Закон про захист персональных данных. Что гласит закон о защите персональных данных. Защита персональных данных работника - трудовое право

1 июня 2010 года был принят Закон Украины «О защите персональных данных». За активными законодательными изменениями и новогодними приготовлениями принятие этого Закона и вступление его в силу может пройти почти незамеченным. Тем не менее осталось совсем немного времени до того дня, когда этот нормативный акт будет применяться на практике. Напомним, он вступает в силу с 1 января 2011 года.

Принятие этого Закона отражает тенденцию гармонизации украинского законодательства с законодательством ЕС и международным правом (во всяком случае будем надеяться, что такая тенденция действительно имеет место в законотворчестве сегодня). Так, ЕС развивает законодательство в этой сфере на основании Хартии основополагающих прав ЕС, статья 8 которой предусматривает право лица на защиту персональных данных. В соответствии с этой статьей было принято несколько Директив ЕС, а именно: № 95/46/ЕС и № 97/66/ЕС. Однако в законодательстве Украины и раньше существовали общие нормы, которые касаются защиты персональных данных. Несмотря на то, что такие нормы являются общими, они содержатся в Основном Законе Украины. Например, статья 32 Конституции гарантирует невмешательство в личную жизнь и запрещает хранение, использование и распространение конфиденциальной информации о лице без его согласия. Аналогичное положение содержится в статье 302 Гражданского кодекса Украины.

Недавно принятый Закон Украины «О защите персональных данных» реализует два международных правовых акта, которые недавно ратифицировала Украина, а именно: Конвенцию о защите лиц в связи с автоматизированной обработкой данных личного характера № 108 от 28.01.81 и Дополнительный протокол к Конвенции о защите лиц в связи с автоматизированной обработкой персональных данных относительно органов надзора и трансграничных потоков данных от 08.11.2001.

Названные международные правовые акты можно расценивать как намерение установить законодательный компромисс между потребностями государства (в частности, правоохранительных органов) и бизнеса (речь идет о банках, телефонных компаниях, медицинских учреждениях и пр.) в систематизации и сборе информации о физических лицах, с одной стороны, и правом физических лиц не предоставлять такую информацию и требовать от тех, кто ею владеет, не собирать ее без нужды и уничтожить ее в случае, если предусмотренная законом цель ее сбора исчезла.

Ввиду стойкой традиции формализировать применение норм права имеет значение то, как определены понятия «персональные данные», «база персональных данных» в законодательстве Украины, а также вопросы доступа, распространения персональных данных, их уничтожения и т. д.

Хотелось бы остановиться на нескольких нормах этого Закона и оценить перспективы их применения на практике.

Прежде всего следует обратиться к понятию персональных данных – это данные или совокупность данных о физическом лице, которое идентифицировано или может быть конкретно идентифицировано (статья 2 Закона Украины «О защите персональных данных»). Однако следует учитывать, что Конвенция, в соответствии с которой был принят названный Закон, использует термин «данные личного характера», который означает любую информацию, касающуюся конкретно определенного лица. Это же определение включает лицо, которое может быть конкретно определено. Приведенное определение также подлежит применению, поскольку Конвенция после ратификации стала частью законодательства Украины.

Следует также учитывать и другое законодательство Украины, которое касается этого же вопроса, а именно: Закон Украины «Об информации», в котором содержится статья 23 «Информация о лице». Эта норма прямо определяет, какая информация касается физического лица. По этой причине ее следует использовать при применении указанного выше Закона.

Реализуя на практике положения Закона «О защите персональных данных», нужно также ориентироваться на требования законодательства Украины об информации

Вместе с тем Конвенция, как и Закон, содержит оговорки, которые позволяют собирать информацию, в частности, с целью обеспечения государственной и общественной безопасности, валютно-кредитных интересов государства и пр. при условии, что обеспечивается гарантия несанкционированного доступа, изменения или распространения информации. В связи с этим следует также вспомнить о недавно принятом Законе Украины «О внесении изменений в Закон Украины «О предупреждении и противодействии легализации (отмыванию) доходов, полученных преступным путем», который предусматривает сбор информации о финансовой деятельности.

Закон «О защите персональных данных» использует в определении термина «персональные данные» признак «физические лица», из чего следует, что этот нормативный акт не распространяется на юридические лица. Следовательно, информация о юридическом лице не относится к сфере регулирования этого Закона.

Формат персональных данных

Конвенция устанавливает основополагающие принципы защиты данных в связи с их автоматизированной обработкой. Однако при ратификации Конвенции Украина приняла оговорку, что будет использовать Конвенцию также и для файлов персональных данных, которые не обрабатываются автоматически. В связи с этим, по нашему мнению, существует риск того, что под действие этого Закона могут попасть те базы данных, которые не содержатся в электронном формате.

Под действие Закона «О защите персональных данных» могут попасть все базы данных о физлицах, включая те, которые не содержатся в электронном виде

Так, у каждого предпринимателя есть как минимум несколько десятков визиток, которые содержат информацию об определенных физических лицах. Есть ли основания в связи с этим утверждать о наличии у них баз персональных данных? Аналогично возникает вопрос о предприятиях торговых сетей или банков, которые предоставляют скидки своим покупателям? Таких примеров можно привести немало. Вместе с тем Закон не дает четкого ответа на поставленные вопросы, что может привести к неоднозначному применению его в будущем. Однако следует также признать, что он не применяется к тем базам данных, которые используются для личных или бытовых потребностей, для творческой деятельности и пр.

