З метою здійснення перевірки дотримання вимог законодавства про захист персональних даних спеціалістами Департаменту у сфері захисту персональних даних Секретаріату Уповноваженого Верховної Ради України з прав людини було здійснено візит до Центру надання адміністративних послуг Подільської районної в місті Києві державної адміністрації.

Під час візиту було встановлено, що ЦНАП здійснює обробку персональних даних працівників ЦНАП та суб’єктів звернення за адмінпослугами. Водночас було встановлено, що ЦНАП здійснює обробку персональних даних до яких, відповідно до законодавства, застосовуються особливі вимоги, зокрема про притягнення до адміністративної відповідальності за статтями 197, 198 Кодексу України про адміністративні правопорушення.

Зважаючи на наведене, відповідно до вимог Закону України «Про захист персональних даних» ЦНАП як володілець персональних даних повідомило Уповноваженого про обробку персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних. Крім того, ЦНАП визначено та повідомлено Уповноваженого про відповідальну особу, що організовує роботу, пов’язану із захистом персональних даних.

Під час аналізу особових справ працівників ЦНАП та суб’єктів звернення за адмінпослугами було встановлено, що у них відбирається згода на обробку їх персональних даних, тоді як окрема згода на обробку персональних даних в цих випадках згідно з законом невимагається, так як їх обробка необхідна для здійснення прав та виконання обов'язків володільця персональних даних у сфері трудових правовідносин та відносин у сфері надання адміністративних послуг та здійснюється на підставі дозволу, наданого володільцю персональних даних, відповідно до закону виключно для здійснення його повноважень (пункти 2 та 5 частини першої статті 11 Закону України «Про захист персональних даних»).

Організація процесів обробки та захисту персональних даних здійснюється з дотриманням вимог Типового порядку обробки персональних даних, затвердженого наказом Уповноваженого Верховної Ради України з прав людини від 08.01.2014 № 1/02-14. Так, в ЦНАП затверджений документ, яким визначено процедури обробки та захисту персональних даних; у працівників, які мають доступ до персональних даних відбирається письмове зобов’язання про нерозголошення персональних даних, ведеться облік операцій, пов’язаних з обробкою персональних даних суб’єкта. На випадок несанкціонованого доступу до персональних даних, пошкодження технічного обладнання, виникнення надзвичайних ситуацій в ЦНАП розроблений та затверджений відповідний план дій, яким працівники користуються під час здійснення своєї діяльності.

Про незначні відхилення або недоліки, виявлені під час перевірки, одразу повідомлялися працівники ЦНАП, які невідкладно вживали заходи щодо їх усунення.

Слід також зазначити, що приміщення, в якому розташований ЦНАП знаходиться під охороною, окрім цього ведеться відеоспостереження, про що на всіх поверхах є повідомлення, паперові картотеки зберігаються в металевих шафах, які замикаються на ключ.

Враховуючи, що ЦНАП як володілець персональних даних фактично розпочало обробку персональних даних відносно нещодавно, працівниками Секретаріату було надано рекомендації та роз’яснення щодо основних вимог до організації процесів обробки та захисту персональних даних суб’єктів персональних даних, які необхідно враховувати в подальшій діяльності ЦНАП.

Наразі триває опрацювання зібраних під час перевірки матеріалів і відповідно до вимог законодавства за результатами перевірки готується Акт перевірки додержання законодавства про захист персональних даних.