BitTorrentTracker PerecTracker.org
BitTorrentTracker PerecTracker.org
    
Регистрация  ·  Вход
 
 · 
Забыли пароль?

  • Приклад заповнення полів заяви про реєстрацію бази персональних даних. Заява про реєстрацію бази персональних даних (бланк)

    Ответить на тему
     
    Автор Сообщение

    -sasha2006

    Создавать темы 25-Дек-2011 22:24

           

    [Цитировать]

    Зразок заповнення полів прийнятої заяви-Мета
    Працівники
    Обробка персональних даних здійснюється з метою забезпечення реалізації трудових відносин, адміністративно - правових відносин, податкових відносин, відносин у сфері бухгалтерського обліку, відносин у сфері управління людськими ресурсами, зокрема кадровим потенціалом, які регулюються Кодексом законів про працю України № 322 від 10.12.71 р., Податковим кодексом України № 2755 від 02.12.10 р, Законом України «Про єдиний соціальний внесок» № 2464 від 08.07.10 р., Законом України «Про зайнятість населення» № 803 від 01.03.91 р., Законом України «Про захист інвалідів» № 875 від 21.03.91 р., Статуту підприємства та нормативно-правових документів, які регулють діяльність піприємства. Категорії персональних даних, які обробляються: прізвище, ім'я, по-батькові, паспортні дані, дата та місце народження, місце проживання фактичне та за державною реєстрацією, громадянство, освіта, професія, спеціальність, кваліфікація, трудовий стаж, стать, родинний стан, склад сім'ї, відомості про військовий облік, індивідуальний податковий номер, дані, що стосуються здоров'я в межах, визначених законодавством про працю, дані, що підтверджують право працівника на пільги, встановлені законодавством про працю, та законодавством про захист інвалідів, житлові умови, номери телефонів, електронні адреси, фотографії. Обробка персональних даних про расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, а також даних, що стосуються здоров'я чи статевого життя не здійснюється.
    Засновники
    Обробка персональних даних здійснюється з метою забезпечення реалізації трудових відносин, адміністративно - правових відносин, податкових відносин, відносин у сфері бухгалтерського обліку, відносин у сфері управління людськими ресурсами, зокрема кадровим потенціалом, які регулюються Кодексом законів про працю України № 322 від 10.12.71 р., Податковим кодексом України № 2755 від 02.12.10 р, Законом України «Про єдиний соціальний внесок» № 2464 від 08.07.10 р., Законом України «Про зайнятість населення» № 803 від 01.03.91 р., Законом України «Про захист інвалідів» № 875 від 21.03.91 р., Статуту підприємства та нормативно-правових документів, які регулють діяльність піприємства. Категорії персональних даних, які обробляються: прізвище, ім'я, по-батькові, паспортні дані, дата та місце народження, місце проживання фактичне та за державною реєстрацією, громадянство, освіта, професія, спеціальність, кваліфікація, трудовий стаж, стать, родинний стан, склад сім'ї, відомості про військовий облік, індивідуальний податковий номер, дані, що стосуються здоров'я в межах, визначених законодавством про працю, дані, що підтверджують право працівника на пільги, встановлені законодавством про працю, та законодавством про захист інвалідів, житлові умови, номери телефонів, електронні адреси, фотографії. Обробка персональних даних про расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, а також даних, що стосуються здоров'я чи статевого життя не здійснюється.
    Контрагенти
    Забезпечення реалізації господарчих, правових, податкових відносин, відносин у сфері ухгалтерського бухгалтерського обліку, відносин у сфері статистики, які регулюються Податковим Кодексом 2755-VIвід 02.12.11р., України №2755-VIвід 02.12.11р.,Господарчим Кодексом України ,Цивільним Кодексом України, Законом України «Про державний реєстр фізичних осіб-платників податків та інших обов’язкових платежів» №320/94-ВР від 22.12.94р, Закону України «Про бухгалтерський облік та фінансову звітність в Україні», Законом України «Про збір та облік єдиного внеску на загальнообов’язкове державне соціальне страхування», Закону України «Про державну реєстрацію юридичних осіб та фізичних осіб-підприємців», Статутом підприємства та нормативно-правових документів, які регулють діяльність піприємства. Категорії персональних даних , що обробляються : Дані паспорту громадянина України , ідентифікаційний номер , дані щодо місця реєстрації та проживання, Прізвище , ім’я , по-батькові, Дані про державну реєстрацію, дані про відкриті розрахункові рахунки, дані про реєстрацію платника ПДВ, дані щодо системи оподаткування, номери телефонів, дані щодо місця здійснення діяльності.
    Підстави
    Працівники та засновники
    Згода суб`єкта персональних даних на обробку його персональних даних, надана у формі заяви на паперовому носії. Відповідно до правовідносин, які виникли до набрання чинності Закону України "Про захист персональних даних" на основі вільного волевиявлення фізичної особи(трудові договори)
    Контрагенти
    Згода суб`єкта персональних даних на обробку його персональних даних, надана у формі заяви на паперовому носії. Відповідно до правовідносин, які виникли до набрання чинності Закону України "Про захист персональних даних" на основі вільного волевиявлення фізичної особи(договори з замовниками, постачальниками, іншими конрагентами)--Довідкова Інформація:
    Державна служба з питань захисту персональних даних
    Контактна інформація:
    тел: +38(044) 517-68-00 (канцелярія)
    e-mail: info@zpd.gov.ua
    Поштова адреса: 02660, м. Київ, вул. Марини Раскової, 15
    тел. гарячої лінії +38(044) 541-01-22
    тел. для консультацій +38(044) 541-02-46
    ( Заява подається в паперовій формі (бажано, з наданням електронної копії) або у формі електронного документа через веб-сайт Державного реєстру баз персональних даних ( https://rbpd.informjust.ua ) відповідно до вимог Законів України «Про електронні документи та електронний документообіг» та «Про електронний цифровий підпис». При цьому, ДСЗПД обробляє заяви у формі електронного документу, підписані володільцями, що отримують послуги електронного цифрового підпису (ЕЦП) у акредитованих центрах сертифікації ключів, які надали у розпорядження ДСЗПД надійні засоби ЕЦП. )--Заява про реєстрацію бази персональних даних (Бланк) скачать:
    -
    Приклад заповнення заяви про реєстрацію бази персональних даних Скачать:
    Скачать .torrent

    Скачать торрент-файл бесплатно и на максимальной скорости!

    Как скачивать? · Что такое торрент? · Рейтинг и ограничения

    !ВНИМАНИЕ!
    Сайт не распространяет и не хранит электронные версии произведений, а занимается лишь лишь предоставлением доступа к создаваемому пользователями каталогу ссылок на торрент-файлы, которые содержат только списки хеш-сумм, убедительная просьба с жалобами обращаться напрямую к пользователю. Файлы для обмена на трекере предоставлены пользователями сайта, и администрация не несёт ответственности за их содержание. Просьба не заливать файлы, защищенные авторскими правами, а также файлы нелегального содержания!


    _________________

    ░▒▓█▀▄▀▄▀▄█▓▒░
    [Профиль] [ЛС]

    -sasha2006 ®

    Создавать темы 25-Дек-2011 23:24 (спустя 59 минут)

           

    [Цитировать]

    Відповіді на запитання пов’язані з реєстрацією БАЗ ПЕРСОНАЛЬНИХ ДАНИХВопрос: Що таке мета (ціль) обробки персональних даних, яка вона може бути?

