Украинская правда
Все разделы
Укр Рос
Поддержать УП
Укр Рос
Віталій Мельянков старший юрист ЮФ "Василь Кісіль і Партнери"

Как подготовиться к проверке в сфере защиты персональных данных

28 апреля, 08:00

До большой войны проверки были редкостью. Тренд к их увеличению сохраняется уже на протяжении нескольких лет, поэтому рассказываем о практике их проведения.

Уполномоченный Верховной Рады может осуществлять проверку компаний на предмет соблюдения положений законодательства о защите персональных данных. И если до большой войны такие меры в основном касались государственного и коммунального сектора, то сейчас наблюдается заинтересованность в плановых и внеплановых проверках частных компаний.

Какие нормативные акты касаются проверок? Всего их четыре. Один закон определяет основные требования к обработке персональных данных. Другой определяет общий статус уполномоченного. Существует еще порядок осуществления им контроля за соблюдением законодательства о защите персональных данных, который определяет правила проведения проверок. Другой порядок определяет требования к документам компании по обработке персональных данных.

Проведение проверки может быть поручено уполномоченным:

  1. руководителю Секретариата уполномоченного или его заместителям;
  2. представителям уполномоченного;
  3. руководителям структурных подразделений Секретариата и их заместителями;
  4. работникам Секретариата уполномоченного.

Виды проверок

По способу проведения проверки бывают выездные или безвыездные, а по основаниям - плановые и внеплановые.

Выездные проводятся с физическим присутствием представителей уполномоченного по местонахождению субъекта проверки или непосредственно на месте обработки персональных данных.

А безвыездные, соответственно, осуществляются без физического присутствия представителей уполномоченного по местонахождению субъекта проверки, на основании полученных от субъекта проверки документов и объяснений.

Плановые проверки проводятся независимо от наличия нарушений в соответствии с годовыми/квартальными планами, которые утверждаются уполномоченным до 1 декабря года, предшествующего плановому, или до 25 числа последнего месяца квартала, предшествующего плановому и осуществляются с периодичностью не чаще одного раза в год. С планами проведения проверок можно ознакомиться на сайте уполномоченного.

Обращаем внимание, что количество плановых проверок имеет тенденцию к увеличению. В первом квартале 2020 года и втором квартале 2021 года было запланировано только по две проверки, в то время как первом квартале 2022 года - 16, а в первом квартале 2025 года - 26 проверок. С результатами некоторых из них также можно ознакомиться на сайте.

По нашему опыту, следующие частные компании имеют повышенные шансы попасть под проверку:

  • крупные торговые сети (преимущественно сегмент, ориентированный на потребителя);
  • потребительские услуги (перевозки, проведение событий, почта);
  • финансовые учреждения (микрофинансовые организации, банки);
  • агентства по продаже недвижимости;
  • медицинские учреждения;
  • учебные заведения.

Внеплановые проверки осуществляются:

  • по собственной инициативе уполномоченного;
  • при непосредственном выявлении нарушений требований законодательства о защите персональных данных;
  • при наличии информации о нарушении требований законодательства о защите персональных данных в сообщениях, опубликованных в СМИ, в Интернете;
  • по обоснованным жалобам (например, по факту распространения персональных данных на официальном веб-сайте Святошинской РГА в Киеве);
  • в случае выявления недостоверности в сведениях, предоставленных на письменный запрос уполномоченного или если такие сведения не позволяют оценить выполнение требований законодательства о защите персональных данных;
  • для осуществления контроля за выполнением ранее выданных предписаний по устранению нарушений требований законодательства о защите персональных данных.

Типичные мероприятия во время проверки

Уполномоченный во время проверки имеет право беспрепятственно входить на объект проверки по служебному удостоверению и иметь беспрепятственный доступ к местам хранения информации, в том числе и к компьютерам и носителям информации, получать доступ к документам и получать заверенные копии документов и бумажные копии электронных документов.

При осуществлении проверок представители уполномоченного чаще всего запрашивают документы и сведения, касающиеся обработки персональных данных на предприятии, в частности:

  • учредительный документ (устав);
  • информацию об организационной структуре и штатном расписании;
  • положения о структурных подразделениях, осуществляющих обработку персональных данных;
  • номенклатуры дел;
  • документ, которым определяются общие требования к обработке и защите персональных данных (например, положение об обработке персональных данных);
  • информационную справку о базе персональных данных, в которой осуществляется обработка персональных данных;
  • перечень работников, которые имеют/имели доступ к персональным данным с документальным подтверждением того, что предоставление им доступа соответствует их должностным обязанностям;
  • подтверждение предоставления работниками, имеющими доступ к персональным данным, обязательств о неразглашении персональных данных;
  • информационная справка о порядке обмена и распространения информации, содержащей персональные данные, а именно пути ее передачи между структурными подразделениями;
  • план действий на случай несанкционированного доступа к персональным данным, повреждения технического оборудования, возникновения чрезвычайных ситуаций.

При наличии запросов к компании, касающихся предоставления персональных данных, представители уполномоченного путем выборочной проверки ответов на них проверяют их принимая во внимание следующее:

  • должным ли образом осуществляется оценка полномочий запрашивающих лиц;
  • основания и цель запросов.

