06 Ноября 2017
Начиная с 01.01.2011 на территории Украины начал действовать закон №2297-VI «О защите персональных данных». Наверняка некоторые слышали данную новость, и все же большинство людей пребывают в неведении и не знают, что в июле 2011-го года запущена процедура регистрации баз персональных данных (ПД). Только единицы из тех, кого напрямую касается данный нормативно-правовой акт, поторопились осуществить определенные реальные шаги. Параллельно с этим, начиная с 01.01.2012 г. в силу вступили принятые изменения в украинском уголовном и административном кодексах, которые установили нормы ответственности в случае несоблюдения предписаний данного документа. В нашей статье мы представим развернутые ответы относительно таких проблем:
Любое физическое или юридическое лицо Украины, владеющее определенными персональными данными физических лиц. При этом закон дает весьма широкую трактовку термина «персональные данные». Государственная служба защиты персональных данных (ЗПД) в своих разъяснениях опирается на Конвенцию Совета Европы и определяет персональные данные как сведения или набор сведений о физическом лице, используя которые можно идентифицировать конкретное физическое лицо. Следовательно, в качестве персональных данных может выступать почти любая информация: ФИО, телефон, адрес проживания, дата рождения, GPS локация человека, пользовательский IP-адрес, адрес электронной почты и прочее. База персональных данных — это именованное множество сгруппированной персональной информации в электронном формате либо в виде архива персональных данных.
Становится понятно, что в соответствии с нормами закона фиксировать, регистрировать личные системы обязаны именно владельцы почти всех типов веб-ресурсов, которые имеют зарегистрированных пользователей. В эту же категорию подпадают интернет-магазины вместе со своими клиентскими базами. Однако самое важное, что персональными данными, в том числе принято считать данные о сотрудниках. А потому, выполнять регистрацию своей базы рабочего персонала должно каждое украинское предприятие.
Закончив с вводной частью, приступим к практическим шагам.
Для исключения претензий со стороны службы ЗПД, необходимо гарантировать реализацию следующих концептуальных подходов:
Упоминая о конкретных практических действиях, они могут быть немного разными для различных баз ПД. Стоит проанализировать для примера два случая: web-сайт, а также организация, которая обладает базой данных о персонале.
Чтобы выполнить первый пункт, необходимо подготовить и разместить для свободного ознакомления пользовательское соглашение о использовании ПД. Стоит включить сведения о правах пользователя, вероятно, нужно предоставить ссылку либо же предоставить цитату на 8-мую статью Закона о защите ПД, указать свои цели обработки информации, а еще добавить такой пункт как «я предоставляю разрешение администрации сайта проводить сбор и обработку моих персональных данных. Ознакомлен(а) с правами, которые появляются по причине обработки моих ПД, а также с целями обработки, применения моих ПД».
Для гарантии защиты, в момент передачи пользователем своих данных, владелец web-сайта должен использовать безопасный протокол передачи информации для исключения возможности перехвата данных третьими лицами. При таком способе передачи данных информация шифруется, чем и обеспечивается защита. Особенно критична безопасность передачи платежных данных. Например, при каких-либо расчетах через интернет, при оформлении онлайн кредита следует убедиться, что сайт, на котором производятся данные действия, работает с использованием безопасного протокола https. Сайт компании Глобал Кредит в обязательном порядке использует самый современный способ защиты передаваемых данных, поэтому наши клиенты, оформляющие кредиты на банковскую карту могут быть уверенны в том, что их конфиденциальные данные надежно защищены от перехвата злоумышленниками.
Необходимо принять правила, которые информируют работников об их правах, возникающие по причине обработки их ПД, кроме того проинформировать о целях обработки ПД. Обязательно необходимо оформить разрешение от каждого работника на обработку его ПД в письменной форме.
Что касается процедуры регистрации баз ПД, она будет типичной для любых случаев, а также не должна отнимать очень много времени.
Более того, согласно нормам закона владелец базы ПД должен обеспечивать их надежную защиту. И все же, что касается выбора определенных мер, методов защиты, такие вопросы целиком ложатся на плечи владельца баз ПД.
Ответственность за невыполнение закона о защите ПД устанавливается как административная, так и уголовная. Согласно cтатьи 188-39 Кодекса про административные правонарушения штраф может достигать до 1000 (17.000 гривен) необлагаемых минимумов доходов граждан (НМДГ). При этом, напоминаем, необлагаемая налогом минимальная сумма доходов украинских граждан составляет 17 грн.
Кроме того, предусмотрена и уголовная ответственность в случае несанкционированного сбора, хранения, использования, уничтожения, распространения конфиденциальных сведений (в соответствии со cтатьей 182 Уголовного Кодекса Украины).
Оформление протоколов о нарушениях в области защиты ПД возложено на специальный уполномоченный орган, а именно Государственной службе по вопросам защиты ПД. Однако, только местные суды имеют право привлекать к ответственности, а также выносить решения относительно уплаты штрафных санкций.
Действие закона не распространяется на такие ситуации:
Из вышеизложенного следует, если у вас есть свой блог и вы имеете базу данных подписчиков, то регистрировать ее нет необходимости.
Важно указать, что целью закона о защите ПД не является захватить все личные данные пользователя в единую базу, так как при этом пользовательские сведения регистрацию не проходят. Регистрируется исключительно факт наличия базы ПД, и это обеспечивает наличие ответственного лица, именно он отвечает за сохранность полученных пользовательских сведений. Изначально это предоставляет некую гарантию для самих пользователей в том вопросе, что информация о них никуда не денется, не будет применяться для противоправных деяний.