    Ответ

    Відповідно до Закону України «Про захист персональних даних» мета обробки персональних даних має бути сформульована в законах, інших нормативно-правових актах, положеннях, установчих чи інших документах, які регулюють діяльність володільця баз персональних даних.
    Як приклад, метою обробки персональних даних може бути: забезпечення реалізації трудових відносин; адміністративно-правових; податкових відносин та відносин у сфері бухгалтерського обліку та аудиту; відносин у сфері управління людськими ресурсами; відносин у сфері економічних, фінансових послуг; відносин у сфері реклами; відносин у сфері телекомунікаційних послуг; відносин у сфері громадської, політичної та релігійної діяльності; відносин у сфері культури, дозвілля, спортивної та соціальної діяльності; відносин у сфері освіти; відносин у сфері охорони здоров’я; відносин у сфері безпеки; відносин у сфері транспорту; відносин у сфері науки, історичних досліджень та статистики тощо.
    Приклад формулювання мети :
    Обробка персональних даних фізичних осіб загального характеру (прізвище, ім’я та по батькові, дата та місце народження, громадянство, місце проживання тощо) або вразливих персональних даних (расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, а також даних, що стосуються здоров'я чи статевого життя) здійснюється для забезпечення реалізації (вказати яких саме) відносин, відповідно до (перерахувати правові акти, положення, установчі чи інші документи, які регулюють діяльність володільця).
    Вопрос: Що саме є базою персональних даних і які бази потрібно реєструвати?

    Ответ

    Відповідно до статті 2 Закону України «Про захист персональних даних» від 1 червня 2010 року (далі - Закон) персональні дані це – відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована.
    Існують персональні дані таких категорій: дані загального характеру (прізвище, ім’я та по батькові, дата та місце народження, громадянство, місце проживання, особисті відомості (вік, стать, сімейний стан тощо), склад сім'ї, освіта, професія, фінансова інформація, електронні ідентифікаційні дані, запис зображень (фото, відео) тощо) та вразливі (чутливі) персональні дані (расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, а також дані, що стосуються здоров'я чи статевого життя).
    Відповідно до вищезазначеного Закону будь-яка сукупність упорядкованих персональних даних про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована вважається базою персональних даних. Кожна база персональних даних підлягає державній реєстрації шляхом внесення відповідного запису уповноваженим державним органом з питань захисту персональних даних до Державного реєстру баз персональних даних. Виключень щодо реєстрації баз персональних даних Закон не містить.
    Володілець самостійно приймає рішення про те, чи являється та чи інша сукупність персональних даних фізичних осіб, яка знаходиться в його володінні, базою персональних даних.
    Аналізуючи заяви про реєстрацію баз персональних даних, які надходять на реєстрацію до ДСЗПД, можна дійти висновку, що кожне підприємство (організація) є володільцем щонайменше двох баз персональних даних, а саме бази персональних даних працівників, яка ведеться з метою забезпечення вимог трудового законодавства, реалізації податкових відносин та відносин у сфері бухгалтерського обліку та аудиту, та бази персональних даних клієнтів або інших осіб персональні дані яких обробляються володільцем в результаті господарської діяльності організації.
    Крім того, слід зазначити, що різні типи звітів та форм, що містять в собі певну сукупність відомостей про фізичних осіб, вибраних з баз персональних даних володільця, та які, відповідно до закону, періодично подаються до органів державної влади - не розглядаються як окремі бази персональних даних.
    Вопрос: Яким чином можна подати заяву про реєстрацію бази персональних даних?

    Ответ

    Заява про реєстрацію бази персональних даних в паперовій формі подається нарочно чи надсилається за адресою: 02660 м. Київ, вул. Марини Раскової, 15, або у формі електронного документа відповідно до вимог Законів України «Про електронні документи та електронний документообіг» та «Про електронний цифровий підпис» надсилається на електронну адресу Державної служби України з питань захисту персональних даних (register@zpd.gov.ua), також заповнити та подати заяву в електронному вигляді можна безпосередньо на сайті Державного реєстру баз персональних даних (https://rbpd.informjust.ua)
    Вопрос: Чи існують територіальні органи або регіональні представництва Державної служби України з питань захисту персональних даних?

    Ответ

    На даний час Державна служба України з питань захисту персональних даних територіальних органів або регіональних представництв не має. Офіційна адреса Служби: 02660, м. Київ, вул. Марини Раскової, 15.
    Вопрос: Хто такий володілець та розпорядник баз персональних даних та їх обов’язок ?

    Ответ

    Відповідно до Закону України «Про захист персональних даних» (далі – Закон) володілець бази персональних даних - фізична або юридична особа, якій законом або за згодою суб'єкта персональних даних надано право на обробку цих даних, яка затверджує мету обробки персональних даних у цій базі даних, встановлює склад цих даних та процедури їх обробки, якщо інше не визначено законом.
    Володілець бази персональних даних може доручити обробку персональних даних розпоряднику бази персональних даних відповідно до договору в письмовій формі.
    Розпорядник бази персональних даних - фізична чи юридична особа, якій володільцем бази персональних даних, на підставі договору в письмовій формі, або законом надано право обробляти ці дані.
    Відповідно до вимог Закону обробка персональних даних повинна здійснюватися для конкретних і законних цілей, визначених за згодою суб’єкта персональних даних, або у випадках, передбачених законами України, у порядку встановленому законодавством.
    Крім того, володілець бази/баз персональних даних повинен:
    · визначити та затвердити мету обробки персональних даних у базах персональних даних,
    · встановити склад персональних даних,
    · встановити процедуру обробки персональних даних,
    · визначити відповідальну особу/структурний підрозділ, відповідальний за організацію процесів з обробки персональних даних,
    · здійснити реєстрацію баз персональних даних.
    Вопрос: Чи потрібно окремо реєструвати бази персональних даних філій та інших підрозділів юридичних осіб, які розташовані поза місцями знаходження таких юридичних осіб?

    Ответ

    Якщо суб’єкт господарювання має відокремлені структурні підрозділи, які не мають статусу юридичної особи та розташовані поза місцями знаходження таких юридичних осіб, то в заяві про реєстрацію бази персональних даних у розділі ІІ необхідно зазначати адреси місцезнаходження бази персональних даних та кожного відокремленого структурного підрозділу за умови, що ці БПД мають однакове найменування та до їх ведення застосовуються вимоги одних і тих самих нормативно-правових актів, зокрема й локальних актів володільця.
    У разі коли бази персональних даних підприємства та його відокремленого структурного підрозділу мають різне найменування та/або їх ведення регулюється різними нормативно-правовими актами та/або структурний підрозділ є окремою юридичною особою, то такі БПД відокремлених структурних підрозділів мають реєструватись як окремі БПД конкретного відокремленого структурного підрозділу.
    Вопрос: Яким чином потрібно здійснювати захист бази персональних даних у формі картотек персональних даних та/або електронної бази персональних даних?

    Ответ

    Відповідно до вимог статті 24 Закону України «Про захист персональних даних» (далі – Закон) володільці баз персональних даних (у формі картотек та/або в електронній формі) зобов’язані вжити заходів щодо забезпечення захисту персональних даних від незаконної обробки, а також від незаконного доступу до них.
    Умови захисту персональних даних залежать від конкретних реальних загроз, природи персональних даних, які обробляються, технології обробки інформації та типу інформаційної системи, у рамках якої обробляються персональні дані (для баз персональних даних в електронній формі), і визначаються володільцем баз персональних даних самостійно.
    У кожному випадку володілець може провести детальний аналіз загроз та інших факторів, які впливають на рівень ризику. На основі аналізу ризиків володілець може вирішити, який рівень захищеності бази персональних даних є необхідним для створення умов щодо захисту персональних даних.
    Вопрос: Чи належать документи з кадрових питань до баз персональних даних?

