ИНТЕРНЕТ-КОНФЕРЕНЦИИ

Добрый день!

В данном случае (если Вы, конечно, не представляете государственное или коммунальное учреждение, у которого цель обработки персональных данных закреплена на уровне НПА) в заявлении Вам не надо указывать никаких нормативно-правовых актов. Достаточно будет указания тех уставных документов или других внутренних документов предприятия (в том числе положения о ведении баз персональных данных), которые устанавливают такую цель. Это касается обеих упомянутых Вами баз, равно как и любой другой, которую Вы бы хотели зарегистрировать.

Насчет "категорий обработки" - это не очень удачная формулировка в бланке заявления о регистрации БПД. Речь идет о том, что необходимо указать, какие персональные данные предприятие будет в этой базе обрабатывать. При этом обязательно указание ВСЕХ категорий таких данных.

Кроме того, в Вашем случае следует обратить повышенное внимание на базу "Пациенты", поскольку в ней, возможно, содержаться персональные данные о состоянии здоровья, которые имеют более строгий порядок обработки (п.6 ч.2 ст. 7 Закона).

Добрый день, Оксана Александровна!

Картотека с информацией о наемных работниках физического лица - предпринимателя (не зависимо от количества наемных работников) является базой персональных данных в понимании статьи 2 Закона Украины "О защите персональных данных", в соответствии с которой база персональных данных - именованная совокупность упорядоченных персональных данных в электронной форме и/или в форме картотек. База данных в Вашем случае содержит информацию о наемном работнике (его персональные данные): его ФИО, паспортные данные, адрес регистрации или проживания, образование и т.д.

Персональные данные можно упорядочить как в электронной форме, так и в форме карточек.

В соответствии со статьей 9 Закона база персональных данных подлежит государственной регистрации путем внесения соответствующей записи уполномоченным государственным органом по вопросам защиты персональных данных в Государственный реестр баз персональных данных.

Лиана, добрый день! Издание приказа о создании документов относительно обработки и защиты персональных данных - это лишняя трата времени. Естественно, с целью приведения внутренней документации предприятия в соответствие с законодательством о защите персональных данных необходимо оформление пакета документов. Так, основными документами, без которых не может обойтись субъект предпринимательской деятельности, осуществляющий обработку персональных данных, являются свидетельство о государственной регистрации баз персональных данных и положение предприятия о персональных данных, в котором стоит четко сформулировать цель обработки персональных данных, перечень баз персональных данных и их местонахождение, их состав, порядок внесения изменений, обновления, использования, распространения, обезличивания, уничтожения персональных данных и порядок уведомления и получения согласия на такие действия субъектов персональных данных, порядок доступа к персональным данным, порядок информирования Государственной службы о внесении изменений в базу персональных данных, порядок защиты персональных данных в информационных базах данных и в картотеках. Кроме того необходимо назначить лицо, ответственное за организацию работы по защите персональных данных и обработке персональных данных, и такое назначение оформить приказом по предприятию.

Получение согласия субъекта персональных данных можно назвать первоочередным заданием любого владельца базы персональных данных, ведь использование персональных данных возможно только при условии предоставления их субъектом однозначного согласия на обработку таких данных.Согласно статье 2 "О защите персональных данных" согласием является любое документированное, в частности письменное, добровольное волеизъявление о предоставлении разрешения на обработку персональных данных согласно сформулированной цели их обработки. Форма согласия может быть оформлена как анкета, формуляр, оговорка в договоре, отрывной купон, расчетный документ, регистрационная карточка или бланк формы согласия, также согласие может предоставляться в виде электронного письма обязательно с проставлением сертифицированной электронной подписи субъекта персональных данных, или электронным подтверждением предоставления согласия на обработку персональных данных в базе персональных данных с помощью управляющих элементов веб-ресурсов владельца или распорядителя базы персональных данных, интерфейсов программного обеспечения. При этом, важно указать в Положении о персональных данных предприятия то, каким образом Вы будете получать согласие на использование персонифицированных сведений: путем подписания согласия или путем внесения оговорки в договор (контракт, анкету, расчетную накладную и т. д.). 

Согласие на обработку персональных данных, в любой его форме, должно включать конкретно сформулированную цель обработки персональных данных (указанную в учредительных документах), объем персональных данных и описание персональных данных, сбор которых будет осуществляться в процессе дальнейших взаимоотношений с субъектом персональных данных, указания о порядке использования данных, указания о порядке распространения персональных данных и указания относительно порядка доступа к персональным данным третьих лиц.

 Что касается согласия сотрудников, то последние требуется отбирать лишь у сотрудников принятых на работу после вступления в силу Закона "О защите персональных данных" 7, то есть после 01.01.2011. Ранее принятых на работу сотрудников следует уведомить относительно обработки их персональных данных, путем вручения им уведомление, которое должно быть подписано сотрудником и возвращено владельцу базы персональных данных. В будущем при приеме новых сотрудников на работу пункт относительно согласия на обработку персональных данных желательно внести в трудовой договор, подписанием которого сотрудник автоматически дает согласие на обработку его данных.

Шановна Олена.

Варіантів поведінки є декілька. Можно повідомляти електронною пошлтою, якщо є така змога. Можно повідомляти цінним листом з повідомленням про отримання, яке буде підтвердженням повідомлення. Вести книгу реєстрації повідомлень можна, але не обов`язково. Тим більше, зовсім необов`язково відсилати фізичній сооби лист книги на підпис.

На майбутнє взагалі рекомендую у текст згоди внести положення про те, що суб`єкт персональних даних згоден не отримувати повідомленнь про включення його в базу.

Закон "О защите персональных данных", а также Типовый порядок обработки персональных данных в базах персональных данных обязует владельца или распорядителя базы персональных данных при их обработке принимать необходимые организационные и технические меры для их защиты. Обработка персональных данных в автоматизированной системе может осуществляться в составе информационно-телекоммуникационной системы с применением средств сетевой защиты от несанкционированного доступа при обработке персональных данных.

Антивирусы и источники бесперебойного питания служат защитой персональных компьютеров, ноутбуков, рабочих станций, а также периферийных устройств. Для обеспечения технических мер защиты  информационных систем достаточно принять меры по их защите от несанкционированного доступа. Следует иметь в виду, что в случае несанкционированного доступа в автоматизированную систему, требования о возмещении нанесенного таким доступом вреда могут быть предъявлены к владельцу базы персональных данных, который не обеспечил техническую защиту. Во избежание таких ситуацию системы защиты должны иметь сертификат соответствия.

Ольга Валериевна, добрый день!

Практически каждое предприятие имеет несколько баз персональных данных, например, это как минимум база сотрудников и база контрагентов. Количество баз на предприятии определяется в зависимости от целей обработки таких данных. В одном из своих ответов, я уже отмечала, что в зависимости от количества целей, обозначенных в учредительных или иных документах, регулирующих деятельность владельца базы персональных данных, определяется и количество таких баз. Большинство предприятий, когда речь идет о хозяйственных обществах, формируют также базу учредителей. При этом решение о том создавать базу учредителей отдельно, или объединить ее с базой сотрудников принимает само предприятие.

Главное, правильно сформировать цель обработки данных в объединенной базе Так, для базы сотрудников- учредителей, целью обработки персональных данных следует указать обеспечение реализации и регулирования трудовых, хозяйственных, налоговых отношений, и отношений в сфере бухгалтерского учета. В любом случае, владельцу базы персональных данных необходимо самостоятельно определится стоит ли базу учредителей регистрировать отдельно, или объединять с базой сотрудников.

Добрый день! Как мы уже заметили многие обеспокоены сроками регистрации заявленных баз персональных данных. В этом вопросе я абсолютно согласно со своими коллегами, ГСЗПД в виду огромнейшего количества свалившихся на них заявлений о регистрации баз персональных данных, физически не успевают осуществить регистрацию в срок. Большая часть заявлений, поданных еще в декабре 2011 года, так и не были зарегистрированы, а соответственно владельцы баз данных все еще не получили свои свидетельства.

Сразу хочется Вас успокоить, поданное Вами в срок заявление является гарантией того, что Вас не смогут привлечь к ответственности за нерегистрацию. Ведь отсутствие регистрации базы персональных данных - это полностью вина ГСЗПД. В тоже время опись вложения, квитанция об отправке послужат для Вас подтверждением того, что заявление о регистрации было направлено в срок.

