Як підготуватись до перевірки у сфері захисту персональних даних

Уповноважений Верховної Ради може здійснювати перевірку компаній на предмет дотримання положень законодавства про захист персональних даних.
І якщо до великої війни такі заходи здебільшого стосувались державного та комунального сектору, то наразі спостерігається зацікавленість у планових та позапланових перевірках приватних компаній. Які нормативні акти стосуються перевірок? Загалом їх чотири.
Один закон визначає основні вимоги до обробки персональних даних.
Інший визначає загальний статус уповноваженого.
Існує ще порядок здійснення ним контролю за додержанням законодавства про захист персональних даних, який визначає правила проведення перевірок.
Інший порядок визначає вимоги до документів компанії щодо обробки персональних даних. Проведення перевірки може бути доручене уповноваженим: керівнику Секретаріату уповноваженого або його заступникам; представникам уповноваженого; керівникам структурних підрозділів Секретаріату та їх заступниками; працівникам Секретаріату уповноваженого. Види перевірок За способом проведення перевірки бувають виїзні або безвиїзні, а за підставами – планові та позапланові. Виїзні проводяться з фізичною присутністю представників уповноваженого за місцезнаходженням суб"єкта перевірки або безпосередньо на місці обробки персональних даних. А безвиїзні, відповідно, здійснюються без фізичної присутності представників уповноваженого за місцезнаходженням суб’єкта перевірки, на підставі отриманих від суб"єкта перевірки документів та пояснень. Планові перевірки проводяться незалежно від наявності порушень відповідно до річних/квартальних планів, які затверджуються уповноваженим до 1 грудня року, що передує плановому, або до 25 числа останнього місяця кварталу, що передує плановому та здійснюються з періодичністю не частіше одного разу на рік.
З планами проведення перевірок можна ознайомитися на сайті уповноваженого. Звертаємо увагу, що кількість планових перевірок має тенденцію на збільшення.
В першому кварталі 2020 року та другому кварталі 2021 року було заплановано лише по дві перевірки, в той час як першому кварталі 2022 року – 16, а в першому кварталі 2025 року – 26 перевірок.
З результатами деяких з них також можна ознайомитися на сайті. За нашим досвідом, наступні приватні компанії мають підвищені шанси потрапити під перевірку: великі торговельні мережі (переважно сегмент, орієнтований на споживача); споживацькі послуги (перевезення, проведення подій, пошта); фінансові установи (мікрофінансові організації, банки); агенції з продажу нерухомості; медичні установи; навчальні заклади. Позапланові перевірки здійснюються: за власною ініціативою уповноваженого; при безпосередньому виявленні порушень вимог законодавства про захист персональних даних; при наявності інформації про порушення вимог законодавства про захист персональних даних в повідомленнях, опублікованих в ЗМІ, в Інтернеті; за обґрунтованими скаргами (наприклад, за фактом поширення персональних даних на офіційному веб-сайті Святошинської РДА в Києві); в разі виявлення недостовірності у відомостях, наданих на письмовий запит уповноваженого або якщо такі відомості не дають змоги оцінити виконання вимог законодавства про захист персональних даних; для здійснення контролю за виконанням раніше виданих приписів щодо усунення порушень вимог законодавства про захист персональних даних. Типові заходи під час перевірки Уповноважений під час перевірки має право безперешкодно входити на об"єкт перевірки за службовим посвідченням і мати безперешкодний доступ до місць зберігання інформації, у тому числі й до комп"ютерів та носіїв інформації, отримувати доступ до документів та отримувати засвідчені копії документів та паперові копії електронних документів. Під час здійснення перевірок представники уповноваженого найчастіше запитують документи та відомості, що стосуються обробки персональних даних на підприємстві, зокрема: установчий документ (статут); інформацію про організаційну структуру та штатний розпис; положення про структурні підрозділи, які здійснюють обробку персональних даних; номенклатури справ; документ, яким визначаються загальні вимоги до обробки та захисту персональних даних (наприклад, положення про обробку персональних даних); інформаційну довідку про базу персональних даних, в якій здійснюється обробка персональних даних; перелік працівників, які мають/мали доступ до персональних даних з документальним підтвердженням того, що надання ним доступу відповідає їх посадовим обов"язкам; підтвердження надання працівниками, які мають доступ до персональних даних, зобов"язань про нерозголошення персональних даних; інформаційна довідка про порядок обміну та поширення інформації, що містить персональні дані, а саме шляхи її передачі між структурними підрозділами; план дій на випадок несанкціонованого доступу до персональних даних, пошкодження технічного обладнання, виникнення надзвичайних ситуацій. За наявності запитів до компанії, що стосуються надання персональних даних, представники уповноваженого шляхом вибіркової перевірки відповідей на них перевіряють їх беручи до уваги наступне: чи належним чином здійснюється оцінка повноважень запитувачів; підстави та мета запитів. Така перевірка спрямована на запобігання безпідставної та надмірної передачі персональних даних (наприклад, протидія отримання інформації шахраями, які видають себе за іншу особу). Під час виїзних перевірок представники уповноваженого також можуть аналізувати інформаційні стенди, куточки споживачів та інші публічні повідомлення, що стосуються обробки персональних даних, якщо такі є. В разі виїзної перевірки вони також оцінюють заходи забезпечення фізичної безпеки персональних даних.
