Уповноважений Верховної Ради з прав людини (далі уповноважений) може здійснювати перевірки компаній з питань дотримання положень законодавства про захист персональних даних.
Загалом є чотири нормативні акти які стосуються перевірок:
- Закон України «Про захист персональних даних» - визначає основні вимоги до обробки персональних даних;
- Закон України «Про Уповноваженого Верховної Ради України з прав людини»- визначає загальний статус уповноваженого;
- «Порядок здійснення Уповноваженим Верховної Ради України з прав людини контролю за додержанням законодавства про захист персональних даних» - визначає правила проведення перевірок;
- «Типовий порядок обробки персональних даних» - визначає вимоги до документів компанії щодо обробки персональних даних.
Проведення перевірки може бути доручене уповноваженим:
керівнику Секретаріату уповноваженого або його заступникам;
представникам уповноваженого;
керівникам структурних підрозділів Секретаріату та їх заступниками;
працівникам Секретаріату уповноваженого.
Види перевірок
За способом проведення перевірки бувають виїзні або безвиїзні, а за підставами – планові та позапланові.
Планові перевірки проводяться незалежно від наявності порушень відповідно до річних/квартальних планів, які затверджуються уповноваженим до 1 грудня року, що передує плановому, або до 25 числа останнього місяця кварталу, що передує плановому та здійснюються з періодичністю не частіше одного разу на рік. З планами проведення перевірок можна ознайомитися на сайті уповноваженого.
Звертаємо увагу, що якщо першому кварталі 2020 року та другому кварталі 2021 року було заплановано лише по дві перевірки, в першому кварталі 2022 року – 16, то на кожний квартал 2025 року заплановано по 26 перевірок.
Значні шанси потрапити під перевірку є у наступних сегментах економіки :
великі торгівельні мережі (переважно сегмент, орієнтований на споживача);
споживацькі послуги (перевезення, проведення подій, пошта);
фінансові установи (мікрофінансові організації, банки);
агенції з продажу нерухомості;
медичні установи;
навчальні заклади.
Позапланові перевірки здійснюються:
за власною ініціативою уповноваженого;
при безпосередньому виявленні порушень вимог законодавства про захист персональних даних;
при наявності інформації про порушення вимог законодавства про захист персональних даних в повідомленнях, опублікованих в ЗМІ, в Інтернеті;
за обґрунтованими скаргами;
в разі виявлення недостовірності у відомостях, наданих на письмовий запит уповноваженого або якщо такі відомості не дають змоги оцінити виконання вимог законодавства про захист персональних даних;
для здійснення контролю за виконанням раніше виданих приписів щодо усунення порушень вимог законодавства про захист персональних даних.
Типові заходи під час перевірки
Представники уповноваженого мають право безперешкодно входити на об'єкт перевірки за службовим посвідченням і мати безперешкодний доступ до місць зберігання інформації, у тому числі й до комп'ютерів та носіїв інформації, отримувати доступ до документів та засвідчені копії документів і паперові копії електронних документів.
Переважно, для перевірки запитують наступні документи та відомості:
установчий документ (статут);
інформацію про організаційну структуру та штатний розпис;
положення про структурні підрозділи, які здійснюють обробку персональних даних;
номенклатури справ;
документ, яким визначаються загальні вимоги до обробки та захисту персональних даних (наприклад, положення про обробку персональних даних);
інформаційну довідку про базу персональних даних, в якій здійснюється обробка персональних даних;
перелік працівників, які мають/мали доступ до персональних даних з документальним підтвердженням того, що надання ним доступу відповідає їх посадовим обов'язкам;
підтвердження надання працівниками, які мають доступ до персональних даних, зобов'язань про нерозголошення персональних даних;
інформаційна довідка про порядок обміну та поширення інформації, що містить персональні дані, а саме шляхи її передачі між структурними підрозділами;
план дій на випадок несанкціонованого доступу до персональних даних, пошкодження технічного обладнання, виникнення надзвичайних ситуацій.
За наявності запитів до компанії, що стосуються надання персональних даних, представники уповноваженого шляхом вибіркової перевірки відповідей на них перевіряють їх беручи до уваги наступне:
чи належним чином здійснюється оцінка повноважень запитувачів;
підстави та мета запитів.
Під час виїзних перевірок представники уповноваженого можуть аналізувати інформаційні стенди, куточки споживачів та інші публічні повідомлення що стосуються обробки персональних даних. Крім того, оцінюється забезпечення фізичної безпеки персональних даних - враховується наявність системи протипожежної безпеки, наявність доступів до кабінетів, де зберігаються носії персональних даних, в осіб, які не уповноважені на їхню обробку (замки на дверях, грати на вікнах, сигналізація).
Типові порушення
Найчастіше відзначаються наступні порушення:
– відсутність документації. Наприклад, документу, яким визначаються загальні вимоги до обробки та захисту персональних даних, зобов’язань працівників про нерозголошення персональних даних, документу який визначає структурний підрозділ або відповідальну особу за організацію роботи пов’язаної із захистом персональних даних.
– неправильна підстава обробки даних. Стаття 11 Закону України «Про захист персональних даних» визначає вичерпний перелік підстав для обробки персональних даних, і згода є лише однією із них. При цьому жодна з підстав не є універсальною – виконання договору, наприклад, є самостійною підставою обробки даних, і отримання окремої згоди на обробку для виконання укладеного договору може бути кваліфіковане як порушення. Приміром, згода працівника на обробку даних у звʼязку із виконанням робочих завдань, отримана окремо від трудового договору, буде незаконною. Згода передбачає добровільність і можливість відмовитись – якщо без такої згоди виконання роботи буде неможливим, працівник погоджується вимушено, тому принцип добровільності порушується.
– згода без інформування. Згода на обробку даних є незаконною, якщо не надано інформацію про володільця та розпорядника даних, мету обробки, перелік даних що оброблятимуться, дії з даними, їх передачу, строк зберігання, порядок відкликання згоди, автоматичну обробку (за наявності).
– поширення без підстав. Поширення даних про особу без її згоди буде порушенням. Воно виникає, зокрема, у випадках, якщо обрана платіжна система, форма зворотнього зв'язку або інший елемент онлайн-взаємодії належить сторонній особі, сервери якої розміщено за кордоном.
– фізична захищеність носіїв. Порушенням може вважатися знаходження побутових електроприладів в приміщенні, де зберігаються документи, що містять персональні дані за умови відсутності засобів пожежогасіння.
Відповідальність за порушення
У випадку виявлення порушень законодавства про захист персональних даних, в більшості випадків видається припис про усунення порушень.
Якщо не виконати припис, може бути накладено штраф на посадових осіб у розмірі від 5,1 тис. грн до 17 тис. грн, а у разі повторного невиконання приписів протягом року – від 8,5 тис. грн до 34 тис. грн.
Наступні порушення можуть нести за собою притягнення до адміністративної відповідальності без видання припису:
неповідомлення або несвоєчасне повідомлення уповноваженого про обробку персональних даних або про зміну відомостей, які підлягають повідомленню згідно із законом, повідомлення неповних чи недостовірних відомостей – штраф на посадових осіб у розмірі 3,4 тис. грн до 6,8 тис. грн;
недодержання порядку захисту персональних даних, що призвело до незаконного доступу до них або порушення прав суб’єкта персональних даних – штраф на посадових осіб у розмірі від 5,1 тис. грн до 17 тис. грн, а у разі повторного порушення протягом року – до 34 тис. грн.
Про це повідомила «Економічна Правда».
Читайте також:
