Актуальні питання з захисту персональних даних та практичного застосування Закону України «Про захист персональних даних»

22 липня 2014

Перш за все необхідно чітко усвідомлювати зміст поняття «персональні дані».

До персональних даних, тобто до фактів, подій та обставин приватного життя людини, що дозволяють ідентифікувати його особу, можна віднести такі відомості:

про зміст сімейного життя;
про акти цивільного стану;
про листування та телефонні переговори;
про поштові, телеграфні, електронні та інші повідомлення;
про партійну належність;
про віросповідання;
про соціальне походження людини, її расову, національну та мовну належність;
про лікарську, адвокатську, нотаріальну, страхову, банківську, комерційну та інші види таємниць, що сформувалися в життєдіяльності громадянина, і які стосуються безпосередньо нього.

Законодавство України у сфері захисту персональних даних на сьогодні ще не повною мірою відповідає вимогам положень європейських стандартів, а саме Конвенції Ради Європи «Про захист осіб у зв’язку з автоматизованою обробкою персональних даних» № 108 та Директиви Європейського парламенту та Ради Європейського Союзу «Про захист осіб у зв’язку з обробкою персональних даних і вільним обігом цих даних» від 24.10.1995 р. 95/46/ЄС.

Конвенція № 108 виходить з того, що права і інтереси особи в умовах застосування новітніх інформаційних технологій, комп’ютерних і телекомунікаційних засобів можуть бути порушені в результаті несанкціонованого збору, обробки, зберігання і розповсюдження персональних даних їй на шкоду, завдяки цьому, звівши нанівець її природні, життєві права, що є основою свободи, загальної справедливості та миру. Означені права слід захищати владою закону.

Згідно з Директивою 95/46/ЄС і Ради від 24.10.1995 р. персональні дані означають будь-яку інформацію, що стосується встановленої фізичної особи чи фізичної особи, яку можна встановити. Особа, яку можна встановити прямо чи непрямо, зокрема за допомогою ідентифікаційного коду або одного чи більше факторів, притаманних фізичним, фізіологічним, розумовим, економічним, культурним чи соціальним захистам її особистості.

На сьогодні відносини, пов’язані із захистом інформації про особу (персональні дані), врегульовано в чинному законодавстві України, зокрема Конституцією України (1996), Законом України «Про інформацію» (1992), Законом України «Про захист персональних даних» (2010), Законом України «Про звернення громадян», Законом України «Про захист інформації в автоматизованих системах» (1994), Положенням про технічний захист інформації, затвердженим Указом Президента України від 27.09.1999 р. № 1229/99 та низкою інших нормативно-правових актів.

Згідно зі ст. 32 Основного Закону України, не допускається збирання, зберігання, використання та поширення конфіденційної інформації про особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.

1. Правові засади захисту персональних даних.

В 2005 році Україна ратифікувала Конвенцію 1981 року Ради Європи № 108 «Про захист осіб у зв’язку з автоматизованою обробкою персональних даних». Серед основних зобов’язань держави за даною Конвенцією є також прийняття нормативно-правових актів, які повинні сприяти захисту персональних даних. У зв’язку з цим Верховною Радою України 01.06.2010 року був прийнятий Закон України «Про захист персональних даних».

Цей Закон регулює правові відносини, пов'язані із захистом і обробкою персональних даних, і спрямований на захист основоположних прав і свобод людини і громадянина, зокрема права на невтручання в особисте життя, у зв'язку з обробкою персональних даних.

Сфера дії закону поширюється на діяльність з обробки персональних даних, яка здійснюється повністю або частково із застосуванням автоматизованих засобів, а також на обробку персональних даних, що містяться у картотеці чи призначені до внесення до картотеки, із застосуванням неавтоматизованих засобів.

Метою забезпечення виконання громадянами, органами державної влади та місцевого самоврядування, підприємствами, установами, організаціями незалежно від форм власності вимог Закону України «Про захист персональних даних» Верховною Радою України:

прийнято Закон України «Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних» № 3454-VI від 2 червня 2011 року;
внесено зміни до Кодексу України про адміністративні правопорушення.

2. Забезпечення захисту персональних даних в інформаційній (автоматизованій) системі.

