Содержание
- 1 Discovered
- 2 Персональные данные
- 3 Закон Украины О защите персональных данных 2019 ст.21-30
- 4 В Украине произошла масштабная утечка персональных данных
- 5 Защита персональных данных в Украине. Законы и ответственность.
- 6 Обзор законодательства Украины в сфере информационной безопасности: Персональные данные
- 7 Стаття 16. Порядок доступу до персональних даних
Discovered
О финансах и не только…
Персональные данные
Что такое персональные данные?
Персональные данные — это информация, с помощью которой можно идентифицировать человека: ФИО, место и год рождения, адрес прописки, паспортные данные и т.д.
История вопроса о защите личных (персональных) данных начинается в 1976 году, когда комитет министров Совета Европы принял решение разработать Конвенцию «О защите физических лиц при обработке персональных данных, осуществляемой на международном уровне», которая в 1981 году была открыта для подписания странами Европы. В Украине данная Конвенция была подписана и ратифицирована лишь в начале двухтысячных годов, после чего началось формирование нормативно-законодательной базы в сфере использования и защиты персональных данных. В 2010 году был принят Закон «О защите персональных данных», который четко регламентировал все вопросы, касающиеся получения, использования, передачи и других действий с персональными данными, а также вопросы их защиты.
Согласно Закону персональными данными является абсолютно любая информация, которая относится к определенному или определяемому (прямо или косвенно) физическому лицу. Основными персональными данными, которые встречаются в повседневной жизни, являются фамилия, имя, отчество субъекта (физического лица), дата рождения, адрес местожительства или регистрации, социальное, имущественное, семейное положение, сведения о доходах, образовании, профессии и т.п.
Пример персональных данных
Законодательством не установлен и не может быть установлен четкий перечень сведений о физическом лице, которые являются персональными данными , с целью возможности применения положений Закона к различным ситуациям, в том числе при обработке персональных данных в информационных (автоматизированных) базах и картотеках персональных данных, которые могут возникнуть в будущем, в связи с изменением в технологической, социальной, экономической и других сферах общественной жизни.
Виды персональных данных
Выделяют четыре вида персональных данных, которые разделяются по степени информативности:
Первый вид — специальные категории персональных данных, которые включают в себя информацию о национальной и расовой принадлежности субъекта, о религиозных либо философских убеждениях, информацию о здоровье и интимной жизни субъекта.
Второй вид содержит информацию, по которой можно идентифицировать человека и получить о нем дополнительные сведения, например, ФИО, адрес и сведения о заработках.
Персональные данные третьего вида — это информация, позволяющая только определить субъекта, то есть, например, фамилия, имя и дата рождения.
К четвертому виду относятся общедоступные или обезличенные персональные данные. Общедоступными являются персональные, которые в соответствии с законодательством не могут подвергаться сокрытию, то есть не могут быть конфиденциальными, например, сведения о доходах представителей органов государственной власти, либо персональные данные, доступ к которым предоставлен с разрешения самого субъекта. Обезличенными персональными данными является информация, по которой невозможно определить ее принадлежность к конкретному физическому лицу.
База персональных данных
Следует обратить внимание на то, что согласно ст. 5 Закона, объектом защиты являются только персональные данные при их обработке в базах персональных данных .
При этом под «базой персональных данных» в Законе понимается именованная совокупность упорядоченных персональных данных в электронной форме и/или в форме картотек персональных данных, а под «обработкой персональных данных» понимается определенное действие или совокупность действий, совершенных полностью или частично в информационной (автоматизированной ) системе и/или в картотеках персональных данных, связанных со сбором, регистрацией, накоплением, хранением, адаптацией, изменением, обновлением, использованием и распространением (распространением, реализацией, передачей), обезличиванием, уничтожением сведений о физическом лице.
Обработка персональных данных
Базы персональных данных подлежат обязательной государственной регистрации, осуществляемой специальным государственным органом по вопросам защиты персональных данных в Государственном реестре баз персональных данных. Регистрация баз персональных данных осуществляется по заявочному принципу путем уведомления уполномоченного государственного органа. Несмотря на это, уполномоченный орган имеет право на отказ в регистрации в случае несоответствия заявления о регистрации требованиям Закона.