    Ответ

    Відповідно до статті 2 Закону України «Про захист персональних даних» відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована, є персональними даними. Первинними джерелами відомостей про фізичну особу є: видані на її ім'я документи; підписані нею документи; відомості, які особа надає про себе.
    Таким чином, відомості про працівників, відображені в кадрових документах (картки Т – 2, особові справи, трудові книжки тощо), зокрема про вік, дату і місце народження, місце проживання, ідентифікаційний номер, соціальний статус, пільги відповідно до закону (одинокі матері, жінки з дітьми віком до трьох років, «чорнобильці», неповнолітні, пенсіонери тощо), з точки зору Закону вважаються персональними даними, які у своїй сукупності складають базу персональних даних або її частину.
    Крім того, документація підприємств, установ та організацій в електронній формі та/або у формі картотек, що містить певним чином структуровані персональні дані найманих працівників, також вважається базою персональних даних або її частиною.
    Вопрос: Які відомості належать до персональних даних?

    Ответ

    До персональних даних належать:
    за природою відомостей:
    об’єктивні відомості про фізичну особу (біометричні дані, стан банківського рахунку тощо);
    суб’єктивні відомості про фізичну особу (автобіографія, характеристика, матеріали атестації, опис особистих якостей фізичної особи, досьє тощо);
    за джерелами відомостей:
    відомості, що містяться в первинних та інших джерелах про фізичну особу;
    за способами обробки відомостей:
    відомості в алфавітно-цифровому форматі;
    відомості в графічному форматі;
    відомості в фото- та кіно-, аудіо- та відеоформаті тощо;
    за формою обробки відомостей:
    відомості на паперових носіях;
    відомості на електронних носіях;
    відомості на магнітних носіях;
    відомості на оптичних носіях тощо;
    за вимогами до обробки відомостей:
    відомості, щодо яких застосовуються загальні вимоги обробки відповідно до Закону;
    відомості, щодо яких згідно із статтею 7 Закону застосовуються особливі вимоги обробки (расове або етнічне походження, політичні, релігійні або світоглядні переконання, членство в політичних партіях та професійних спілках, а також відомості, що стосуються здоров'я чи статевого життя тощо);
    за зв’язком з фізичною особою:
    відомості, що стосуються фізичної особи безпосередньо (особова справа працівника, запис у базі даних медичного закладу, банківський рахунок фізичної особи тощо);
    відомості, що стосуються фізичної особи опосередковано (реєстраційний запис про право власності на об’єкт нерухомого майна, записи відеоспостереження у громадських місцях, записи про технічне обслуговування автомобіля тощо).
    Вопрос: Яка мінімальна сукупність відомостей дає можливість конкретно ідентифікувати особу та складає собою суть визначення «персональні дані»?

    Ответ

    Наведене в Законі України «Про захист персональних даних» визначення терміну «персональні дані» в повній мірі відповідає визначенню вказаного терміну, передбаченого в Конвенції Ради Європи про захист осіб у зв’язку із автоматизованою обробкою персональних даних.
    Крім того, діючі правові інструменти Європейського союзу у сфері захисту персональних даних спрямовуються на захист фундаментальних прав фізичних осіб, та зокрема їх прав на захист персональних даних, що відповідає Хартії основних прав Європейського Союзу.
    Відповідно до міжнародних стандартів термін «персональні дані» повинен охоплювати всю інформацію про особу, яка ідентифікована або може бути ідентифікована будь яким чином. Для визначення факту ідентифікації особи необхідно враховувати всі засоби, що використовується володільцем або розпорядником баз персональних даних для ідентифікації вказаної особи.
    Такий широкий підхід до визначення персональних даних надає змогу досягти достатньої гнучкості, що дозволяє використовувати вказаний термін у різноманітних ситуаціях та інформаційних і телекомунікаційних ресурсах, які не існували на момент прийняття Конвенції, або можуть виникнути у майбутньому.
    Вопрос: Які підстави виникнення права на обробку персональних даних?

    Ответ

    - згода суб'єкта персональних даних на обробку його персональних даних
    - надане володільцю бази персональних даних у порядку, визначеному законодавством України, право на обробку персональних даних відповідно до Закону України «Про захист персональних даних», і виключно в інтересах національної безпеки, економічного добробуту та прав людини
    - необхідність захисту життєво важливих інтересів суб'єкта персональних даних до часу, коли отримання згоди на обробку персональних даних від суб’єкта персональних даних стане можливим.
    Вопрос: Як бути з фізичними особами, які не надали чітко виражену згоду на обробку їх персональних даних, до 1 січня 2011 року (до вступу в силу Закону України «Про захист персональних даних»)?

    Ответ

    Згода суб’єкта персональних даних на обробку його персональних даних повторно не надається, якщо володілець продовжує обробляти персональні дані суб’єкта, відповідно до правовідносин на основі вільного волевиявлення фізичної особи, які виникли до набрання чинності Законом.
    Вопрос: Де шукати цілі обробки персональних даних і що вони собою являють?

    Ответ

    Цілі обробки персональних даних повинні відповідати цілям діяльності володільця бази персональних даних, що зафіксовані в їх установчих документах та/або передбачені законодавством України, що регулює їх діяльність.
    Типовими цілями обробки персональних даних є забезпечення реалізації:
    - трудових відносин;
    - адміністративно-правових (в тому числі, відносин у сфері державного управління), податкових відносин та відносин у сфері бухгалтерського обліку;
    - відносин у сфері управління людськими ресурсами, зокрема, кадровим потенціалом;
    - відносин у сфері економічних, фінансових послуг та страхування;
    - відносин у сфері реклами та збору персональних даних у комерційних цілях;
    - відносин у сфері телекомунікаційних послуг;
    - відносин у сфері громадської, політичної та релігійної діяльності, культури, дозвілля, спортивної та соціальної діяльності;
    - відносин у сфері освіти;
    - відносин у сфері охорони здоров’я;
    - відносин у сфері безпеки, включаючи питання приватних розслідувань, побудови системи приватної безпеки та приватної охорони;
    - відносин у сфері транспорту;
    - відносин у сфері науки, історичних досліджень та статистики;
    - інших відносин, що вимагають обробки персональних даних.
    Вопрос: Чи потрібно підприємствами, установами і організаціями отримувати документовану згоду від фізичних осіб (найманих працівників) відповідно до ч.5 статті 6 Закону України «Про захист персональних даних» для цілей обробки документації при здійсненні діяльності?

    Ответ

    Відповідно до пункту 1 статті 11 Закону України «Про захист персональнихданих» підставами виникнення права на використання персональних даних є:
    згода суб'єкта персональних даних на обробку його персональних даних. Суб'єкт персональних даних має право при наданні згоди внести застереження стосовно обмеження права на обробку своїх персональних даних, або дозвіл на обробку персональних даних, наданий володільцю бази персональних даних відповідно до закону виключно для здійснення його повноважень.
    Вопрос: Які умови повинен створити володілець для належного захисту персональних даних? Що повинен включати процес обробки персональних даних?

    Ответ

    Володілець бази даних повинен створити умови для захисту персональних даних та забезпечити захист цих даних.
    Умови для захисту персональних даних залежать від конкретних реальних загроз, природи персональних даних, які обробляються, технології обробки інформації та типу інформаційної системи, у рамках якої обробляються персональні дані.
    У кожному випадку володілець може провести детальний аналіз загроз та інших факторів, які впливають на рівень ризику. На основі аналізу ризиків володілець може вирішити, який рівень захищеності бази персональних даних є необхідним для створення умов щодо захисту персональних даних.
    Обробка персональних даних є планомірним процесом на підприємстві, установі, організації та має включати в себе наступні елементи:
    1) первинна оцінка стану обробки персональних даних;
    2) планування та впровадження системи управління персональними даними;
    3) забезпечення поточного функціонування системи управління персональними даними;
    4) періодична та поточна оцінка ефективності системи управління персональними даними;
    5) удосконалення системи управління персональними даними.
    Вопрос: Чи вважатиметься документація, що використовується в діяльності підприємств, установ та організацій та містить певним чином структуровані персональні дані найманих працівників «базою персональних даних» в розумінні Закону України «Про захист персональних даних»?

