Гаряча лінія
Гаряча лінія
Представник Уповноваженого Верховної ради України з прав людини у Чернівецькій області та головний спеціаліст Відділу сприяння роботі регіональних представництв Секретаріату Уповноваженого Верховної Ради України з прав людини Аліна Пітей-Маляр здійснили планову безвиїзну перевірку додержання законодавства про захист персональних даних Департаментом освіти і науки Чернівецької обласної державної адміністрації (далі – суб’єкт перевірки, Департамент).
Предметом перевірки є додержання суб’єктом перевірки під час здійснення обробки персональних даних вимог законодавства у сфері захисту персональних даних щодо організації роботи, пов’язаної обробкою та захистом персональних даних.
На виконання вимог Закону України «Про захист персональних даних» та наказу Уповноваженого Верховної Ради України з прав людини від 08.01.2014 №1/01-14 Департаментом затверджено Порядок обробки та захисту персональних даних у Департаменті освіти і науки Чернівецької обласної державної адміністрації (далі – Порядок); визначено відповідальний структурний підрозділ, який організовує роботу, пов’язану із захистом персональних даних при їх обробці; розроблено та затверджено план дій на випадок несанкціонованого доступу до персональних даних, пошкодження технічного обладнання, виникнення надзвичайної ситуації.
Водночас у діяльності суб’єкта перевірки виявлено порушення вимог законодавства про захист персональних даних, зокрема:
не в повній мірі визначено склад персональних даних, які обробляються від категорії суб’єктів персональних даних: користувачів інформації в інформаційно-комунікаційних системах, держателем яких є Департамент;фізичних осіб (здобувачів освіти);
Порядком визначено склад персональних даних, які обробляються Департаментом та спосіб збору, накопичення персональних даних від категорії суб’єктів персональних даних «окремо визначених представників закладів освіти, державних установ та організацій, що належать до сфери управління Департаменту, на яких здійснюється оформлення довіреностей та які підписують акт приймання-передачі», однак Порядком така категорія суб’єктів персональних даних не визначена;
не визначено процедуру знищення/видалення персональних даних, строк зберігання яких закінчився;
не подано інформацію Уповноваженому Верховної Ради України з прав людини про структурний підрозділ, що організовує роботу, пов’язану із захистом персональних даних при їх обробці;
не визначено строк та умови зберігання персональних даних від категорії суб’єктів персональних даних: користувачів інформації в інформаційно-комунікаційних системах, держателем яких є Департамент; фізичних осіб (здобувачів освіти);
не визначено спосіб збору персональних даних, які обробляються від категорії суб’єктів персональних даних: користувачів інформації
в інформаційно-комунікаційних системах, держателем яких є Департамент; фізичних осіб (здобувачів освіти);
не визначено порядок ведення обліку операцій, пов’язаних з обробкою персональних даних суб’єкта та доступом до них.
За результатами проведеної планової безвиїзної перевірки складено акт перевірки та направлено суб’єкту перевірки припис про усунення порушення законодавства у сфері захисту персональних даних, що були виявлені під час перевірки.