вул. Олександра Довженка,
буд. 2
, оф. 41, м. Київ, 03057
Україна
+380 (44) 456-08-22

Приведення діяльності підприємств у відповідність із вимогами Закону України



Обробка персональних даних полягає не лише в дотриманні вимог ЗУ «Про захист персональних даних» (надалі Закон) стосовно реєстрації баз персональних даних, але й в приведенні господарської діяльності у відповідність із вимогами закону. Системний аналіз закону дає можливість виділити наступні етапи, які повинні бути здійснені будь-якою юридичною особою-володільцем:

 

  1. Розробка Положення про обробку і захист персональних даних у базах персональних даних, володільцем яких є юридична особа (надалі Положення);
  2. Затвердження відповідного Положення наказом керівника юридичної особи;
  3. Розробка форми отримання згоди від суб’єкта персональних даних на обробку таких даних;
  4. Створення журналу обліку звернень щодо доступу до персональних даних;
  5. Створення та укладання договору з розпорядником про обробку персональних даних у базах персональних даних (у випадку наявності особи-розпорядника).

 

 

Положення про обробку і захист персональних даних

 

 

Відповідно до ч. 1 ст. 6 Закону мета обробки персональних даних має бути сформульована в законах, інших нормативно-правових актах, положеннях, установчих чи інших документах, які регулюють діяльність володільця бази персональних даних, та відповідати законодавству про захист персональних даних.

Крім того, відповідно до ч. 2 ст. 8 Закону суб'єкт персональних даних має право отримувати інформацію про умови надання доступу до персональних даних. Володілець зобов’язаний роз’яснити суб’єкту персональних даних, яким чином останній може отримати інформацію про себе, в які строки, який порядок зміни та знищення такої інформації, вирішення конфліктів та спорів та ін.

Положення про обробку і захист персональних даних повинно містити наступні розділи:

  • преамбула;
  • загальні поняття та сфера застосування;
  • перелік баз персональних даних ;
  • місцезнаходження бази персональних даних;
  • мета обробки персональних даних;
  • порядок обробки персональних даних: отримання згоди, повідомлення про права та дії з персональними даними суб’єкта персональних даних;
  • забезпечення доступу суб’єкта персональних даних до будь-який відомостей про такого суб’єкта;
  • умови розкриття інформації про персональні дані третім особам;
  • умови розкриття інформації про персональні дані суб’єктам владних повноважень;
  • порядок ідентифікації осіб та реєстрації запитів суб’єктів персональних даних, третіх осіб та суб’єктів владних повноважень;
  • захист персональних даних: способи захисту, відповідальна особа, працівники, які безпосередньо здійснюють обробку та/або мають доступ до персональних даних у зв’язку із виконанням ними своїх службових обов’язків, строк зберігання персональних даних;
  • права суб’єкта персональних даних;
  • порядок роботи із запитами суб’єкта персональних даних;
  • вирішення спорів та конфліктів стосовно обробки персональних даних;
  • державна реєстрація бази персональних даних.

Положення затверджується наказом керівника, так само як і будь-який інший локальний акт підприємства. Положення повинно містити детальні інструкції, якими повинні керуватися працівники підприємства при обробці персональних даних. Наявність відповідного положення дозволяє уніфікувати процедуру обробки баз персональних даних.
Положення повинно містити перелік прав суб’єкта персональних даних. Мінімальний обсяг прав, який повинен бути відображений в Положенні, передбачений ст. 8 Закону. Володілець має право конкретизувати окремі права та визначити інші права, які опосередковано випливають зі змісту Закону.
Неповідомлення або несвоєчасне повідомлення суб'єкта персональних даних про його права та мету збору цих даних та осіб, яким ці дані передаються, вважається адміністративним правопорушенням та тягне за собою адміністративну відповідальність у вигляді штрафу в розмірі від двохсот до трьохсот неоподатковуваних мінімумів доходів громадян і на посадових осіб – від трьохсот до чотирьохсот неоподатковуваних мінімумів доходів громадян.
 

Отже, Положення є одним із головних локальних актів, який спрямований врегулювати відносини володільця із суб’єктами персональних даних та третіми особами.

Проекти положення...

Юридична компанія "Сотер"™ пропонує готові Положення про обробку персональних даних. Для отримання положення необхідно здійснити оплату в зручній для Вас формі.