    Ответ

    Згідно з Законом України «Про захист персональних даних» персональними даними є відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути конкретно ідентифікована.
    Документація підприємств, установ та організацій в електронній формі та/або у формі картотек що містить певним чином структуровані персональні дані найманих працівників підпадає під визначення «база персональних даних» відповідно до сатті 2 Закону України «Про захист персональних даних».
    Вопрос: Для чого потрібна реєстрація баз персональних даних?

    Ответ

    Реєстрація баз персональних даних є:
    · корисною для суб’єктів персональних даних, оскільки є важливою ознакою прозорості стосовно обробки персональних даних, аналіз записів у Державному реєстрі може слугувати відправною точкою для подання суб’єктом персональних даних скарги до компетентних органів;
    · корисною для володільців баз персональних даних, оскільки сприяє їх обізнаності щодо вимог законодавства та щодо необхідності забезпечувати обробку персональних даних з дотриманням вимог законодавства;
    · корисною для уповноваженого державного органу з питань захисту персональних даних, оскільки дозволяє йому бути обізнаним із ситуацією стосовно обробки персональних даних, та водночас дає змогу здійснювати аналіз записів з метою удосконалення положень типового порядку обробки персональних даних та методів контролю за додержанням вимог законодавства про захист персональних даних.
    Вопрос: Чи має право фізична особа безоплатно одержувати інформацію з персональними даними про себе?

    Ответ

    Статтею 19 Закону України «Про захист персональних даних» визначено, що доступ суб’єкта персональних даних про себе здійснюється безоплатно.
    Доступ інших суб'єктів відносин, пов'язаних з персональними даними, до персональних даних певної фізичної особи чи групи фізичних осіб може бути платним у разі додержання умов, визначених Законом.
    Органи державної влади та органи місцевого самоврядування мають право на безперешкодний і безоплатний доступ до персональних даних відповідно до їх повноважень.
    Оплаті підлягає робота, пов'язана з обробкою персональних даних, а також робота з консультування та організації доступу до відповідних даних.
    Розмір плати за послуги з надання доступу до персональних даних органами державної влади визначається Кабінетом Міністрів України.
    Вопрос: Які вимоги до порядку зберігання та порядку відправки паперових носіїв персональних даних у формі картотек на вимогу державних органів виконавчої влади?

    Ответ

    Процедура зберігання персональних даних є частиною процесу обробки персональних даних у базах персональних даних, виходячи з визначення поняття «обробка персональних даних» (стаття 2 Закону).
    Відповідно до частини 2 статті 13 Закону зберігання персональних даних передбачає дії щодо забезпечення їх цілісності та відповідного режиму доступу до них.
    На сьогодні відсутній порядок відправки паперових носіїв з персональними даними на вимогу державних органів виконавчої влади, інших органів.
    Разом з цим, згідно частини четвертої статті 19 Закону органи державної влади та органи місцевого самоврядування мають право на безперешкодний і безоплатний доступ до персональних даних відповідно до їх повноважень.
    Поширення персональних даних також передбачає дії щодо передачі відомостей про фізичну особу з баз персональних даних за згодою суб’єкта персональних даних.
    Поширення персональних даних без згоди суб'єкта персональних даних або уповноваженої ним особи дозволяється у випадках, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини (стаття 14 Закону).
    Водночас стаття 16 Закону передбачає, що порядок доступу до персональних даних третіх осіб визначається умовами згоди суб'єкта персональних даних, наданої володільцю бази персональних даних на обробку цих даних, або відповідно до вимог закону.
    Доступ до персональних даних третій особі не надається, якщо зазначена особа відмовляється взяти на себе зобов'язання щодо забезпечення виконання вимог Закону або неспроможна їх забезпечити.
    Вопрос: Що є предметом контролю за додержанням законодавства про захист персональних даних суб’єктом відносин (володільцем, розпорядником БД) відповідно до Закону?

    Ответ

    В державах Європейського Союзу органи нагляду, відповідальні за забезпечення дотримання заходів, які передбачено внутрішньодержавним правом цих країн, мають, зокрема повноваження стосовно розслідування та втручання, а також право брати участь у судовому розгляді або повідомляти компетентним судовим органам про порушення положень внутрішньодержавного права.
    ДСЗПД здійснює в межах своїх повноважень контроль за додержанням вимог законодавства про захист персональних даних, видає обов’язкові до виконання законні вимоги (приписи) про захист персональних даних.
    Предметом контролю є додержання вимог законодавства про захист персональних даних суб’єктами відносин пов’язаних із персональними даними, зокрема щодо:
    Сумлінності та законності обробки даних, тобто:
    а) наявності хоча б однієї з визначених нижче умов обробки персональних даних, що відповідають загальним вимогам:
    згоди суб'єктів персональних даних на обробку його персональних даних (абзац 1 частини першої статті 11);
    дозволу на обробку персональних даних, наданий володільцю бази персональних даних відповідно до закону виключно для здійснення його повноважень (абзац 2 частини першої статті 11);
    необхідність обробки персональних даних для захисту життєво важливих інтересів суб'єктів персональних даних без їх згоди;а також отримання такої згоди, коли це стало можливим (частина 7статті 6);
    необхідності обробки даних у випадках, визначених законом, і в інтересах національної безпеки, економічного добробуту та прав людини (частина 6статті 6), або
    б) наявності хоча б однієї з визначених нижче умов обробки даних, що відповідають особливим вимогам:
    надання суб'єктом персональних даних однозначної згоди на обробку даних, що відповідають особливим вимогам (абзац 1 частини другої статті 7);
    необхідності обробки персональних даних, що відповідають особливим вимогам, для здійснення прав та виконання обов'язків у сфері трудових правовідносин відповідно до закону (абзац 2 частини другої статті 7);
    необхідності обробки персональних даних, що відповідають особливим вимогам, для захисту інтересів суб'єкта персональних даних або іншої особи у разі недієздатності або обмеження цивільної дієздатності суб'єкта персональних даних (абзац 3 частини другої статті 7);
    здійснення обробки персональних даних, що відповідають особливим вимогам, релігійною організацією, громадською організацією світоглядної спрямованості, політичною партією або професійною спілкою, що створені відповідно до закону, за умови, що обробка стосується виключно персональних даних членів цих об'єднань або осіб, які підтримують постійні контакти з ними у зв'язку з характером їх діяльності, та персональні дані не передаються третій особі без згоди суб'єктів персональних даних (абзац 4 частини другої статті 7);
    необхідності обробки персональних даних, що відповідають особливим вимогам, для обґрунтування, задоволення або захисту правової вимоги (абзац 5 частини другої статті 7);
    обробки персональних даних, що відповідають особливим вимогам, необхідної в цілях охорони здоров'я, для забезпечення піклування чи лікування за умови, що такі дані обробляються медичним працівником або іншою особою закладу охорони здоров'я, на якого покладено обов'язки щодо забезпечення захисту персональних даних (абзац 6 частини другої статті 7);
    обробки персональних даних, що відповідають особливим вимогам, але стосується обвинувачень у вчиненні злочинів, вироків суду, здійснення державним органом повноважень, визначених законом, щодо виконання завдань оперативно-розшукової чи контррозвідувальної діяльності, боротьби з терроризмом (абзац 7 частини другої статті 7);
    обробки персональних даних, що відповідають особливим вимогам,але раніше були оприлюднені суб'єктом персональних даних (абзац 8 частини другої статті 7).
    Здійснення обробки персональних даних здійснюється для конкретних і законних цілей, визначених за згодою суб'єкта персональних даних, або у випадках, передбачених законами України, у порядку, встановленому законодавством (частина 5 статті6);
    Відповідності та не надмірності складу та змісту персональних даних стосовно визначеної мети їх обробки (частина 3 статті6);
    Точності та достовірності оброблюваних персональних даних, а також оновлення їх у разі необхідності(частина 2 статті6);
    Дотримання прав суб’єкта персональних даних визначених Законом України «Про захист персональних даних», зокрема щодо:
    надання доступу до своїх персональних даних, що містяться у відповідній базі персональних даних (абзац 3 частини другої статті 8);
    отримання інформації про умови надання доступу до персональних даних, зокрема інформацію про третіх осіб, яким передаються його персональні дані, що містяться у відповідній базі персональних даних (абзац 2 частини другої статті 8);
    пред'явлення вмотивованої вимоги щодо зміни або знищення своїх персональних даних будь-яким володільцем та розпорядником цієї бази, якщо ці дані обробляються незаконно чи є недостовірними (абзац 6 частини другої статті 8);
    незаконної обробки та випадкової втрати, знищення, пошкодження у зв'язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію фізичної особи (абзац 7 частини другої статті 8).
    Дотримання строків обробки персональних даних (у формі, що допускає ідентифікацію фізичної особи, якої вони стосуються) не більший ніж це необхідно відповідно до їх законного призначення (частина 8 статті6).
    забезпечення захист персональних даних від незаконної обробки, а також від незаконного доступу до них суб’єктами відносин, пов’язаних із персональними даними (частина друга статті 24).
    Здійснення передачі персональних даних іноземним суб'єктам відносин, пов'язаних із персональними даними, здійснюється лише за умов забезпечення належного захисту персональних даних, за наявності відповідного дозволу та у випадках, встановлених законом або міжнародним договором України, у порядку, встановленому законодавством. Персональні дані не можуть поширюватися з іншою метою, ніж та, з якою вони були зібрані (частина третя статті 29).
    Вопрос: Яка відповідальність передбачена за недотримання вимог законодавства про захист персональних даних?