Согласно Закону обработка персональных данных может осуществляться для конкретных и законных целей, определенных по согласию субъекта персональных данных или в случаях, предусмотренных законодательством Украины, в порядке, установленном законодательством. Если цель обработки меняется, то от субъекта персональных данных должно быть получено согласие на обработку персональных данных с новой целью. При этом не разрешается обработка персональных данных о физическом лице без его согласия, кроме случаев, установленных законом, и исключительно в интересах национальной безопасности, экономического благополучия и прав человека.
Закон также устанавливает, что состав и содержание персональных данных должны соответствовать и не быть избыточными относительно цели их обработки. При этом объем персональных данных, которые включаются в базу персональных данных, должен соответствовать условиям согласия субъекта персональных данных. Субъект персональных данных имеет право, предоставляя такое согласие, ограничить право на обработку своих персональных данных.
Кроме того, следует отметить предоставленное Законом право субъекта персональных данных знать о местонахождении базы персональных данных, в которой содержатся его персональные данные, а также о местонахождении владельца и распорядителя такой базы данных, право на информацию о третьих лицах, которым передаются его персональные данные, а также на бесплатный доступ к своим персональным данным, которые содержатся в соответствующей базе персональных данных. Также Закон устанавливает определенные случаи, в которых субъект персональных данных должен письменно информироваться о его правах или действиях, выполненных с его персональными данными.
Владельцем базы персональных данных может быть физическое лицо-предприниматель или юридическое лицо, которому законом или по согласию субъекта персональных данных предоставлено право на обработку персональных данных. Такое лицо должно утвердить цель обработки персональных данных, установить состав обрабатываемых данных и процедуры их обработки, если иное не установлено законом.
Владелец базы персональных данных имеет право передать персональные данные для обработки распорядителю базы персональных данных на основании письменного соглашения.
Согласно Закону, банк обязан получать письменное разрешение на их обработку. Такое разрешение обычно запрашивается еще на стадии анкетирования клиента. В случае согласия персональные данные могут быть переданы третьим лицам и использованы для продвижения продуктов и услуг банка.
Если человек отказывает в обработке своих данных, то по закону кредитная организация может использовать информацию о клиенте только в целях исполнения заключенного с ним договора. Однако многие банки в случае несогласия клиента на обработку данных могут вообще отказаться предоставлять ему услуги.
Источник: http://discovered.com.ua/glossary/personalnye-dannye/
Закон Украины О защите персональных данных 2019 ст.21-30
Стаття 21. Повідомлення про дії з персональними даними
- Про передачу персональних даних третій особі володілець персональних даних протягом десяти робочих днів повідомляє суб’єкта персональних даних, якщо цього вимагають умови його згоди або інше не передбачено законом.
- Повідомлення, зазначені у частині першій цієї статті, не здійснюються у разі:
1) передачі персональних даних за запитами при виконанні завдань оперативно-розшукової чи контррозвідувальної діяльності, боротьби з тероризмом;
2) виконання органами державної влади та органами місцевого самоврядування своїх повноважень, передбачених законом;
3) здійснення обробки персональних даних в історичних, статистичних чи наукових цілях;
4) повідомлення суб’єкта персональних даних відповідно до вимог частини другої статті 12цього Закону.
- Про зміну, видалення чи знищення персональних даних або обмеження доступу до них володілець персональних даних протягом десяти робочих днів повідомляє суб’єкта персональних даних, а також суб’єктів відносин, пов’язаних із персональними даними, яким ці дані було передано.