 

Особливості баз даних

Вартість
Перегляд/Повна версія
Положення про обробку і захист персональних даних у базах персональних даних:
  • документація з персоналу у формі картотек
  • комп’ютерна база персональних даних працівників та фізичних осіб, які працюють за цивільно-правовими угодами
  • комп’ютерна база персональних даних комерційних агентів та контрагентів

 

500 грн.
Переглянути Положення про обробку персональних даних
 

 

Форми отримання згоди від суб’єкта персональних даних на обробку таких даних

 

Відповідно до ч. 1 ст. 11 Закону підставами виникнення права на використання персональних даних є згода суб'єкта персональних даних на обробку його персональних даних. В попередніх статтях ми розкривали порядок отримання такої згоди в осіб, відомості про яких були внесені до бази даних до набрання чинності законом.
На наше переконання, володільцю в будь-якому випадку варто отримати таку згоду. Під обробкою розуміють не лише збирання, а також зберігання, використання та знищення персональних даних. Хоча, до набрання чинності Законом, згода на внесення відомостей до бази даних не вимагалась, проте на певному етапі може виникнути потреба в використанні та знищення таких відомостей. Варто також відмітити, що зберігання є продовжуваною діє, яка могла розпочатися до набрання чинності Законом, а продовжується під час його дії. Як наслідок, в підприємства може бути відсутня згода суб’єкта на здійснення такої форми обробки як зберігання, використання та знищення.

За наявності можливості варто отримати згоду не лише від суб’єктів, чиї дані обробляються після набрання чинності Законом, але і від суб’єктів, чиї відомості були внесені до набрання ним чинності.

Форма отримання згоди повинна бути уніфікована та містити умови, які повністю забезпечать захист інтересів володільця на будь-якому етапі обробки персональних даних. До розробки форми отримання згоди необхідно підійти з такою ж відповідальністю як до розробки Положення.

Вдало складена форма отримання згоди є запорукою уникнення проблем при проведенні перевірки діяльності підприємства контролюючими органами та збільшує ваші шанси на захист своїх інтересів у випадку вирішення спорів в судових органах.

 

Журнал обліку звернень щодо доступу до персональних даних

 

Порядок ведення діловодства на підприємстві визначений Інструкцією з діловодства за зверненнями громадян в органах державної влади і місцевого самоврядування, об'єднаннях громадян, на підприємствах, в установах, організаціях незалежно від форм власності, в засобах масової інформації затвердженою постановою Кабінету Міністрів України від 14 квітня 1997 р. № 348 (надалі Інструкція).

Відповідно до п. 1 Інструкції діловодство за пропозиціями (зауваженнями), заявами (клопотаннями) і скаргами громадян в органах державної влади і місцевого самоврядування, об'єднаннях громадян, на підприємствах, в установах, організаціях незалежно від форм власності, в засобах масової інформації (далі - організаціях) ведеться окремо від інших видів діловодства і покладається на спеціально призначених для цього посадових осіб чи на підрозділ службового апарату.

Особисту відповідальність за стан діловодства за зверненнями громадян несуть керівники організацій.

Усі пропозиції, заяви і скарги, що надійшли, повинні прийматися та централізовано реєструватися у день їх надходження на реєстраційно-контрольних картах, придатних для оброблення персональними комп'ютерами або в журналах. Конверти (вирізки з них) зберігаються разом з пропозицією, заявою, скаргою. Облік особистого прийому громадян ведеться на картках, у журналах або за допомогою електронно-обчислювальної техніки.

Доступ до персональних даних, а також інші вимоги суб’єктів персональних даних та третіх  осіб здійснюється за їх заявою відповідно до Закону.

Відповідні заяви за порядком реєстрації нічим не відрізняються від звичайних звернень громадян. Підприємства зобов’язані розробити порядок реєстрації таких звернень. Крім того, реєстрація звернень у відповідному журналі може слугувати доказом виконання володільцем вимог Закону щодо строків надання відповіді.

 

Договір з розпорядником про обробку баз персональних даних

 

Відповідно до ч. 3 ст. 11 Закону розпорядник бази персональних даних може обробляти персональні дані лише з метою і в обсязі, визначених у договорі.

Відповідно до  ст. 1 Закону розпорядником визнається фізична чи юридична особа, якій володільцем бази персональних даних або законом надано право обробляти ці дані. У випадку наявності розпорядника бази персональних даних володілець зобов’язаний у Положенні врегулювати порядок взаємодії з таким розпорядником. Володільцю необхідно також в формі отримання згоди окремим пунктом визначити дозвіл на передачу прав на обробку конкретному розпоряднику та укласти із таким розпорядником відповідний договір.

Відсутність укладеного між володільцем та розпорядником договору може бути розцінено як незаконна обробка персональних даних та мати наслідком притягнення до кримінальної відповідальністі.
 


Догори