Володілець бази персональних даних повинен створити умови для захисту в інформаційній (автоматизованій) системі персональних даних та забезпечити захист цих персональних даних від незаконної обробки, а також від незаконного доступу до них.

Умови для захисту персональних даних залежать від конкретних реальних загроз, природи персональних даних, які обробляються, технології обробки інформації та типу інформаційної системи, у рамках якої обробляються персональні дані.

Забезпечення умов для захисту в інформаційній (автоматизованій) системі персональних даних не вирішується реалізацією визначеної сукупності заходів, а є постійним процесом, який включає:

розробку політики захисту персональних даних від незаконної обробки, а також від незаконного доступу до них, виходячи з характеристик діяльності організації, цілей, процесів та процедур, суттєвих для управління ризиком небажаних подій щодо обробки персональних даних з урахуванням серйозності наслідків таких небажаних подій. Політика захисту персональних даних від незаконної обробки, а також від незаконного доступу до них повинна бути узгоджена з загальною політикою інформаційної безпеки організації та з контекстом стратегічного управління ризиками організації;
впровадження політики захисту персональних даних від незаконної обробки, а також від незаконного доступу до них та забезпечення функціонування заходів, процесів та процедур захисту персональних даних;
оцінювання і, за можливості, вимірювання продуктивності процесів захисту персональних даних згідно з прийнятою політикою, цілями і практичним досвідом, підготовка пропозицій щодо коригувальних заходів;
вживання коригувальних та запобіжних дій щодо захисту персональних даних на підставі результатів внутрішніх перевірок, періодичний перегляд політики захисту персональних даних, постійне удосконалення заходів.

У разі, коли обробка персональних даних здійснюється в інформаційній (автоматизованій) системі, то створюється комплексна система захисту інформації відповідно до Правил забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах, затверджених Постановою Кабінету Міністрів України від 29 березня 2006 р. N 373.

Комплексна система захисту інформації забезпечує захист персональних даних від незаконної обробки, а також від незаконного доступу до них відповідно до плану захисту інформації в системі, який містить:

завдання захисту персональної інформації, класифікацію персональної інформації, опис особливостей технології обробки інформації;
модель загроз для персональних даних у системі;
вимоги щодо захисту персональних даних та правила доступу до них;
перелік документів, згідно з якими здійснюється захист інформації в інформаційній системі.

Для захисту персональних даних важливо, щоб організаційні заходи та використовувані засоби захисту, що визначають рівень захисту, відповідали реальним конкретним загрозам, даним, які обробляються, та процесам обробки даних, які виконуються. Повинні братися до уваги ймовірні ризики небажаних подій та серйозність наслідків таких небажаних подій. Чим вищі ризики, тим більш суворі заходи захисту повинні бути реалізовані.

Якщо обробка персональних даних здійснюється в інформаційній (автоматизованій) системі, у якій створюється комплексна система захисту інформації, оцінка ризиків небажаних подій для персональних даних, що обробляються в автоматизованій системі, є складовою частиною оцінки ризиків відповідно до рекомендацій згідно з нормативним документом НД ТЗІ 1.1-002-99 "Загальні положення щодо захисту інформації в комп’ютерних системах від несанкціонованого доступу".

До основних факторів, які впливають на рівень захисту, що вимагається, відносяться:

увага, яка приділяється суспільством до оброблюваних даних;
рівень обізнаності персоналу Володільця та/або розпорядника бази персональних даних стосовно інформаційної безпеки, захисту персональних даних, поваги до авторських прав, тощо.
тип інформаційно-телекомунікаційної системи, у рамках якої обробляються персональні дані.

3. Створення умов роботи з персональними даними на підприємстві.

З моменту прийняття Закону України «Про внесення змін до деяких законодавчих актів України посилення відповідальності за порушення законодавства про захист персональних даних» № 3454-VI від 2 червня 2011 року норми Закону України «Про захист персональних даних» перестають бути суто декларативними, а перетворюються на дієвий правовий інструмент в руках держави так як порушення законодавства в сфері захисту персональних даних тягне за собою адміністративну або кримінальну відповідальність.