Регистрация баз персональных данных

С принятием Закона вводится режим правовой защиты информации или совокупности информации о физическом лице, которое идентифицировано или может быть конкретно идентифицировано (статья 2 Закона Украины «О защите персональных данных»). Защита информации происходит, в частности, путем регистрации таких баз в соответствующем государственном органе.

Регистрация баз персональных данных обеспечивает их учет и позволяет информировать граждан о возможности доступа к их персональным данным. Вместе с тем следует обратить внимание, что такая регистрация не предусматривает предоставления таких данных органу, который проводит регистрацию.

В соответствии с этим Законом создается Государственный реестр баз персональных данных. Этот реестр является единой государственной информационной системой сбора, накопления и обработки данных о зарегистрированных персональных данных. Регистрация баз персональных данных совершается по заявительному принципу. Порядок создания и ведения такого реестра утверждается Кабинетом Министров Украины. На сегодняшний день такой порядок еще не утвержден.

Права физических лиц относительно защиты персональных данных

В соответствии со статей 8 Закона Украины «О защите персональных данных», личные неимущественные права на персональные данные, которые имеет каждый гражданин, являются неотъемлемыми и нерушимыми. Субъект персональных данных имеет право:

Знать о местонахождении баз персональных данных;

Получать информацию об условиях предоставления доступа к персональным данным, в частности информацию о третьих лицах, которым передаются его персональные данные;

Иметь возможность доступа к своим персональным данным;

Получать ответ о том, хранятся ли его персональные данные в соответствующей базе персональных данных, а также получать свои персональные данные, которые хранятся;

Предъявлять требование с возражением против обработки своих персональных данных;

Требовать изменения или уничтожения своих персональных данных и пр.

Приведенные права предоставляют широкие возможности для обращения в суд за защитой своих прав

Обязательства владельца баз данных

Из Закона следует, что лица, которые содержат и ведут базы данных и совершают обработку персональных данных, обязаны:

Обеспечить ограниченный доступ к такой информации;

Вести базу корректно, точно, достоверно, в случае необходимости – обновлять ее;

Не допускать обработки данных без согласия физического лица;

Уничтожить собранную информацию в случае, если необходимость в такой информации отпала;

Зарегистрировать базу данных в установленном порядке и пр.

В соответствии с принятым Законом, владелец базы персональных данных обязан уведомить уполномоченный государственный орган о каждом изменении сведений.

Ответственность за нарушение законодательства о защите персональных данных

Ответственность за нарушение законодательства о защите персональных данных на уровне национального законодательства не урегулирована. В соответствии со статьей 28 Закона Украины «О защите персональных данных» «нарушение законодательства о защите персональных данных влечет за собой ответственность, установленную законом».

Однако на сегодняшний день специальная ответственность не установлена. Также не определены виды и мера ответственности, которая может применяться к нарушителям.

ВЫВОДЫ :

Закон Украины «О защите персональных данных» не применяется к информации о юридических лицах.

Торговым предприятиям, банкам, компаниям, предприятиям, которые работают с физическими лицами, следует рассмотреть свою деятельность под углом принятого Закона и оценить возможные юридические риски.

Компаниям и организациям, которые собирают персональные данные физических лиц, следует быть готовыми к искам от физических лиц, которые могут требовать выполнения обязанностей, предусмотренных этим Законом.

Предприятиям и организациям следует уделить внимание надлежащему оформлению без данных, в частности провести инструктаж для своих сотрудников относительно необходимости выполнения положений Закона.

Александр Поливодский,

юридическая фирма «София»

Работу с индивидуальными сведениями сотрудников регулирует Федеральный закон «О персональных данных» и Гражданский кодекс Российской Федерации. Обладая конфиденциальной информацией о наемном работнике, предприятие обязано обеспечить их сохранность в соответствии с законодательством. Разберемся подробнее в вопросе.

Перечень персональных данных, подлежащих защите

Оформляя трудовые отношения с новым сотрудником, работодатель собирает и обрабатывает данные о нем. Под персональными подразумеваются индивидуальные сведения о конкретном человеке. В том числе:

личностная информация: ФИО, возраст, половая принадлежность, фотоизображение;
полученное образование и профессиональные навыки;
национальность и расовая принадлежность;
отношение к наркотическим, алкогольным, психотропным веществам;
этапы прошлой жизни (служба в рядах вооруженных сил, отбывание наказания, предыдущие места работы);
принадлежность к политическим и религиозным течениям;
материальное положение;
место проживания;
родственные связи и семейное положение;
оценивающая характеристика личности;
физическое и психическое состояние и сексуальная ориентация;
хобби, увлечения.

Получив необходимые сведения, наниматель обязан, согласно закону, обработать и сохранить их. Перечислим правила, предусмотренные нормативно-правовыми актами:

Собирать и обрабатывать можно только те данные личного характера, которые влияют на эффективность сотрудничества в рамках трудовых отношений, качественное выполнение обязанностей и сохранение жизни и здоровья соискателя.
База данных работника складывается из информации, полученной от него самого и сторонних лиц. Запрос сведений у третьей стороны осуществляют только с согласия человека, оформленного в письменном виде.
Сведения о вероисповедании, личной жизни, принадлежности к политическим течениям, профсоюзным организациям не могут быть материалом для обработки по месту трудоустройства.
Запрещается принимать решения, ущемляющие личные права наемного рабочего, на основе автоматизированных или электронных данных.
Обязанность по защите персональной информации лежит на работодателе.
Руководитель предприятия обязан издать соответствующий приказ. Образец документа приведен ниже.
Сотрудник под роспись знакомится с порядком обработки его индивидуальных сведений.
В целях охраны своих данных и на основе трудового права работник может не передавать нежелательную для него информацию.

