На основании результатов анализа проведенных проверок ГСЗПД обратила внимание на ряд типичных нарушений законодательства о защите персональных данных, в частности, следующих.
Владелец персональных данных обязан уведомлять уполномоченный государственный орган по вопросам защиты персональных данных о каждом изменении сведений, необходимых для регистрации соответствующей базы, не позднее чем в течение десяти рабочих дней со дня наступления такого изменения. Некоторые субъекты не ставили в известность ГСЗПД об изменении местонахождения базы персональных данных или об изменении сведений о распорядителях базы персональных данных.
Те лица, для которых никакими внутренними документами (например, должностной инструкцией) не предусмотрено осуществление обработки персональных данных, не должны иметь доступа к этим данным.
Некоторые владельцы и распорядители персональных данных не понимают, на каком из правовых оснований они используют персональные данные. Прежде чем получать у субъекта согласие на обработку персональных данных, необходимо определить, нет ли других правовых оснований для обработки персональных данных, в частности, разрешения на обработку персональных данных, предоставленного на основании норм действующего законодательства Украины. Например, обработка персональных данных работников предприятия с целью обеспечения реализации трудовых отношений не требует согласия, однако, если предприятием собираются персональные данные, не предусмотренные трудовым законодательством, необходимо получить согласие работников на обработку таких данных.
Обработка персональных данных распорядителями осуществлялась без заключенного договора с владельцем персональных данных, в объеме или с целью, которые превышают дозволенные (письмо от 05.02.2013 г. № 11/257-13).