Голова Державної служби України з питань захисту персональних даних Олексій Мервінський підготував для ЮРЛІГИ перелік питань, на які працівники служби звертають увагу в першу чергу під час перевірки підприємства.
Базовий перелік питань для перевірки працівниками Державної служби України з питань захисту персональних даних дотримання суб’єктами перевірок (власниками/розпорядниками баз персональних даних або третіми особами) вимог законодавства про захист персональних даних:
1. Наявність у суб’єкта перевірки дійсного факту обробки персональних даних: з’ясування сфери діяльності, категорій суб’єктів персональних даних та категорій персональних даних, які обробляються.
2. Наявність документів, що регламентують діяльність суб’єкта перевірки:
— для органів державної влади: Указ Президента України про створення і про затвердження відповідних Положень; свідоцтва про державну реєстрацію інших нормативних документів, що регулюють діяльність;
— для суб’єктів господарювання: установчі документи;
— для суб’єктів підприємницької діяльності: свідоцтво про державну реєстрацію фізособи-підприємця і свідоцтво про сплату єдиного податку (якщо особа є платником єдиного податку).
3. Статус суб’єкта перевірки: належність до власників/розпорядників бази персональних даних або до третьої особи.
4. У разі наявності у розпорядника бази персональних даних, власником якої є орган державної влади або орган місцевого самоврядування, — перевірка його належності до державної або комунальної форми власності, яка належить до сфери управління цього органу.
5. Наявність у суб’єкта перевірки документів, що підтверджують реєстрацію баз персональних даних або копій документів стосовно їх відправлення для реєстрації до ДСЗПД.
6. Правові підстави для здійснення обробки персональних даних у базі персональних даних:
— на підставі дозволу, наданого відповідно до законодавства України виключно для здійснення повноважень;
— на підставі згоди, наданої суб’єктом персональних даних на обробку його персональних даних.
7.У разі вивчення дозволу на обробку персональних даних, наданого суб’єктові перевірки відповідно до закону виключно для здійснення його повноважень, перевіряється відповідність конкретним положенням кожного акта (пункт, частина, стаття), які передбачають право на обробку суб’єктом перевірки персональних даних фізичних осіб, а також встановлення відповідності процедур обробки персональних даних положенням акта, яким було передбачено право на обробку персональних даних.
8.За наявності згоди суб’єкта персональних даних як правової підстави для обробки персональних даних перевіряється і визначається повнота охоплення наданою згодою всіх встановлених суб’єктом перевірки процесів обробки персональних даних.
9. Наявність нормативно-правового акта, установчих або іншого документа, що регулює діяльність суб’єкта перевірки, який містить або затверджує мету обробки персональних даних.
10.Перевірка відповідності метиобробки персональних даних меті, встановленій нормативно-правовими актами, установчими або іншими документами, а також меті, яка була зазначена суб’єктом перевірки у заяві на реєстрацію бази персональних даних.
11.Перевірка відповідності певній або встановленій меті складу і змісту персональних даних, що містяться у відповідній базі персональних даних.
12. Встановлення джерел отримання відомостей про фізичну особу(первинні джерела у вигляді підписаних фізичною особою документів, відомостей, які фізична особа надає про себе або загальнодоступні джерела, що передбачено законодавством).
13. Наявність у суб’єкта перевірки персональних даних, щод яких встановлено особливі вимоги для їх обробки, а також перевірка наявності відповідних правових підстав для їх обробки.
14. Наявність однозначно наданої згоди суб’єкта персональних даних на обробку персональних даних, щодо яких встановлено особливі вимоги для їх обробки.
15.Законність здійснення суб’єктом перевірки складових процесу обробки персональних даних відповідно до законодавства:
— повідомлення суб’єкта персональних даних протягом десяти робочих днів з дня включення його персональних даних до відповідної бази персональних даних;
— забезпечення суб’єктом перевірки цілісності персональних даних і відповідного режиму доступу до них;
— перевірка термінів обробки персональних даних у формі, що допускає ідентифікацію фізичної особи і правові підстави для встановлення саме таких термінів обробки персональних даних;
— наявність і законність процедур розповсюдження персональних даних (правові підстави, забезпечення захисту персональних даних при їх передачі, виконання стороною, якою здійснювалася передачі персональних даних, відповідних гарантій виконання вимог законодавства);
— законність процедур знищення персональних даних (наявність фактів про персональні дані, термін зберігання яких закінчився, а також наявність фактів обробки персональних даних суб’єкта, правовідносини щодо яких припинено);
— наявність повідомлення суб’єкта персональних даних про включення до бази персональних даних, його права, визначені Законом, мета збору даних і осіб, яким передаються його персональні дані;
— відповідність даних і відомостей, наданих суб’єктом перевірки для реєстрації баз персональних даних фактичному стану обробки персональних даних у суб’єкта перевірки;
— законність встановленого у суб’єкта перевірки порядку доступу до персональних даних.
16. Наявність у суб’єкта перевірки документів, що встановлюють процедури обробки персональних даних та пов’язаних зі збором, реєстрацією, накопиченням, зберіганням, адаптацією, зміною, оновленням, використанням та розповсюдженням (розповсюдженням, реалізацією, передачею), знеособленням, знищенням відомостей про фізичну особу.
17.Встановлення суб’єктом перевірки:
— порядку внесення, зміни, оновлення, використання, розповсюдження, знеособлення, знищення персональних даних у базі персональних даних;
— порядку захисту персональних даних, зокрема від незаконної обробки та незаконного доступу до них;
— поширення на всі дії суб’єкта перевірки всіх вимог щодо захисту персональних даних від незаконної обробки, а також від незаконного доступу до них.
18. Наявність у суб’єкта перевірки — власника бази персональних даних розпорядника бази. У разі наявності розпорядника перевіряється:
— документальне підтвердження факту укладення договору у письмовій формі між власником та розпорядником баз персональних даних;
— відповідність умов обробки розпорядником бази персональних даних умовам, які визначені у відповідному договорі з власником баз персональних даних (зокрема, відповідність меті, складу, змісту, обсягу тощо). А також з’ясування, чи не надано розпорядникові бази персональних даних більше повноважень щодо обробки персональних даних, ніж у власника.
19.Порядок доступу до персональних даних, які обробляються суб’єктом перевірки третіх осіб.
20. Наявність передачі персональних даних іноземним суб’єктам відносин, пов’язаних із персональними даними. У разі наявності — встановлення відповідних процедур.
21. Наявність документа про визначення структурного підрозділу або відповідальної особи, які організовують роботу, пов’язану із захистом персональних даних під час їх обробки, а також документів, що регламентують його діяльність.
22.Виконання структурним підрозділом або відповідальною особою завдань щодо організації роботи, пов’язаної із захистом персональних даних під час їх обробки.
23.Ведення суб’єктом перевірки обліку фактів надання та позбавлення працівників права доступу до персональних даних і їх обробки, а також спроб і фактів несанкціонованих і/або незаконних дій з обробки персональних даних.
24. Розмежування режимів доступу працівників до обробки персональних даних у базі персональних даних відповідно до їхніх професійних, трудових або службових обов’язків.
25. Організація обробки суб’єктом перевірки персональних даних у складі інформаційної (автоматизованою) системи, в якій забезпечується захист персональних даних відповідно до законодавства.
26. Виконання суб’єктом перевірки вимог щодо впровадження організаційних і технічних заходів захисту персональних даних під час їх обробки у формі картотек.
Олексій Мервінський, голова Державної служби України з питань захисту персональних даних