Организация защиты персональных данных на предприятии

При обработке и использовании информации о сотрудниках у работодателя появляются обязанности:

не распространять полученные сведения;
предоставлять допуск к конфиденциальной информации только уполномоченным на то представителям;
передачу данных осуществлять только с письменного согласия владельца.

Р аботодатель не вправе собирать и обрабатывать информацию, не относящуюся к выполнению трудовых обязательств.

Вопроса об индивидуальных сведениях работников в Трудовом кодексе РФ регламентирует статья 89.

Согласно закону, работник имеет право:

знать, как обрабатывается и хранится информация о его личности;
иметь доступ к базе своих персональных сведений;
вносить изменения в информационную базу;
защищать свое право в судебных заседаниях в случае нарушения работодателем положений о сохранении личной информации;
иметь представителей по защите своих прав.

Приказ о защите персональных данных образец

Защита персональных данных работника - трудовое право

К защите индивидуальных сведений граждан наше законодательство подошло серьезно. Нарушение права по защите личных данных, предусмотренное Конституцией РФ, карается законом. Наказывают должностных лиц, а также руководителя.

Уполномоченный сотрудник, который нарушил 152-ФЗ, воспользовавшись служебным положением, подвергается наказанию в виде:

денежного штрафа в размере 100 000–300 000 рублей;
материального взыскания на сумму дохода за 12–24 месяцев;
содержания под стражей до 0,5 года;
запрета занимать определенные должности.

Согласно статье 137 УК РФ, лица, виновные в распространении охраняемых законом сведений, несут ответственность в виде:

штрафа до 200 000 рублей;
денежного взыскания, составляющего доход за 1,5 года;
от 120 до 180 часов обязательных работ;
выполнения исправительных работ сроком до 12 месяцев;
заключения под стражу до 4 месяцев.

С отруднику, разгласившему охраняемую информацию, вынесут выговор либо переведут на другую должность. Возможно и увольнение.

Отстаивать права о защите своих индивидуальных сведений гражданин будет в судебном заседании. Доказав нарушения норм законодательства, работник может рассчитывать на возмещение материального и морального ущерба.

Рано или поздно с вопросом обработки персональных данных сталкивается любой интернет-предприниматель. Когда проект набирает критическую массу клиентов, приходится задумываться о том, как привести документы на сайте в порядок. Но на практике дело не ограничивается лишь размещением в Сети оферты или описаний правил работы сайта.

Алексей Талан

Всем известно, что на сайте должен присутствовать документ, который регламентирует правила обработки и хранения добровольно переданных клиентами данных. Но о том, что дальше делать с этим данными, и как правильно обеспечивать их сохранность и безопасность, знают далеко не все.

Закон о персональных данных

Когда вы регистрируетесь на сайте, который принадлежит российской компании, то практически любая информация, которую вы указываете о себе, подпадает под действие Федерального закона РФ №152 «О персональных данных». Это означает, что владелец ресурса, будь то интернет-магазин, социальная сеть или «облачный» сервис, обязан защищать вашу личную информацию от злоумышленников и не раздавать направо и налево.

Негативных примеров того, как обращаются с личной информацией - масса. Взять хотя бы поток SMS-предложений от сервисов такси или турагентств.

Но бывают случаи посерьезнее, причем вызваны они могут быть ошибкой программистов. Так, в прошлом году в Сеть утекли десятки тысяч SMS, отправленных с сайтов операторов сотовой связи. В сообщениях, которые легко можно было найти в Яндекс или Google, обнаруживались паспортные данные и пароли к социальным сетям. Информацию клиенты вам могут предоставлять разную, от имени и фамилии, до данных по пластиковым картам и даже истории болезней. Чем важнее информация - чем выше за нее ответственность.

Кратко о законе

С точки зрения владельцев сайта закон - головная боль, особенно для начинающих предпринимателей, у которых к хронической нехватке денежных средств добавляется отсутствие опыта в решении бюрократических задач.

Полную версию закона можно изучить . Мы же приведем краткую информацию, написанную обычным человеческим языком.

Основные определения

Персональные данные (ПД) - информация, которая определяет физическое лицо. Например:

фамилия, имя, отчество,
год, месяц и дата рождения,
адрес,
социальное положение,
доходы,
телефон,
образование и т.д.

Оператор персональных данных - организация, государственная или частная, или физическое лицо, которые собирают, хранят и обрабатывают персональные данные. В нашем случае - это интернет-магазин, социальная сеть или онлайн-сервис, например, «Яндекс.Метрика».

Субъект персональных данных - физлицо, которое передает личные данные оператору.

Устаревшие и актуальные требования: будьте внимательны

При попытке подробнее узнать о законе ФЗ №152, первым делом в поисковике обнаруживаются статьи, в которых рассказывается о классах, категориях и объемах ПД.

