Перевірки у сфері захисту персональних даних: як підготуватись

Нещодавно важливість теми інформаційної безпеки кожен відчув на собі — внаслідок кібератаки Укрзалізниця припинила онлайн-продаж квитків на кілька днів. Результатом інциденту стало пришвидшення реформування державного контролю кібербезпеки.^[1]

Але насправді контроль у цій сфері існує вже давно, хоч до повномасштабного вторгнення перевірки і були рідкістю. Оскільки тренд до їх збільшення перевірок зберігається вже протягом кількох років, ми вирішили детальніше розповісти про практику їх проведення.

1. Порядок проведення перевірок

Уповноважений Верховної Ради України ("Уповноважений") може здійснювати перевірку компаній на предмет дотримання положень законодавства про захист персональних даних. І якщо до повномасштабного вторгнення такі перевірки здебільшого стосувались державного та комунального сектору, станом на зараз спостерігається зацікавленість у планових та позапланових перевірках приватних компаній.

Наступні нормативні акти стосуються перевірок:

• Закон України "Про захист персональних даних". Визначає основні вимоги до обробки персональних даних.
• Закон України "Про Уповноваженого Верховної Ради України з прав людини". Визначає загальний статус Уповноваженого.
• Порядок здійснення Уповноваженим Верховної Ради України з прав людини контролю за додержанням законодавства про захист персональних даних. Визначає правила проведення перевірок.
• Типовий порядок обробки персональних даних; Порядок повідомлення Уповноваженого про обробку персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних, про структурний підрозділ або відповідальну особу, що організовує роботу, пов’язану із захистом персональних. Визначають вимоги до рядку документів компанії щодо обробки персональних даних.

Проведення перевірки може бути доручене Уповноваженим:

• керівнику Секретаріату Уповноваженого або його заступникам,
• представникам Уповноваженого,
• керівникам структурних підрозділів Секретаріату та їх заступниками,
• працівникам Секретаріату Уповноваженого.

2. Види перевірок

За способом проведення перевірки бувають виїзні або безвиїзні, а за підставами планові та позапланові.

Виїзні перевірки проводяться з фізичною присутністю представників Уповноваженого за місцезнаходженням суб'єкта перевірки або безпосередньо на місці обробки персональних даних.

Безвиїзні перевірки здійснюються без фізичної присутності представників Уповноваженого за місцезнаходженням суб’єкта перевірки, на підставі отриманих від суб'єкта перевірки документів та пояснень.

Планові перевірки проводяться незалежно від наявності порушень відповідно до річних/квартальних планів, які затверджуються Уповноваженим до 1 грудня року, що передує плановому, або до 25 числа останнього місяця кварталу, що передує плановому та здійснюються з періодичністю не частіше одного разу на рік. З планами проведення перевірок можна ознайомитися на сайті Уповноваженого за гіперпосиланням.

Звертаємо увагу, що кількість планових перевірок має тенденцію на збільшення. В І кварталі 2020 року та ІІ кварталі 2021 було заплановано лише по 2 перевірки,^[2],[3] в той час як в І кварталі 2022 року – 16 перевірок^[4], а в І кварталі 2025 року – 26 перевірок^[5], збільшуючи кількість перевірок як приватних, так і державних та комунальних підприємств та установ. З результатами деяких перевірок також можна ознайомитися на сайті Уповноваженого.

За нашим досвідом, наступні приватні компанії мають підвищені шанси потрапити під перевірку:

• Великі торговельні мереж (переважно сегмент, орієнтований на споживача);
• Споживацькі послуги (перевезення, проведення подій, пошта);
• Фінансові установи (мікрофінансові організації, банки);
• Агенції з продажу нерухомості;
• Медичні установи;
• Навчальні заклади.

Позапланові перевірки здійснюються:

• за власною ініціативою Уповноваженого;
• при безпосередньому виявленні порушень вимог законодавства про захист персональних даних Уповноваженим;
• при наявності інформації про порушення вимог законодавства про захист персональних даних в повідомленнях, опублікованих в ЗМІ, в Інтернеті;
• за обґрунтованими скаргами (наприклад, перевірку за скаргою було проведено за фактом поширення персональних даних на офіційному веб-сайті Святошинської РДА в місті Києві^[6]);
• в разі виявлення недостовірності у відомостях, наданих на письмовий запит Уповноваженого або якщо такі відомості не дають змоги оцінити виконання вимог законодавства про захист персональних даних; та
• для здійснення контролю за виконанням раніше виданих приписів щодо усунення порушень вимог законодавства про захист персональних даних.

