В связи с введением соответствующего закона в Украине у руководства многих компаний возникает два вопрос «Что грозит за невыполнение требований этого закона?» и «Как обеспечить выполнение закона?».
Попытаюсь дать краткую информацию по этому вопросу.
В Украине действует закон № 2273 «О защите персональных данных», который вступил в силу с 1.01.2011. Этот закон регулирует взаимоотношения между субъектами, связанные с защитой персональных данных во время обработки. Основные требования, которые выдвигаются законом № 2273 к обработке персональных данных следующие:
- Цель обработки персональных данных должна быть сформулирована во внутренней нормативной документации «владельца базы персональных данных»
- Нужно обеспечить достоверность и правильность персональных данных, а также их обновление
- Состав персональных данных должен отвечать цели обработки и быть ограничен подписанным соглашением физического лица
- Первоисточником персональных данных являются выданные документы на имя физического лица либо подписанные данные, которые физическое лицо предоставляет о себе
- Обработка персональных данных выполняется согласно целям, которые согласованы с физическим лицом
- Обработка персональных данных без согласия физического лица запрещена кроме отдельных исключений
- Персональные данные в форме, которая допускает идентификацию физического лица могут обрабатываться в течение срока, необходимого для достижения законной цели обработки данных
- Обработка персональных данных в научных или статистических целях может выполнятся только в неперсонализированном виде
- Типовой порядок обработки персональных данных в базах определяется уполномоченным государственным органом по вопросам защиты персональных данных
С 21.06.2011 вступило в силу положение Кабинета Министров Украины № 616 «Про Государственный реестр баз персональных данных и порядок его ведения». В этом документе излагаются требования по регистрации баз обработки персональной информации. По каждой из баз обработки персональной информации необходимо предоставить в Государственную службу по вопросам защиты персональных данных как минимум следующую информацию:
- Информацию о владельце базы (стандартный набор реквизитов)
- Именование и месторасположение базы персональных данных, включая информацию о лице, ответственном за ведение базы
- Цель обработки персональных данных.
- Информацию о других распорядителях персональных данных
Дополнительно можно предоставить еще следующую информацию:
- Форму предоставления согласия на обработку персональных данных субъектами персональных данных
- Способ ведения баз (электронный, бумажный и т.д.)
- Источники получения персональных данных
- Информацию о распространении и передаче персональных данных (третьим сторонам)
- Информацию о передачи персональных данных за границу
- Категории субъектов, относительно которых осуществляется обработка персональных данных
- Категории персональных данных, которые обрабатываются
- Типы информации, содержащиеся в базе (классификация)
- Описание принятых мер по защите персональных данных от незаконной обработки и незаконного доступа
Невыполнение требований законодательства в области защиты персональных данных грозит штрафом в размере от 100 до 1000 необлагаемых минимумов. Если невыполнение закона приведет к незаконному доступу к персональным данным, сумма штрафа может составлять 10000 необлагаемых минимумов.
