Затверджено наказом Мін'юсту від 30.12.2011 р. №3659/5
Мін'юст затвердив Типовий порядок обробки персональних даних у базах персональних даних. Незважаючи на значно менший обсяг, ніж був викладений на обговорення на сайті Державної служби захисту персональних даних, все-таки є кілька моментів, які варто врахувати при створенні відповідного Порядку обробки персональних даних на підприємствах — володільцях чи розпорядниках баз персональних даних. Затверджений Типовий порядок:
1) встановлює загальні вимоги до організаційних та технічних заходів захисту персональних даних під час їх обробки у базах;
2) стосується обробки персональних даних в інформаційній (автоматизованій) системі та/або у формі картотек персональних даних.
Отже, Типовий порядок вимагає від володільця чи розпорядника бази даних вчинити такі дії:
1) визначити мету обробки, склад персональних даних у базі персональних даних та її місцезнаходження;
2) встановити порядок внесення, зміни, поновлення, використання, поширення, знеособлення, знищення персональних даних у базі персональних даних;
3) призначити відповідальну особу або структурний підрозділ;
4) визначити порядок захисту персональних даних, у тому числі від незаконної обробки та незаконного доступу до них;
5) вести облік фактів надання та позбавлення працівників права доступу до персональних даних та їх обробки, а також спроб та фактів несанкціонованих та/або незаконних дій з обробки персональних даних;
6) вживати заходів щодо знищення персональних даних у спосіб, що виключає подальшу можливість поновлення таких персональних даних.
Крім того, Типовим порядком визначено особливі вимоги щодо обробки персональних даних в автоматизованих системах та у формі картотек, зокрема, вимоги щодо авторизації та антивірусного захисту автоматизованих систем, вимоги щодо приміщень та їх захисту від несанкціонованого доступу — для баз персональних даних у формі картотек.
Враховуючи вищенаведене, варто також звернути увагу на таке. У тексті Типового порядку, який було викладено для обговорення на сайті Державної служби захисту персональних даних, містилися вимоги до форми надання згоди суб'єкта персональних даних, якими служба вважала:
1) документом на паперовому носії з реквізитами, що дає змогу ідентифікувати цей документ та фізособу;
2) електронний документ;
3) відмітку на електронній сторінці документа чи в електронному файлі, що обробляється програмно-технічними засобами (які не дозволяють обробку даних до моменту підтвердження надання згоди через виконання певних дій та які забезпечують реєстрацію дій суб'єкта персональних даних).
Останнє є важливим для тих, хто розміщує на своєму веб-сайті форуми, чати, інші інтернет-ресурси, які вимагають авторизації та реєстрації користувача. Адже в цьому разі перед збором інформації про фізособу (реєстрацією користувача) така особа має бути повідомлена про те, що її дані підлягатимуть обробці та включатимуться до відповідних баз даних.
Також важливе місце у проекті Типового порядку посідала організація обробки даних володільцями та розпорядниками баз даних, чого у затвердженому документі вже немає.
Загалом зрозуміло, що за відсутності відповідної практики щодо захисту персональних даних кожен володілець/розпорядник має самостійно вирішувати, що саме має бути покладено в основу порядку обробки персональних даних кожного з них (залежно від специфіки фінансово-господарської діяльності).
Наталія КАНАРЬОВА, «Дебет-Кредит»