breadcrumbs_revolution_theme

  1. Правовые принципы защиты персональных данных.

  1.1. В 2005 году Украина ратифицировала Конвенцию 1981 года Совета Европы № 108 «О защите лиц в связи с автоматизированной обработкой персональных данных». Среди основных обязательств государства по данной Конвенции есть также принятие нормативно-правовых актов, которые должны способствовать защите персональных данных. В связи с этим Верховной Радой Украины 01.06.2010 года был принят Закон Украины «О защите персональных данных», который определил:

  понятие персональных данных – это сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть идентифицировано (например: информация о наёмном работнике является базой персональных данных, поскольку личное дело, трудовые книжки, копии паспорта, документов об образовании хранятся и обрабатываются работодателем);

  понятие владелец базы персональных данных – физическое или юридическое лицо, которому законом или по согласию субъекта персональных данных дано право на обработку этих данных, которое  утверждает цель обработки персональных данных в этой базе данных, устанавливает состав этих данных и процедуру их обработки, если другое не определено законом;

  понятие распорядитель базы персональных данных – физическое или юридическое лицо, которое является владельцем базы персональных данных, или по закону имеет право обрабатывать эти данные;

  - необходимость регистрации базы персональных данных в Государственном реестре баз персональных данных;

  - требования к обработке персональных данных владельцами и распорядителями баз персональных данных, как общие требования к организационным и техническим мероприятиям по защите персональных данных во время их обработки в базе персональных данных (согласие субъекта персональных данных, порядок использования и распространения персональных данных и порядок доступа к персональным данным третьих лиц и др.);

  - необходимость контроля за соблюдением законодательства о защите персональных данных,

  - ответственность за нарушение законодательства о защите персональных данных.

  1.2.З. Целью обеспечения выполнения гражданами, органами государственной власти и местного самоуправления, предприятиями, учреждениями, организациями, независимо от форм их собственности, требований Закона Украины «О защите персональных данных» Верховной Радой Украины:

  - принят Закон Украины «О внесении изменений в некоторые законодательные акты в Украине об усилении ответственности за нарушения законодательства о защите персональных данных» № 3454-VI от 2 июня 2011 года;

  - внесены изменения в Кодекс Украины об административных правонарушениях.

 

   2. Регистрация баз персональных данных.

  2.1. База персональных данных подлежит государственной регистрации путём внесения соответствующей записи уполномоченным государственным органом по вопросам защиты персональных данных в Государственный реестр баз персональных данных.

  2.2. Регистрация  баз  персональных  данных осуществляется по заявочному принципу путём уведомления.

  2.3. Заявка о регистрации базы персональных данных подаётся владельцем базы персональных данных в уполномоченный государственный орган по вопросам защиты персональных данных.

Заявка должна содержать:

  - обращение о внесении базы персональных данных в Государственный реестр баз персональных данных;

  - информацию о владельце базы персональных данных;

  - информацию о наименовании и местонахождении базы персональных данных;

  - информацию о цели обработки персональных данных в  базе персональных данных;

  - информацию о других распорядителях базы персональных данных;

  - подтверждение обязательств относительно исполнения требований защиты персональных  данных,  установленных законодательством про защиту персональных данных.

  2.4. Уполномоченный государственный орган по вопросам защиты персональных данных в порядке, утвержденном Кабинетом Министров Украины:

  - сообщает заявителю не позднее следующего рабочего дня с дня поступления заявки о её получении;

  - принимает решение  о  регистрации базы персональных данных на протяжении десяти рабочих дней с дня поступления заявки.

  Владельцу базы персональных  данных  выдаётся  документ установленного образца о регистрации базы персональных данных в Государственном реестре баз персональных данных.

  2.5. Уполномоченный Государственный орган по вопросам защиты персональных данных отказывает в регистрации базы персональных данных, если заявка о регистрации не отвечает установленным требованиям.