Стаття 22. Контроль за додержанням законодавства про захист персональних даних
- Контроль за додержанням законодавства про захист персональних даних у межах повноважень, передбачених законом, здійснюють такі органи:
Стаття 23. Повноваження Уповноваженого Верховної Ради України з прав людини у сфері захисту персональних даних
- Уповноважений має такі повноваження у сфері захисту персональних даних:
1) отримувати пропозиції, скарги та інші звернення фізичних і юридичних осіб з питань захисту персональних даних та приймати рішення за результатами їх розгляду;
2) проводити на підставі звернень або за власною ініціативою виїзні та безвиїзні, планові, позапланові перевірки володільців або розпорядників персональних даних в порядку, визначеному Уповноваженим, із забезпеченням відповідно до закону доступу до приміщень, де здійснюється обробка персональних даних;
3) отримувати на свою вимогу та мати доступ до будь-якої інформації (документів) володільців або розпорядників персональних даних, які необхідні для здійснення контролю за забезпеченням захисту персональних даних, у тому числі доступ до персональних даних, відповідних баз даних чи картотек, інформації з обмеженим доступом;
4) затверджувати нормативно-правові акти у сфері захисту персональних даних у випадках, передбачених цим Законом;
5) за підсумками перевірки, розгляду звернення видавати обов’язкові для виконання вимоги (приписи) про запобігання або усунення порушень законодавства про захист персональних даних, у тому числі щодо зміни, видалення або знищення персональних даних, забезпечення доступу до них, надання чи заборони їх надання третій особі, зупинення або припинення обробки персональних даних;
6) надавати рекомендації щодо практичного застосування законодавства про захист персональних даних, роз’яснювати права і обов’язки відповідних осіб за зверненням суб’єктів персональних даних, володільців або розпорядників персональних даних, структурних підрозділів або відповідальних осіб з організації роботи із захисту персональних даних, інших осіб;
7) взаємодіяти із структурними підрозділами або відповідальними особами, які відповідно до цього Закону організовують роботу, пов’язану із захистом персональних даних при їх обробці; оприлюднювати інформацію про такі структурні підрозділи та відповідальних осіб;
8) звертатися з пропозиціями до Верховної Ради України, Президента України, Кабінету Міністрів України, інших державних органів, органів місцевого самоврядування, їх посадових осіб щодо прийняття або внесення змін до нормативно-правових актів з питань захисту персональних даних;
9) надавати за зверненням професійних, самоврядних та інших громадських об’єднань чи юридичних осіб висновки щодо проектів кодексів поведінки у сфері захисту персональних даних та змін до них;
10) складати протоколи про притягнення до адміністративної відповідальності та направляти їх до суду у випадках, передбачених законом;
11) інформувати про законодавство з питань захисту персональних даних, проблеми його практичного застосування, права і обов’язки суб’єктів відносин, пов’язаних із персональними даними;
12) здійснювати моніторинг нових практик, тенденцій та технологій захисту персональних даних;
13) організовувати та забезпечувати взаємодію з іноземними суб’єктами відносин, пов’язаних із персональними даними, у тому числі у зв’язку з виконанням Конвенції про захист осіб у зв’язку з автоматизованою обробкою персональних даних та Додаткового протоколу до неї, інших міжнародних договорів України у сфері захисту персональних даних;
14) брати участь у роботі міжнародних організацій з питань захисту персональних даних.
- Уповноважений Верховної Ради України з прав людини включає до своєї щорічної доповіді про стан додержання та захисту прав і свобод людини і громадянина в Україні звіт про стан додержання законодавства у сфері захисту персональних даних.
Стаття 24. Забезпечення захисту персональних даних
- Володільці, розпорядники персональних даних та треті особи зобов’язані забезпечити захист цих даних від випадкових втрати або знищення, від незаконної обробки, у тому числі незаконного знищення чи доступу до персональних даних.
- В органах державної влади, органах місцевого самоврядування, а також у володільцях чи розпорядниках персональних даних, що здійснюють обробку персональних даних, яка підлягає повідомленню відповідно до цього Закону, створюється (визначається) структурний підрозділ або відповідальна особа, що організовує роботу, пов’язану із захистом персональних даних при їх обробці.
Інформація про зазначений структурний підрозділ або відповідальну особу повідомляється Уповноваженому Верховної Ради України з прав людини, який забезпечує її оприлюднення.
- Структурний підрозділ або відповідальна особа, що організовує роботу, пов’язану із захистом персональних даних при їх обробці:
1) інформує та консультує володільця або розпорядника персональних даних з питань додержання законодавства про захист персональних даних;
2) взаємодіє з Уповноваженим Верховної Ради України з прав людини та визначеними ним посадовими особами його секретаріату з питань запобігання та усунення порушень законодавства про захист персональних даних.
- Фізичні особи – підприємці, у тому числі лікарі, які мають відповідну ліцензію, адвокати, нотаріуси особисто забезпечують захист персональних даних, якими вони володіють, згідно з вимогами закону.
Стаття 25. Обмеження дії цього Закону
- Обмеження дії статей 6, 7 і 8 цього Закону може здійснюватися у випадках, передбачених законом, наскільки це необхідно у демократичному суспільстві в інтересах національної безпеки, економічного добробуту або захисту прав і свобод суб’єктів персональних даних чи інших осіб.