3. Типові заходи під час перевірки

Уповноважений під час перевірки має право безперешкодно входити на об'єкт перевірки за службовим посвідченням і мати безперешкодний доступ до місць зберігання інформації, у тому числі й до комп'ютерів та носіїв інформації, отримувати доступ до документів та отримувати засвідчені копії документів та паперові копії електронних документів.^[7]

А. Дослідження внутрішніх документів. Під час здійснення перевірок представники Уповноваженого найчастіше запитують документи та відомості, що стосуються обробки персональних даних на підприємстві, зокрема:

• установчий документ (статут);
• інформація про організаційну структуру та штатний розпис;
• положення про структурні підрозділи, які здійснюють обробку персональних даних;
• номенклатури справ;
• документ, яким визначаються загальні вимоги до обробки та захисту персональних даних (наприклад, положення про обробку персональних даних);
• інформаційна довідка про базу персональних даних, в якій здійснюється обробка персональних даних;
• перелік працівників, які мають/мали доступ до персональних даних з документальним підтвердженням того, що надання таким працівникам доступу до персональних даних відповідає їх посадовим обов'язкам;
• підтвердження надання працівниками, які мають доступ до персональних даних, зобов'язань про нерозголошення персональних даних;
• інформаційна довідка про порядок обміну та поширення інформації, що містить персональні дані, а саме шляхи її передачі між структурними підрозділами;
• план дій на випадок несанкціонованого доступу до персональних даних, пошкодження технічного обладнання, виникнення надзвичайних ситуацій.

Б. Аналіз звернень та наданих відповідей. За наявності запитів до компанії, що стосуються надання персональних даних, представники Уповноваженого шляхом вибіркової перевірки відповідей на них перевіряють їх беручи до уваги наступне:

• чи належним чином здійснюється оцінка повноважень запитувачів;
• підстави та мета запитів.

Така перевірка спрямована на запобігання безпідставної та надмірної передачі персональних даних (наприклад, протидія отримання інформації шахраями, які видають себе за іншу особу).

В. Огляд приміщень. Під час виїзних перевірок представники Уповноваженого також можуть аналізувати інформаційні стенди, куточки споживачів та інші публічні повідомлення, що стосуються обробки персональних даних, якщо такі є. В разі виїзної перевірки, представники Уповноваженого також оцінюють заходи забезпечення фізичної безпеки персональних даних. Наприклад, враховується наявність системи протипожежної безпеки, а також чи мають доступ до кабінетів, де зберігаються носії персональних даних, особи, не уповноважені на їхню обробку (наявність замків на дверях, гратів на вікнах, сигналізації).^[8]

4. Типові порушення

Уповноважений найбільш часто відзначає наступні порушення:

А. Відсутність документації. Приміром,  документу, яким визначаються загальні вимоги до обробки та захисту персональних даних, зобов’язань працівників про нерозголошення персональних даних; документу, який визначає структурний підрозділ або відповідальну особу за організацію роботи пов’язаної із захистом персональних даних. Документи, які найчастіше запитуються під час перевірок, згадуються в розділі "Типові заходи під час перевірки" цієї статті.

Б. Неправильна підстава обробки даних. Стаття 11 Закону України про захист персональних даних визначає вичерпний перелік підстав для обробки персональних даних, і згода є лише однією із них. При цьому жодна з підстав не є універсальною – виконання договору, наприклад, є самостійною підставою обробки даних, і отримання окремої згоди на обробку для виконання укладеного договору може бути кваліфіковане як порушення^[9]. Приміром, згода працівника на обробку даних у звʼязку із виконанням робочих завдань, отримана окремо від трудового договору, буде незаконною. Згода передбачає добровільність і можливість відмовитись – якщо без такої згоди виконання роботи буде неможливим, працівник погоджується вимушено, тому принцип добровільності порушується.

