Как подготовиться к проверке в сфере защиты персональных данных

Уполномоченный Верховной Рады может осуществлять проверку компаний на предмет соблюдения положений законодательства о защите персональных данных. И если до большой войны такие меры в основном касались государственного и коммунального сектора, то сейчас наблюдается заинтересованность в плановых и внеплановых проверках частных компаний. Какие нормативные акты касаются проверок? Всего их четыре. Один закон определяет основные требования к обработке персональных данных. Другой определяет общий статус уполномоченного. Существует еще порядок осуществления им контроля за соблюдением законодательства о защите персональных данных, который определяет правила проведения проверок. Другой порядок определяет требования к документам компании по обработке персональных данных. Проведение проверки может быть поручено уполномоченным: руководителю Секретариата уполномоченного или его заместителям; представителям уполномоченного; руководителям структурных подразделений Секретариата и их заместителями; работникам Секретариата уполномоченного. Виды проверок По способу проведения проверки бывают выездные или безвыездные, а по основаниям - плановые и внеплановые. Реклама: Выездные проводятся с физическим присутствием представителей уполномоченного по местонахождению субъекта проверки или непосредственно на месте обработки персональных данных. А безвыездные, соответственно, осуществляются без физического присутствия представителей уполномоченного по местонахождению субъекта проверки, на основании полученных от субъекта проверки документов и объяснений. Плановые проверки проводятся независимо от наличия нарушений в соответствии с годовыми/квартальными планами, которые утверждаются уполномоченным до 1 декабря года, предшествующего плановому, или до 25 числа последнего месяца квартала, предшествующего плановому и осуществляются с периодичностью не чаще одного раза в год. С планами проведения проверок можно ознакомиться на сайте уполномоченного. Реклама: Обращаем внимание, что количество плановых проверок имеет тенденцию к увеличению. В первом квартале 2020 года и втором квартале 2021 года было запланировано только по две проверки, в то время как первом квартале 2022 года - 16, а в первом квартале 2025 года - 26 проверок. С результатами некоторых из них также можно ознакомиться на сайте. По нашему опыту, следующие частные компании имеют повышенные шансы попасть под проверку: крупные торговые сети (преимущественно сегмент, ориентированный на потребителя); потребительские услуги (перевозки, проведение событий, почта); финансовые учреждения (микрофинансовые организации, банки); агентства по продаже недвижимости; медицинские учреждения; учебные заведения. Внеплановые проверки осуществляются: по собственной инициативе уполномоченного; при непосредственном выявлении нарушений требований законодательства о защите персональных данных; при наличии информации о нарушении требований законодательства о защите персональных данных в сообщениях, опубликованных в СМИ, в Интернете; по обоснованным жалобам (например, по факту распространения персональных данных на официальном веб-сайте Святошинской РГА в Киеве); в случае выявления недостоверности в сведениях, предоставленных на письменный запрос уполномоченного или если такие сведения не позволяют оценить выполнение требований законодательства о защите персональных данных; для осуществления контроля за выполнением ранее выданных предписаний по устранению нарушений требований законодательства о защите персональных данных. Типичные мероприятия во время проверки Уполномоченный во время проверки имеет право беспрепятственно входить на объект проверки по служебному удостоверению и иметь беспрепятственный доступ к местам хранения информации, в том числе и к компьютерам и носителям информации, получать доступ к документам и получать заверенные копии документов и бумажные копии электронных документов. При осуществлении проверок представители уполномоченного чаще всего запрашивают документы и сведения, касающиеся обработки персональных данных на предприятии, в частности: учредительный документ (устав); информацию об организационной структуре и штатном расписании; положения о структурных подразделениях, осуществляющих обработку персональных данных; номенклатуры дел; документ, которым определяются общие требования к обработке и защите персональных данных (например, положение об обработке персональных данных); информационную справку о базе персональных данных, в которой осуществляется обработка персональных данных; перечень работников, которые имеют/имели доступ к персональным данным с документальным подтверждением того, что предоставление им доступа соответствует их должностным обязанностям; подтверждение предоставления работниками, имеющими доступ к персональным данным, обязательств о неразглашении персональных данных; информационная справка о порядке обмена и распространения информации, содержащей персональные данные, а именно пути ее передачи между структурными подразделениями; план действий на случай несанкционированного доступа к персональным данным, повреждения технического оборудования, возникновения чрезвычайных ситуаций. При наличии запросов к компании, касающихся предоставления персональных данных, представители уполномоченного