Результати перевірок

Протягом 2015 року Управлінням з питань захисту персональних даних було проведено 62 планові та позапланові перевірки володільців персональних даних. Зокрема було перевірено:

17 володільців персональних даних, що здійснюють їх обробку у сфері надання соціальних послуг, підвідомчих закладів та установ Міністерства соціальної політики України;

11 володільців персональних даних, що здійснюють свою господарську діяльність у сфері надання телекомунікаційних та інших споживчих послуг;

10 закладів та установ, де перебувають чи можуть перебувати особи на підставі  судового рішення або рішення адміністративного органу відповідно до закону (будинки дитини, дитячі будинки-інтернати, психоневрологічні інтернати, геріатричні пансіонати, будинки-інтернати для громадян похилого віку та інвалідів тощо);

10 структурних підрозділів, підвідомчих закладів та установ Міністерства внутрішніх справ України та Державної міграційної служби України.

Також було перевірено 6 володільців персональних даних, що здійснюють обробку з метою надання медичної допомоги та медичних послуг, 3 володільця персональних даних, що здійснюють обробку персональних даних призовників, військовозобов’язаних, мобілізованих тощо. Здійснено 2 перевірки загальноосвітніх навчальних закладів, перевірено 2 ОСББ та 1 ЖЕК.

З огляду на результати проведених перевірок основними порушеннями при обробці персональних даних є:

  • невідповідність внутрішніх положень/ документів володільця персональних даних вимогам чинного законодавства про захист персональних даних;
  • відсутність повідомлення Уповноваженого Верховної Ради України з прав людини про обробку персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних та про створення (визначення) відповідального структурного підрозділу або відповідальної особи, що організовує роботу, пов’язану із захистом персональних даних при їх обробці, у випадку коли таке повідомлення вимагається відповідно до закону (статті 9 та 24 ЗУ «Про захист персональних даних» (далі – Закон);
  • відсутність обліку працівників, які мають доступ до персональних даних суб’єктів персональних даних, що передбачено п. 3.5 Типового порядку обробки персональних даних, затвердженого наказом Уповноваженого Верховної Ради України з прав людини від 08.01.2014 №1/02-14 (далі – Типовий порядок)  ;
  • не ведеться або ведеться частково/не в повному обсязі облік операцій, пов’язаних з обробкою персональних даних суб’єкта та доступом до них, як це передбачено п. 3.11 Типового порядку;
  • у працівників, які мають доступ до персональних даних не відбирається зобов’язання не допускати розголошення у будь-який спосіб персональних даних, які їм було довірено або які стали відомі у зв’язку з виконанням професійних обов’язків, що передбачено частиною третьою статті 10 Закону;
  • майже всі володільці отримують згоди на обробку персональних даних від працівників для реалізації прав та обов’язків у сфері трудових відносин, в той час як обробка персональних даних працівників здійснюється на підставі дозволу, наданого володільцю персональних даних, відповідно до закону виключно для здійснення його повноважень, а тому, окрема згода на обробку таких відомостей згідно з Законом не вимагається;
  • склад та зміст персональних даних, що обробляється в багатьох випадках є надмірним стосовно визначеної  мети їх обробки;
  • не дотримання принципу строковості обробки/зберігання, а саме обробка персональних даних здійснюється довше, ніж це необхідно для законних цілей, у яких вони збиралися або надалі оброблялися, що не відповідає вимогам частини восьмої статті 6 Закону.

 

Звертаємо увагу, що у Розділі «Контроль за додержанням вимог законодавства про захист персональних даних» оприлюднено План проведення перевірок органів державної влади, підприємств, організацій та установ державної та приватної форм власності  на предмет дотримання ними вимог законодавства про захист персональних даних на ІI квартал 2017 року.