Такая проверка направлена на предотвращение безосновательной и чрезмерной передачи персональных данных (например, противодействие получения информации мошенниками, которые выдают себя за другое лицо).

Во время выездных проверок представители уполномоченного также могут анализировать информационные стенды, уголки потребителей и другие публичные сообщения, касающиеся обработки персональных данных, если таковые имеются.

В случае выездной проверки они также оценивают меры обеспечения физической безопасности персональных данных. Например, учитывается наличие системы противопожарной безопасности, а также имеют ли доступ в кабинеты, где хранятся носители персональных данных, лица, не уполномоченные на их обработку (наличие замков на дверях, решеток на окнах, сигнализации).

Типичные нарушения

Уполномоченный наиболее часто отмечает следующие нарушения.

Первое - отсутствие документации. К примеру, документа, которым определяются общие требования к обработке и защите персональных данных, обязательств работников о неразглашении персональных данных; документа, который определяет структурное подразделение или ответственное лицо за организацию работы связанной с защитой персональных данных.

Второе - неправильное основание обработки данных. Статья 11 закона "О защите персональных данных" определяет исчерпывающий перечень оснований для обработки персональных данных, и согласие является лишь одним из них. При этом ни одно из оснований не является универсальным - выполнение договора, например, является самостоятельным основанием обработки данных, и получение отдельного согласия на обработку для выполнения заключенного договора может быть квалифицировано как нарушение.

К примеру, согласие работника на обработку данных в связи с выполнением рабочих задач, полученное отдельно от трудового договора, будет незаконным. Согласие предусматривает добровольность и возможность отказаться - если без такого согласия выполнение работы будет невозможным, работник соглашается вынужденно, поэтому принцип добровольности нарушается.

Третье - согласие без информирования. Согласие на обработку данных является незаконным, если не предоставлена информация о: владельце и распорядителе данных, цели обработки, перечень данных, которые будут обрабатываться, действия с данными, их передачу, срок хранения, порядок отзыва согласия, автоматическую обработку (при наличии).

Четвертое - распространение без оснований. Распространение данных о лице без его согласия будет нарушением. Оно возникает, в частности, в случаях, если выбранная платежная система, форма обратной связи или другой элемент онлайн-взаимодействия принадлежит стороннему лицу, серверы которого размещены за рубежом.

Пятое - физическая защищенность носителей. Нарушением может считаться нахождение бытовых электроприборов в помещении, где хранятся документы, содержащие персональные данные при условии отсутствия средств пожаротушения.

Больше советов по управлению рисками обработки персональных данных, которые минимизируют и риск штрафов, есть по ссылке.

Проверки иностранных компаний

Неопределенным остается вопрос проведения проверок компаний, зарегистрированных за пределами Украины. Информация об их осуществлении отсутствует, а механизм привлечения иностранных компаний к ответственности за нарушения в этой сфере не является четко регламентированным ни Кодексом об административных правонарушениях, ни каким-либо специальным законом.

Механизм привлечения иностранных компаний к ответственности не детализирован и в законопроектах "О защите персональных данных" и "О Нацкомиссии по вопросам защиты персональных данных и доступа к публичной информации.

Ответственность за нарушение

В большинстве случаев, в случае выявления нарушений законодательства о защите персональных данных, выдается предписание об устранении нарушений, выявленных в ходе проверки.

Если же не выполнить предписание - может быть наложен штраф на должностных лиц в размере от 5,1 тыс. грн до 17 тыс. грн, а в случае повторного невыполнения предписаний в течение года - от 8,5 тыс. грн до 34 тыс. грн.

Последующие нарушения могут повлечь за собой привлечение к административной ответственности без выдачи предписания:

  • неуведомление или несвоевременное уведомление уполномоченного об обработке персональных данных или об изменении сведений, подлежащих сообщению по закону, сообщение неполных или недостоверных сведений - штраф на должностных лиц в размере 3,4 тыс. грн до 6,8 тыс. грн;
  • несоблюдение порядка защиты персональных данных, что привело к незаконному доступу к ним или нарушению прав субъекта персональных данных - штраф на должностных лиц в размере от 5,1 тыс. грн до 17 тыс. грн, а в случае повторного нарушения в течение года - до 34 тыс. грн.

Следует учитывать, что евроинтеграционным законопроектом "О защите персональных данных" предлагается значительно повысить размеры штрафов, которые могут достигать до 20 млн грн для физических лиц и 150 млн грн или до 8% общего годового оборота за последний отчетный год, предшествовавший году, в котором налагается штраф, для юридических лиц.

Соавтор: Владислав Иванов, юрист ЮФ "Василь Кисиль и Партнеры"

Колонка представляет собой вид материала, отражающего исключительно точку зрения автора. Она не претендует на объективность и всесторонность освещения темы, о которой идет речь. Мнение редакции "Экономической правды" и "Украинской правды" может не совпадать с точкой зрения автора. Редакция не несет ответственности за достоверность и толкование приведенной информации и выполняет исключительно роль носителя.
бизнес закон