Голова Державної служби України з питань захисту персональних даних Олексій Мервінського підготував для ЮРЛІГІ перелік питань, на які працівники служби звертають увагу в першу чергу при перевірці підприємства.
Базовий перелік питань для перевірки працівниками Державної служби України з питань захисту персональних даних дотримання суб'єктами перевірок (власниками / розпорядниками баз персональних даних або третіми особами) вимог законодавства про захист персональних даних:
1. Наявність у суб'єкта перевірки дійсного факту обробки персональних даних: з'ясування сфери діяльності, категорій суб'єктів персональних даних і категорій персональних даних, які обробляються.
2. Наявність документів, що регламентують діяльність суб'єкта перевірки:
- Для органів державної влади: Указ Президента України про створення та про затвердження відповідних Положень; свідоцтва про державну реєстрацію інших нормативних документів, що регулюють діяльність;
- Для суб'єктів господарювання: установчі документи;
- Для суб'єктів підприємницької діяльності: свідоцтво про державну реєстрацію фізичної особи-підприємця та свідоцтво про сплату єдиного податку (якщо особа є платником єдиного податку).
3. Статус суб'єкта перевірки: належність до власників / розпорядникам бази персональних даних або до третьої особи.
4. У разі наявності у розпорядника бази персональних даних, власником якої є орган державної влади або орган місцевого самоврядування, - перевірка його належність до державної чи комунальної форми власності, яка належить до сфери управління цього органу.
5. Наявність у суб'єкта перевірки документів, що підтверджують реєстрацію баз персональних даних або копій документів стосовно їх відправки для реєстрації в ГСЗПД.
6. Правові підстави для здійснення обробки персональних даних у базі персональних даних:
- На підставі дозволу, наданого відповідно до законодавства України виключно для здійснення повноважень;
- На підставі згоди, наданого суб'єктом персональних даних на обробку його персональних даних.
7. У разі вивчення дозволу на обробку персональних даних, наданого суб'єкту перевірки відповідно до закону виключно для здійснення його повноважень, перевіряється відповідність конкретним становищем кожного акта (пункт, частина, стаття), які передбачають право на обробку суб'єктом перевірки персональних даних фізичних осіб, а також встановлення відповідності процедур обробки персональних даних становищем акта, яким було передбачено право на обробку персональних даних.
8. При наявності згоди суб'єкта персональних даних як правову підставу для обробки персональних даних перевіряється і визначається повнота охоплення наданим згодою всіх встановлених суб'єктом перевірки процесів обробки персональних даних.
9. Наявність нормативно-правового акта, установчого або іншого документа, що регулює діяльність суб'єкта перевірки, який містить або затверджує мету обробки персональних даних.
10. Перевірка відповідності меті обробки персональних даних цілям, встановленої нормативно-правовими актами, установчими або іншими документами, а також мети, яка була вказана суб'єктом перевірки в заяві на реєстрацію бази персональних даних.
11. Перевірка відповідності певної або встановленої мети складу та змісту персональних даних, що містяться у відповідній базі персональних даних.
12. Установка джерел отримання відомостей про фізичну особу (первинні джерела у вигляді підписаних фізичною особою документів, відомостей, яких фізична особа надає про себе або загальнодоступні джерела, що передбачено законодавством).
13. Наявність у суб'єкта перевірки персональних даних, за якими встановлені особливі вимоги для їх обробки, а також перевірка наявності відповідних правових підстав для їх обробки.
14. Наявність однозначно наданого згоди суб'єкта персональних даних на обробку персональних даних, за якими встановлені особливі вимоги для їх обробки.
15. Законність здійснення суб'єктом перевірки складових процесу обробки персональних даних відповідно до законодавства:
- Повідомлення суб'єкта персональних даних протягом десяти робочих днів з дня включення його персональних даних у відповідну базу персональних даних;
- Забезпечення суб'єктом перевірки цілісності персональних даних та відповідного режиму доступу до них;
- Перевірка строків обробки персональних даних у формі, що допускає ідентифікацію фізичної особи та правові підстави для встановлення саме таких строків обробки персональних даних;
- Наявність і законність процедур розповсюдження персональних даних (правові підстави, забезпечення захисту персональних даних при їх передачі, виконання стороною, якій здійснювалася передачі персональних даних відповідних гарантій виконання вимог законодавства);
- Законність процедур знищення персональних даних (наявність фактів про персональні дані, термін зберігання яких закінчився, а також наявність фактів обробки персональних даних суб'єкта, правовідносини по яких призупинено);
- Наявність повідомлення суб'єкта персональних даних про включення в базу персональних даних, його права, визначені Законом, мета збору даних і осіб, яким передаються його персональні дані;
- Відповідність даних та відомостей, поданих суб'єктом перевірки для реєстрації баз персональних даних фактичному стану обробки персональних даних у суб'єкта перевірки;
- Законність встановленого в суб'єкті перевірки порядку доступу до персональних даних.
16. Наявність у суб'єкта перевірки документів, що встановлюють процедури обробки персональних даних і пов'язаних зі збором, реєстрацією, накопиченням, зберіганням, адаптацією, зміною, оновленням, використанням та поширенням (розповсюдженням, реалізацією, передачею), знеособленням, знищенням відомостей про фізичну особу.
17. Встановленням суб'єктом перевірки:
- Порядку внесення, зміни, поновлення, використання, поширення, знеособлення, знищення персональних даних у базі персональних даних;
- Порядку захисту персональних даних, у тому числі від незаконної обробки та незаконного доступу до них;
- Поширення на всі дії суб'єкта перевірки всіх вимог щодо захисту персональних даних від незаконної обробки, а також від незаконного доступу до них.
18. Наявність у суб'єкта перевірки - власника бази персональних даних розпорядника бази. У разі наявності розпорядника перевіряється:
- Документальне підтвердження факту укладення договору в письмовій формі між власником і розпорядником баз персональних даних;
- Відповідність умов обробки розпорядником бази персональних даних умов, які визначені у відповідному договорі з власником баз персональних даних (зокрема, відповідність цілям, складу, змісту, обсягу і т.д.). А також з'ясування, не надано чи розпоряднику бази персональних даних більше повноважень по обробці персональних даних, ніж у власника.
19. Порядок доступу до персональних даних, які обробляються суб'єктом перевірки третіх осіб.
20. Наявність передачі персональних даних іноземним суб'єктам відносин, пов'язаних з персональними даними. У разі наявності - встановлення відповідних процедур.
21. Наявність документа про визначення структурного підрозділу чи відповідальної особи, які організовують роботу, пов'язану із захистом персональних даних при їх обробці, а також документів, що регламентують його діяльність.
22. Виконання структурним підрозділом або відповідальною особою завдань з організації роботи, пов'язаної із захистом персональних даних при їх обробці.
23. Ведення суб'єктом перевірки обліку фактів надання та позбавлення працівників права доступу до персональних даних та їх обробки, а також спроб і фактів несанкціонованих та / або незаконних дій з обробки персональних даних.
24. Розмежування режимів доступу співробітників до обробки персональних даних у базі персональних даних відповідно до їх професійними, трудовими чи службовими обов'язками.
25. Організація обробки суб'єктом перевірки персональних даних в складі інформаційної (автоматизованої) системи, в якій забезпечується захист персональних даних відповідно до законодавства.
26. Виконання суб'єктом перевірки вимог щодо впровадження організаційних і технічних заходів захисту персональних даних при їх обробці в формі картотек.
Олексій Мервінського, голова Державної служби України з питань захисту персональних даних
Адрес этой страницы: http://npp.com.ua/news/2588.html