- Дозволяється обробка персональних даних без застосування положень цього Закону, якщо така обробка здійснюється:
1) фізичною особою виключно для особистих чи побутових потреб;
2) виключно для журналістських та творчих цілей, за умови забезпечення балансу між правом на повагу до особистого життя та правом на свободу вираження поглядів.
- Дія цього Закону не поширюється на відносини щодо отримання архівної інформації репресивних органів.
Стаття 26. Фінансування робіт із захисту персональних даних
Фінансування робіт та заходів щодо забезпечення захисту персональних даних здійснюється за рахунок коштів Державного бюджету України та місцевих бюджетів, коштів суб’єктів відносин, пов’язаних із персональними даними.
Стаття 27. Застосування положень цього Закону
- Положення щодо захисту персональних даних, викладені в цьому Законі, можуть доповнюватися чи уточнюватися іншими законами, за умови, що вони встановлюють вимоги щодо захисту персональних даних, що не суперечать вимогам цього Закону.
- Професійні, самоврядні та інші громадські об’єднання чи юридичні особи можуть розробляти кодекси поведінки з метою забезпечення ефективного захисту прав суб’єктів персональних даних, додержання законодавства про захист персональних даних з урахуванням специфіки обробки персональних даних у різних сферах. При розробленні такого кодексу поведінки або внесенні змін до нього відповідне об’єднання чи юридична особа може звернутися за висновком до Уповноваженого.
Стаття 28. Відповідальність за порушення законодавства про захист персональних даних
Порушення законодавства про захист персональних даних тягне за собою відповідальність, встановлену законом.
- Співробітництво з іноземними суб’єктами відносин, пов’язаних із персональними даними, регулюється Конституцією України, цим Законом, іншими нормативно-правовими актами та міжнародними договорами України.
- Якщо міжнародним договором України, згода на обов’язковість якого надана Верховною Радою України, встановлено інші правила, ніж ті, що передбачені законодавством України, то застосовуються правила міжнародного договору України.
- Передача персональних даних іноземним суб’єктам відносин, пов’язаних із персональними даними, здійснюється лише за умови забезпечення відповідною державою належного захисту персональних даних у випадках, встановлених законом або міжнародним договором України.
Держави – учасниці Європейського економічного простору, а також держави, які підписали Конвенцію Ради Європи про захист осіб у зв’язку з автоматизованою обробкою персональних даних, визнаються такими, що забезпечують належний рівень захисту персональних даних.
Кабінет Міністрів України визначає перелік держав, які забезпечують належний захист персональних даних.
Персональні дані не можуть поширюватися з іншою метою, ніж та, з якою вони були зібрані.
- Персональні дані можуть передаватися іноземним суб’єктам відносин, пов’язаних з персональними даними, також у разі:
2) необхідності укладення чи виконання правочину між володільцем персональних даних та третьою особою – суб’єктом персональних даних на користь суб’єкта персональних даних;
3) необхідності захисту життєво важливих інтересів суб’єктів персональних даних;
4) необхідності захисту суспільного інтересу, встановлення, виконання та забезпечення правової вимоги;
5) надання володільцем персональних даних відповідних гарантій щодо невтручання в особисте і сімейне життя суб’єкта персональних даних.
Стаття 30. Прикінцеві положення
- Цей Закон набирає чинності з 1 січня 2011 року.
- Кабінету Міністрів України протягом шести місяців з дня набрання чинності цим Законом:
забезпечити прийняття нормативно-правових актів, передбачених цим Законом;
забезпечити приведення своїх нормативно-правових актів у відповідність із цим Законом.
Источник: http://femida.news/zakon-ukrainy-o-zashhite-personalnyh-dannyh-2019-st-21-30/
В Украине произошла масштабная утечка персональных данных
Видео (кликните для воспроизведения). |
Персональные данные граждан Украины с Единого портала вакансий государственной службы в данный момент находятся в свободном доступе. Об этом сообщает пресс-служба Офиса омбудсмена Украины.
«С целью установления фактических обстоятельств по поручению Уполномоченного работниками Департамента в сфере защиты персональных данных осуществляется мониторинговый визит к Национальному агентству Украины по вопросам государственной службы, которое в соответствии с законодательством осуществляет администрирование Единого портала вакансий государственной службы», — говорится в сообщении.