Доброго дня.

1. Ніяких прямих наслідків законодавством не передбачено – надання згоди на обробку персональних даних є правом, а не обов"язком особи. Хоча роботодавець точно подумає, чи потрібен йому такий працівник, який своїми діями може нанести шкоду підприємству.

2. Якщо такі данні включені до однієї з баз, то їх обробка буде порушенням законодавства про захист персональних даних (у підприємства не буде підстав їх обробляти – п.1 ч.1 ст. 11 Закону "Про захист персональних даних"). Відповідно до ст.28 Закону це тягне за собою відповідальність. Дії відповідальної особи можуть бути кваліфіковані, як незаконне зберігання конфіденційної інформації про особи, що тягне за собою відповідальність за ст. 182 Кримінального кодексу. Існує досить вмотивована думка, що це не стосується персональних даних осіб, що були прийняті на роботу до 01.01.2011, оскільки обробка їх персональних даних продовжується відповідно до правовідносин на основі вільного волевиявлення працівника, що виникли до набрання чинності Законом.

3. В даному випадку ніякої відповідальності не буде, оскільки не буде порушення - реєстрації підлягають не персональні дані конкретної особи, а база таких даних (ст. 9 Закону "Про захист персональних даних"). Тому відповідальність передбачається за ухилення від реєстрації бази, незаконне внесення персональних даних до бази, їх незаконне зберігання, використання і поширення.

4. Вичерпний перелік підстав для звільнення працівника передбачено Кодексом законів про працю. Ненадання згоди на обробку персональних даних в цьому переліку немає. Тому такі дії не можуть бути законною підставою для звільнення.

5. За загальним правилом отримувати згоду на обробку таких даних не потрібно, якщо підприємство продовжує обробляти персональні дані з тією ж метою і в такому ж обсязі, як і до 01.01.2011. В свою чергу, зміна мети обробки потягне за собою необхідність отримання згоди.

6. В даному випадку під терміном "дозвіл" розуміється прямо передбачена законодавством можливість обробки персональних даних без згоди суб"єкта, на що вказує ч.6 ст.6 Закону.

7. На даний час всі ці питання законодавством ніяк не врегульовані. Тим не менш є всі підстави вважати що в будь-якому випадку відмова від надання згоди не може бути підставою для обмеження будь-яких прав особи (за винятком тих випадків, коли це прямо передбачено законом). Втім, те не менш, в деяких випадках така відмова фактично унеможливлює реалізацію права – зокрема не можна видати особі той же диплом, якщо в цьому документі не буде вказано як мінімум прізвище, ім"я і по батькові особи.

Воістину воскрес!

Шановна Юлія,

 До Вашого закладу звертаються пацієнти-фізичні особи. Звичайно, окрім невразливих персональних даних, якими є ПІБ пацієнта, його вік, стать, домашня адреса, у Вашому бізнесі також обробляються і вразливі персональні дані, тобто інформація про стан здоров`я. У Вашому випадку треба бути дуже обачними та підписувати з кожним клієнтом окрему угоду та затвердити положення про захист персональних даних в клініці, дуже чітко вказавши, хто є відповідальним за обробку даних. 

Статтею 7 Закону «Про захист персональних даних» встановленр, що забороняється обробка персональних даних, зокрема, що стосуються здоров'я чи статевого життя. 

Положення цієї статті не застосовується, якщо обробка таких персональних даних необхідна в цілях охорони здоров'я, для забезпечення піклування чи лікування за умови, що такі дані обробляються медичним працівником або іншою особою закладу охорони здоров'я, на якого покладено обов'язки щодо забезпечення захисту персональних даних. 

Не обов`язково вносити зміни в посадові інструкції співробітників. Можна наказом по підприємству покласти обов`язки на конкретні підрозділи чи співробітників.  

Базу «Контрагенти», якщо серед них є просто фізичні особи, треба зареєструвати. В договорі з контагентами треба внести окреме положення про обробку персональних даних, мету такої обробки та відповідальність сторін за порушення такої норми договору.