Эти термины использовались в совместном приказе Минкомсвязи ФСТЭК и ФСБ, который в народе назывался «Приказ Трех». Документ перестал действовать с выходом Постановления Правительства 1119 от 1 ноября 2012 г, в котором на смену классам пришли уровни защищенности (УЗ).

УЗ сейчас описаны для всех видов информационных систем. Это значит, что операторы могут самостоятельно определить уровень защищенности для своего интернет-сервиса. Чего пока не хватает - так это конкретных требований по защите для каждого уровня УЗ. Пробелы закроют следующие постановления.

По словам нашего эксперта Андрея Прозорова из IBS Platformix, прошлые требования к защите классов формально утратили силу. Тем операторам, которые уже провели комплекс мер по защите сервисов, эксперт советует следующее:

1. Актом или протоколом утвердить УЗ и указать дополнительные свойства информационной системы согласно ПП1119.

2. Дождаться новых требований к защите ИСПД и надеяться, что переделывать придется немного.

Подробно изучить классификацию УЗ можно в блоге Андрея , я же, чтобы не утомлять читателя, приведу ниже таблицу и дам краткие пояснения.

Уровней защищенности - четыре, аналогично количеству классов, которые использовались ранее. УЗ определяются на основе актуальных угроз (АУ), количества обрабатываемых ПД в системе, типа ПД и чьи именно ПД оператор обрабатывает - сотрудников или клиентов. Разложим по полочкам.

Актуальные угрозы:

1-2 уровни связаны с наличием закладок в программном обеспечении, то есть недекларированных возможностей. Это лазейки, через которые можно получить доступ к сайту. Эти угрозы, очевидно, присутствуют в любом сервисе.

3 уровень - все остальные менее значимые угрозы.
Определение уровня АУ связано с определением возможного вреда от несанкционированного использования ПД.

Количество персональных данных

Больше или меньше 100 000 субъектов.

Тип персональных данных

Биометрические (сведения, которые характеризуют физиологические и биологические особенности человека, на основании которых оператор может установить личность субъекта персональных данных).
Специальные (религиозные взгляды, состояние здоровья, расовая принадлежность и т.д.).
Общедоступные (получаемые из общедоступных источников в соответствии с 152-ФЗ).
Другие.

Чьи персональные данные

В ИСПД могут использоваться данные сотрудников, или же данные клиентов, допустим, в записях заказов интернет-магазинов.

Таблица. Определение уровня защищенности ИСПД (правые колонки)

Меры по защите персональных данных

Очевидно, что кардинально меры по защите ПД с переходом на УЗ не изменятся. Расскажу об общих принципах защиты.

Помните: чем больше ПД вы собираете, тем больше мер придется принять. Поэтому стоит подумать, без каких сведений вы можете обойтись, чтобы снизить риски и объем работы. Кроме того, в некоторых случаях ПД стоит разнести по разным базам данных и уменьшить срок хранения сведений о пользователях.

Разделить меры можно на два вида: организационные и программно-технические. К первым относятся:

классификация информационной системы,
выявление возможных угроз,
создание плана действий по защите данных и должностных инструкций,
утверждение перечня лиц, которые допущены к обработке ПД.

К программно-техническим можно отнести:

проверку оборудования,
установку сертифицированных антивирусов, сетевых экранов и криптографических средств,
налаживание системы разграничения доступа, регистрации и учета,
использование средств защиты от утечек информации по различным каналам.

Что и в каком количестве необходимо устанавливать определяется на шаге выявления угроз и типа хранящихся ПД. Лучше всего отдать задачу по защите данных на аутсорс - то есть в стороннюю организацию с лицензией ФСТЭК. Цена вопроса для самых-самых личных данных (класс 1 по старой классификации) начинается примерно от 300 000 рублей.

Помимо работы по установке сертифицированных антивирусов, сетевых экранов и спецприложений, аутсорсеры оформят за вас кучу бумаг, которые будут свидетельствовать о принятых мерах. Это могут быть должностные инструкции, приказы, акты о ликвидации ПД клиентов, подтверждения покупки сертифицированных программ и т.д. Если случится прокол, вы всегда сможете подать в суд на подрядчика и переложить на него часть ответственности.

Ответственность за нарушение персональных данных (за работу сайта без проведения защитных мер) многогранна, в основном проходит по административной линии (штрафы, предписания, приостановка деятельности предприятия). При этом наказывается нарушение требований по защите ПД. Поскольку явного требования к лицензированию и аттестации нет, то за это прямо не наказывают. Наказывают за отсутствие мероприятий по защите (отсутствие документов, регламентов, процедур, технических мероприятий).

Что нужно для работы сайта

Хорошая новость: чтобы собирать персональные данные для интернет-магазина или онлайн-сервиса, никакая лицензия не требуется. Необходимо лишь провести мероприятия по защите данных.

Получать лицензии ФСТЭК и ФСБ России необходимо только в том случае, если вы оказываете услуги по технической защите информации. Например, помогаете интернет-сервисам правильно организовать работу с ПД или обещаете клиентам защищать их данные.

Примеры таких лицензий можно посмотреть на сайтах хостинг-провайдера nic.ru , сервиса онлайн-дневников dnevnik.ru и компании «ОнЛайн Защита» .

