Защита персональных данных: названы типичные нарушения

Государственная служба Украины по вопросам защиты персональных данных по итогам проведенных ею проверок выявила ряд типичных нарушений законодательства по обработке и защите персональных данных.

Что проверяет ГСЗПД?

Прежде всего соблюдения требований законодательства о защите персональных данных, а именно:

— Закона «О защите персональных данных» от 01.06.2010 г. № 2297-VI (в редакции от 20.11.2012 г.);

— Типового порядка обработки персональных данных в базах персональных данных, утвержденного приказом Минюста от 30.12.2011 г. № 3659/5.

Какие нарушения Закона № 2297-VI типичны?

1. Владелец персональных данных обязан сообщать уполномоченный госорган по вопросам защиты персональных данных о каждом изменении сведений, необходимых для регистрации соответствующей базы, в течение 10 рабочих дней со дня наступления такого изменения и не позднее (ч. 6 ст. 9 Закона № 2297-VI).

2. Использование персональных данных работниками субъектов отношений, связанных с персональными данными, должно осуществляться только в соответствии с их профессиональными или служебными или трудовыми обязанностями. Эта норма предусматривает, что на предприятии (в учреждении, организации) обрабатывать персональные данные могут только те лица, для которых должностной инструкцией или другими внутренними документами установлен такой долг. Лица, для которых никакими внутренними документами не предусмотрено осуществление обработки персональных данных, не должны иметь доступа к ним (ч. 3 ст. 10 Закона № 2297-VI).

3. Больше всего проблем возникает у субъектов, осуществляющих обработку персональных данных, с определением правовых оснований возникновения права на такую обработку, предусмотренных ч. 1 ст. 11 Закона № 2297-VI.

4. Обработка персональных данных осуществляется для конкретных и законных целей, определенных по согласию субъекта персональных данных, или в случаях, предусмотренных законами Украины, в порядке, установленном законодательством (ч. 5 ст. 6 Закона № 2297-VI).

5. Прежде чем получить согласие субъекта на обработку его персональных данных владельцу и / или распорядителю персональных данных следует узнать, нет ли других правовых оснований для обработки персональных данных, в частности разрешения на обработку персональных данных на основании норм действующего законодательства Украины. Например, обработка персональных данных работников предприятия (учреждения, организации) с целью обеспечения реализации трудовых отношений не требует согласия, однако если предприятие (учреждение, организация) собирают персональные данные, не предусмотренные трудовым законодательством, необходимо получить согласие работников на это.

6. Во время сбора персональных данных или в течение 10 рабочих дней со дня их сбора субъекта персональных данных сообщают о владельце, состав и содержание собранных персональных данных, права такого субъекта, цель сбора и лиц, которым передают его персональные данные (ч. 2 ст. 12 Закона № 2297-VI).

7. Во время проверок было также установлено нарушение ст. 16 Закона, которая определяет порядок доступа к персональным данным третьих лиц. Владелец базы персональных данных передавал их третьим лицам с нарушением ч. 4 этой статьи, а именно — без указания всей необходимой информации, которая должна содержаться в запросе на доступ к персональным данным третьих лиц.

Какие нарушения Типового порядка обработки персональных данных встречаются чаще всего?

1. Указанная в свидетельстве о госрегистрации базы персональных данных (заявлении о регистрации базы персональных данных) и / или внутренних документах цель обработки отличается от цели, с которой субъект проверки осуществляет обработку персональных данных, а состав персональных данных в базе значительно отличается от состава персональных данных, указанного в свидетельстве о госрегистрации базы персональных данных (заявлении о регистрации базы) и / или во внутренних документах (п. 1.8 Типового порядка).

2. Во внутренних документах субъекта проверки, устанавливающие порядок обработки персональных данных, не определен или только частично определен порядок внесения, изменения, обновления, использования, распространения, обезличивание, уничтожение персональных данных в базах персональных данных (п. 1.8 Типового порядка).

3. Субъектом проверки не определены ответственные лица или структурное подразделение, ответственные за обработку и защиту персональных данных (п. 1.8 Типового порядка).

4. Во внутренних документах субъекта проверки, устанавливающие порядок обработки персональных данных, не определен или только частично определен порядок защиты персональных данных, в том числе от незаконной обработки и незаконного доступа к ним (п. 1.8 Типового порядка).

5. Внутренними документами субъектов проверок на ответственных лиц или структурное подразделение субъекта проверки не полагались или частично возлагались задачи, предусмотренные п. 1.9 Типового порядка.

6. Наиболее распространенными нарушениями среди проверенных субъектов были нарушения разделов II и III Типового порядка, в частности не определена процедура регистрации результатов идентификации и / или автенты-фикации работников субъекта проверки, действий по обработке персональных данных, результатов проверки целостности средств защиты персональных данных.

7. Не обеспечивается надлежащая защита помещений, в которых хранятся персональные данные как в электронной форме, так и в форме картотек, например, двери в помещениях и / или шкафах, сейфах не оборудованы замками.

Письмо Госслужбы Украины по вопросам защиты персональных данных от 05.02.2013 г. № 11/257-13

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *