Захист ПД

Захист персональних даних


Законодавство про захист ПД

  • Конвенція Ради Європи “Про захист осіб у зв’язку з автоматизованою обробкою ПД” № 108 від 28.01.1981 р
  • Закон України “Про захист персональних даних” №2297 від 01.06.2010 р
  • “Положення про Державну службу України з питань захисту ПД” №390/2011 від 06.04.11 р
  • “Постанова Про затвердження Положення про Державний реєстр БПД та порядок його ведення” №616 від 25.05.11 р
  • Закон України “Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист ПД” №3454-VI від 02.06.11 р
  • Наказ Міністерства Юстиції України “Про затвердження Типового порядку обробки персональних даних у базах персональних даних” №3659/5 від 30.12.2011 р

База Персональних Даних (БПД)

  • Іменована сукупність упорядкованих ПД в електронній формі або у формі картотек
    • Власник БПД
    • затверджує МЕТУ обробки ПД в базі
    • встановлює СКЛАД персональних даних
    • встановлює ПРОЦЕДУРИ ОБРОБКИ
  • Різні цілі, склад ПД та процедури – різні бази ПД
  • База ПД – це не база даних про фізичних осіб!

Метою обробки персональних даних є трудові відносини, надання банківських послуг, страхування, статистичні спостереження, директ-маркетинг, наукові дослідження, послуги в галузі охорони здоров’я, замовлення, виготовлення, облік і видача студентського квитка, документів про освіту та вчені звання державного зразка, проведення консультацій, семінарів, навчання, забезпечення реалізації відносин у сфері бухгалтерського, податкового, статистичного обліку та звітності.


Цілі реєстрації БПД

  • Суб’єктам ПД:
    • Хто, де, про кого, на якій підставі?
    • для чого, яким чином, якими засобами?
    • аналізувати записи, подавати скарги
  • Власникам БПД:
    • які відомості, як довго обробляються?
    • як уточнюються, як захищаються і т.д.?
    • виконувати вимоги законодавства
  • Державним органам:
    • стежити за ситуацією
    • здійснювати аналіз

Суб’єкти відносин

Фізична особа – суб’єкт ПД має право знати:

  • ХТО і ДЕ обробляє його ПД
  • КОМУ передаються його ПД
  • Чи зберігаються його ПД в конкретній БД
  • Як отримати доступ до своїх ПД
  • на доступ до своїх ПД
  • на заперечення проти обробки своїх ПД
  • вимагати знищення або виправлення своїх ПД, якщо вони обробляються незаконно чи є недостовірними
  • звертатися до органів держ. влади та місцевого самоврядування, до повноважень яких належить здійснення захисту ПД
  • застосовувати засоби правового захисту

Персональні дані повинні оброблятися сумлінно і законно

Підстави виникнення права на обробку:

  • згода суб’єкта надане законом право на обробку в інтересах:
    • національної безпеки
    • економічного добробуту
    • прав людини
  • для захисту життєво важливих інтересів суб’єкта до того часу, поки отримання згоди стане можливим

Згода суб’єкта ПД

Згода суб’єкта персональних даних – будь-яке документоване, зокрема письмове волевиявлення фізичної особи про:

  • надання дозволу на обробку його ПД у відповідності до сформульованої мети їх обробки
  • обсяг ПД, які можуть бути включені в базу ПД
  • доступ до ПД третіх осіб
  • передачу відомостей про фізичну особу з бази ПД, зокрема, про передачу його ПД іноземним суб’єктам відносин, пов’язаних з ПД.

Форми надання згоди

  1. Документ на паперовому носії з реквізитами та підписом, що дозволяє ідентифікувати цей документ і фізичну особу.
  2. Електронний документ, завірений електронним підписом суб’єкта ПД, включаючи обов’язкові реквізити документа, що дозволяють ідентифікувати цей документ і фізичну особу.
  3. Документ з реквізитами на іншому носії, зокрема фото-, відео-, аудіофіксації добровільного волевиявлення суб’єкта ПД.
  4. Відмітка на електронній сторінці документа або в електронному файлі, який обробляється в інформаційній системі на основі документованих програмно-технічних рішень, які, в свою чергу:
    • не дозволяють обробку ПД доти, поки суб’єкт ПД не виконає дії, що підтверджують надання їм відповідної згоди;
    • забезпечують реєстрацію дій суб’єкта ПД і цілісність протоколів реєстрації таких дій.

→ Уповноваженим державним органом з питань захисту персональних даних є «Державна служба України з питань захисту ПД» ДСЗПД реалізує державну політику у сфері захисту ПД і контролює дотримання вимог законодавства про захист ПД

→ ДСЗПД України для виконання покладених на неї завдань має право одержувати інформацію, документи і матеріали від державних органів та органів місцевого самоврядування, підприємств усіх форм власності та їх посадових осіб.

Наслідки ухилення від реєстрації БПД 

З 1 липня 2012 року наберуть чинності зміни до Кодексу України про адміністративні правопорушення, які були внесені ЗУ “Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист ПД” № 3454-VI від 2 червня 2011 року:

  • адміністративна відповідальність
    • неповідомлення або несвоєчасне повідомлення суб’єкта ПД про його права у зв’язку із включенням його ПД в БПД, мета збору цих даних та осіб, яким ці дані передаються;
    • неповідомлення або несвоєчасне повідомлення спеціально уповноваженого центрального органу виконавчої влади з питань захисту ПД про зміну відомостей, що подаються для державної реєстрації БПД;
    • ухилення від державної реєстрації БПД.

→ Таким чином, з 1 липня 2012 року за порушення законодавства про захист ПД можуть накладатися штрафи в розмірі від ста до тисячі неоподатковуваних мінімумів доходів громадян залежно від особистості і правопорушення.

  • Кримінальна відповідальність:
    • незаконне збирання, зберігання, використання, знищення, поширення конфіденційної інформації про особу або незаконна зміна такої інформації Статтею 182 Кримінального кодексу України карається:
      • штрафом від п’ятисот до однієї тисячі неоподатковуваних мінімумів доходів громадян (від 8500 до 17 000 грн.) або;
        виправними роботами на строк до двох років, або;
      • арештом на строк до шести місяців, або;
      • обмеженням волі на строк до трьох років.
    • ті самі дії, вчинені повторно, або якщо вони заподіяли істотну шкоду правам що охороняються законом, свободам та інтересам особи, карається:
      • арештом на строк від трьох до шести місяців, або;
      • обмеженням волі на строк від трьох до п’яти років, або;
      • позбавленням волі на той самий строк.

Методи і способи захисту інформації від несанкціонованого доступу:

  • реалізація дозвільної системи допуску користувачів до інформаційних ресурсів;
  • обмеження доступу користувачів до приміщень, де розміщено технічні засоби, що дозволяють здійснювати обробку ПД;
  • розмежування доступу користувачів до інформаційних ресурсів, програмним засобам обробки (передачі) і захисту інформації;
  • реєстрація дій користувачів, контроль несанкціонованого доступу;
  • облік і зберігання з’ємних носіїв інформації та їх використання, що виключає розкрадання, підміну та знищення;
    резервування технічних засобів, дублювання масивів і носіїв інформації;
  • використання засобів захисту інформації, які пройшли в установленому порядку процедуру оцінки відповідності;
    використання захищених каналів зв’язку;
  • розміщення технічних засобів, що дозволяють здійснювати обробку ПД, в межах території, що охороняється;
  • організація фізичного захисту приміщень та власне технічних засобів, що дозволяють здійснювати обробку ПД;
  • запобігання впровадження в інформаційних системах шкідливих програм (програм-вірусів).