Оферта на сайте необходима, если вы запрашиваете у пользователя любые личные данные. Примеры и варианты реализации таких договоров стоит смотреть на крупных сайтах. Нам понравилось, как это сделано на tcsbank.ru. Написано кратко и доступно для пользователя, что встретишь редко.

Сервис обязан уведомить субъекта, с какой целью и в каком порядке будут использоваться его персональные данные. Это не обязательно делать отдельным документом, можно включить в общие правила сервиса.

Следует обратить особое внимание и на то, как хранятся у вас персональные данные клиентов. Удостоверьтесь, что к ним не имеют доступ поисковые роботы (проверьте хотя бы файл правил для поисковиков robots.txt, который находится в mysite/robots.txt). Также убедитесь, что доступ к личным данным клиентов имеют только те сотрудники, которым это требуется.

Основные части оферты

В этой главе я перечислю основные моменты, которые должны присутствовать в оферте о персональных данных. Примеры можно посмотреть по ссылкам выше.

Если вашим сервисом могут воспользоваться несовершеннолетние - внесите пункты, что требуется согласие родителей или опекунов.

Укажите дальнейший маршрут данных пользователя: будут ли они передаваться третьим лицам и аффилированным компаниям.

Кратко опишите, для чего и сколько времени собираетесь хранить данные, а также как клиент может затребовать удаление данных.

Опишите, какие данные и с какой целью предоставляет пользователь.

Итого

Оказывается, работать с персональными данными не так страшно и затратно, особенно если у вас небольшой проект. Для большинства сервисов достаточно разработать оферту и усилить контроль за программистам, чтобы внутренние страницы клиентов не стали достоянием Google.

Главное же, что надо помнить: чем меньше сведений вы собираете - тем безопаснее работа для вас, как оператора.

Первого января 2011 года в Украине вступил в силу закон №2297-VI “О защите персональных данных” . Многие слышали об этом событии, некоторые знали об открытии регистрации баз ПД в июле этого года, но совсем немногие из тех, кого касается этот закон, поспешили предпринять какие-то конкретные действия. А тем временем с 1-го января 2012 года вступают в силу изменения в административном и уголовном кодексах Украины, определяющие ответственность за несоблюдение соответствующего закона. Далее мы постараемся ответить на самые главные вопросы:

кого это касается?
что нужно делать?
и что будет, если ничего не сделать?

Кому нужно принимать во внимание закон о защите персональных данных

Любому лицу (физическому или юридическому) Украины, которое владеет какой-либо персональной информацией физических лиц. Закон широко трактует понятие “персональных данных”. В своих разъяснениях служба ЗПД ссылается на Конвенцию Совета Европы и определяет персональные данные как сведения или совокупность сведений о физическом лице, которое может быть конкретно идентифицировано при помощи этих сведений. Таким образом, персональным данными может быть практически любая информация: email, IP-адрес, GPS позиция пользователя. Не говоря уже о таких данных, как ФИО, дата рождения, адрес и телефон. База персональных данных - именованная совокупность упорядоченных персональных данных в электронной форме и/или в форме картотек персональных данных.

Очевидно, что согласно закону регистрировать свои базы должны владельцы практических любых веб-сайтов, имеющих зарегистрированных пользователей. Сюда же попадают все интернет магазины с их базами покупателей. Но самое интересное, что персональными данными также считается информация о наемных работниках. А значит, зарегистрировать свою базу сотрудников обязана любая украинская компания.

После такого пессимистического начала перейдем к конкретным действиям.

Как обеспечить соблюдение закона о защите персональных данных

Для того, чтобы служба ЗПД не имела к вам вопросов, нужно обеспечить выполнение трех концептуальных пунктов:

получить разрешение каждого субъекта персональных данных (например, пользователя) на обработку и использование его ПД, уведомив его о цели сбора этих данных и их обработки, его правах, в связи с включением информации о нем в базу персональных данных, и лиц, которым эти данные передаются;
зарегистрировать базу персональных данных в государственном реестре;
обеспечить защиту базы персональных данных.

Если говорить о конкретных действиях, то они будут немного различными для разных баз ПД. Выделим два образных случая: веб-сайт и компания, имеющая базу данных сотрудников.

Сайт
Для реализации первого пункта вам потребуется модифицировать пользовательское соглашение. Необходимо добавить информацию о правах пользователя (возможно дать ссылку или процитировать ), цели обработки ПД, а также пункт “я разрешаю администрации сайта example.com собирать и обрабатывать мои персональные данные. С правами, возникающими в связи с обработкой моих персональных данных, и целями обработки и использования моих персональных данных ознакомлен”.

Компания
Нужно принять положения, в которых будут изложены права сотрудников, возникающие в связи с обработкой их ПД, а также цели обработки ПД (пример приказа и положения). Также нужно получить письменное разрешение каждого сотрудника на обработку его ПД (пример).

Регистрация баз ПД будет одинаковой для всех случаев и не должна занять много времени. Мы подготовили необходимый инструмент и подробную инструкцию в нашем блоге .

Кроме этого закон обязывает владельца баз ПД обеспечивать их защиту. Однако выбор конкретных мер и способов защиты возлагается целиком на владельца баз ПД и никак не обозначен. Отметим, что существует проект рекомендаций по обеспечению защиты баз ПД , и в будущем этот вопрос будет урегулирован намного точнее.

Какая ответственность предусмотрена за несоблюдение закона о защите персональных данных

Процитируем Кодекс Украины об административных правонарушениях. Необлагаемый минимум доходов граждан составляет 17 гривен.