В. Згода без інформування. Згода на обробку даних є незаконною, якщо не надано інформацію про:  (1) володільця та розпорядника даних, (2) мету обробки, (3) перелік даних, що оброблятимуться, (4) дії з даними, (5) передачу даних, (6) строк зберігання даних, (7) порядок відкликання згоди, (8) автоматичну обробку даних (за наявності).^[10]

Г. Поширення без підстав. Поширення даних про особу без її згоди буде порушенням.^[11] Таке порушення виникає, зокрема, у випадках, якщо обрана платіжна система, форма зворотнього зв'язку або інший елемент онлайн-взаємодії належить сторонній особі, сервери якої розміщено за кордоном^[12].

Ґ. Фізична захищеність носіїв. Порушенням може вважатися знаходження побутових електроприладів в приміщенні, де зберігаються документи, що містять персональні дані за умови відсутності засобів пожежогасіння^[13].

Більше порад щодо управління ризиками обробки персональних даних, які мінімізують і ризик штрафів, ми надали у цій публікації.

5. Перевірки іноземних компаній

Невизначеним залишається питання проведення перевірок компаній, зареєстрованих за межами України. Інформація про здійснення таких перевірок відсутня, а механізм притягнення іноземних компаній до відповідальності за порушення у цій сфері не є чітко регламентованим ані Кодексом України про адміністративні правопорушення, ані будь-яким спеціальним законом.

Механізм притягнення іноземних компаній до відповідальності не деталізований і у проектах законів «Про захист персональних даних» № 8153^[14] та «Про Національну комісію з питань захисту персональних даних та доступу до публічної інформації» № 6177.^[15]

6. Відповідальність за порушення

В більшості випадків, в разі виявлення порушень законодавства про захист персональних даних, видається припис про усунення порушень вимог законодавства у сфері захисту персональних даних, виявлених під час перевірки.

Якщо ж не виконати припис – може бути накладено штраф на посадових осіб у розмірі від 5100 грн до 17000 грн, а в разі повторного невиконання приписів протягом року – від 8500 до 34000 грн.^[16]

При цьому наступні порушення можуть нести за собою притягнення до адміністративної відповідальності без видання припису:

• неповідомлення або несвоєчасне повідомлення Уповноваженого про обробку персональних даних або про зміну відомостей, які підлягають повідомленню згідно із законом, повідомлення неповних чи недостовірних відомостей – можуть тягнути за собою накладення штрафу на посадових осіб у розмірі 3400 грн до 6800 грн;^[17]
• недодержання встановленого законодавством порядку захисту персональних даних, що призвело до незаконного доступу до них або порушення прав суб’єкта персональних даних може тягнути за собою накладення штрафу на посадових осіб у розмірі від 5100 грн до 17000 грн, а в разі повторного порушення протягом року – від 17000 грн до 34000 грн.^[18]

Слід враховувати, що євроінтеграційним Проектом Закону України «Про захист персональних даних» № 8153 від 25.10.2022, пропонується значно підвищити розміри штрафів, що можуть сягати до 20 мільйонів гривень для фізичних осіб та 150 мільйонів гривень або до 8% загального річного обороту за останній звітний рік, що передував року, в якому накладається штраф, для юридичних осіб.^[19]

Автори: Віталій Мельянков, старший юрист ЮФ Василь Кісіль і Партнери; Владислав Іванов, юрист ЮФ «Василь Кісіль і Партнери».

---

^[1] Проект Закону № 11290 про внесення змін до деяких законів України щодо захисту інформації та кіберзахисту державних інформаційних ресурсів, об’єктів критичної інформаційної інфраструктури: https://itd.rada.gov.ua/billInfo/Bills/Card/44275

^[2] Архів плану перевірок на І квартал 2020 року https://web.archive.org/web/20200129232246/http://www.ombudsman.gov.ua:80/ua/page/zpd/kontrol/plan-provedennya-perevirok/

^[3] Архів плану перевірок на ІІ квартал 2021 року https://web.archive.org/web/20210513064246/https://ombudsman.gov.ua/ua/page/zpd/kontrol/plan-provedennya-perevirok/

