В ответ на Ваш запрос относительно доступа к публичной информации Государственная служба Украины по вопросам защиты персональных данных (далее - ГСЗПД Украины) в пределах своей компетенции сообщает следующее.

1. ГСЗПД Украины за период с 16.07.2012 по 05.02.2013 все было проведено 36 (из них 7 - в 2013 году) проверок соблюдения требований законодательства о защите персональных данных. За указанный период были осуществлены проверки 22 предприятий, учреждений, организаций, которые осуществляют свою деятельность в разных сферах хозяйствования, 8 органов государственной власти и местного самоуправления и 6 коммунальных предприятий.

В ходе осуществления мероприятий государственного надзора и контроля ГСЗПД Украины проверяет соблюдение требований законодательства о защите персональных данных, а именно: Закона Украины от 01.06.2010 № 2297-VI "О защите персональных данных" (в редакции от 20.11.2012) (дальше - Закон), Типового порядка обработки персональных данных в базах персональных данных , утвержденного приказом Министерства юстиции Украины от 30.12.2011 № 3659/5, зарегистрированного в Министерстве юстиции Украины 03.01.2012 за № 1/20314 (далее - Типовой порядок).

2. По результатам проведенных проверок был выявлен ряд типичных нарушений законодательства о защите персональных данных, среди которых можно выделить следующие.

Частью 6 статьи 9 Закона определено, что владелец персональных данных обязан уведомлять уполномоченный государственный орган по вопросам защиты персональных данных о каждом изменении сведений, необходимых для регистрации соответствующей базы, не позднее чем в течение десяти рабочих дней со дня наступления такого изменения. У некоторых субъектов проверки было выявлено нарушение данного требования, а именно: не была поставлена в известность ГСЗПД Украины об изменении местонахождения базы персональных данных или об изменении сведений о распорядителях базы персональных данных.

Часть 3 статьи 10 Закона устанавливает, что использование персональных данных работниками субъектов отношений, связанных с персональными данными, должно осуществляться только в соответствии с их профессиональными или служебными либо трудовыми обязанностями. Данная норма предусматривает, что на предприятии (в учреждении, организации) обработку персональных данных могут производить только те лица, у которых должностной инструкцией или другими внутренними документами определена обязанность осуществления обработки персональных данных. Те лица, для которых никакими внутренними документами не предусмотрено осуществление обработки персональных данных, не должны иметь доступа к этим данным.

Больше всего проблем возникает у субъектов, осуществляющих обработку персональных данных с определением правовых оснований возникновения права на такую обработку, которые предусмотрены частью 1 статьи 11 Закона .

Согласно части 5 статьи 6 Закона обработка персональных данных осуществляется для конкретных и законных целей, определенных с согласия субъекта персональных данных, или в случаях, предусмотренных законами Украины, в порядке, установленном законодательством. Среди проверенных субъектов хозяйствования было выявлено, что ими нарушались требования законодательства в части обработки персональных данных без согласия субъекта персональных данных. Владелец базы персональных данных должен, прежде чем осуществлять обработку персональных данных, получить согласие субъекта персональных данных на обработку этих данных.

Вместе с тем в ходе проверок было выявлено, что некоторые владельцы и/или распорядители персональных данных не понимают, на каком из правовых оснований, предусмотренных статьей 11 Закона , они используют персональные данные. Прежде чем получать у субъекта согласие на обработку персональных данных, владельцу и/или распорядителю персональных данных необходимо определить, нет ли других правовых оснований для обработки персональных данных, в частности разрешения на обработку персональных данных, предоставленного на основании норм действующего законодательства Украины. Например, обработка персональных данных работников предприятия (учреждения, организации) с целью обеспечения реализации трудовых отношений не требует согласия, однако, если предприятием (учреждением, организацией) собираются персональные данные, не предусмотренные трудовым законодательством, необходимо получить согласие работников на обработку таких данных.

Не меньше нарушений касается и частей 4 и 5 статьи 4 Закона относительно обработки персональных данных распорядителями персональных данных. Во-первых, обработка персональных данных распорядителями осуществлялась без заключенного договора между владельцем и распорядителем персональных данных. Во-вторых, распорядители персональных данных осуществляли обработку персональных данных в объеме, превышавшем объем, предоставленный распорядителю владельцем персональных данных, и с целью, которая не соответствовала цели обработки персональных данных владельца персональных данных.

Часть 2 статьи 12 Закона определяет, что в момент сбора персональных данных или в течение десяти рабочих дней со дня сбора персональных данных субъект персональных данных уведомляется о владельце персональных данных, составе и содержании собранных персональных данных, правах такого субъекта, определенных данным Законом, цели сбора персональных данных и лицах, которым передаются его персональные данные. Однако, как показала практика проведенных проверок, имело место неуведомление или несвоевременное уведомление субъектов персональных данных об обработке их данных. У некоторых субъектов проверок такое уведомление не содержало необходимую информацию, определенную частью 2 статьи 12 Закона.