06 Листопада 2017
Починаючи з 01.01.2011 р. на території України почав діяти закон № 2297-VI «Про захист персональних даних». Певно деякі чули цю новину, і все ж більшість людей не знають, що в липні 2011-го року запущена процедура реєстрації баз персональних даних (ПД). Лише одиниці з тих, кого безпосередньо стосується даний нормативно-правовий акт, поквапилися здійснити певні реальні кроки. Паралельно з цим, починаючи з 01.01.2012 р. в силу вступили прийняті зміни в українському кримінальному та адміністративному кодексах, що встановили норми відповідальності у разі недотримання приписів даного документа. У нашій статті ми представимо розгорнуті відповіді щодо таких проблем:
Будь-яка фізична або юридична особа України, яка володіє певними персональними даними фізичних осіб. При цьому закон дає досить широке трактування терміну «персональні дані». Державна служба захисту персональних даних (ЗПД) у своїх роз'ясненнях спирається на Конвенцію Ради Європи і визначає персональні дані як відомості чи набір відомостей про фізичну особу, використовуючи які можна ідентифікувати конкретну фізичну особу. Отже, в якості персональних даних може виступати майже будь-яка інформація: ПІБ, телефон, адреса проживання, дата народження, GPS локація людини, призначена для користувача IP-адреса, адреса електронної пошти та інше. База персональних даних – це іменована кількість згрупованої персональної інформації в електронному форматі або у вигляді архіву персональних даних.
Стає зрозумілим, що відповідно до норм закону, фіксувати, реєструвати особисті системи зобов'язані саме власники майже всіх типів веб-ресурсів, які мають зареєстрованих користувачів. До цієї ж категорії відносяться й інтернет-магазини разом зі своїми клієнтськими базами. Однак найважливіше те, що персональними даними в тому числі прийнято вважати й дані про співробітників. А тому, виконувати реєстрацію своєї бази робочого персоналу має кожне українське підприємство.
Закінчивши зі вступною частиною, приступимо до практичних кроків.
Для виключення претензій з боку служби ЗПД необхідно гарантувати реалізацію наступних концептуальних підходів:
Згадуючи про конкретні практичні дії, вони можуть трохи різнитися для різних баз ПД. Варто проаналізувати для прикладу два випадки: web-сайт, а також організація, яка володіє базою даних про персонал.
Щоб виконати перший пункт, необхідно підготувати і розмістити для вільного ознайомлення угоду користувача про використання ПД. Варто включити відомості про права користувача, ймовірно потрібно надати посилання або ж надати цитату на 8-му статтю Закону про захист ПД, вказати свої цілі обробки інформації, а ще додати такий пункт як «я надаю дозвіл адміністрації сайту проводити збір та обробку моїх персональних даних. Ознайомлений(а) з правами, які з'являються через обробку моїх ПД, а також з цілями обробки, застосування моїх ПД».
Для гарантії захисту, в момент передачі користувачем своїх даних, власник web-сайту повинен використовувати безпечний протокол передачі інформації для виключення можливості перехоплення даних третіми особами. При такому способі передачі даних інформація шифрується, чим і забезпечується захист. Особливо критичною є безпека передачі платежів. Наприклад, при будь-яких розрахунках через інтернет, при оформленні онлайн кредиту слід переконатися, що сайт, на якому здійснюються такі дії, працює з використанням безпечного протоколу https. Сайт компанії Глобал Кредит в обов'язковому порядку використовує найсучасніший спосіб захисту даних, що передаються, тому наші клієнти, які оформляють онлайн кредити на банківську карту можуть бути впевнені в тому, що їх конфіденційні дані надійно захищені від перехоплення зловмисниками.
Необхідно прийняти правила, які інформують працівників про їхні права, що виникають унаслідок обробки їх ПД, крім того проінформувати про цілі обробки ПД. Обов'язково необхідно оформити дозвіл від кожного працівника на обробку його ПД в письмовій формі.
Що стосується процедури реєстрації баз ПД, вона буде типовою для будь-яких випадків, а також не повинна забирати дуже багато часу.
Більш того, згідно з нормами закону власник бази ПД повинен забезпечувати надійний захист. І все ж, що стосується вибору певних заходів, методів захисту, такі питання цілком лягають на плечі власника баз ПД.
Відповідальність за невиконання закону про захист ПД встановлюється як адміністративна, так і кримінальна. Згідно cтатті 188-39 Кодексу про адміністративні правопорушення штраф може досягати 1000 (17.000 гривень) неоподатковуваних мінімумів доходів громадян (НМДГ). При цьому, нагадуємо, неоподатковувана мінімальна сума доходів українських громадян становить 17 грн.
Крім того, передбачена і кримінальна відповідальність у разі несанкціонованого збору, зберігання, використання, знищення, поширення конфіденційної інформації (відповідно до статті 182 Кримінального Кодексу України).
Оформлення протоколів про порушення в сфері захисту ПД покладено на спеціальний уповноважений орган, а саме Державну службу з питань захисту ПД. Однак, тільки місцеві суди мають право залучати до відповідальності, а також виносити рішення щодо сплати штрафних санкцій.
Дія закону не поширюється на такі ситуації:
З вищевикладеного випливає, якщо у вас є свій блог і ви маєте базу даних передплатників, то реєструвати її не потрібно.
Важливо вказати, що метою закону про захист ПД не є захопити всі особисті дані користувача до єдиної бази, так як при цьому призначені для користувача відомості реєстрацію не проходять. Реєструється виключно факт наявності бази ПД, і це забезпечує наявність відповідальної особи, саме він відповідає за збереження отриманих призначених для користувача даних. Спочатку це надає якусь гарантію для самих користувачів в тому питанні, що інформація про них нікуди не дінеться, не застосовуватиметься для протиправних діянь.