ГСЗПД в письме от 05.02.2013 г. № 11/257­13 отметила, что за период с 16.07.2012 г. по 05.02.2013 г. было проведено всего 36 проверок (в том числе 22 предприятий, учреждений, организаций, которые осуществляют свою деятельность в разных сферах хозяйствования, 8 органов государственной власти и местного самоуправления и 6 коммунальных предприятий).
Иными словами, предпринимателей ГСЗПД Украины пока не проверяла. Будем надеяться, что и в дальнейшем ФЛП не будут беспокоить по «защитно­данным» вопросам.
Кроме того, ГСЗПД рассмотрела типичные нарушения законодательства о защите персональных данных.
1. Владелец персональных данных обязан уведомлять уполномоченный государственный орган по вопросам защиты персональных данных о каждом изменении сведений, необходимых для регистрации соответствующей базы, не позднее чем в течение десяти рабочих дней со дня наступления такого изменения. У некоторых субъектов проверки было выявлено нарушение данного требования, а именно: не была поставлена в известность ГСЗПД Украины об изменении местонахождения базы персональных данных или об изменении сведений о распорядителях базы персональных данных.
2. В ходе проверок было выявлено, что некоторые владельцы и/или распорядители персональных данных не понимают, на каком из правовых оснований они используют эти данные. Прежде чем получать у субъекта согласие на их обработку, владельцу и/или распорядителю персональных данных необходимо определить, нет ли других правовых оснований для обработки персональных данных, в частности соответствующего разрешения, предоставленного на основании норм действующего законодательства. Например, обработка персональных данных работников с целью обеспечения реализации трудовых отношений не требует согласия, однако, если собираются данные, не предусмотренные трудовым законодательством, необходимо получить согласие работников на их обработку.
3. Иногда обработка персональных данных распорядителями осуществлялась без заключенного договора или в объеме, превышавшем объем, предоставленный распорядителю владельцем персональных данных, или с целью, которая не соответствовала цели обработки персональных данных владельца персональных данных.