^[4] План проведення перевірок на І квартал 2022 року https://ombudsman.gov.ua/storage/app/media/%D0%97%D0%9F%D0%94/%D0%BF%D0%BB%D0%B0%D0%BD%20%D0%86%20%D0%BA%D0%B2%D0%B0%D1%80%D1%82%D0%B0%D0%BB%202022.pdf

^[5] План проведення перевірок на І квартал 2025 року https://ombudsman.gov.ua/storage/app/media/uploaded-files/%D0%BF%D0%BB%D0%B0%D0%BD%20%D0%BF%D0%B5%D1%80%D0%B5%D0%B2%D1%96%D1%80%D0%BE%D0%BA%20%D0%BD%D0%B0%20%D0%86%20%D0%BA%D0%B2%D0%B0%D1%80%D1%82%D0%B0%D0%BB%202025%20%D1%80%D0%BE%D0%BA%D1%83.pdf

^[6] Результат перевірки Святошинської РДА в місті Києві https://www.ombudsman.gov.ua/uk/kontrol-za-doderzhannyam-vimog-zakonodavstva-zpd/rezultati-perevirok/za-faktom-poshirennya-personalnih-danih-na-oficijnomu-veb-sajti-svyatoshinskoyi-rda-v-misti-kiyevi-skladeno-protokol-pro-administrativne-pravoporushennya

^[7] п. 6.1. Порядку здійснення Уповноваженим Верховної Ради України з прав людини контролю за додержанням законодавства про захист персональних даних затвердженого Наказом Уповноваженого Верховної Ради України з прав людини 08.01.2014 № 1/02-14

^[8] Результати перевірки Великодимерської селищної ОТГ на Київщині https://www.ombudsman.gov.ua/uk/kontrol-za-doderzhannyam-vimog-zakonodavstva-zpd/rezultati-perevirok/rezultati-perevirki-dotrimannya-vimog-zakonodavstva-u-sferi-zahistu-personalnih-danih-velikodimerskoyu-selishchnoyu-otg-na-kiyivshchini

^[9] Стаття 11 Закону України "Про захист персональних даних" https://zakon.rada.gov.ua/laws/show/2297-17#n102

^[10] Роз'яснення Уповноваженого до Типового порядку обробки персональних даних від 08.01.2014 https://zakon.rada.gov.ua/laws/show/n0001715-14#Text

^[11] ст. 14 Закону України “Про захист персональних даних” https://zakon.rada.gov.ua/laws/show/2297-17#n116

^[12] Результати перевірки Вищої школи адвокатури Національної асоціації адвокатів Україниhttps://www.ombudsman.gov.ua/uk/kontrol-za-doderzhannyam-vimog-zakonodavstva-zpd/rezultati-perevirok/viyavleno-grube-porushennya-prav-subyektiv-personalnih-danih-z-boku-vishchoyi-shkoli-advokaturi-nacionalnoyi-asociaciyi-advokativ-ukrayini

^[13] Результати перевірки Великодимерської селищної ОТГ на Київщині https://www.ombudsman.gov.ua/uk/kontrol-za-doderzhannyam-vimog-zakonodavstva-zpd/rezultati-perevirok/rezultati-perevirki-dotrimannya-vimog-zakonodavstva-u-sferi-zahistu-personalnih-danih-velikodimerskoyu-selishchnoyu-otg-na-kiyivshchini

^[14] Проект Закону про захист персональних даних № 8153 від 25.10.2022 https://itd.rada.gov.ua/billinfo/Bills/Card/40707

^[15] Проект Закону про Національну комісію з питань захисту персональних даних та доступу до публічної інформації № 6177 від 18.10.2021 http://w1.c1.rada.gov.ua/pls/zweb2/webproc4_1?pf3511=72992

^[16] абз. 4 ст. 188-39 КУпАП https://zakon.rada.gov.ua/laws/show/80731-10#Text

^[17] абз. 2 ст. 188-39 КУпАП https://zakon.rada.gov.ua/laws/show/80731-10#Text

^[18] абз. 8 ст. 188-39 КУпАП https://zakon.rada.gov.ua/laws/show/80731-10#Text

^[19] ст. 59 Проекту Закону про захист персональних даних № 8153 від 25.10.2022  https://itd.rada.gov.ua/billinfo/Bills/Card/40707