Типичные нарушения в сфере защиты персональных данных
На основании результатов анализа проведенных проверок ГСЗПД в письме от 05.02.2013 г. № 11/257-13 обратила внимание на ряд типичных нарушений законодательства о защите персональных данных.
Владелец персональных данных обязан уведомлять уполномоченный государственный орган по вопросам защиты персональных данных о каждом изменении сведений, необходимых для регистрации соответствующей базы, не позднее чем в течение десяти рабочих дней со дня наступления такого изменения. Некоторые субъекты не ставили в известность ГСЗПД об изменении местонахождения базы персональных данных или об изменении сведений о распорядителях базы персональных данных.
Также ГСЗПД отмечает, что лица, для которых никакими внутренними документами (например, должностной инструкцией) не предусмотрено осуществление обработки персональных данных, не должны иметь доступа к этим данным.
Некоторые владельцы и распорядители персональных данных не понимают, на каком из правовых оснований они используют персональные данные. Прежде чем получать у субъекта согласие на обработку персональных данных, необходимо определить, нет ли других правовых оснований для обработки персональных данных, в частности, разрешения на обработку персональных данных, предоставленного на основании норм действующего законодательства Украины. Например, обработка персональных данных работников предприятия с целью обеспечения реализации трудовых отношений не требует согласия, однако, если предприятием собираются персональные данные, не предусмотренные трудовым законодательством, необходимо получить согласие работников на обработку таких данных.
Частым нарушением законодательства о защите персональных данных является также обработка персональных данных распорядителями без заключенного договора с владельцем персональных данных, в объеме или с целью, которые превышают дозволенные.
Кроменарушений Закона о защите персональных данных, было выявлено также нарушение Типового порядка обработки персональных данных. Так, у большинства субъектов проверок было выявлено нарушение требований пункта 1.8 Типового порядка, а именно:
— указанная в свидетельстве о государственной регистрации базы персональных данных (заявлении о регистрации базы персональных данных) и/или во внутренних документах цель обработки отличается от цели, с которой субъект проверки осуществляет обработку персональных данных, а состав персональных данных в базе персональных данных в действительности значительно отличается от состава персональных данных, указанного в свидетельстве о государственной регистрации базы персональных данных (заявлении о регистрации базы персональных данных) и/или во внутренних документах;
— во внутренних документах субъекта проверки, которые устанавливают порядок обработки персональных данных, не определен или только частично определен порядок внесения, изменения, восстановления, использования, распространения, обезличивания, уничтожения персональных данных в базах персональных данных;
— субъектом проверки не определены лица или структурное подразделение, ответственные за обработку и защиту персональных данных;
— во внутренних документах субъекта проверки, которые устанавливают порядок обработки персональных данных, не определен или только частично определен порядок защиты персональных данных, в том числе от незаконной обработки и незаконного доступа к ним.
Наиболее распространенными нарушениями среди проверенных субъектов были нарушения разделов II и III Типового порядка, в частности, не была определена процедура осуществления регистрации результатов идентификации и/или аутентификации работников субъекта проверки, действий по обработке персональных данных, результатов проверки целостности средств защиты персональных данных.
Также ГСЗПД обращает внимание на то, что в случае невыполнения законных требований предписания относительно устранения нарушений законодательства о защите персональных данных она будет рассматривать данные действия как нарушение, предусмотренное ст. 18840 КУоАП, вследствие чего будет составлен протокол об административном правонарушении и материалы будут переданы в суд.
В свою очередь напомним, что указанные выше нарушения влекут наложение штрафа на должностных лиц, граждан — субъектов предпринимательской деятельности от 100 до 200 ннмдг (от 1700 до 2800 грн).