21/03/2025 11:34

Дистанційна перевірка додержання вимог законодавства щодо захисту персональних даних

Головний спеціаліст Відділу сприяння роботі регіональних представництв Секретаріату Уповноваженого Верховної Ради України з прав людини Тетяна Трінька-Яворська здійснила планову безвиїзну перевірку додержання законодавства у сфері захисту персональних даних Комунальним підприємством «Тернопільводоканал» (далі – КП «Тернопільводоканал», Суб’єкт перевірки).

Метою перевірки було встановлення дотримання КП «Тернопільводоканал вимог законодавства у сфері захисту персональних даних, зокрема статті 12 Закону України «Про захист персональних даних» (далі – Закон), Типового порядку обробки персональних даних, затвердженого наказом Уповноваженого Верховної Ради України з прав людини від 08.01.2014 № 1/02-14 та Порядку повідомлення Уповноваженого Верховної Ради України з прав людини про обробку персональних даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних, про структурний підрозділ або відповідальну особу, що організовує роботу, пов’язану із захистом персональних даних при їх обробці, а також оприлюднення вказаної інформації, затвердженого наказом Уповноваженого Верховної Ради України з прав людини від 08.01.2014 № 1/02-14 щодо організації роботи, пов’язаної із захистом та обробкою персональних даних (далі - Порядок повідомлення).

За результатами проведеної планової безвиїзної перевірки встановлено, що обробка та захист персональних даних здійснюється у КП «Тернопільводоканал» з порушенням вимог законодавства про захист персональних даних, а саме:

• пункту 1.2 Типового порядку обробки персональних даних, затвердженого наказом Уповноваженого Верховної Ради України з прав людини від 08.01.2014 № 1/02-14, - у Субʼєкта перевірки відсутній розпорядчий документ, яким визначено загальні вимоги до обробки та захисту персональних даних субʼєктів персональних даних, відповідно не визначено мету та підстави обробки персональних даних, категорії субʼєктів та склад персональних даних, що обробляються, процедури обробки;
• статті 12 Закону України «Про захист персональних даних», - субʼєкти персональних даних не повідомляються про обробку персональних даних відповідно до вимог статей 8, 12 Закону;
• пункту 3.4 Типового порядку обробки персональних даних, затвердженого наказом Уповноваженого Верховної Ради України з прав людини від 08.01.2014 № 1/02-14, - у Субʼєкта перевірки не визначено порядок доступу працівників до персональних даних;
• пункту 3.5 Типового порядку обробки персональних даних, затвердженого наказом Уповноваженого Верховної Ради України з прав людини від 08.01.2014 № 1/02-14, - Субʼєкт перевірки не веде облік працівників, які мають доступ до персональних даних;
• статті 10 Закону України «Про захист персональних даних, - Субʼєкт перевірки не відбирає у працівників зобовʼязання про нерозголошення персональних даних;
• пункту 3.5 Типового порядку обробки персональних даних, затвердженого наказом Уповноваженого Верховної Ради України з прав людини від 08.01.2014 № 1/02-14, - у Субʼєкта перевірки не здійснюється розмежування доступу працівників до персональних даних;
• пункту 3.11 Типового порядку обробки персональних даних, затвердженого наказом Уповноваженого Верховної Ради України з прав людини від 08.01.2014 № 1/02-14, - Субʼєкт перевірки не веде облік операцій, повʼязаних з обробкою персональних даних;
• статті 15 Закону України «Про захист персональних даних» та пункту 2.1 Типового порядку обробки персональних даних, затвердженого наказом Уповноваженого Верховної РадиУкраїни з прав людини від 08.01.2014 № 1/02-14, - не визначено процедуру знищення/видалення персональних даних, строк зберігання яких закінчився;
• пункту 3.4 Типового порядку обробки персональних даних, затвердженого наказом Уповноваженого Верховної Ради України з прав людини від 08.01.2014 № 1/02-14, - відсутній План дій на випадок несанкціонованого доступу до персональних даних, пошкодження технічного обладнання, виникнення надзвичайних ситуацій.

За результатами перевірки складено акт і припис про усунення порушення вимог законодавства в сфері захисту персональних даних, виявленого під час перевірки.

Варто зазначити, що в умовах запровадженого в Україні воєнного стану захист персональних даних від випадкових втрат або знищення, незаконної обробки, в тому числі незаконного знищення чи доступу до персональних даних, захист державних інформаційних ресурсів, ІТ-систем об’єктів критичної інфраструктури, державних реєстрів, які містять персональні дані, є вкрай важливими.

Тому органи державної влади, органи місцевого самоврядування, підприємства, установи та організації всіх форм власності, фізичні особи-підприємці, фізичні особи, що провадять незалежну професійну діяльність, як і обробляють персональні дані, зобов’язані забезпечити захист цих даних від випадкових втрати або знищення, незаконної обробки, в тому числі незаконного знищення чи доступу до персональних даних.

Нагадуємо, якщо Вам відомо про випадки порушення Ваших прав, Ви можете звернутися до Уповноваженого Верховної Ради України з прав людини:

• за адресою: вул. Інститутська, 21/8, м. Київ, 01008;
• на електронну пошту: hotline@ombudsman.gov.ua;
• на гарячу лінію: 0 800 501 720; 044 299 74 08.