    Ответ

    Законом України «Про захист персональних даних» передбачено, що за порушення законодавства про захист персональних даних тягне за собою відповідальність, встановлену законом.
    Відповідно до Закону України «Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних» вiд 02.06.2011 № 3454-VI внесені зміни до таких законодавчих актів України:
    1. Кодекс України про адміністративні правопорушення доповнено статтями 188-39 і 188-40 такого змісту:
    «Стаття 188-39. Порушення законодавства у сфері захисту персональних даних.
    Неповідомлення або несвоєчасне повідомлення суб'єкта персональних даних про його права у зв'язку із включенням його персональних даних до бази персональних даних, мету збору цих даних та осіб, яким ці дані передаються, - тягнуть за собою накладення штрафу на громадян від двохсот до трьохсот неоподатковуваних мінімумів доходів громадян і на посадових осіб, громадян - суб'єктів підприємницької діяльності - від трьохсот до чотирьохсот неоподатковуваних мінімумів доходів громадян.
    Неповідомлення або несвоєчасне повідомлення спеціально уповноваженого центрального органу виконавчої влади з питань захисту персональних даних про зміну відомостей, що подаються для державної реєстрації бази персональних даних, - тягнуть за собою накладення штрафу на громадян від ста до двохсот неоподатковуваних мінімумів доходів громадян і на посадових осіб, громадян - суб'єктів підприємницької діяльності - від двохсот до чотирьохсот неоподатковуваних мінімумів доходів громадян.
    Повторне протягом року вчинення порушення з числа передбачених частинами першою або другою цієї статті, за яке особу вже було піддано адміністративному стягненню, - тягне за собою накладення штрафу на громадян від трьохсот до п'ятисот неоподатковуваних мінімумів доходів громадян і на посадових осіб, громадян - суб'єктів підприємницької діяльності - від чотирьохсот до семисот неоподатковуваних мінімумів доходів громадян.
    Ухилення від державної реєстрації бази персональних даних - тягне за собою накладення штрафу на громадян від трьохсот до п'ятисот неоподатковуваних мінімумів доходів громадян і на посадових осіб, громадян - суб'єктів підприємницької діяльності - від п'ятисот до тисячі неоподатковуваних мінімумів доходів громадян.
    Недодержання встановленого законодавством про захист персональних даних порядку захисту персональних даних у базі персональних даних, що призвело до незаконного доступу до них, - тягне за собою накладення штрафу від трьохсот до тисячі неоподатковуваних мінімумів доходів громадян».
    « Стаття 188-40. Невиконання законних вимог посадових осіб спеціально уповноваженого центрального органу виконавчої влади з питань захисту персональних даних.
    Невиконання законних вимог посадових осіб спеціально уповноваженого центрального органу виконавчої влади з питань захисту персональних даних щодо усунення порушень законодавства про захист персональних даних - тягне за собою накладення штрафу на посадових осіб, громадян - суб'єктів підприємницької діяльності від ста до двохсот неоподатковуваних мінімумів доходів громадян».
    2. Статтю 182 Кримінального кодексу України викладено в такій редакції:
    «Стаття 182. Порушення недоторканності приватного життя.
    1. Незаконне збирання, зберігання, використання, знищення, поширення конфіденційної інформації про особу або незаконна зміна такої інформації, крім випадків, передбачених іншими статтями цього Кодексу, - караються штрафом від п'ятисот до однієї тисячі неоподатковуваних мінімумів доходів громадян або виправними роботами на строк до двох років, або арештом на строк до шести місяців, або обмеженням волі на строк до трьох років.
    2. Ті самі дії, вчинені повторно, або якщо вони заподіяли істотну шкоду охоронюваним законом правам, свободам та інтересам особи, - караються арештом на строк від трьох до шести місяців або обмеженням волі на строк від трьох до п'яти років, або позбавленням волі на той самий строк.
    Примітка. Істотною шкодою у цій статті, якщо вона полягає у заподіянні матеріальних збитків, вважається така шкода, яка в сто і більше разів перевищує неоподатковуваний мінімум доходів громадян».
    Цей Закон набирає чинності з 1 січня 2012 року.
    Вопрос: Які умови обробки персональних даних в базах персональних даних при здійсненні повноважень роботодавця в сфері трудових відносин?

    Ответ

    Державна служба України з питань захисту персональних даних рекомендує обробку персональних даних в базах персональних даних при реалізації повноважень роботодавця в сфері трудових відносин здійснювати за умов:
    - визначення роботодавцем як Володільцем бази персональних даних мети обробки персональних даних відповідно до законодавства у сфері трудових відносин;
    - встановлення складу персональних даних та процедур їх обробки;
    - отримання згоди суб’єктів персональних даних на обробку їх персональних даних відповідно до визначеної мети. Згода суб’єкта персональних даних на обробку його персональних даних повторно не надається, якщо володілець продовжує обробляти персональні дані суб’єкта, відповідно до правовідносин на основі вільного волевиявлення фізичної особи, які виникли до набрання чинності Закону України «Про захист персональний даних»;
    - забезпечення захисту персональних даних у базі персональних даних від незаконної обробки і незаконного доступу до них;
    - реєстрації бази персональних даних в установленому порядку.
    Суб’єкт персональних даних протягом десяти днів з дня включення його персональних даних до бази персональних даних повідомляється про свої права, мету збору даних та осіб яким передаються його письмові дані виключно в письмовій формі.
    Про передачу персональних даних третій особі володілець бази персональних даних протягом десяти днів повідомляє суб’єкта персональних даних. Повідомлення не здійснюється у разі:
    - передачі персональних даних за запитами при виконанні завдань оперативно-розшукової чи контррозвідувальної діяльності, боротьби з тероризмом;
    - виконання органами державної влади та органами місцевого повноваження своїх повноважень, передбачених законом;
    - здійснення обробки персональних даних в історичних, статистичних чи наукових цілях.
    Державна служба України з питань захисту персональних даних рекомендує розглядати кадрову документацію та статистичну, податкову та іншу звітність в електронній формі та/або у формі картотек, яка складається роботодавцем та містить персональні дані працівників базою персональних даних чи складовою частиною бази персональних даних.
    Вопрос: Чи поширюється на банківські та фінансово-кредитні установи законодавство про захист персональних даних?