Административная ответственность :

неуведомление (несвоевременное уведомление) субъекта персональных данных о его правах в связи с включением его персональных данных в базу, цели сбора данных и лиц, которым эти данные передаются - штраф до 300 НМДГ для граждан и от 300 до 400 - для должностных лиц и СПД;
неуведомление (несвоевременное уведомление) специально уполномоченного органа по вопросам защиты ПД об изменении ведомостей, которые подаются для государственной регистрации базы персональных данных - штраф от 100 до 200 НМДГ для граждан и от 200 до 400 НМДГ - для должностных лиц и СПД;
уклонение от регистрации базы персональных данных - штраф от 300 до 500 НМДГ для граждан и от 500 до 1000 НМДГ - для должностных лиц и СПД;
несоблюдение установленного законодательством порядка защиты базы ПД, которое повлекло к незаконному доступу к ПД - от 300 до 1000 НМДГ;
невыполнение законных требований должностных лиц специально уполномоченного органа по вопросам защиты ПД - штраф от 100 до 200 НМДГ.

Также существует уголовная ответственность за незаконный сбор, хранение, использование, уничтожение и распространение конфиденциальной информации (согласно ст.182 УК Украины), но мы искренне надеемся, что до этого дело не дойдет.

Составление протоколов о нарушениях в сфере защиты персональных данных возложено на уполномоченный орган - Государственную службу по вопросам защиты персональных данных. Привлекать к ответственности и принимать решение о взыскании штрафа уполномочены местные суды.

Особые случаи

Закон не распространяет свое действие в следующих случаях:

если база используется физическим лицом для личных непрофессиональных нужд;
если база используется физическим лицом для бытовых нужд;
если база используется журналистом для исполнения его должностных обязанностей;
если база используется творческим работником для осуществления его творческой деятельности.

Поэтому, если вы ведете личный блог и у вас есть база данных подписчиков, то регистрировать ничего не нужно.

В: Есть ли какая-то минимальная совокупность сведений, которая считается персональными данными?
О: Нет. Любые сведения о лице, по которым его можно идентифицировать считаются персональными данными

В: Данные хранятся на серверах в США, нужно ли мне регистрировать базу ПД ?
О: Да.

В: Какой крайний срок регистрации баз ПД?
О: Такого срока нет, но с 1-го января 2012 года за несоблюдение норм закона о защите ПД вас могут привлечь к административной ответственности. Однако, скорее всего, служба ЭПД не приедет к вам с плановой проверкой , и реальные проблемы могут возникнуть только, если на вас подадут жалобу. В любом случае, базу лучше зарегистрировать как можно скорее, это не так сложно.

В: Считаются ли персональными данными сведения о сотрудниках?
О: Да

В: Нужно ли мне получать разрешение на использование ПД у уже существующих пользователей на моем сайте?
О: Нет, но вам нужно внести изменения в порядок регистрации всех новых пользователей.

www.zpd.gov.ua - государственная служба по вопросам защиты персональных данных
www.zpd.gov.ua/zpd.gov.ua_rus/indexDovidkaInfo.html - справочная информация для граждан и юридических лиц
zakon2.rada.gov.ua/laws/show/2297-17 - ЗУ “О защите персональных данных”
zakon1.rada.gov.ua/cgi-bin/laws/main.cgi?nreg=616-2011-%EF - Положение о Государственном реестре баз персональных данных и порядке его ведения - 25.05.2011 (с 01.07.2011 началась регистрация БПД)
www.zpd.gov.ua/R/perelik/perelik/24.htm - Положение о Государственной службе по вопросам защиты персональных данных
zakon2.rada.gov.ua/laws/show/3454-17 - Усиление ответственности за нарушение законодательства по защите персональных данных
rbpd.informjust.ua - реестр баз персональных данных
taxer.com.ua/blog/23 - инструкция по подаче заявки на регистрацию базы ПД в электронном виде

P.S.:
Хочется отметить, что закон о защите персональных данных не ставит своей целью накрыть всех колпаком. Сами пользовательские данные никто не регистрирует. Регистрируется лишь сам факт существования базы персональных данных, что гарантирует наличие ответственного лица, которое отвечает за сохранность пользовательских данных. В первую очередь это дает гарантию самим пользователям в том, что их данные никуда не утекут и не будут использоваться в противоправных действиях. В связи с этим в качестве персональных данных нужно рассматривать не какую-то совокупность данных, которая ТОЧНО определяет пользователя (например, ФИО + дата рождения), а которая МОЖЕТ помочь идентифицировать пользователя. Например, если пользователь использует адрес [email protected], то получившее каким-то образом доступ к этой базе третье лицо сможет связать этот имэйл с конкретным человеком. И никто бы из пользователей этого не хотел.

Теги:

защита персональных данных
украина
2297-VI

Добавить метки

У сфері електронної комерції згода суб"єкта персональних даних може бути надана під час реєстрації в інформаційно-телекомунікаційній системі суб"єкта електронної комерції шляхом проставлення відмітки про надання дозволу на обробку своїх персональних даних відповідно до сформульованої мети їх обробки, за умови, що така система не створює можливостей для обробки персональних даних до моменту проставлення відмітки

знеособлення персональних даних - вилучення відомостей, які дають змогу прямо чи опосередковано ідентифікувати особу;

персональні дані - відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована;

Стаття 3. Законодавство про захист персональних даних

Законодавство про захист персональних даних складають Конституція України , цей Закон, інші закони та підзаконні нормативно-правові акти, міжнародні договори України, згода на обов"язковість яких надана Верховною Радою України.

Стаття 4. Суб"єкти відносин, пов"язаних із персональними даними

1. Суб"єктами відносин, пов"язаних із персональними даними, є:

суб"єкт персональних даних;

Стаття 5. Об"єкти захисту

Стаття 6. Загальні вимоги до обробки персональних даних

1. Мета обробки персональних даних має бути сформульована в законах, інших нормативно-правових актах, положеннях, установчих чи інших документах, які регулюють діяльність володільця персональних даних , та відповідати законодавству про захист персональних даних.

3. Склад та зміст персональних даних мають бути відповідними, адекватними та ненадмірними стосовно визначеної мети їх обробки.

4. Первинними джерелами відомостей про фізичну особу є: видані на її ім"я документи; підписані нею документи; відомості, які особа надає про себе.

5. Обробка персональних даних здійснюється для конкретних і законних цілей, визначених за згодою суб"єкта персональних даних, або у випадках, передбачених законами України, у порядку, встановленому законодавством.

6. Не допускається обробка даних про фізичну особу, які є конфіденційною інформацією, без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.

7. Якщо обробка персональних даних є необхідною для захисту життєво важливих інтересів суб"єкта персональних даних, обробляти персональні дані без його згоди можна до часу, коли отримання згоди стане можливим.

Стаття 7. Особливі вимоги до обробки персональних даних

2. Положення частини першої цієї статті не застосовується, якщо обробка персональних даних:

1) здійснюється за умови надання суб"єктом персональних даних однозначної згоди на обробку таких даних;

2) необхідна для здійснення прав та виконання обов"язків володільця у сфері трудових правовідносин відповідно до закону із забезпеченням відповідного захисту ;

5) необхідна для обґрунтування, задоволення або захисту правової вимоги;

8) стосується даних, які були явно оприлюднені суб"єктом персональних даних.

Стаття 8. Права суб"єкта персональних даних

1. Особисті немайнові права на персональні дані, які має кожна фізична особа, є невід"ємними і непорушними.

2. Суб"єкт персональних даних має право:

6) пред"являти вмотивовану вимогу щодо зміни або знищення своїх персональних даних будь-яким володільцем та розпорядником персональних даних , якщо ці дані обробляються незаконно чи є недостовірними;

7) на захист своїх персональних даних від незаконної обробки та випадкової втрати, знищення, пошкодження у зв"язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи;

9) застосовувати засоби правового захисту в разі порушення законодавства про захист персональних даних

Стаття 9. Повідомлення про обробку персональних даних

Стаття 10. Використання персональних даних

3. Використання персональних даних працівниками суб"єктів відносин, пов"язаних з персональними даними, повинно здійснюватися лише відповідно до їхніх професійних чи службових або трудових обов"язків. Ці працівники зобов"язані не допускати розголошення у будь-який спосіб персональних даних, які їм було довірено або які стали відомі у зв"язку з виконанням професійних чи службових або трудових обов"язків, крім випадків, передбачених законом . Таке зобов"язання чинне після припинення ними діяльності, пов"язаної з персональними даними, крім випадків, установлених законом.

4. Відомості про особисте життя фізичної особи не можуть використовуватися як чинник, що підтверджує чи спростовує її ділові якості.

Стаття 11. Підстави для обробки персональних даних

Стаття 12. Збирання персональних даних

Стаття 13. Накопичення та зберігання персональних даних

1. Накопичення персональних даних передбачає дії щодо поєднання та систематизації відомостей про фізичну особу чи групу фізичних осіб або внесення цих даних до бази персональних даних.

2. Зберігання персональних даних передбачає дії щодо забезпечення їх цілісності та відповідного режиму доступу до них.

Стаття 14. Поширення персональних даних

2. Поширення персональних даних без згоди суб"єкта персональних даних або уповноваженої ним особи дозволяється у випадках, визначених законом, і лише (якщо це необхідно) в інтересах національної безпеки, економічного добробуту та прав людини.

3. Виконання вимог встановленого режиму захисту персональних даних забезпечує сторона, що поширює ці дані.

4. Сторона, якій передаються персональні дані, повинна попередньо вжити заходів щодо забезпечення вимог цього Закону.

Стаття 15. Видалення або знищення персональних даних

1) закінчення строку зберігання даних, визначеного згодою суб"єкта персональних даних на обробку цих даних або законом;

2) припинення правовідносин між суб"єктом персональних даних та володільцем чи розпорядником бази, якщо інше не передбачено законом;

Стаття 16. Порядок доступу до персональних даних

1. Порядок доступу до персональних даних третіх осіб визначається умовами згоди суб"єкта персональних даних, наданої володільцю персональних даних на обробку цих даних, або відповідно до вимог закону. Порядок доступу третіх осіб до персональних даних, які знаходяться у володінні розпорядника публічної інформації, визначається Законом України "Про доступ до публічної інформації" , крім даних, які отримує Міністерство фінансів України від інших органів під час здійснення повноважень з контролю за дотриманням бюджетного законодавства в частині моніторингу пенсій, допомог, пільг, субсидій, інших соціальних виплат

2. Доступ до персональних даних третій особі не надається, якщо зазначена особа відмовляється взяти на себе зобов"язання щодо забезпечення виконання вимог цього Закону або неспроможна їх забезпечити.

