Гаряча лінія
Гаряча лінія
Працівник Секретаріату Уповноваженого Верховної Ради України з прав людини у Рівненській області Олександр Сєрих здійснив планову перевірку додержання законодавства у сфері захисту персональних даних Департаментом соціальної політики (далі – Департамент, суб’єкт перевірки) Рівненської міської ради (далі – РМР).
Мета перевірки - встановити дотримання Департаментом вимог законодавства у сфері захисту персональних даних щодо організації роботи, пов’язаної із захистом та обробкою персональних даних.
Департамент, відповідно до рішення Рівненської міської ради від 20.08.2021, є правонаступником Управління праці та соціального захисту населення виконавчого комітету РМР і до сьогодні користується попередньо розробленою номенклатурою справ, оновлена буде затверджена до кінця 2022 року.
Наказом Департаменту №43 від 24.12.2021 визначено осіб, на яких покладено відповідальність за дотримання законодавства у сфері захисту персональних даних при їх обробці.
Під час перевірки встановлено, що Департамент обробляє персональні дані, що становлять особливий ризик, а саме: інформацію про стан здоров’я та вчинення щодо особи домашнього насильства. Так, у деяких особових справах отримувачів соціальних послуг містяться виписки з акта огляду медико-соціальною експертною комісією МОЗ України, в якій зазначено групу інвалідності та діагноз заявника. Департамент в електронному варіанті отримує у вигляді таблиць відомості про виявлені факти домашнього насильства, в яких міститься інформація про прізвище, ім’я, по батькові постраждалих осіб та кривдників, їхня дата народження, місце проживання, номер документа, що посвідчує особу, номер телефону, а також форма насильства (фізичне, психологічне тощо).
В діяльності Департаменту виявлені деякі порушення вимог законодавства у сфері захисту персональних даних, зокрема:
- не розроблено окремого документа, яким визначено загальні вимоги до обробки та захисту персональних даних суб’єктів персональних даних;
- суб’єкт перевірки не повідомив Уповноваженого про обробку даних, яка становить особливий ризик для прав і свобод суб’єктів персональних даних, та про відповідальну особу, що організовує роботу, пов’язану із захистом персональних даних при їх обробці;
- суб’єкт перевірки відбирає згоду на обробку персональних даних, що не відповідає вимогам пунктів 2 та 5 частини першої статті 11 Закону, оскільки обробка необхідна для здійснення прав та виконання обов’язків володільця персональних даних у сферах трудових правовідносин, надання соціальних послуг та здійснюється на підставі дозволу, наданого володільцю персональних даних відповідно до закону винятково для здійснення його повноважень, а також у зв’язку з необхідністю виконання обов’язку володільця персональних даних, який передбачений законом.
Варто також зазначити, що Департаментом не розроблено План дій на випадок несанкціонованого доступу до персональних даних, пошкодження технічного обладнання та виникнення надзвичайних ситуацій, хоча в умовах воєнного стану захист персональних даних від випадкових втрат або знищення, незаконної обробки, захист державних інформаційних ресурсів, які містять персональні дані, є дуже важливими.
За результатами перевірки готується акт та припис Директору Департаменту про усунення порушень вимог законодавства у сфері захисту персональних даних.