    Ответ

    Закон України «Про захист персональних даних» визначає, що обробка персональних даних - будь-яка дія або сукупність дій, здійснених повністю або частково в інформаційній (автоматизованій) системі та/або в картотеках персональних даних, які пов'язані зі збиранням, реєстрацією, накопиченням, зберіганням, адаптуванням, зміною, поновленням, використанням і поширенням (розповсюдженням, реалізацією, передачею), знеособленням, знищенням відомостей про фізичну особу.
    Організаційні і правові засади діяльності банків визначає Закон України «Про банки і банківську діяльність» (далі – Закон), метою якого є забезпечення захисту законних інтересів вкладників і клієнтів банків (стаття 1 Закону).
    Відносини банку з клієнтами урегульовані статтею 55 Закону, згідно якої відносини банку з клієнтом регулюються законодавством України, нормативно-правовими актами Національного банку України та угодами (договорами) між клієнтом та банком.
    Відповідно до статті 60 Закону інформація щодо діяльності та фінансового стану клієнта, яка стала відомою банку у процесі обслуговування клієнта та взаємовідносин з ним чи третім особам при наданні послуг банку, є банківською таємницею.
    У цій статті наведений перелік банківської таємниці, зокрема це відомості про банківські рахунки клієнтів, у тому числі кореспондентські рахунки банків у Національному банку України; операції, які були проведені на користь чи за дорученням клієнта, здійснені ним угоди; фінансово-економічний стан клієнтів та ін.
    Порядок розкриття банківської таємниці закріплений у статті 62 Закону, згідно вимог якої інформація щодо юридичних та фізичних осіб, яка містить банківську таємницю, розкривається банками на письмовий запит або з письмового дозволу власника такої інформації. Надання такої інформації на платній чи безоплатній основі не передбачено Законом.
    Вимоги до захисту, зберігання, використання та розкриття інформації, яка містить банківську таємницю визначають Правила зберігання, захисту, використання та розкриття банківської таємниці, затверджені Постановою Правління Національного банку України від 14.07.2006 № 267, зареєстровані в Міністерстві юстиції України 03.08.2006 за № 935/12809. Порядок та межі розкриття банками інформації, що містить банківську таємницю, викладено у главі 3 цих Правил. Положень щодо надання оплатної інформації, що містить банківську таємницю, вищезазначені Правила також не містять.
    Порядок обробки персональних даних, які належать до банківської таємниці, затверджується Національним банком України (стаття 6 Закону України «Про захист персональних даних»).
    Вопрос: Який порядок реєстрації баз персональних даних?

    Ответ

    Порядок реєстрації баз персональних даних регулюється Законом України «Про захист персональних даних» та Положенням про Державний реєстр баз персональних даних та порядок його ведення, затвердженим Постановою Кабінету Міністрів України від 25 травня 2011 р. N 616 (далі - Положення).
    База персональних даних підлягає державній реєстрації шляхом внесення відповідного запису Державною службою з питань захисту персональних даних до Державного реєстру баз персональних даних.
    ДСЗПД здійснює реєстрацію баз персональних даних, а також вносить зміни до відомостей, що містяться в Реєстрі, про зареєстровану базу персональних даних на підставі заяви, поданої володільцем такої бази або уповноваженою ним особою (далі - заявник). Реєстрація баз персональних даних здійснюється за заявочним принципом шляхом повідомлення.
    Заява про реєстрацію бази персональних даних подається володільцем бази персональних даних до Державної служби України з питань захисту персональних даних щодо кожної бази даних, яка перебуває у володінні заявника, за формою та у порядку, що затверджуються Мін'юстом.
    Така заява повинна містити:
    звернення про внесення бази персональних даних до Реєстру;
    інформацію про володільця бази персональних даних:
    - найменування, резидент/нерезидент, код платника податків згідно з ЄДРПОУ або податковий номер (для резидента), місцезнаходження - для юридичних осіб;
    - прізвище, ім'я та по батькові (за наявності), громадянство, номер, серія паспорта та орган, що його видав, а також для громадян України реєстраційний номер облікової картки платника податків (не подається фізичними особами, які через свої релігійні переконання відмовилися від присвоєння реєстраційного номера облікової картки платника податків та офіційно повідомили про це відповідним органам державної влади, що підтверджується відміткою в паспорті), місце проживання - для фізичних осіб;
    інформацію про найменування і місцезнаходження бази персональних даних:
    - адреса фактичного розміщення - для баз даних у формі картотек;
    - фактичні адреси зберігання носіїв інформації - для баз даних в електронній формі;
    інформацію про мету обробки персональних даних у базі персональних даних з посиланням на нормативно-правові акти, положення, установчі чи інші документи, які регулюють діяльність володільця бази персональних даних, у тому числі про їх категорії та правові підстави такої обробки;
    інформацію про інших розпорядників баз персональних даних:
    - найменування, резидент/нерезидент, код платника податків згідно з ЄДРПОУ або податковий номер (для резидента), місцезнаходження - для юридичних осіб;
    - прізвище, ім'я та по батькові (за наявності), громадянство, номер, серія паспорта та орган, що його видав, а також для громадян України реєстраційний номер облікової картки платника податків (не подається фізичними особами, які через свої релігійні переконання відмовилися від присвоєння реєстраційного номера облікової картки платника податків та офіційно повідомили про це відповідним органам державної влади, що підтверджується відміткою в паспорті), місце проживання - для фізичних осіб;
    документ, що підтверджує зобов'язання стосовно виконання вимог законодавства щодо захисту персональних даних.
    ДСЗПД повідомляє заявникові не пізніше наступного робочого дня з дня надходження заяви про її отримання. У повідомленні зазначаються дата та реєстраційний номер запису про заяву у Реєстрі, а також дата звернення за отриманням свідоцтва чи повідомлення про відмову в реєстрації.
    Державна служба з питань захисту персональних даних відмовляє в реєстрації бази персональних даних, якщо заява про реєстрацію не відповідає вимогам частини третьої статті 9 Закону України «Про захист персональних даних» або у разі, коли подані відповідно до пункту 7 Положення відомості, є неповними чи недостовірними.
    ДСЗПД у зв'язку з отриманням заяви вносить до Реєстру такі відомості:
    · інформація про заявника;
    · найменування бази персональних даних;
    · дата реєстрації заявником та вихідний номер (за наявності) заяви.
    Після внесення до Реєстру відомостей про заяву їй автоматично (з використанням програмного забезпечення Реєстру) присвоюється реєстраційний номер. При цьому фіксуються дата і час реєстрації заяви.
    Протягом 10 робочих днів з дня надходження відповідної заяви ДСЗПД приймає рішення про реєстрацію бази персональних даних шляхом видання її володільцю свідоцтва про державну реєстрацію бази персональних даних чи повідомлення про відмову в реєстрації, про що вносить запис до Реєстру.
    Вопрос: Чи є учасники (тимчасові учасники) Фонду гарантування вкладів фізичних осіб (банки, філії іноземних банків, включені до Реєстру учасників (тимчасових учасників) Фонду) володільцями баз персональних даних?

