ТИПОВІ ПОРУШЕННЯ У СФЕРІ ЗАХИСТУ ПЕРСОНАЛЬНИХ ДАНИХ

Актуальные проблемы современной науки: тезисы докладов XXХVІІІ Международной научно-практической конференции (Харьков - Вена - Берлин - Астана, 30 января 2019)

Секція: Технічні науки

Чумак Ксенія Олександрівна

студентка

Національного авіаційного університету

м. Київ, Україна

ТИПОВІ ПОРУШЕННЯ У СФЕРІ ЗАХИСТУ ПЕРСОНАЛЬНИХ ДАНИХ

Право на захист інформації про себе, право визначати порядок використання такої інформації та заперечувати проти небажаних дій з інформацією про себе є одним з елементів прав людини. А головним стратегічним завданням держави у сфері захисту персональних даних є побудова належної системи захисту персональних даних в Україні як елементу системи захисту прав людини.

6 липня 2010 року Верховною Радою України, шляхом прийняття відповідного Закону, було ратифіковано Конвенцію про захист осіб у зв'язку з автоматизованою обробкою персональних даних стосовно органів нагляду та транскордонних потоків даних. А вже 1 червня 2010 року було прийнято Закон України "Про захист персональних даних" (далі - Закону) [1], яким було введено у правове поле України інститут захисту персональних даних.

У відповідності до статті 22 Закону "Про захист персональних даних" контроль за додержанням законодавства про захист персональних даних здійснює Уповноважений державний орган з питань захисту персональних даних.

Нині таким органом є Державна служба України з питань захисту персональних даних (далі - ДСЗПД) до завдань якого, окрім державного нагляду та контролю за додержанням законодавства про захист персональних даних відноситься проведення у межах своїх повноважень виїзних та безвиїзних перевірок володільців та (або) розпорядників баз персональних даних та  вжиття заходів реагування щодо усунення виявлених порушень шляхом внесення обов'язкових до виконання приписів щодо усунення порушень законодавства про захист персональних даних. При цьому, положенням про Державну службу України з питань захисту персональних даних [2] також передбачається у відповідності до покладеного на ДСЗПД завдання щодо контролю за додержанням вимог законодавства про захист персональних даних надання від суб'єкта перевірки необхідної інформації та документів, що підтверджують усунення виявлених порушень.

Аналіз інформації, викладеної на офіційному веб-сайті ДСЗПД засвідчив низку виявлених типових порушень у сфері захисту персональних даних, що мають загальний характер, а також таких, які є характерними для певних галузей та сфер діяльності.

Серед типових порушень, характерних для більшості перевірених володільців та розпорядників баз персональних даних, можна зазначити такі:

1. Відсутність реєстрації баз персональних даних в Державному реєстрі баз персональних даних або відмітки щодо відправлення заяви на реєстрацію бази.
2. Відсутність затвердженої внутрішніми розпорядчими документами мети обробки персональних даних, їх складу та змісту.
3. Відсутня можливість оцінки забезпечення цілісності персональних даних та режиму доступу до них.
4. Відсутність затверджених процедур обробки персональних даних (наприклад, як відбувається збір, зберігання, використання, поширення персональних даних; хто має до них доступ і в якій мірі).
5. Відсутність належних правових підстав обробки персональних даних (наприклад, відсутність документованої згоди суб'єкта на обробку його персональних даних, або наявна згода на обробку персональних даних, отримана від суб'єкта, не охоплює всі процеси обробки, у тому числі ті, що здійснюються розпорядниками баз персональних даних).
6. Неповідомлення або несвоєчасне повідомлення суб'єкта персональних даних про його права у зв'язку із включенням його персональних даних до бази персональних даних, мету збору цих даних та осіб, яким ці дані передаються.
7. Відсутність належно оформлених письмових договорів з розпорядниками баз персональних даних, в яких чітко врегульовано відносини, пов'язані з обробкою персональних даних, визначено мету та обсяги обробки персональних даних розпорядником.
8. Відсутні документи про затвердження особи, яка організовує роботу, пов'язану із захистом персональних даних при їх обробці.
9. При здійсненні обробки персональних даних у якості розпорядника бази персональних даних не врегульовуються належним чином відповідні договірні відносини з володільцем бази персональних даних в частині дотримання вимог законодавства про захист персональних даних; здійснює обробку персональних даних в обсягах, що перевищують права володільця бази персональних даних, при цьому, в окремих випадках:
   • розпорядник діє на основі письмового договору, за яким володілець визначив йому такі права стосовно обробки персональних даних, на які сам не є уповноваженим;
   • розпорядник фактично здійснює обробку персональних даних, без належно оформленого договору з володільцем, при цьому обробляє персональні дані в обсягах, що перевищують права володільця.

Підбиваючи підсумки слід зазначити, що у подальшому аналіз усієї отриманої під час перевірок інформації доцільно використовувати під час розробки та формування рекомендацій стосовно запобігання порушенням законодавства про захист персональних даних.

Література

1. Закон України «Про захист персональних даних» [Електронний ресурс]. – Режим доступу: https://zakon4.rada.gov.ua/laws/show/2297-17
2. Положення про Державну службу України з питань захисту персональних даних / Указ Президента України від 6 квітня 2011 року N 390/2011 [Електронний ресурс]. – Режим доступу: https://zakon.rada.gov.ua/laws/show/390/2011