуществляют свою деятельность в разных сферах хозяйствования, 8 органов государственной власти и местного самоуправления и 6 коммунальных предприятий.

В ходе осуществления мероприятий государственного надзора и контроля ГСЗПД Украины проверяет соблюдение требований законодательства о защите персональных данных, а именно: Закона Украины от 01.06.2010 № 2297-VI «О защите персональных данных» (в редакции от 20.11.2012) (дальше — Закон), Типового порядка обработки персональных данных в базах персональных данных, утвержденного приказом Министерства юстиции Украины от 30.12.2011 № 3659/5, зарегистрированного в Министерстве юстиции Украины 03.01.2012 за № 1/20314 (далее — Типовой порядок).

2. По результатам проведенных проверок был выявлен ряд типичных нарушений законодательства о защите персональных данных, среди которых можно выделить следующие.

Частью 6 статьи 9 Закона определено, что владелец персональных данных обязан уведомлять уполномоченный государственный орган по вопросам защиты персональных данных о каждом изменении сведений, необходимых для регистрации соответствующей базы, не позднее чем в течение десяти рабочих дней со дня наступления такого изменения. У некоторых субъектов проверки было выявлено нарушение данного требования, а именно: не была поставлена в известность ГСЗПД Украины об изменении местонахождения базы персональных данных или об изменении сведений о распорядителях базы персональных данных.

Часть 3 статьи 10 Закона устанавливает, что использование персональных данных работниками субъектов отношений, связанных с персональными данными, должно осуществляться только в соответствии с их профессиональными или служебными либо трудовыми обязанностями. Данная норма предусматривает, что на предприятии (в учреждении, организации) обработку персональных данных могут производить только те лица, у которых должностной инструкцией или другими внутренними документами определена обязанность осуществления обработки персональных данных. Те лица, для которых никакими внутренними документами не предусмотрено осуществление обработки персональных данных, не должны иметь доступа к этим данным.

Больше всего проблем возникает у субъектов, осуществляющих обработку персональных данных с определением правовых оснований возникновения права на такую обработку, которые предусмотрены частью 1 статьи 11 Закона.

Согласно части 5 статьи 6 Закона обработка персональных данных осуществляется для конкретных и законных целей, определенных с согласия субъекта персональных данных, или в случаях, предусмотренных законами Украины, в порядке, установленном законодательством. Среди проверенных субъектов хозяйствования было выявлено, что ими нарушались требования законодательства в части обработки персональных данных без согласия субъекта персональных данных. Владелец базы персональных данных должен, прежде чем осуществлять обработку персональных данных, получить согласие субъекта персональных данных на обработку этих данных.

Вместе с тем в ходе проверок было выявлено, что некоторые владельцы и/или распорядители персональных данных не понимают, на каком из правовых оснований, предусмотренных статьей 11 Закона, они используют персональные данные. Прежде чем получать у субъекта согласие на обработку персональных данных, владельцу и/или распорядителю персональных данных необходимо определить, нет ли других правовых оснований для обработки персональных данных, в частности разрешения на обработку персональных данных, предоставленного на основании норм действующего законодательства Украины. Например, обработка персональных данных работников предприятия (учреждения, организации) с целью обеспечения реализации трудовых отношений не требует согласия, однако, если предприятием (учреждением, организацией) собираются персональные данные, не предусмотренные трудовым законодательством, необходимо получить согласие работников на обработку таких данных.

Не меньше нарушений касается и частей 4 и 5 статьи 4 Закона относительно обработки персональных данных распорядителями персональных данных. Во-первых, обработка персональных данных распорядителями осуществлялась без заключенного договора между владельцем и распорядителем персональных данных. Во-вторых, распорядители персональных данных осуществляли обработку персональных данных в объеме, превышавшем объем, предоставленный распорядителю владельцем персональных данных, и с целью, которая не соответствовала цели обработки персональных данных владельца персональных данных.

Часть 2 статьи 12 Закона определяет, что в момент сбора персональных данных или в течение десяти рабочих дней со дня сбора персональных данных субъект персональных данных уведомляется о владельце персональных данных, составе и содержании собранных персональных данных, правах такого субъекта, определенных данным Законом, цели сбора персональных данных и лицах, которым передаются его персональные данные. Однако, как показала практика проведенных проверок, имело место неуведомление или несвоевременное уведомление субъектов персональных данных об обработке их данных. У некоторых субъектов проверок такое уведомление не содержало необходимую информацию, определенную частью 2 статьи 12 Закона.

