Корпорація рішень

Базові питання при перевірці підприємства щодо захисту персональних даних

29.05.2012

Голова Державної служби України з питань захисту персональних даних Олексій Мервінський підготував базовий перелік запитань, на які при перевірці підприємства звертають увагу його працівники. Подаємо перелік запитань повністю.


Встановлення наявності факту обробки ПД та необхідних документів

1. Наявність у суб’єкта перевірки дійсного факту обробки персональних даних: з’ясування сфери діяльності, категорій суб’єктів персональних даних і категорій персональних даних, які обробляються.

2. Наявність документів, що регламентують діяльність суб’єкта перевірки:

3. Статус суб’єкта перевірки: належність до власників/розпорядників бази персональних даних або до третьої особи.

4. У разі наявності у розпорядника бази персональних даних, власником якої є орган державної влади або орган місцевого самоврядування, – перевірка його приналежності до державної або комунальної форми власності, яка стосується сфери управління цього органу.

5. Наявність у суб’єкта перевірки документів, що підтверджують реєстрацію баз персональних даних або копій документів стосовно їх відправки для реєстрації в ДСЗПД.

Правові підстави для обробки баз ПД

6. Правові підстави для здійснення обробки персональних даних у базі персональних даних:

7. У разі вивчення дозволу на обробку персональних даних, наданого суб’єкту перевірки відповідно до закону виключно для здійснення його повноважень, перевіряється відповідність конкретним положенням кожного акта (пункт, частина, стаття), які передбачають право на обробку суб’єктом перевірки персональних даних фізичних осіб, а також встановлення відповідності процедур обробки персональних даних положенням акта, яким було передбачено право на обробку персональних даних.

Мета та повнота охоплення процесів обробки ПД

8. При наявності згоди суб’єкта персональних даних як правової підстави для обробки персональних даних перевіряється і визначається повнота охоплення наданою згодою всіх встановлених суб’єктом перевірки процесів обробки персональних даних.

9. Наявність нормативно-правового акта, установчого або іншого документа, що регулює діяльність суб’єкта перевірки, який містить або затверджує мету обробки персональних даних.

10. Перевірка відповідності мети обробки персональних даних цілям, встановленим нормативно-правовими актами, установчими або іншими документами, а також мети, яка була вказана суб’єктом перевірки в заяві на реєстрацію бази персональних даних.

11. Перевірка відповідності визначеної або встановленої мети складу та змісту персональних даних, що містяться у відповідній базі персональних даних.

Джерела отримання відомостей

12. Установка джерел отримання відомостей про фізичну особу (первинні джерела у вигляді підписаних фізичною особою документів, відомостей, яких фізична особа надає про себе або загальнодоступні джерела, що передбачено законодавством).

13. Наявність у суб’єкта перевірки персональних даних, якими встановлені особливі вимоги для їх обробки, а також перевірка наявності відповідних правових підстав для їх обробки.

14. Наявність однозначно наданої згоди суб’єкта персональних даних на обробку персональних даних, за якими встановлені особливі вимоги для їх обробки.

15. Законність здійснення суб’єктом перевірки складових процесу обробки персональних даних відповідно до законодавства:

Процедури обробки

16. Наявність у суб’єкта перевірки документів, що встановлюють процедури обробки персональних даних і пов’язаних зі збором, реєстрацією, накопиченням, зберіганням, адаптацією, зміною, оновленням, використанням та поширенням (розповсюдженням, реалізацією, передачею), знеособленням, знищенням відомостей про фізичну особу.

17. Встановлення суб’єктом перевірки:

При наявності розпорядника бази ПД

18. Наявність у суб’єкта перевірки – власника бази персональних даних розпорядника бази. У разі наявності розпорядника перевіряється:

Якщо дані обробляються третіми особами

19. Порядок доступу до персональних даних, які обробляються суб’єктом перевірки третіх осіб.

20. Наявність передачі персональних даних іноземним суб’єктам відносин, пов’язаних з персональними даними. У разі наявності – встановлення відповідних процедур.

Наявність санкціонованого доступу до баз ПД

21. Наявність документа про визначення структурного підрозділу чи відповідальної особи, які організовують роботу, пов’язану із захистом персональних даних при їх обробці, а також документів, що регламентують його діяльність.

22. Виконання структурним підрозділом або відповідальною особою завдань з організації роботи, пов’язаної із захистом персональних даних при їх обробці.

23. Ведення суб’єктом перевірки обліку фактів надання та позбавлення працівників права доступу до персональних даних та їх обробки, а також спроб і фактів несанкціонованих та / або незаконних дій з обробки персональних даних.

24. Розмежування режимів доступу співробітників до обробки персональних даних у базі персональних даних відповідно до їх професійних, трудових  чи службових обов’язків.

25. Організація обробки суб’єктом перевірки персональних даних в складі інформаційної (автоматизованої) системи, в якій забезпечується захист персональних даних відповідно до законодавства.

26. Виконання суб’єктом перевірки вимог щодо впровадження організаційних і технічних заходів захисту персональних даних при їх обробці в формі картотек.
За матеріалами: ЮРЛІГИ

 

Читайте також: