На підставі результатів аналізу проведених перевірок ГСЗПД звернула увагу на ряд типових порушень законодавства про захист персональних даних, зокрема, наступних.
Власник персональних даних зобов'язаний повідомляти уповноважений державний орган з питань захисту персональних даних про кожну зміну відомостей, необхідних для реєстрації відповідної бази, не пізніше чим впродовж десяти робочих днів з дня настання такої зміни. Деякі суб'єкти не повідомляли ГСЗПД про зміну місцезнаходження бази персональних даних або про зміну відомостей про розпорядників бази персональних даних.
Ті особи, для яких ніякими внутрішніми документами (наприклад, посадовою інструкцією) не передбачено здійснення обробки персональних даних, не повинні мати доступу до цих даних.
Деякі власники і розпорядники персональних даних не розуміють, на якій з правових підстав вони використовують персональні дані. Перш ніж отримувати у суб'єкта згоду на обробку персональних даних, необхідно визначити, чи немає інших правових підстав для обробки персональних даних, зокрема, дозволи на обробку персональних даних, наданого на підставі норм чинного законодавства України. Наприклад, обробка персональних цих працівників підприємства з метою забезпечення реалізації трудових стосунків не вимагає згоди, проте, якщо підприємством збираються персональні дані, не передбачені трудовим законодавством, необхідно отримати згоду працівників на обробку таких даних.
Обробка персональних даних розпорядниками здійснювалася без укладеного договору з власником персональних даних, в об'ємі або з метою, які перевищують дозволені (лист від 05.02.2013 р. № 11/257-13).