    Ответ

    Інструкція про порядок формування бази даних про вкладників - фізичних осіб у учасниках (тимчасових учасниках) Фонду гарантування вкладів фізичних осіб, затверджена рішенням адміністративної ради Фонду гарантування вкладів фізичних осіб 14.11.2002 № 13 (у редакції рішення адміністративної ради Фонду гарантування вкладів фізичних осіб 09.04.2009
    № 10), зареєстрованим в Міністерстві юстиції України 06.12.2002 за
    № 956/7244, далі - Інструкція, встановлює загальні вимоги щодо накопичення та збереження потрібної інформації про вкладників, які є обов'язковими стандартами.
    Згідно Інструкції, учасники (тимчасові учасники) Фонду (банки, філії іноземного банку включені до Реєстру учасників (тимчасових учасників) Фонду) зобов’язані формувати бази даних про вкладників - фізичних осіб, у яких містяться дані про вкладника, які згідно вимог Закону України «Про захист персональних даних» є персональними даними, а база даних про вкладників є базою персональних даних.
    З огляду на зазначене, учасники Фонду - банки, філії іноземного банку здійснюють обробку персональних даних у базах даних про вкладників - фізичних осіб і відповідно є володільцями таких баз.
    Таким чином, на учасників Фонду - банки, філії іноземного банку у відповідності до вимог Закону України «Про захист персональних даних» покладено обов’язок здійснити комплекс заходів, пов’язаних з обробкою персональних даних вкладників, та зареєструвати відповідні бази персональних даних у Державній службі з питань захисту персональних даних.
    Вопрос: Яким чином повинна здійснюватись обробка персональних даних у базах персональних даних банками, враховуючи відсутність на даний момент затвердженого Типового порядку обробки персональних даних у базах персональних даних та порядку обробки персональних даних, які належать до банківської таємниці?

    Ответ

    Дія Закону України «Про захист персональних даних» (далі – Закон) поширюється і на відносини, пов’язані із захистом персональних даних під час їх обробки у банківській сфері.
    Нормативно-правові акти Національного банку не можуть суперечити законам України та іншим законодавчим актам України (стаття 56 Закону України «Про Національний банк України»).
    Законом України «Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних» від 02.06.2011 № 3454-VI, який набирає чинності з 1 січня 2012 року, встановлена відповідальність за порушення законодавства у сфері захисту персональних даних.
    Банк, як володілець бази персональних даних, затверджує мету обробки персональних даних у базах даних, встановлює склад цих даних та процедури їх обробки, якщо інше не визначено законом (стаття 2 Закону). Банк забезпечує права суб’єктів персональних даних, визначені у статті 8 Закону. Бази персональних даних підлягають державній реєстрації відповідно до законодавства. Забезпечення захисту персональних даних у базах персональних даних покладено на банк як володільця баз персональних даних. Передача персональних даних іноземним суб'єктам відносин, пов'язаних із персональними даними, здійснюється лише за умов забезпечення належного захисту персональних даних, за наявності відповідного дозволу та у випадках, встановлених законом або міжнародним договором України, у порядку, встановленому законодавством (стаття 29 Закону).
    Мета обробки персональних даних повинна бути сформульована відповідно до вимог статей 6 і 7 Закону. Інформація про мету зазначається в заяві про реєстрацію бази персональних даних.
    Державною службою України з питань захисту персональних даних спільно з Національним банком України вживаються заходи щодо розробки Порядку обробки персональних даних, які належать до банківської таємниці. Розробка корпоративних кодексів поведінки з метою забезпечення ефективного захисту прав суб'єктів персональних даних професійними банківськими об’єднаннями може стати важливим чинником забезпечення дотримання законодавства в банківській сфері.
    Вопрос: Яким чином повинна бути сформульована банком мета обробки персональних даних у базі персональних даних при поданні заяви про реєстрацію бази персональних даних та якими нормативно-правовими актами повинні керуватися банки при формулюванні мети обробки персональних даних (в т.ч. що становлять банківську таємницю), які знаходяться у володінні банку, враховуючи відсутність такого формулювання у чинних нормативно-правових актах?

    Ответ

    Дія Закону України «Про захист персональних даних» (далі – Закон) поширюється і на відносини, пов’язані із захистом персональних даних під час їх обробки у банківській сфері.
    Нормативно-правові акти Національного банку не можуть суперечити законам України та іншим законодавчим актам України (стаття 56 Закону України «Про Національний банк України»).
    Законом України «Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних» від 02.06.2011 № 3454-VI, який набирає чинності з 1 січня 2012 року, встановлена відповідальність за порушення законодавства у сфері захисту персональних даних.
    Банк, як володілець бази персональних даних, затверджує мету обробки персональних даних у базах даних, встановлює склад цих даних та процедури їх обробки, якщо інше не визначено законом (стаття 2 Закону). Банк забезпечує права суб’єктів персональних даних, визначені у статті 8 Закону. Бази персональних даних підлягають державній реєстрації відповідно до законодавства. Забезпечення захисту персональних даних у базах персональних даних покладено на банк як володільця баз персональних даних. Передача персональних даних іноземним суб'єктам відносин, пов'язаних із персональними даними, здійснюється лише за умов забезпечення належного захисту персональних даних, за наявності відповідного дозволу та у випадках, встановлених законом або міжнародним договором України, у порядку, встановленому законодавством (стаття 29 Закону).
    Мета обробки персональних даних повинна бути сформульована відповідно до вимог статей 6 і 7 Закону. Інформація про мету зазначається в заяві про реєстрацію бази персональних даних.
    Державною службою України з питань захисту персональних даних спільно з Національним банком України вживаються заходи щодо розробки Порядку обробки персональних даних, які належать до банківської таємниці. Розробка корпоративних кодексів поведінки з метою забезпечення ефективного захисту прав суб'єктів персональних даних професійними банківськими об’єднаннями може стати важливим чинником забезпечення дотримання законодавства в банківській сфері.
    Вопрос: Які існують способи (форми) отримання згоди від суб’єкта персональних даних?

    Ответ

    Відповідно до статті 2 Закону, згодою суб'єкта персональних даних є будь-яке документоване, зокрема письмове, добровільне волевиявлення фізичної особи щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки та ураховуючи те, що суб’єкт персональних даних має право при наданні згоди внести застереження стосовно обмеження права на обробку своїх персональних даних, Державна служба України з питань захисту персональних даних рекомендує вважати формами надання згоди суб’єкта персональних даних:
    документ на паперовому носії з реквізитами, що дає змогу ідентифікувати цей документ та фізичну особу. Добровільне волевиявлення суб’єкта персональних даних доцільно засвідчувати його підписом;
    електронний документ, включаючи обов’язкові реквізити документа, що дають змогу ідентифікувати цей документ та фізичну особу. Добровільне волевиявлення фізичної особи щодо надання дозволу на обробку її персональних даних доцільно засвідчувати електронним підписом суб’єкта персональних даних;
    відмітка на електронній сторінці документу чи у електронному файлі, що обробляється в інформаційній системі на основі документованих програмно-технічних рішень, які, в свою чергу:
    · не дозволяють обробку персональних даних до того часу, поки суб'єкт персональних даних не виконає дії, що підтверджують надання ним відповідної згоди;
    · забезпечують реєстрацію дій суб’єкта персональних даних та цілісність протоколів реєстрації таких дій.
    Згода щодо надання дозволу на обробку персональних даних повинна надаватися відповідно до сформульованої мети їх обробки.
    Вопрос: В яких випадках та в якому порядку необхідно проводити знищення персональних даних / баз персональних даних?