В связи с утечкой, Совет национальной безопасности и обороны (СНБО) Украины провел внеочередное заседания рабочей группы по реагированию на киберинциденты и противодействию кибератакам на государственные информационные ресурсы.
Пресс-служба СНБО сообщает, что во время заседания был рассмотрен вопрос об уязвимости Единого портала вакансий Национального агентства Украины по вопросам государственной службы, что привело к утечке части персональных данных украинских граждан.
«Национальный координационный центр кибербезопасности (НКЦК) оперативно организовал работу по выявлению уязвимости, преодоления его последствий и обеспечения устойчивой работы портала career.gov.ua и надлежащей защиты персональных данных», — сообщили в СНБО.
Ранее американские эксперты по кибербезопасности заявили, что группа российских хакеров совершила взлом серверов компании «Burisma Holdings». Проанализировав шаги и масштабы атак, специалисты американской компании по кибербезопасности «Area 1 Security» говорят, что хакеры могли искать компромат об экс-вице-президенте США Джозефе Байдене, который теперь является одним из главных конкурентов Трампа на грядущих президентских выборах в США.
Также мы писали, что Служба безопасности Украины разоблачила межрегиональную хакерскую группировку, участники которой похищали средства со счетов государственных предприятий.
Источник: http://aif.ua/incidents/v_ukraine_proizoshla_masshtabnaya_utechka_personalnyh_dannyh
Защита персональных данных в Украине. Законы и ответственность.
Начиная с 01.01.2011 на территории Украины начал действовать закон №2297-VI «О защите персональных данных». Наверняка некоторые слышали данную новость, и все же большинство людей пребывают в неведении и не знают, что в июле 2011-го года запущена процедура регистрации баз персональных данных (ПД). Только единицы из тех, кого напрямую касается данный нормативно-правовой акт, поторопились осуществить определенные реальные шаги. Параллельно с этим, начиная с 01.01.2012 г. в силу вступили принятые изменения в украинском уголовном и административном кодексах, которые установили нормы ответственности в случае несоблюдения предписаний данного документа. В нашей статье мы представим развернутые ответы относительно таких проблем:
- Кого именно это может коснуться?
- Что стоит предпринять?
- Что случится, если оставить все на самотек?
Кому в обязательном порядке необходимо брать во внимание закон о защите ПД?
Любое физическое или юридическое лицо Украины, владеющее определенными персональными данными физических лиц. При этом закон дает весьма широкую трактовку термина «персональные данные». Государственная служба защиты персональных данных (ЗПД) в своих разъяснениях опирается на Конвенцию Совета Европы и определяет персональные данные как сведения или набор сведений о физическом лице, используя которые можно идентифицировать конкретное физическое лицо. Следовательно, в качестве персональных данных может выступать почти любая информация: ФИО, телефон, адрес проживания, дата рождения, GPS локация человека, пользовательский IP-адрес, адрес электронной почты и прочее. База персональных данных — это именованное множество сгруппированной персональной информации в электронном формате либо в виде архива персональных данных.
Становится понятно, что в соответствии с нормами закона фиксировать, регистрировать личные системы обязаны именно владельцы почти всех типов веб-ресурсов, которые имеют зарегистрированных пользователей. В эту же категорию подпадают интернет-магазины вместе со своими клиентскими базами. Однако самое важное, что персональными данными, в том числе принято считать данные о сотрудниках. А потому, выполнять регистрацию своей базы рабочего персонала должно каждое украинское предприятие.
Закончив с вводной частью, приступим к практическим шагам.
Каким образом обеспечивается выполнения нормативно-правового акта о защите ПД?
Для исключения претензий со стороны службы ЗПД, необходимо гарантировать реализацию следующих концептуальных подходов:
- Своевременно получить разрешение у каждого клиента или сотрудника фирмы на использование и обработку его ПД. При этом необходимо его проинформировать о цели получения данной информации и ее обработки. Также нужно уведомить субъекта о его правах, по причине включения сведений о нем в общую базу персональных данных, а также о тех лицах, для которых эта информация передается;
- Провести процедуру регистрации базы ПД в соответствующем госреестре;
- Гарантировать защиту базы ПД./li>
Упоминая о конкретных практических действиях, они могут быть немного разными для различных баз ПД. Стоит проанализировать для примера два случая: web-сайт, а также организация, которая обладает базой данных о персонале.
Web-сайт
Чтобы выполнить первый пункт, необходимо подготовить и разместить для свободного ознакомления пользовательское соглашение о использовании ПД. Стоит включить сведения о правах пользователя, вероятно, нужно предоставить ссылку либо же предоставить цитату на 8-мую статью Закона о защите ПД, указать свои цели обработки информации, а еще добавить такой пункт как «я предоставляю разрешение администрации сайта проводить сбор и обработку моих персональных данных. Ознакомлен(а) с правами, которые появляются по причине обработки моих ПД, а также с целями обработки, применения моих ПД».
Для гарантии защиты, в момент передачи пользователем своих данных, владелец web-сайта должен использовать безопасный протокол передачи информации для исключения возможности перехвата данных третьими лицами. При таком способе передачи данных информация шифруется, чем и обеспечивается защита. Особенно критична безопасность передачи платежных данных. Например, при каких-либо расчетах через интернет, при оформлении онлайн кредита следует убедиться, что сайт, на котором производятся данные действия, работает с использованием безопасного протокола https. Сайт компании Глобал Кредит в обязательном порядке использует самый современный способ защиты передаваемых данных, поэтому наши клиенты, оформляющие кредиты на банковскую карту могут быть уверенны в том, что их конфиденциальные данные надежно защищены от перехвата злоумышленниками.
Организация
Необходимо принять правила, которые информируют работников об их правах, возникающие по причине обработки их ПД, кроме того проинформировать о целях обработки ПД. Обязательно необходимо оформить разрешение от каждого работника на обработку его ПД в письменной форме.
Что касается процедуры регистрации баз ПД, она будет типичной для любых случаев, а также не должна отнимать очень много времени.
Более того, согласно нормам закона владелец базы ПД должен обеспечивать их надежную защиту. И все же, что касается выбора определенных мер, методов защиты, такие вопросы целиком ложатся на плечи владельца баз ПД.
Какая ответственность предусмотрена в случае невыполнения закона о защите ПД?
Ответственность за невыполнение закона о защите ПД устанавливается как административная, так и уголовная. Согласно cтатьи 188-39 Кодекса про административные правонарушения штраф может достигать до 1000 (17.000 гривен) необлагаемых минимумов доходов граждан (НМДГ). При этом, напоминаем, необлагаемая налогом минимальная сумма доходов украинских граждан составляет 17 грн.
Кроме того, предусмотрена и уголовная ответственность в случае несанкционированного сбора, хранения, использования, уничтожения, распространения конфиденциальных сведений (в соответствии со cтатьей 182 Уголовного Кодекса Украины).
Оформление протоколов о нарушениях в области защиты ПД возложено на специальный уполномоченный орган, а именно Государственной службе по вопросам защиты ПД. Однако, только местные суды имеют право привлекать к ответственности, а также выносить решения относительно уплаты штрафных санкций.
Особые случаи
Действие закона не распространяется на такие ситуации:
- в случае, когда такую базу применяет работник творческой сферы с целью реализации своей творческой работы;
- в случае, когда базу применяют журналисты с целью реализации своих должностных обязанностей;
- в случае, когда базу применяет физическое лицо для личных бытовых потребностей;
- в случае, когда базу применяет физическое лицо для персональных непрофессиональных потребностей.
Из вышеизложенного следует, если у вас есть свой блог и вы имеете базу данных подписчиков, то регистрировать ее нет необходимости.
Итоги
Важно указать, что целью закона о защите ПД не является захватить все личные данные пользователя в единую базу, так как при этом пользовательские сведения регистрацию не проходят. Регистрируется исключительно факт наличия базы ПД, и это обеспечивает наличие ответственного лица, именно он отвечает за сохранность полученных пользовательских сведений. Изначально это предоставляет некую гарантию для самих пользователей в том вопросе, что информация о них никуда не денется, не будет применяться для противоправных деяний.
