Відповідно до ч. 1 ст. 6 Закону мета обробки персональних даних має бути сформульована в законах, інших нормативно-правових актах, положеннях, установчих чи інших документах, які регулюють діяльність володільця бази персональних даних, та відповідати законодавству про захист персональних даних.
Крім того, відповідно до ч. 2 ст. 8 Закону суб'єкт персональних даних має право отримувати інформацію про умови надання доступу до персональних даних. Володілець зобов’язаний роз’яснити суб’єкту персональних даних, яким чином останній може отримати інформацію про себе, в які строки, який порядок зміни та знищення такої інформації, вирішення конфліктів та спорів та ін.
Положення про обробку і захист персональних даних повинно містити наступні розділи:
Положення затверджується наказом керівника, так само як і будь-який інший локальний акт підприємства. Положення повинно містити детальні інструкції, якими повинні керуватися працівники підприємства при обробці персональних даних. Наявність відповідного положення дозволяє уніфікувати процедуру обробки баз персональних даних.
Положення повинно містити перелік прав суб’єкта персональних даних. Мінімальний обсяг прав, який повинен бути відображений в Положенні, передбачений ст. 8 Закону. Володілець має право конкретизувати окремі права та визначити інші права, які опосередковано випливають зі змісту Закону.
Неповідомлення або несвоєчасне повідомлення суб'єкта персональних даних про його права та мету збору цих даних та осіб, яким ці дані передаються, вважається адміністративним правопорушенням та тягне за собою адміністративну відповідальність у вигляді штрафу в розмірі від двохсот до трьохсот неоподатковуваних мінімумів доходів громадян і на посадових осіб – від трьохсот до чотирьохсот неоподатковуваних мінімумів доходів громадян.
Отже, Положення є одним із головних локальних актів, який спрямований врегулювати відносини володільця із суб’єктами персональних даних та третіми особами.
Відповідно до ч. 1 ст. 11 Закону підставами виникнення права на використання персональних даних є згода суб'єкта персональних даних на обробку його персональних даних. В попередніх статтях ми розкривали порядок отримання такої згоди в осіб, відомості про яких були внесені до бази даних до набрання чинності законом.
На наше переконання, володільцю в будь-якому випадку варто отримати таку згоду. Під обробкою розуміють не лише збирання, а також зберігання, використання та знищення персональних даних. Хоча, до набрання чинності Законом, згода на внесення відомостей до бази даних не вимагалась, проте на певному етапі може виникнути потреба в використанні та знищення таких відомостей. Варто також відмітити, що зберігання є продовжуваною діє, яка могла розпочатися до набрання чинності Законом, а продовжується під час його дії. Як наслідок, в підприємства може бути відсутня згода суб’єкта на здійснення такої форми обробки як зберігання, використання та знищення.
За наявності можливості варто отримати згоду не лише від суб’єктів, чиї дані обробляються після набрання чинності Законом, але і від суб’єктів, чиї відомості були внесені до набрання ним чинності.
Форма отримання згоди повинна бути уніфікована та містити умови, які повністю забезпечать захист інтересів володільця на будь-якому етапі обробки персональних даних. До розробки форми отримання згоди необхідно підійти з такою ж відповідальністю як до розробки Положення.
Вдало складена форма отримання згоди є запорукою уникнення проблем при проведенні перевірки діяльності підприємства контролюючими органами та збільшує ваші шанси на захист своїх інтересів у випадку вирішення спорів в судових органах.
Порядок ведення діловодства на підприємстві визначений Інструкцією з діловодства за зверненнями громадян в органах державної влади і місцевого самоврядування, об'єднаннях громадян, на підприємствах, в установах, організаціях незалежно від форм власності, в засобах масової інформації затвердженою постановою Кабінету Міністрів України від 14 квітня 1997 р. № 348 (надалі Інструкція).
Відповідно до п. 1 Інструкції діловодство за пропозиціями (зауваженнями), заявами (клопотаннями) і скаргами громадян в органах державної влади і місцевого самоврядування, об'єднаннях громадян, на підприємствах, в установах, організаціях незалежно від форм власності, в засобах масової інформації (далі - організаціях) ведеться окремо від інших видів діловодства і покладається на спеціально призначених для цього посадових осіб чи на підрозділ службового апарату.
Особисту відповідальність за стан діловодства за зверненнями громадян несуть керівники організацій.
Усі пропозиції, заяви і скарги, що надійшли, повинні прийматися та централізовано реєструватися у день їх надходження на реєстраційно-контрольних картах, придатних для оброблення персональними комп'ютерами або в журналах. Конверти (вирізки з них) зберігаються разом з пропозицією, заявою, скаргою. Облік особистого прийому громадян ведеться на картках, у журналах або за допомогою електронно-обчислювальної техніки.
Доступ до персональних даних, а також інші вимоги суб’єктів персональних даних та третіх осіб здійснюється за їх заявою відповідно до Закону.
Відповідні заяви за порядком реєстрації нічим не відрізняються від звичайних звернень громадян. Підприємства зобов’язані розробити порядок реєстрації таких звернень. Крім того, реєстрація звернень у відповідному журналі може слугувати доказом виконання володільцем вимог Закону щодо строків надання відповіді.
Відповідно до ч. 3 ст. 11 Закону розпорядник бази персональних даних може обробляти персональні дані лише з метою і в обсязі, визначених у договорі.
Відповідно до ст. 1 Закону розпорядником визнається фізична чи юридична особа, якій володільцем бази персональних даних або законом надано право обробляти ці дані. У випадку наявності розпорядника бази персональних даних володілець зобов’язаний у Положенні врегулювати порядок взаємодії з таким розпорядником. Володільцю необхідно також в формі отримання згоди окремим пунктом визначити дозвіл на передачу прав на обробку конкретному розпоряднику та укласти із таким розпорядником відповідний договір.
Відсутність укладеного між володільцем та розпорядником договору може бути розцінено як незаконна обробка персональних даних та мати наслідком притягнення до кримінальної відповідальністі.