  2.6. Владелец базы персональных данных обязан оповещать уполномоченный государственный орган по вопросам защиты персональных данных о каждом изменении сведений, необходимых для регистрации соответствующей базы, не позднее чем на протяжении десяти рабочих дней со дня наступления таких изменений.

  2.7. Уполномоченный Государственный орган по вопросам защиты персональных данных на протяжении десяти рабочих дней со дня поступления сообщения об изменении сведений, необходимых для регистрации соответствующей базы, должен принять решение относительно указанных изменений и сообщить об этом владельцу базы персональных данных.

 

  3. Порядок обработки персональных данных в базах персональных данных.

  3.1. Порядок обработки персональных данных устанавливает общие требования к организационным и техническим мероприятиям защиты персональных данных во время их обработки в базах персональных данных владельцами и распорядителями баз персональных данных. Обработка персональных данных может совершаться полностью или частично в информационной (автоматизированной) системе и/или в форме картотеки персональных данных.

  3.2. Защита персональных данных возлагается на владельца базы персональных данных. Распорядитель базы персональных данных осуществляет обработку персональных данных согласно закону или на основании заключённого с владельцем базы персональных данных договора в письменной форме с целью и в объёме, определёнными договором. На действия владельца и/или распорядителя базы персональных данных  распространяются все требования относительно защиты персональных данных от незаконной обработки, а также от незаконного доступа к ним.

  3.3. Владелец или распорядитель базы персональных данных даёт субъекту персональных данных информацию о цели обработки персональных данных до момента получения согласия от субъекта персональных данных.

  3.4. Владелец базы персональных данных сохраняет персональные данные в срок не более, чем это необходимо согласно цели их обработки, если другое не предусмотрено законодательством.

  3.5. Владелец базы персональных данных определяет:

  - цель обработки, состав персональных данных в базе персональных данных и её местонахождение;

  - порядок внесения изменений, обновлений, использование, распространение, обезличение, уничтожение персональных данных в базе персональных данных;

  - ответственное лицо или структурное подразделение;

  - порядок защиты персональных данных, в том числе от незаконной обработки и незаконного доступа к ним.

  3.6. Ответственное лицо или структурное подразделение согласно возложенным заданиям:

  - обеспечивает ознакомление работников владельца и распорядителя базы персональных данных с требованиями законодательства о защите персональных данных, в частности относительно их обязанности не допускать разглашения любым способом персональных данных, которые им были доверены, или которые стали им известны в связи с выполнением служебных,  профессиональных или трудовых обязанностей;

  - обеспечивает организацию обработки персональных данных работниками владельца и распорядителя базы персональных данных соответственно их профессиональным, служебным или трудовым обязательствам в объёме, необходимом для исполнения таких обязанностей;

  - организовывает работу по обработке запросов относительно доступа к персональным данным субъектов отношений, связанных с обработкой персональных данных;

  - обеспечивает доступ субъектов персональных данных к собственным персональным данным;

  - информирует руководителя владельца и распорядителя базы персональных данных о мероприятиях, необходимых для приведения состава персональных данных и процедуры их обработки в соответствие закону;

 - информирует руководителя владельца и распорядителя базы персональных данных о нарушениях установленных процедур по обработке персональных данных.

  3.7. Владелец базы персональных данных ведет учёт:

  - фактов предоставления и лишения работников права доступа к персональным данным и их обработке;

  - попыток и фактов несанкционированных и/или незаконных действий по обработке персональных данных.

  3.8. Владелец базы персональных данных может размежевать режимы доступа работников к обработке персональных данных в базе персональных данных в соответствии с их профессиональными, трудовыми или служебными обязанностями.

  3.9. Уничтожение персональных данных осуществляется способом, исключающим последующую возможность восстановления таких персональных данных.

  3.10. Владелец базы персональных данных обрабатывает персональные данные в составе информационной (автоматизированной) системы, в которой обеспечивается защита персональных данных от незаконной обработки, а также от незаконного доступа к ним в соответствии с требованиями закона Украины «О защите персональных данных» и согласно требованиям нормативно-законодательных актов по вопросам технической защиты информации.