3. Суб"єкт відносин, пов"язаних з персональними даними, подає запит щодо доступу (далі - запит) до персональних даних володільцю персональних даних .

4. У запиті зазначаються:

1) прізвище, ім"я та по батькові, місце проживання (місце перебування) і реквізити документа, що посвідчує фізичну особу, яка подає запит (для фізичної особи - заявника);

2) найменування, місцезнаходження юридичної особи, яка подає запит, посада, прізвище, ім"я та по батькові особи, яка засвідчує запит; підтвердження того, що зміст запиту відповідає повноваженням юридичної особи (для юридичної особи - заявника);

3) прізвище, ім"я та по батькові, а також інші відомості, що дають змогу ідентифікувати фізичну особу, стосовно якої робиться запит;

4) відомості про базу персональних даних, стосовно якої подається запит, чи відомості про володільця чи розпорядника персональних даних ;

5) перелік персональних даних, що запитуються;

5. Строк вивчення запиту на предмет його задоволення не може перевищувати десяти робочих днів з дня його надходження.

Стаття 17. Відстрочення або відмова у доступі до персональних даних

1. Відстрочення доступу суб"єкта персональних даних до своїх персональних даних не допускається.

2. Відстрочення доступу до персональних даних третіх осіб допускається у разі, якщо необхідні дані не можуть бути надані протягом тридцяти календарних днів з дня надходження запиту. При цьому загальний термін вирішення питань, порушених у запиті, не може перевищувати сорока п"яти календарних днів.

Повідомлення про відстрочення доводиться до відома третьої особи, яка подала запит, у письмовій формі з роз"ясненням порядку оскарження такого рішення.

У повідомленні про відстрочення зазначаються:

1) прізвище, ім"я та по батькові посадової особи;

3) причина відстрочення;

4) строк, протягом якого буде задоволене запит.

3. Відмова у доступі до персональних даних допускається, якщо доступ до них заборонено згідно із законом.

У повідомленні про відмову зазначаються:

1) прізвище, ім"я, по батькові посадової особи, яка відмовляє у доступі;

2) дата відправлення повідомлення;

3) причина відмови.

Стаття 18. Оскарження рішення про відстрочення або відмову в доступі до персональних даних

Стаття 19. Оплата доступу до персональних даних

1. Доступ суб"єкта персональних даних до даних про себе здійснюється безоплатно.

2. Доступ інших суб"єктів відносин, пов"язаних з персональними даними, до персональних даних певної фізичної особи чи групи фізичних осіб може бути платним у разі додержання умов, визначених цим Законом. Оплаті підлягає робота, пов"язана з обробкою персональних даних, а також робота з консультування та організації доступу до відповідних даних.

3. Розмір плати за послуги з надання доступу до персональних даних органами державної влади визначається Кабінетом Міністрів України.

4. Органи державної влади та органи місцевого самоврядування мають право на безперешкодний і безоплатний доступ до персональних даних відповідно до їх повноважень.

Стаття 20. Зміни і доповнення до персональних даних

3. Зміна персональних даних, які не відповідають дійсності, проводиться невідкладно з моменту встановлення невідповідності.

Стаття 21. Повідомлення про дії з персональними даними

1. Про передачу персональних даних третій особі володілець персональних даних протягом десяти робочих днів повідомляє суб"єкта персональних даних, якщо цього вимагають умови його згоди або інше не передбачено законом.

2. Повідомлення, зазначені у частині першій цієї статті, не здійснюються у разі:

1) передачі персональних даних за запитами при виконанні завдань оперативно-розшукової чи контррозвідувальної діяльності, боротьби з тероризмом;

2) виконання органами державної влади та органами місцевого самоврядування своїх повноважень, передбачених законом;

3) здійснення обробки персональних даних в історичних, статистичних чи наукових цілях

Стаття 23. Повноваження Уповноваженого Верховної Ради України з прав людини у сфері захисту персональних даних

Стаття 25. Обмеження дії цього Закону

Стаття 26. Фінансування робіт із захисту персональних даних

Фінансування робіт та заходів щодо забезпечення захисту персональних даних здійснюється за рахунок коштів Державного бюджету України та місцевих бюджетів, коштів суб"єктів відносин, пов"язаних із персональними даними.

Стаття 27. Застосування положень цього Закону

1. Положення щодо захисту персональних даних, викладені в цьому Законі, можуть доповнюватися чи уточнюватися іншими законами, за умови, що вони встановлюють вимоги щодо захисту персональних даних, що не суперечать вимогам цього Закону.

Стаття 28. Відповідальність за порушення законодавства про захист персональних даних

Порушення законодавства про захист персональних даних тягне за собою відповідальність, встановлену законом.

Стаття 29. Міжнародне співробітництво та передача персональних даних

1. Співробітництво з іноземними суб"єктами відносин, пов"язаних із персональними даними, регулюється Конституцією України , цим Законом, іншими нормативно-правовими актами та міжнародними договорами України.

2. Якщо міжнародним договором України, згода на обов"язковість якого надана Верховною Радою України, встановлено інші правила, ніж ті, що передбачені законодавством України, то застосовуються правила міжнародного договору України.