среда, 2 ноября 2011 г.

Защита персональных данных в Украине. Требования закона.

В связи с введением соответствующего закона в Украине у руководства многих компаний возникает два вопрос «Что грозит за невыполнение требований этого закона?» и «Как обеспечить выполнение закона?».
Попытаюсь дать краткую информацию по этому вопросу.
В Украине действует закон № 2273 «О защите персональных данных», который вступил в силу с 1.01.2011. Этот закон регулирует взаимоотношения между субъектами, связанные с защитой персональных данных во время обработки. Основные требования, которые выдвигаются законом № 2273 к обработке персональных данных следующие:

  • Цель обработки персональных данных должна быть сформулирована во внутренней нормативной документации «владельца базы персональных данных»
  • Нужно обеспечить достоверность и правильность персональных данных, а также их обновление
  • Состав персональных данных должен отвечать цели обработки и быть ограничен подписанным соглашением физического лица
  • Первоисточником персональных данных являются выданные документы на имя физического лица либо подписанные данные, которые физическое лицо предоставляет о себе
  • Обработка персональных данных выполняется согласно целям, которые согласованы с физическим лицом
  • Обработка персональных данных без согласия физического лица запрещена кроме отдельных исключений
  • Персональные данные в форме, которая допускает идентификацию физического лица могут обрабатываться в течение срока, необходимого для достижения законной цели обработки данных
  • Обработка персональных данных в научных или статистических целях может выполнятся только в неперсонализированном виде
  • Типовой порядок обработки персональных данных в базах определяется уполномоченным государственным органом по вопросам защиты персональных данных

С 21.06.2011 вступило в силу положение Кабинета Министров Украины № 616 «Про Государственный реестр баз персональных данных и порядок его ведения». В этом документе излагаются требования по регистрации баз обработки персональной информации. По каждой из баз обработки персональной информации необходимо предоставить в Государственную службу по вопросам защиты персональных данных как минимум следующую информацию:

  • Информацию о владельце базы (стандартный набор реквизитов)
  • Именование и месторасположение базы персональных данных, включая информацию о лице, ответственном за ведение базы
  • Цель обработки персональных данных.
  • Информацию о других распорядителях персональных данных

Дополнительно можно предоставить еще следующую информацию:

  • Форму предоставления согласия на обработку персональных данных субъектами персональных данных
  • Способ ведения баз (электронный, бумажный и т.д.)
  • Источники получения персональных данных
  • Информацию о распространении и передаче персональных данных (третьим сторонам)
  • Информацию о передачи персональных данных за границу
  • Категории субъектов, относительно которых осуществляется обработка персональных данных
  • Категории персональных данных, которые обрабатываются
  • Типы информации, содержащиеся в базе (классификация)
  • Описание принятых мер по защите персональных данных от незаконной обработки и незаконного доступа

Невыполнение требований законодательства в области защиты персональных данных грозит штрафом в размере от 100 до 1000 необлагаемых минимумов. Если невыполнение закона приведет к незаконному доступу к персональным данным, сумма штрафа может составлять 10000 необлагаемых минимумов.