    Ответ

    У відповідності до вимог статті 15 Закону, знищенню підлягають саме персональні дані в базах персональних даних в порядку, встановленому відповідно до вимог закону.
    Зокрема, персональні дані в базах персональних даних підлягають знищенню у разі:
    1) закінчення строку зберігання даних, визначеного згодою суб'єкта персональних даних на обробку цих даних або законом;
    2) припинення правовідносин між суб'єктом персональних даних та володільцем чи розпорядником бази, якщо інше не передбачено законом;
    3) набрання законної сили рішенням суду щодо вилучення даних про фізичну особу з бази персональних даних.
    Крім того, відповідно до наказу Міністерства юстиції України № 1824/5 від 08.07.2011 «Про затвердження форм заяв про реєстрацію бази персональних даних та про внесення змін до відомостей Державного реєстру баз персональних даних і порядку їх подання» у заяві про внесення змін до відомостей Державного реєстру баз персональних даних ставиться відмітка у графі «Функціонування бази персональних даних припинено».
    Вопрос: Яким чином необхідно надавати інформацію про фізичних осіб з баз персональних даних на вимогу інших осіб, які мають право отримувати цю інформацію?

    Ответ

    Статтею 14 Закону визначено, що поширення персональних даних передбачає дії щодо передачі відомостей про фізичну особу з баз персональних даних за згодою суб'єкта персональних даних. Поширення персональних даних без згоди суб'єкта персональних даних або уповноваженої ним особи дозволяється у випадках, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.
    Водночас стаття 16 Закону передбачає, що порядок доступу до персональних даних третіх осіб визначається умовами згоди суб'єкта персональних даних, наданої володільцю бази персональних даних на обробку цих даних, або відповідно до вимог закону.
    Доступ до персональних даних третій особі не надається, якщо зазначена особа відмовляється взяти на себе зобов'язання щодо забезпечення виконання вимог Закону або неспроможна їх забезпечити.
    Крім того, володілець бази персональних даних протягом десяти робочих днів повідомляє суб'єкта персональних даних про передачу його даних третій особі, якщо цього вимагають умови згоди суб’єкта персональних даних або інше не передбачено законом (стаття 21 Закону). Тобто, якщо умовами згоди суб’єкта персональних даних передбачена вимога щодо повідомлення його про передачу даних третім особам, володілець бази персональних даних зобов’язаний інформувати про таку передачу.
    Однак повідомлення про передачу персональних даних не здійснюється, зокрема, у разі передачі персональних даних за запитами при виконанні завдань оперативно-розшукової чи контррозвідувальної діяльності, боротьби з тероризмом або при виконанні органами державної влади та органами місцевого самоврядування своїх повноваження, передбачених законом (стаття 21 Закону).
    Разом з цим, сторона, якій передаються персональні дані, повинна попередньо вжити заходів щодо забезпечення вимог цього Закону.
    Крім того, доступ третіх осіб до персональних даних фізичних осіб повинен здійснюватися з урахуванням вимог, встановлених статтею 16 Закону, в тому числі із зазначенням у запиті, що подається до володільця баз персональних даних, мети такого запиту.
    Передача персональних даних іноземним суб’єктам здійснюється з урахуванням вимог статті 29 Закону, якою визначено, що передача персональних даних іноземним суб'єктам відносин, пов'язаних із персональними даними, здійснюється лише за умов забезпечення належного захисту персональних даних, за наявності відповідного дозволу та у випадках, встановлених законом або міжнародним договором України, у порядку, встановленому законодавством. Водночас, персональні дані не можуть поширюватися з іншою метою, ніж та, з якою вони були зібрані.
    Вопрос: Які заходи впливу можна застосовувати до володільця бази персональних даних, який безпідставно заперечує наявність у нього персональних даних, що належать суб’єкту?

    Ответ

    Відповідно до статей 22 та 23 Закону України «Про захист персональних даних» Державна служба України з питань захисту персональних даних є центральним органом виконавчої влади, який здійснює контроль за додержанням законодавства про захист персональних даних.
    Також, ДСЗПД у межах повноважень, визначених Положенням про Державну службу України з питань захисту персональних даних, затвердженим Указом Президента України від 06.04.2011 №390, проводить виїзні та безвиїзні перевірки володільців та (або) розпорядників баз персональних даних; складає адміністративні протоколи про виявлені порушення законодавства у сфері захисту персональних даних; передає правоохоронним органам матеріали про виявлені порушення у сфері захисту персональних даних тощо.
    Крім того, з 1 січня 2012 року набирає чинності Закон України «Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних» від 02.06.2011 № 3454-VI, яким встановлюється адміністративна та кримінальна відповідальність за порушення законодавства про захист персональних даних.
    Вопрос: Які особливості передачі персональних даних за кордон?

    Ответ

    Відповідно до частини третьої статті 29 Закону України «Про захист персональних даних» (далі –Закон) передача персональних даних суб’єктам відносин, пов’язаних із персональними даними здійснюється лише за умов забезпечення належного захисту персональних даних, за наявності відповідного дозволу та у випадках, встановлених законом або міжнародним договором України, у порядку, встановленому законодавством. Персональні дані не можуть поширюватися з іншою метою, ніж та, з якою вони були зібрані.
    ДСЗПД рекомендує для передачі персональних даних, перш за все, отримати відповідно до Закону дозволи суб’єктів персональних даних на транскордонну передачу їх персональних даних та врегулювати на договірній основі відносини між дочірніми підприємствами та материнською компанією в частині обробки персональних даних, а також отримати від материнської компанії документи, які підтверджують заходи із захисту персональних даних, що реалізовані материнською компанією, з метою підтвердження умови забезпечення нею належного захисту персональних даних.
    Крім цього, рекомендуємо визначитись, в тому числі, і шляхом укладення відповідних договорів із материнською компанією, зі своїм правовим статусом щодо бази (баз) персональних даних материнської компанії, зокрема, суб’єктами відносин, пов’язаних із персональними даними чи є розпорядником бази (баз) персональних даних материнської компанії, чи третьою особою відносно бази (баз) материнської компанії.
    У свою чергу, материнській компанії необхідно визначитись, в тому числі, і шляхом укладення відповідних договорів із суб’єктами відносин, пов’язаних із персональними даними , зі своїм правовим статусом щодо бази (баз) персональних даних суб’єктів відносин, пов’язаних із персональними даними, зокрема, чи є вона розпорядником бази (баз) персональних даних, чи третьою особою відносно бази (баз) персональних даних суб’єкта відносин, пов’язаних із персональними даними .
    З огляду на вищевикладене, суб’єкт відносин, пов’язаних із персональними даними, має вжити усіх вичерпних заходів щодо дотримання ним у своїй діяльності Закону України «Про захист персональних даних».
    Звертаємо увагу, що частиною п’ятою статті 1 Додаткового протоколу до Конвенції про захист осіб у зв'язку з автоматизованою обробкою персональних даних щодо органів нагляду та транскордонних потоків даних, який ратифікований згідно із Законом України «Про ратифікацію Конвенції про захист осіб у зв'язку з автоматизованою обробкою персональних даних та Додаткового протоколу до Конвенції про захист осіб у зв'язку з автоматизованою обробкою персональних даних стосовно органів нагляду та транскордонних потоків даних» від 06.07.2010, органи нагляду співробітничають між собою настільки, наскільки це необхідно для виконання їхніх обов'язків, зокрема шляхом обміну будь-якою корисною інформацією.
    Державна служба України з питань захисту персональних даних

    _________________

    ░▒▓█▀▄▀▄▀▄█▓▒░
    [Профиль] [ЛС]
    Показать сообщения:    
    Ответить на тему

    Текущее время: Сегодня, в 13:46

    Часовой пояс: GMT + 2



    Вы не можете начинать темы
    Вы не можете отвечать на сообщения
    Вы не можете редактировать свои сообщения
    Вы не можете удалять свои сообщения
    Вы не можете голосовать в опросах
    Вы не можете прикреплять файлы к сообщениям
    Вы не можете скачивать файлы