Захист персональних даних в Україні : практичні аспекти

1. Захист персональних даних в Україні:практичніаспекти Олеся Гудзь, юрист ІнтернетАсоціаціїУкраїни

2. Законодавча база • Конституція України • Закон України “ Про захист персональних даних ” • Закон України «Про інформацію» • Закон України “ Про захист інформації в автоматизованих системах ” • Конвенція про захист осіб у зв'язку з автоматизованою обробкою персональних даних від 28.01.1981 р. • Директива Європейського Парламенту та Ради «Про захист осіб у зв'язку з обробкою персональних даних та переміщенням (передачею) таких даних» від 24.10.1995 р. • Директива Європейського Парламенту та Ради «Про правовий захист баз даних ” від 11.03.1996 р.

3. Що є об'єктом захисту законодавства про захист персональних даних? • Персональні дані - це відомості чи сукупність відомостей про фізичну особу (суб'єкт персональних даних), яка ідентифікована або може бути конкретно ідентифікована. • Об'єктами захисту є тільки ті персональні дані, які обробляються в базах персональних даних - іменованій сукупності упорядкованих персональних даних в електронній формі та/або у формі картотек персональних даних.

4. Суб'єкти законодавства про захист персональних даних • Суб'єкти персональних даних громадяни, наймані працівники, посадові особи, платники податків та зборів, клієнти, покупці, споживачі, абоненти, пацієнти, пасажири, батьки, вихованці та слухачі закладів освіти (учні, студенти, абітурієнти, курсанти, слухачі, стажисти, аспіранти, докторанти, випускники та інші), члени політичних партій / громадських / релігійних організацій • Володільці , розпорядники баз персональних даних підприємства, установи і організації усіх форм власності, органи державної влади чи органи місцевого самоврядування, фізичні особи - підприємці, які обробляють персональні дані • Треті особи в розумінні Закону України “ Про захист персональних даних ” • Державні органи уповноважені про роботі з питань захисту персональних даних

5. Категорії персональних даних, що обробляються • ідентифікаційні дані (ім’я, адреса, телефон тощо); • паспортні дані; • особисті відомості (вік, стать, сімейний стан тощо); • склад сім'ї; • освіта; • професія; • біометричні дані (зріст, вага, особливі прикмети тощо); • психологічні дані (особистість, характер тощо); • житлові умови; • фінансова інформація; • електронні ідентифікаційні дані ( трафік, IP-адреса тощо); • електронні дані про локалізацію (GSM, GPS тощо); • запис зображень (фото, відео); • звукозапис

6. Згода суб'єкта персональних даних • будь-яке документоване, зокрема письмове, добровільне волевиявлення фізичної особи щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки Формами надання згоди суб’єкта персональних даних: • документ на паперовому носії з реквізитами, що дає змогу ідентифікувати цей документ та фізичну особу • електронний документ, включаючи обов’язкові реквізити документа, що дають змогу ідентифікувати цей документ та фізичну особу • відмітка на електронній сторінці документу чи у електронному файлі, що обробляється в інформаційній системі на основі документованих програмно-технічних рішень

7. Що маєвже бути зроблено? • Приведено діяльність у відповідність до вимогзаконодавства про захистперсональнихданих • Розробленовнутрішні документи (накази, положення тощо), якими визначено - наявні бази персональних даних - порядок обробки персональних даних - порядок отримання згоди від суб'єкта персональних даних - відповідальних осіб за обробку персональних даних - порядок повідомлення суб'єкта персональних даних про включення його даних до бази - порядок доступу до баз персональних даних як суб'єктів персональних даних, так і третіх осіб • Зареєстровано бази персональних даних

8. Відповідальність за порушення законодавства: чого чекати? З 01 січня 2012 року нових санкцій за порушення законодавства – • за ухилення від державної реєстрації бази персональних даних – штраф до 17 тисяч гривень (на посадових осіб); • за неповідомлення або несвоєчасне повідомлення Держслужби про зміну відомостей, що подаються для державної реєстрації бази персональних даних – штраф до 6 800 гривень (на посадових осіб); • за незаконне збирання, зберігання, використання, знищення, поширення конфіденційної інформації про особу або незаконна зміна такої інформації – кримінальна відповідальність до обмеження волі на строк до трьох років. Закон України «Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних»

9. “База персональнихданихпідлягаєдержавнійреєстрації шляхом внесеннявідповідногозаписууповноваженимдержавним органом зпитаньзахиступерсональнихданих до Державного реєстру баз персональнихданих”. (стаття 9 Закону України «Про захист персональних даних») Державній реєстрації підлягають усі бази персональних даних. Для реєстрації бази персональних даних, Державній службі з питань захисту персональних даних, подається заява встановленого зразку. Заява про реєстрацію бази персональних даних повинна містити інформацію про • володільця та розпорядників бази персональних даних, • інформацію про базу даних (назву, мету обробки персональних даних, категорії бази ) та місце її знаходження, • підтвердження зобов’язання стосовно виконання вимог законодавства щодо захисту персональних даних. Про кожну зміну вищезазначених відомостей, не пізніше як протягом десяти робочих днів з дня настання такої зміни, володілець бази персональних даних зобов'язаний повідомляти про внесені зміни.

10. Дякую за увагу!Запрошуємо Вас до співпраці!Контакти:01025, Україна, м. Київвул. Олеся Гончара, 15/3, оф.22тел./факс. (044) 278-2925www. ua-ix.net.ua Олеся Гудзь юрист ІнтернетАсоціаціїУкраїниlegal@inau.org.ua