Наприклад, враховується наявність системи протипожежної безпеки, а також чи мають доступ до кабінетів, де зберігаються носії персональних даних, особи, не уповноважені на їхню обробку (наявність замків на дверях, гратів на вікнах, сигналізації). Типові порушення Уповноважений найбільш часто відзначає наступні порушення. Перше – відсутність документації.
Приміром, документу, яким визначаються загальні вимоги до обробки та захисту персональних даних, зобов’язань працівників про нерозголошення персональних даних; документу, який визначає структурний підрозділ або відповідальну особу за організацію роботи пов’язаної із захистом персональних даних. Друге – неправильна підстава обробки даних.
Стаття 11 закону "Про захист персональних даних" визначає вичерпний перелік підстав для обробки персональних даних, і згода є лише однією із них.
При цьому жодна з підстав не є універсальною – виконання договору, наприклад, є самостійною підставою обробки даних, і отримання окремої згоди на обробку для виконання укладеного договору може бути кваліфіковане як порушення. Приміром, згода працівника на обробку даних у зв’язку із виконанням робочих завдань, отримана окремо від трудового договору, буде незаконною.
Згода передбачає добровільність і можливість відмовитись – якщо без такої згоди виконання роботи буде неможливим, працівник погоджується вимушено, тому принцип добровільності порушується. Третє – згода без інформування.
Згода на обробку даних є незаконною, якщо не надано інформацію про: володільця та розпорядника даних, мету обробки, перелік даних, що оброблятимуться, дії з даними, їх передачу, строк зберігання, порядок відкликання згоди, автоматичну обробку (за наявності). Четверте – поширення без підстав.
Поширення даних про особу без її згоди буде порушенням.
Воно виникає, зокрема, у випадках, якщо обрана платіжна система, форма зворотнього зв"язку або інший елемент онлайн-взаємодії належить сторонній особі, сервери якої розміщено за кордоном. П"яте – фізична захищеність носіїв.
Порушенням може вважатися знаходження побутових електроприладів в приміщенні, де зберігаються документи, що містять персональні дані за умови відсутності засобів пожежогасіння. Більше порад щодо управління ризиками обробки персональних даних, які мінімізують і ризик штрафів, є за посиланням. Перевірки іноземних компаній Невизначеним залишається питання проведення перевірок компаній, зареєстрованих за межами України.
Інформація про їх здійснення відсутня, а механізм притягнення іноземних компаній до відповідальності за порушення у цій сфері не є чітко регламентованим ані Кодексом про адміністративні правопорушення, ані будь-яким спеціальним законом. Механізм притягнення іноземних компаній до відповідальності не деталізований і у законопроєктах "Про захист персональних даних" та "Про Нацкомісію з питань захисту персональних даних та доступу до публічної інформації. Відповідальність за порушення В більшості випадків, в разі виявлення порушень законодавства про захист персональних даних, видається припис про усунення порушень, виявлених під час перевірки. Якщо ж не виконати припис – може бути накладено штраф на посадових осіб у розмірі від 5,1 тис.
грн до 17 тис.
грн, а у разі повторного невиконання приписів протягом року – від 8,5 тис.
грн до 34 тис.
грн. Наступні порушення можуть нести за собою притягнення до адміністративної відповідальності без видання припису: неповідомлення або несвоєчасне повідомлення уповноваженого про обробку персональних даних або про зміну відомостей, які підлягають повідомленню згідно із законом, повідомлення неповних чи недостовірних відомостей – штраф на посадових осіб у розмірі 3,4 тис.
грн до 6,8 тис.
грн; недодержання порядку захисту персональних даних, що призвело до незаконного доступу до них або порушення прав суб’єкта персональних даних – штраф на посадових осіб у розмірі від 5,1 тис.
грн до 17 тис.
грн, а у разі повторного порушення протягом року – до 34 тис.
грн. Слід враховувати, що євроінтеграційним законопроєктом "Про захист персональних даних" пропонується значно підвищити розміри штрафів, що можуть сягати до 20 млн грн для фізичних осіб та 150 млн грн або до 8% загального річного обороту за останній звітний рік, що передував року, в якому накладається штраф, для юридичних осіб. Співавтор: Владислав Іванов, юрист ЮФ "Василь Кісіль і Партнери"