29 марта 2013 г.
Государственная служба Украины по вопросам защиты персональных данных (далее — ГСЗПД) в письме от 05.02.2013 г. № 11/257-13 рассказала о наиболее распространенных нарушениях законодательства в сфере защиты персональных данных.
1. Так, ГСЗПД было выявлено нарушение некоторыми субъектами требования, установленного ч. 6 ст. 9 Закона Украины «О защите персональных данных» от 01.06.2010 г. № 2297-VI (далее — Закон № 2297), которым предусмотрено, что владелец персональных данных обязан уведомлять уполномоченный государственный орган по вопросам защиты персональных данных о каждом изменении сведений, необходимых для регистрации соответствующей базы, не позднее чем в течение десяти рабочих дней со дня наступления такого изменения. Такие нарушения состояли в том, что ГСЗПД не была поставлена в известность об изменении местонахождения базы персональных данных или об изменении сведений о распорядителях базы персональных данных.
2. В соответствии с ч. 3 ст. 10 Закона № 2297 использование персональных данных работниками субъектов отношений, связанных с персональными данными, должно осуществляться только в соответствии с их профессиональными или служебными либо трудовыми обязанностями. Данная норма предусматривает, что на предприятии (в учреждении, организации) обработку персональных данных могут производить только те лица, у которых должностной инструкцией или другими внутренними документами определена обязанность осуществления обработки персональных данных.
В связи с этим ГСЗПД указала, что те лица, для которых никакими внутренними документами не предусмотрено осуществление обработки персональных данных, не должны иметь доступа к этим данным.
3. При этом, как было отмечено ГСЗПД, больше всего проблем возникает у субъектов, осуществляющих обработку персональных данных с определением правовых оснований возникновения права на такую обработку, предусмотренных ч. 1 ст. 11 Закона № 2297.
Согласно ч. 5 ст. 6 Закона № 2297 обработка персональных данных осуществляется для конкретных и законных целей, определенных с согласия субъекта персональных данных, или в случаях, предусмотренных законами Украины, в порядке, установленном законодательством. При этом среди проверенных субъектов хозяйствования ГСЗПД были выявлены нарушения требований законодательства в части обработки персональных данных без согласия субъекта персональных данных.
Владелец базы персональных данных должен, прежде чем осуществлять обработку персональных данных, получить согласие субъекта персональных данных на обработку этих данных.
Вместе с тем, прежде чем получать у субъекта согласие на обработку персональных данных, владельцу и/или распорядителю персональных данных необходимо определить, нет ли других правовых оснований для обработки персональных данных, в частности, разрешения на обработку персональных данных, предоставленного на основании норм действующего законодательства Украины.
В связи с этим чиновники напомнили, что обработка персональных данных работников предприятия (учреждения, организации) с целью обеспечения реализации трудовых отношений не требует согласия.
В то же время, если предприятием (учреждением, организацией) собираются персональные данные, не предусмотренные трудовым законодательством, необходимо получить согласие работников на обработку таких данных.
4. ГСЗПД разъяснила, что довольно много нарушений касается также ч. 4 и 5 статьи 4 Закона № 2297 относительно обработки персональных данных распорядителями персональных данных. Они заключаются в том, что:
4.1) обработка персональных данных распорядителями осуществляется без заключенного договора между владельцем и распорядителем персональных данных;
4.2) распорядители персональных данных осуществляют обработку персональных данных в объеме, превышающем объем, предоставленный распорядителю владельцем персональных данных, и с целью, которая не соответствует цели обработки персональных данных владельца персональных данных.
5. В ходе проверок ГСЗПД также установила нарушение ст. 16 Закона № 2297, которая определяет порядок доступа к персональным данным третьих лиц. Так, владельцы баз персональных данных осуществляли передачу персональных данных третьим лицам с нарушением ч. 4 данной статьи, а именно — без указания всей необходимой информации, которая должна содержаться в запросе на доступ к персональным данным третьих лиц.
6. Кроме нарушений Закона № 2297, чиновниками было выявлено и нарушение норм Типового порядка обработки персональных данных в базах персональных данных, утвержденного приказом Министерства юстиции Украины от 30.12.2011 г. № 3659/5. При этом они указали на значительную распространенность нарушений требований п. 1.8 Типового порядка, а именно:
6.1) указанная в свидетельстве о государственной регистрации базы персональных данных (заявлении о регистрации базы персональных данных) и/или во внутренних документах цель обработки отличается от цели, с которой субъект проверки осуществляет обработку персональных данных, а состав персональных данных в базе персональных данных в действительности значительно отличается от состава персональных данных, указанного в свидетельстве о государственной регистрации базы персональных данных (заявлении о регистрации базы персональных данных) и/или во внутренних документах;
6.2) во внутренних документах субъекта проверки, которые устанавливают порядок обработки персональных данных, не определен или только частично определен порядок внесения, изменения, восстановления, использования, распространения, обезличивания, уничтожения персональных данных в базах персональных данных;
6.3) субъектом проверки не определены лица или структурное подразделение, ответственные за обработку и защиту персональных данных;
6.4) во внутренних документах субъекта проверки, которые устанавливают порядок обработки персональных данных, не определен или только частично определен порядок защиты персональных данных, в том числе от незаконной обработки и незаконного доступа к ним.
При этом должны заметить, что, кроме названных выше, ГСЗПД были отмечены и другие нарушения в сфере защиты персональных данных.
Использованы материалы сайта газеты "Налоги и бухгалтерский учет"