Базы персональных данных: будут проверять интернет сайты!

18:04:2013 г.

Коллегия Государственной службы по вопросам защиты персональных данных приняла во внимание результаты общественного мониторинга «Обеспечение прозрачности и открытости обработки персональных данных на веб-ресурсах», проведенного ВОО «Украинская ассоциация защиты персональных данных», а также «подавляющее отсутствие возможности пользователей сайтов украинского сегмента сети Интернет как субъектов персональных данных получить информацию о владельце персональных данных, при явных признаках их обработки, и, как следствие, - отсутствие возможности защиты своих персональных данных».
В решении Коллегия указала, что в результате проверок сайтов украинского сегмента Интернет выявлены такие недостатки:

  • во время сбора персональных данных субъекту персональных данных не сообщается о владельце персональных данных (наименование юрлица - владельца и его адрес), составе и содержании собранных персональных данных, правах такого субъекта, определенных Законом «О защите персональных данных», цели сбора персональных данных и лицах, которым передаются его персональные данные;
  • содержание персональных данных было чрезмерно по отношению к определенной цели обработки персональных данных;
  • процедуры обработки персональных данных были определены на сайте, но не были определены распорядительными документами владельца, как это предусмотривает законодательство.

С учетом вышеизложенного, Коллегия, в частности, решила:

  • включать в планы проверок предприятий, учреждений и организаций по вопросам соблюдения законодательства о защите персональных данных вопросов проверки соблюдения законодательства при обработке персональных данных с использованием веб-ресурсов;
  • проработать вопрос о включении в планы проверок на II и III кварталы 2013 года субъектов, осуществляющих обработку персональных данных с использованием веб-ресурсов.

ЛИГА:ЗАКОН

КОЛЕГІЯ ДЕРЖАВНОЇ СЛУЖБИ УКРАЇНИ З ПИТАНЬ ЗАХИСТУ ПЕРСОНАЛЬНИХ ДАНИХ
РІШЕННЯ від 22 березня 2013 року № 6
Практика застосування законодавства з питань захисту персональних даних при обробці персональних даних з використанням веб-ресурсів

Рішення оголошено для реалізації наказом Державної служби України з питань захисту персональних даних від 22 березня 2013 року № 81

Колегія Державної служби України з питань захисту персональних даних (далі - ДСЗПД) заслухала доповідь заступника Голови ДСЗПД Козака В. Ф., в ході якої було розглянуто такі питання:
- типові порушення законодавства з питань захисту персональних даних при обробці персональних даних з використанням веб-ресурсів;
- заходи, спрямовані на усунення порушень законодавства з питань захисту персональних даних при їх обробці з використанням веб-ресурсів, за результатами перевірок;
- рекомендації міжнародних організацій щодо захисту персональних даних при здійсненні рекламної діяльності і маркетингових досліджень з використанням методів відслідковування поведінки відвідувачів веб-ресурсів (web-tracking);
- особливості проведення перевірок дотримання законодавства при обробці персональних даних з використанням веб-ресурсів у 2 та 3 кварталах 2013 року.
Колегія вважає, що ДСЗПД в достатній мірі підтримуються ініціативи, спрямовані на зростання обізнаності суб'єктів, які займаються обробкою персональних даних (володільців та розпорядників персональних даних), та суб'єктів, чиї персональні дані обробляються з кращими практиками та стандартами обробки персональних даних.
Колегією взято до уваги результати громадського моніторингу "Забезпечення прозорості та відкритості обробки персональних даних на веб-ресурсах", проведеного ВГО "Українська асоціація захисту персональних даних", а також переважну відсутність можливості користувачів веб-сайтів українського сегменту Інтернет як суб'єктів персональних даних отримати інформацію про володільця персональних даних, за явних ознак їх обробки, і, як наслідок, - не мають можливостей на захист свої персональних даних.
Колегією зважено на результати перевірок веб-сайтів українського сегменту Інтернет, за результатами яких виявлено такі недоліки:
- під час збору персональних даних суб'єкт персональних даних не повідомляється про володільця персональних даних (найменування юридичної особи - володільця та її адресу), склад та зміст зібраних персональних даних, права такого суб'єкта, визначені Законом України "Про захист персональних даних", мету збору персональних даних та осіб, яким передаються його персональні дані;
- зміст персональних даних був надмірним відповідно до визначеної мети обробки персональних даних;
- процедури обробки персональних даних були визначені на веб-сайті, але не були визначені розпорядчими документами володільця, як це передбачено законодавством.
Враховуючи зазначене, колегія вирішила:
1. Продовжити висвітлення проблем захисту персональних даних в Інтернет медіа, брати участь у конференціях, круглих столах тощо.
Термін - постійно.
Відповідальний - Козак В. Ф.
2. Включати до планів перевірок підприємств, установ та організацій з питань дотримання законодавства про захист персональних даних питань перевірки дотримання законодавства при обробці персональних даних з використанням веб-ресурсів.
Термін - протягом року.
Відповідальний - Черних Р. М.
3. Опрацювати питання щодо включення до планів перевірок на II та III квартали 2013 року суб'єктів, які здійснюють обробку персональних даних з використанням веб-ресурсів.
Термін - постійно.
Відповідальні - Черних Р. М., Муригін О. А.
4. Продовжити вивчення правових, організаційних і технічних аспектів можливих порушень законодавства про захист персональних даних при відслідковуванні поведінки відвідувачів веб-ресурсів.
Термін - протягом II та III кварталів 2013 року.
Відповідальний - Козак В. Ф.
5. Винести на розгляд колегії ДСЗПД у IV кварталі 2013 року питання щодо дієвості заходів Державної служби з питань захисту персональних даних, спрямованих на забезпечення захисту персональних даних при їх обробці з використанням веб-ресурсів.
Термін - листопад 2013 року.
Відповідальний - Філіпов К. А.

Голова колегії  О. І. Мервінський