  4. Обеспечение защиты персональных данных в информационной (автоматизированной) системе.

  4.1. Владелец базы персональных данных должен создать условия для защиты в информационной (автоматизированной) системе персональных данных и обеспечить защиту этих персональных данных от незаконной обработки, а также от незаконного доступа к ним.

  4.2. Условия для защиты персональных данных зависят от конкретных реальных угроз, природы персональных данных, которые обрабатываются, технологии обработки информации и типа информационной системы, в рамках которой обрабатываются персональные данные.

  4.3. Обеспечение условий для защиты в информационной (автоматизированной) системе персональных данных не решается реализацией определённой совокупности мероприятий, а является постоянным процессом, который включает:

  - разработку политики защиты персональных данных от незаконной обработки, а также от незаконного доступа к ним, исходя из характеристик деятельности организации, целей, процессов и процедур, существенных для управления риском нежелательных событий относительно обработки персональных данных с учётом серьёзности последствий таких нежелательных событий. Политика защиты персональных данных от незаконной обработки, а также от незаконного доступа к ним должна быть согласована с общей политикой информационной безопасности организации и с контекстом стратегического управления рисками организации;

  - внедрение политики защиты персональных данных от незаконной обработки, а также от незаконного доступа к ним и обеспечения функционирования мероприятий, процессов и процедур защиты персональных данных;

  - оценивание и, по возможности, измерение производительности процессов защиты персональных данных согласно принятой политике, целям и практическому опыту, подготовка предложений относительно корректирующих мероприятий;

  - употребление корректирующих и предохранительных действий относительно защиты персональных данных на основании результатов внутренних проверок, периодический пересмотр политики защиты персональных данных, постоянное усовершенствование мероприятий;

  4.4. В случае, когда обработка персональных данных осуществляется в информационной (автоматизированной) системе, создаётся комплексная система защиты информации в соответствии с Правилами обеспечения защиты информации в информационных, телекоммуникационных и информационно-телекоммуникационных системах, утвержденными Постановлением Кабинета Министров Украины от 29 марта в 2006 г. N 373.

  4.5. Комплексная система защиты информации обеспечивает защиту персональных данных от незаконной обработки, а также от незаконного доступа к ним в соответствии с планом защиты информации в системе, который содержит:

  - задание защиты персональной информации, классификации персональной информации, описание особенностей технологии обработки информации;

  - модель угроз для персональных данных в системе;

  - требования относительно защиты персональных данных и правила доступа к ним;

  - перечень документов, согласно которым осуществляется защита информации в информационной системе.

  4.6. Для защиты персональных данных важно, чтобы организационные мероприятия и используемые средства защиты, которые определяют уровень защиты, отвечали реальным конкретным угрозам, данным, которые обрабатываются, и процессам, обработки данных, которые выполняются. Должны браться во внимание вероятные риски нежелательных событий и серьезность последствий таких нежелательных событий. Чем выше риски, тем более строгие мероприятия защиты должны быть реализованы.

  4.7. Если обработка персональных данных осуществляется в информационной (автоматизированной) системе, в которой создаётся комплексная система защиты информации, оценка рисков нежелательных событий для персональных данных, которые обрабатываются в автоматизированной системе, является составной частью оценки рисков в соответствии с рекомендациями согласно нормативному документу НД ТЗИ 1.1-002-99 "Общие положения относительно защиты информации в компьютерных системах от несанкционированного доступа". Утверждено приказом ДСТСЗИ СБ Украины от 28.04.1999 № 22.

  4.8. К основным факторам, которые влияют на уровень требуемой защиты, относятся:

  - внимание, уделяемое обществом к обрабатываемым данным;

  - уровень осведомленности персонала владельца и/или распорядителя базы персональных данных относительно информационной безопасности, защиты персональных данных, уважения к авторским правам, и тому подобное;

  - тип информационно-телекоммуникационной системы, в рамках которой обрабатываются персональные данные.