Источник: http://globalcredit.ua/novosti/zaschita-personalnyh-dannyh-v-ukraine
Обзор законодательства Украины в сфере информационной безопасности: Персональные данные
Обзор законодательства Украины в сфере информационной безопасности. Часть 3: Персональные данные
В 2010 году в июне в Украине был принят Закон Украины «О защите персональных данных» № 2297-VI. Месяц спустя, в июле 2010 года, Украина ратифицирует Конвенцию о защите лиц в связи с автоматизированной обработкой персональных данных путём принятия Закона Украины «О ратификации Конвенции о защите лиц в связи с автоматизированной обработкой персональных данных и Дополнительного протокола к Конвенции о защите лиц в связи с автоматизированной обработкой персональных данных относительно органов надзора и трансграничных потоков данных» № 2438-VI.
Оба закона вступили в силу с 01 января 2011 года.
Принятие Закона Украины «О защите персональных данных» и ратификация Конвенции приблизили украинское общество к европейским стандартам защиты информации, а именно персональных данных, гармонизировав украинское законодательство и приведя его в соответствие с такими нормативно-правовыми актами, как:
- Конвенция о защите лиц в связи с автоматизированной обработкой данных личного характера, подписанная 28 января 1981 в г. Страсбурге,
- Директива 95/46/ЕС Европарламента и Совета от 24 октября 1995 о защите физических лиц при обработке персональных данных и о свободном перемещении таких данных.
Закон Украины «О защите персональных данных» регулирует правовые отношения, связанные с защитой и обработкой персональных данных и направлен на защиту основных прав и свобод человека и гражданина, в частности права на невмешательство в личную жизнь, в связи с обработкой персональных данных.
Данный Закон распространяется на:
- деятельность по обработке персональных данных, осуществляемой полностью или частично с применением автоматизированных средств;
- обработку персональных данных, содержащихся в картотеке или подлежащих внесению в картотеки, с применением неавтоматизированных средств.
Основные понятия
персональные данные — сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано;
распорядитель персональных данных — физическое или юридическое лицо, которому владельцем персональных данных или законом предоставлено право обрабатывать эти данные от имени владельца;
владелец персональных данных — физическое или юридическое лицо, которое определяет цель обработки персональных данных, устанавливает состав этих данных и процедуры их обработки;
субъект персональных данных — физическое лицо, персональные данные которого обрабатываются;
третье лицо — любое лицо, за исключением субъекта персональных данных, владельца или распорядителя персональных данных и Уполномоченного Верховной Рады Украины по правам человека, которому владельцем или распорядителем персональных данных осуществляется передача персональных данных.
база персональных данных — именованная совокупность упорядоченных персональных данных в электронной форме и/или в форме картотек персональных данных;
картотека — любые структурированные персональные данные, доступные по определенным критериям, независимо от того, являются ли эти данные централизованные, децентрализованные или разделены по функциональным или географическим принципам;
обработка персональных данных — любое действие или совокупность действий, таких как сбор, регистрация, накопление, хранение, адаптирование, изменение, возобновление, использование и распространение (распространение, реализация, передача), обезличивание, уничтожение персональных данных, в том числе с использованием информационных (автоматизированных) систем;
согласие субъекта персональных данных — добровольное волеизъявление физического лица (при условии ее осведомленности) о предоставлении разрешения на обработку его персональных данных в соответствии со сформулированной целью их обработки, высказанное в письменной форме или в форме, что позволяет сделать вывод о предоставлении согласия. В сфере электронной коммерции согласие субъекта персональных данных может быть предоставлена при регистрации в информационно-телекоммуникационной системе субъекта электронной коммерции путем проставления отметки о предоставлении разрешения на обработку своих персональных данных в соответствии со сформулированной целью их обработки, при условии, что такая система не создает возможностей для обработки персональных данных до момента проставления отметки.
При составлении согласия субъект персональных данных предоставляет о себе следующую информацию — ФИО, год рождения, серию и номер паспорта, кем выдан паспорт, а также адрес регистрации.
В соответствии с Законом о защите персональных данных, субъектами отношений, связанных с персональными данными, являются:
- субъект персональных данных;
- владелец персональных данных;
- распорядитель персональных данных;
- третье лицо;
- Уполномоченный Верховной Рады Украины по правам человека (далее — уполномоченный).
Владельцем или распорядителем персональных данных могут быть предприятия, учреждения и организации всех форм собственности, органы государственной власти или органы местного самоуправления, физические лица — предприниматели, которые обрабатывают персональные данные в соответствии с законом.
Непосредственно объектами защиты являются персональные данные.