На виконання вимог Закону України «Про захист персональних даних» та з метою недопущення правопорушень в сфері захисту персональних даних на підприємстві необхідно створити систему управління персональними даними, яка поєднає організаційні та технічні заходи щодо створення умов роботи з персональними даними.

На етапі створення системи управління персональними даними на підприємстві необхідно здійснити такі організаційні заходи:

визначити мету обробки та склад персональних даних у базі персональних даних. Як правило, на підприємстві може бути три бази персональних даних – база працівників, база контрагентів (клієнтів), база засновників,
розробити та затвердити Порядок обробки персональних даних у базах персональних даних підприємства,
призначити окрему особу або структурний підрозділ, відповідальний за відомості, що містять персональні дані, які забезпечать створення та функціонування на підприємстві комплексної системи захисту інформації в інформаційній (автоматизованій) системі від незаконної обробки та незаконного доступу, а також контроль за виконанням вимог законодавства щодо захисту персональних даних,
провести реєстрацію баз персональних даних, які функціонують на підприємстві, у Державному реєстрі баз персональних даних за процедурою, що визначається Державною службою з питань захисту персональних даних,
забезпечити оформлення письмової згоди суб’єктів персональних даних на обробку їх персональних даних у базах персональних даних підприємства у разі створення умов щодо захисту інформації,
забезпечити оформлення письмового зобов’язання працівників підприємства не допускати розголошення персональних даних, які їм довірено або які стали їм відомі у зв’язку виконанням професійних та трудових відносин,
створити комплексну система захисту інформації, яка забезпечує захист персональних даних в інформаційній (автоматизованій) системі,
розробити та затвердити необхідні положення, інструкції та інші розпорядчі документи, відповідно до яких буде забезпечуватись захист персональних даних у базах персональних даних підприємства.

Створення комплексної система захисту інформації, яка забезпечить захист персональних даних в інформаційній (автоматизованій) системі від незаконної обробки, а також від незаконного доступу до них здійснюється відповідно до Правил забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах, затверджених Постановою Кабінету Міністрів України від 29 березня 2006 р. N 373 та інших нормативно-законодавчих документів України в сфері технічного захисту інформації.

4. Відповідальність за порушення законодавства про захист персональних даних.

З метою забезпечення виконання громадянами, органами державної влади та місцевого самоврядування, підприємствами, установами, організаціями незалежно від форм власності вимог Закону України «Про захист персональних даних» Верховною Радою України 2 червня 2011 року прийнято Закон України «Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних» № 3454-VI, яким внесено зміни у Кодексі України про адміністративні правопорушення.

З 1 липня 2012 року за порушення у сфері захисту персональних даних на громадян, посадових осіб, громадян – суб’єктів підприємницької діяльності покладається адміністративна відповідальність.

Адміністративна відповідальність громадян, посадових осіб, громадян – суб’єктів підприємницької діяльності може наставати за наступні види діянь:

неповідомлення або несвоєчасне повідомлення суб’єкта персональних даних про його права у зв’язку із включенням його персональних даних до бази персональних даних, мету збору цих даних та осіб, яким ці дані передаються, тягне за собою накладення штрафу від 3400 до 6800 грн.;
неповідомлення або несвоєчасне повідомлення спеціально уповноваженого центрального органу виконавчої влади з питань захисту персональних даних про зміну відомостей, що подаються для державної реєстрації бази персональних даних, тягне за собою накладення штрафу від 1700 до 6800 грн.;
ухилення від державної реєстрації бази персональних даних тягне за собою накладення штрафу від 5100 до 17000 грн.;
недодержання встановленого законодавством про захист персональних даних порядку захисту персональних даних у базі персональних даних, що призвело до незаконного доступу до них, тягне за собою накладення штрафу від 5100 до 17 000 грн.

Щоб убезпечити Вас від цього ми, маючи багаторічний досвід організації роботи з інформацією з обмеженим доступом, пропонуємо Вам комплексні рішення щодо організації захисту персональних даних на підприємствах, організаціях, установах. Вона дозволить Вам самостійно створити умови для опрацювання персональних даних, систему управління персональними даними на Вашому підприємстві.