В ходе проверок было также установлено нарушение статьи 16 Закона, которая определяет порядок доступа к персональным данным третьих лиц. Владелец базы персональных данных осуществлял передачу персональных данных третьим лицам с нарушением части 4 данной статьи, а именно — без указания всей необходимой информации, которая должна содержаться в запросе на доступ к персональным данным третьих лиц.

Кроме нарушений Закона было выявлено и нарушение Типового порядка обработки персональных данных. Так, у большинства субъектов проверок было выявлено нарушение требований пункта 1.8 Типового порядка, а именно:

— указанная в свидетельстве о государственной регистрации базы персональных данных (заявлении о регистрации базы персональных данных) и/или во внутренних документах цель обработки отличается от цели, с которой субъект проверки осуществляет обработку персональных данных, а состав персональных данных в базе персональных данных в действительности значительно отличается от состава персональных данных, указанного в свидетельстве о государственной регистрации базы персональных данных (заявлении о регистрации базы персональных данных) и/или во внутренних документах;

— во внутренних документах субъекта проверки, которые устанавливают порядок обработки персональных данных, не определен или только частично определен порядок внесения, изменения, восстановления, использования, распространения, обезличивания, уничтожения персональных данных в базах персональных данных;

— субъектом проверки не определены ответственные лица или структурное подразделение, ответственные за обработку и защиту персональных данных;

— во внутренних документах субъекта проверки, которые устанавливают порядок обработки персональных данных, не определен или только частично определен порядок защиты персональных данных, в том числе от незаконной обработки и незаконного доступа к ним.

Также в ходе проверок было выявлено, что внутренними документами субъектов проверок на ответственных лиц или структурное подразделение субъекта проверки не возлагались или частично возлагались задачи, предусмотренные пунктом 1.9 Типового порядка.

Наиболее распространенными нарушениями среди проверенных субъектов были нарушения, в большей или меньшей мере, разделов II и III Типового порядка, в частности, не была определена процедура осуществления регистрации результатов идентификации и/или аутентификации работников субъекта проверки, действий по обработке персональных данных, результатов проверки целостности средств защиты персональных данных.

Кроме нарушений, указанных выше, некоторыми субъектами проверок не обеспечивалась надлежащая защита помещений, в которых находятся персональные данные, как в электронной форме, так и в форме картотек, например, двери в помещениях и/или шкафах, сейфах не были оборудованы замками.

Предоставить информацию об общем количестве выявленных нарушений невозможно, поскольку такая статистика в ГСЗПД Украины не ведется.

3. По результатам проведенных проверок было выдано 30 предписаний об устранении нарушения требований законодательства в сфере защиты персональных данных, выявленных в ходе проверки. Субъектами проверки требования предписаний выполнены в полном объеме. Обращаем внимание на то, что в случае неисполнения законных требований предписания относительно устранения нарушений законодательства о защите персональных данных ГСЗПД Украины будет рассматривать данные действия как нарушение, предусмотренное статьей 188⁴⁰ Кодекса Украины об административных правонарушениях, вследствие чего будет составлен протокол об административном правонарушении и переданы материалы в суд.

Кроме того, по результатам проведенных проверок в 2013 году были составлены два протокола об административных правонарушениях, предусмотренных частями 1 и 2 статьи 188³⁹, а материалы дела переданы в суд.

По результатам проведенного анализа нарушений, выявленных в ходе проверок, отделом контроля разработаны методические рекомендации и разъяснения относительно применения законодательства о защите персональных данных субъектами проверок, которые осуществляют свою деятельность в разных сферах хозяйствования, с целью предупреждения нарушений требований законодательства в дальнейшем. В частности, письма с разъяснениями и рекомендациями относительно приведения в соответствие с законодательством о защите персональных данных были направлены в Министерство внутренних дел Украины и Министерство регионального развития, строительства и жилищно-коммунального хозяйства Украины, Ассоциацию коллекторского бизнеса, заведения образования.

Дополнительно информируем, что Вы как субъект персональных данных, которые обрабатываются ГСЗП[Д] Украины в связи с рассмотрением Вашего обращения, имеете права, определенные статьей 8 Закона Украины «О защите персональных данных». Персональные данные, указанные в Вашем обращении, обрабатываются в «Базе персональных данных физических лиц, вступающих в правовые отношения с ГСЗПД Украины», регистрационный номер № 735 в Государственном реестре баз персональных данных. Обращение и материалы относительно его обработки регистрируются и хранятся в ГСЗПД Украины в соответствии с Инструкцией по делопроизводству по обращениям граждан в органах государственной власти и местного самоуправления, объединениях граждан, на предприятиях, в учреждениях, организациях независимо от форм собственности, в средствах массовой информации, утвержденной постановлением Кабинета Министров Украины от 14.04.97 № 348.