Персональные данные могут быть отнесены к конфиденциальной информации о лице законом или соответствующим лицом. Не является конфиденциальной информацией персональные данные, касающиеся лица, занимающего должность, связанную с выполнением функций государства или органов местного самоуправления, должностных или служебных полномочий.
Общие требования к обработке персональных данных:
- Обработка персональных данных осуществляется открыто и прозрачно с применением средств и способом, которые отвечают определенным целям такой обработки.
В случае изменения определенной цели обработки персональных данных на новую цель, которая несовместима с предыдущей, для дальнейшей обработки данных владелец персональных данных должен получить согласие субъекта персональных данных на обработку его данных в соответствии с измененной целью.
Права субъекта персональных данных
Личные неимущественные права на персональные данные, которые имеет каждое физическое лицо, являются неотъемлемыми и незыблемыми.
Согласно Закону о защите персональных данных субъект персональных данных наделён такими правами:
Контроль над соблюдением законодательства о защите персональных данных в пределах полномочий, предусмотренных законом, осуществляют следующие органы:
Полномочия Уполномоченного Верховной Рады Украины по правам человека в сфере защиты персональных данных (согласно Закону Украины «О защите персональных данных»):
Нарушение законодательства о защите персональных данных влечет за собой административную и уголовную ответственность.
Источник: http://digital.report/zakonodatelstvo-ukrainyi-personalnyie-dannyie/
Стаття 16. Порядок доступу до персональних даних
Про захист персональних даних
- перевірено сьогодні
- закон від 30.01.2018
- вступив у чинність 01.06.2010
Ст. 16 Про захист персональних даних в останній чинній редакції від 1 січня 2017 року.
Нові не набрали чинності редакції статті відсутні.
Стаття 16. Порядок доступу до персональних даних
1. Порядок доступу до персональних даних третіх осіб визначається умовами згоди суб’єкта персональних даних, наданої володільцю персональних даних на обробку цих даних, або відповідно до вимог закону. Порядок доступу третіх осіб до персональних даних, які знаходяться у володінні розпорядника публічної інформації, визначається Законом України «Про доступ до публічної інформації», крім даних, які отримує Міністерство фінансів України від інших органів під час здійснення повноважень з контролю за дотриманням бюджетного законодавства в частині моніторингу пенсій, допомог, пільг, субсидій, інших соціальних виплат.
2. Доступ до персональних даних третій особі не надається, якщо зазначена особа відмовляється взяти на себе зобов’язання щодо забезпечення виконання вимог цього Закону або неспроможна їх забезпечити.
3. Суб’єкт відносин, пов’язаних з персональними даними, подає запит щодо доступу (далі — запит) до персональних даних володільцю персональних даних.
4. У запиті зазначаються:
1) прізвище, ім’я та по батькові, місце проживання (місце перебування) і реквізити документа, що посвідчує фізичну особу, яка подає запит (для фізичної особи — заявника);
2) найменування, місцезнаходження юридичної особи, яка подає запит, посада, прізвище, ім’я та по батькові особи, яка засвідчує запит; підтвердження того, що зміст запиту відповідає повноваженням юридичної особи (для юридичної особи — заявника);
3) прізвище, ім’я та по батькові, а також інші відомості, що дають змогу ідентифікувати фізичну особу, стосовно якої робиться запит;
4) відомості про базу персональних даних, стосовно якої подається запит, чи відомості про володільця чи розпорядника персональних даних;
5) перелік персональних даних, що запитуються;
6) мета та/або правові підстави для запиту.
5. Строк вивчення запиту на предмет його задоволення не може перевищувати десяти робочих днів з дня його надходження.
Протягом цього строку володілець персональних даних доводить до відома особи, яка подає запит, що запит буде задоволено або відповідні персональні дані не підлягають наданню, із зазначенням підстави, визначеної у відповідному нормативно-правовому акті.
Запит задовольняється протягом тридцяти календарних днів з дня його надходження, якщо інше не передбачено законом.
6. Суб’єкт персональних даних має право на одержання будь-яких відомостей про себе у будь-якого суб’єкта відносин, пов’язаних з персональними даними, за умови надання інформації, визначеної у пункті 1 частини четвертої цієї статті, крім випадків, установлених законом.
Видео (кликните для воспроизведения). |
Юрист в сфере гражданского права.
Стаж: 8 лет