путем выборочной проверки ответов на них проверяют их принимая во внимание следующее: должным ли образом осуществляется оценка полномочий запрашивающих лиц; основания и цель запросов. Такая проверка направлена на предотвращение безосновательной и чрезмерной передачи персональных данных (например, противодействие получения информации мошенниками, которые выдают себя за другое лицо). Во время выездных проверок представители уполномоченного также могут анализировать информационные стенды, уголки потребителей и другие публичные сообщения, касающиеся обработки персональных данных, если таковые имеются. В случае выездной проверки они также оценивают меры обеспечения физической безопасности персональных данных. Например, учитывается наличие системы противопожарной безопасности, а также имеют ли доступ в кабинеты, где хранятся носители персональных данных, лица, не уполномоченные на их обработку (наличие замков на дверях, решеток на окнах, сигнализации). Типичные нарушения Уполномоченный наиболее часто отмечает следующие нарушения. Первое - отсутствие документации. К примеру, документа, которым определяются общие требования к обработке и защите персональных данных, обязательств работников о неразглашении персональных данных; документа, который определяет структурное подразделение или ответственное лицо за организацию работы связанной с защитой персональных данных. Второе - неправильное основание обработки данных. Статья 11 закона "О защите персональных данных" определяет исчерпывающий перечень оснований для обработки персональных данных, и согласие является лишь одним из них. При этом ни одно из оснований не является универсальным - выполнение договора, например, является самостоятельным основанием обработки данных, и получение отдельного согласия на обработку для выполнения заключенного договора может быть квалифицировано как нарушение. К примеру, согласие работника на обработку данных в связи с выполнением рабочих задач, полученное отдельно от трудового договора, будет незаконным. Согласие предусматривает добровольность и возможность отказаться - если без такого согласия выполнение работы будет невозможным, работник соглашается вынужденно, поэтому принцип добровольности нарушается. Третье - согласие без информирования. Согласие на обработку данных является незаконным, если не предоставлена информация о: владельце и распорядителе данных, цели обработки, перечень данных, которые будут обрабатываться, действия с данными, их передачу, срок хранения, порядок отзыва согласия, автоматическую обработку (при наличии). Четвертое - распространение без оснований. Распространение данных о лице без его согласия будет нарушением. Оно возникает, в частности, в случаях, если выбранная платежная система, форма обратной связи или другой элемент онлайн-взаимодействия принадлежит стороннему лицу, серверы которого размещены за рубежом. Пятое - физическая защищенность носителей. Нарушением может считаться нахождение бытовых электроприборов в помещении, где хранятся документы, содержащие персональные данные при условии отсутствия средств пожаротушения. Больше советов по управлению рисками обработки персональных данных, которые минимизируют и риск штрафов, есть по ссылке. Проверки иностранных компаний Неопределенным остается вопрос проведения проверок компаний, зарегистрированных за пределами Украины. Информация об их осуществлении отсутствует, а механизм привлечения иностранных компаний к ответственности за нарушения в этой сфере не является четко регламентированным ни Кодексом об административных правонарушениях, ни каким-либо специальным законом. Механизм привлечения иностранных компаний к ответственности не детализирован и в законопроектах "О защите персональных данных" и "О Нацкомиссии по вопросам защиты персональных данных и доступа к публичной информации. Ответственность за нарушение В большинстве случаев, в случае выявления нарушений законодательства о защите персональных данных, выдается предписание об устранении нарушений, выявленных в ходе проверки. Если же не выполнить предписание - может быть наложен штраф на должностных лиц в размере от 5,1 тыс. грн до 17 тыс. грн, а в случае повторного невыполнения предписаний в течение года - от 8,5 тыс. грн до 34 тыс. грн. Последующие нарушения могут повлечь за собой привлечение к административной ответственности без выдачи предписания: неуведомление или несвоевременное уведомление уполномоченного об обработке персональных данных или об изменении сведений, подлежащих сообщению по закону, сообщение неполных или недостоверных сведений - штраф на должностных лиц в размере 3,4 тыс. грн до 6,8 тыс. грн; несоблюдение порядка защиты персональных данных, что привело к незаконному доступу к ним или нарушению прав субъекта персональных данных - штраф на должностных лиц в размере от 5,1 тыс. грн до 17 тыс. грн, а в случае повторного нарушения в течение года - до 34 тыс. грн. Следует учитывать, что евроинтеграционным законопроектом "О защите персональных данных" предлагается значительно повысить размеры штрафов, которые могут достигать до 20 млн грн для физических лиц и 150 млн грн или до 8% общего годового оборота за последний отчетный год, предшествовавший году, в котором налагается штраф, для юридических лиц. Соавтор: Владислав Иванов, юрист ЮФ "Василь Кисиль и Партнеры"