Поняття «персональні дані» та «захист персональних даних» є новими для нашої держави. Проте перші законодавчі кроки, спрямовані на впровадження системи захисту персональних даних в Україні, були зроблені ще в 1996 році. Зокрема, базові елементи захисту персональних даних знайшли своє відображення в Конституції України. Так, статтею 32 визначено, що: ніхто не може зазнавати втручання в його особисте і сімейне життя, крім випадків, передбачених Конституцією України; не допускається збирання, зберігання, використання та поширення конфіденційної інформації про особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини; кожний громадянин має право знайомитися в органах державної влади, органах місцевого самоврядування, установах і організаціях з відомостями про себе, які не є державною або іншою захищеною законом таємницею; кожному гарантується судовий захист права спростовувати недостовірну інформацію про себе і членів своєї сім’ї та права вимагати вилучення будь-якої інформації, а також право на відшкодування матеріальної і моральної шкоди, завданої збиранням, зберіганням, використанням та поширенням такої недостовірної інформації.

Олексій МЕРВІНСЬКИЙ,
голова Державної служби захисту персональних данних,
кандидат технічних наук

Право на захист інформації про себе, право визначати порядок використання такої інформації та заперечувати проти небажаних дій з такою інформацією є одним з елементів прав людини. А головним стратегічним завданням держави у сфері захисту персональних даних є побудова належної системи захисту цих даних як елементу системи захисту прав людини в Україні.

Як відомо, 6 липня того ж року Верховною Радою України було ратифіковано Конвенцію про захист осіб у зв’язку з автоматизованою обробкою персональних даних стосовно органів нагляду та транскордонних потоків даних. А вже 1 червня того ж року було прийнято Закон «Про захист персональних даних» (далі – Закон), яким введено в правове поле України інститут захисту персональних даних.

Відповідно до статті 22 Закону контроль за додержанням законодавства про захист персональних даних здійснює уповноважений державний орган з питань захисту персональних даних. Таким органом є Державна служба України з питань захисту персональних даних (далі – ДСЗПД). Відповідно до зазначених у Положенні про ДСЗПД функцій та завдань служба нині розробляє та затверджує плани перевірок володільців та (або) розпорядників баз персональних даних щодо дотримання ними вимог законодавства у цій сфері; проводить у межах своїх повноважень виїзні та безвиїзні перевірки володільців та (або) розпорядників баз персональних даних; видає володільцям та (або) розпорядникам баз персональних даних обов’язкові до виконання приписи щодо усунення порушень законодавства про захист персональних даних та вимагає надання необхідної інформації і документів, що підтверджують усунення виявлених порушень; складає адміністративні протоколи про виявлені порушення законодавства у сфері захисту персональних даних та передає правоохоронним органам матеріали про виявлені порушення, проводить у межах своїх повноважень виїзні та безвиїзні перевірки володільців та/або розпорядників баз персональних даних.

Зазначимо, що Загалом у 2011 році працівниками ДСЗПД було проведено 10 перевірок, кожна з яких включала в себе два обов’язкових етапи: з’ясування статусу суб’єкта перевірки; безпосередня перевірка суб’єкта відносин, пов’язаних із персональними даними. При тому в разі наявності окрім володільця бази персональних даних також розпорядника, то перевірка розпорядника проводилася як додатковий етап.

За результатами здійснення працівниками ДСЗПД у межах своїх повноважень контролю за додержанням вимог законодавства про захист персональних даних із забезпеченням відповідно до Закону доступу до інформації, пов’язаної з обробкою персональних даних у базі персональних даних, та до приміщень, де здійснюється їх обробка складаються відповідні акти та виносяться обов’язкові для виконання законні вимоги (приписи) про усунення виявлених порушень законодавства. До всього слід додати, що Положенням про Державну службу України з питань захисту персональних даних також передбачається відповідно до покладеного на ДСЗПД завдання щодо контролю за додержанням вимог законодавства про захист персональних даних надання суб’єктом перевірки необхідної інформації та документів, що підтверджують усунення виявлених порушень.

Окремо слід зазначити, що в ході проведених працівниками ДСЗПД перевірок протягом 2010 року виявлено цілу низку типових порушень, що мають загальний характер, а також таких, які є характерними для певних галузей та сфер діяльності. Серед типових порушень, характерних для більшості перевірених володільців та розпорядників баз персональних даних, можна відзначити наступні: відсутність реєстрації баз персональних даних у Державному реєстрі баз персональних даних або відмітки щодо відправлення заяви на реєстрацію бази; відсутність затвердженої внутрішніми розпорядчими документами мети обробки персональних даних, їх складу та змісту; відсутність затверджених процедур (наприклад, як відбувається збір, зберігання, використання, поширення персональних даних; хто має до них доступ і в якій мірі) та належних правових підстав обробки персональних даних (наприклад, відсутність документованої згоди суб’єкта на обробку його персональних даних або наявна згода на обробку персональних даних, отримана від суб’єкта, не охоплює всі процеси обробки, в тому числі ті, які здійснюються розпорядниками баз персональних даних); неповідомлення або несвоєчасне повідомлення суб’єкта персональних даних про його права у зв’язку із включенням інформації про нього до бази персональних даних, мету збору цих даних та осіб, яким ці дані передаються.

Характерним є й відсутність належно оформлених письмових договорів з розпорядниками баз персональних даних, в яких чітко врегульовано відносини, пов’язані з обробкою персональних даних, визначено мету й обсяги обробки персональних даних розпорядником та документів про затвердження особи, яка організовує роботу, пов’язану із захистом персональних даних при їх обробці. Окрім того, при здійсненні обробки персональних даних в якості розпорядника бази персональних даних не врегульовуються належним чином відповідні договірні відносини з володільцем бази персональних даних щодо дотримання вимог законодавства або здійснюється їх обробка в обсягах, що перевищують права володільця бази персональних даних.

Нині ДСЗПД проводиться аналіз усієї отриманої під час перевірок інформації з метою розробки та формування рекомендацій стосовно запобігання порушенням законодавства про захист персональних даних. Окрім того, досвід, отриманий завдяки проведеним перевіркам, буде втілений у Положенні про порядок здійснення Державною службою України з питань захисту персональних даних державного контролю за додержанням законодавства у цій сфері, проект якого зараз доопрацьовується фахівцями ДСЗПД.

Теги: