Слайд 1Проблемні питання, що виникають під час практичного застосування законодавства у сфері
захисту персональних даних – рекомендації ДСЗПД щодо їх розв’язання
Степаненко Тетяна Олександрівна,
провідний спеціаліст відділу розгляду скарг та звернень фізичних та юридичних осіб Управління юридичного забезпечення Державної служби з питань захисту персональних даних
Слайд 2Законодавство про захист персональних даних
Конституція України
Стаття 32
Ніхто не може
зазнавати втручання в його особисте і сімейне життя, крім випадків, передбачених Конституцією України.
Не допускається збирання, зберігання, використання та поширення конфіденційної інформації про особу без її згоди, крім випадків, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини.
Конвенція Ради Європи про захист осіб зв’язку автоматизованою обробкою персональних даних від 28 січня 1981 року
Додатковий протокол до Конвенції Ради Європи про захист осіб у зв’язку з автоматизованою обробкою персональних даних щодо органів нагляду та транскордонних потоків даних від 8 листопада 2001 року
Закон України від 06.07.2010 №2438-VI «Про ратифікацію Конвенції про захист осіб у зв'язку з автоматизованою обробкою персональних даних та Додаткового протоколу до Конвенції про захист осіб у зв'язку з автоматизованою обробкою персональних даних стосовно органів нагляду та транскордонних потоків даних»
Слайд 3Законодавство про захист персональних даних
Закон України від 1 червня 2010 року
№ 2297-17 «Про захист персональних даних»
Закон України від 2 червня 2010 року №3454-VI «Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних»
Закон України від 13.01.2012 № 4343-VI «Про внесення змін до розділу ІІ Закону України «Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних» щодо перенесення терміну введення в дію»
Указ Президента України від 6 квітня 2011 р. № 390/2011 «Про Положення про Державну службу України з питань захисту персональних даних»
Постанова Кабінету Міністрів України від 25 травня 2011 р. N 616 «Про затвердження Положення про Державний реєстр баз персональних даних та порядок його ведення»
Слайд 4Законодавство про захист персональних даних
Наказ Міністерства Юстиції України від 8 липня
2011р. № 1824/5 «Про затвердження форм заяв про реєстрацію бази персональних даних та про внесення змін до відомостей Державного реєстру баз персональних даних і порядку їх подання»
Наказ Міністерства Юстиції України від 8 липня 2011р. № 1823/5 «Про затвердження зразка свідоцтва про державну реєстрацію бази персональних даних»
Наказ Міністерства Юстиції України від 30 грудня 2011р. № 3659/5 «Про затвердження Типового порядку обробки персональних даних у базах персональних даних»
Наказ Міністерства Юстиції України від 22 червня 2012р. № 947/5 «Про затвердження Порядку здійснення Державною службою України з питань захисту персональних даних державного контролю за додержанням законодавства про захист персональних даних»
Слайд 5Закон України «Про захист персональних даних»
персональні дані -
відомості чи
сукупність відомостей
про фізичну особу,
яка ідентифікована або може бути конкретно ідентифікована
Слайд 6Первинні джерела відомостей про фізичну особу (стаття 6)
Слайд 8Закон України «Про захист персональних даних»
Дія цього Закону не поширюється
на діяльність зі створення БПД та обробки ПД у цих базах:
Фізичною особою – виключно для непрофесійних чи побутових потреб
Журналістом – у зв'язку з виконанням ним службових чи професійних обов'язків
Професійним творчим працівником – для здійснення творчої діяльності
Регулює відносини, пов'язані із захистом персональних даних
Слайд 10
іменована сукупність упорядкованих персональних даних в електронній формі та/або
у формі
картотек персональних даних
База персональних даних
Слайд 11
Має
затверджену МЕТУ обробки ПД
встановлений СКЛАД персональних даних
встановлені ПРОЦЕДУРИ ОБРОБКИ
База
персональних даних
Слайд 12
Трудових відносин;
Податкових відносин та відносин у сфері бухгалтерського
обліку;
Господарських відносин;
Відносин у сфері управління людськими ресурсами, зокрема, кадровим потенціалом;
Конституційного права на звернення громадян до органів державної влади;
Відносин у сфері громадської, політичної та релігійної діяльності, культури, дозвілля, спортивної та соціальної діяльності;
Відносин у сфері освіти; охорони здоров’я; транспорту;
Адміністративно-правових (в тому числі, відносин у сфері державного управління);
Відносин у сфері безпеки, включаючи питання приватних розслідувань, побудови системи приватної безпеки та приватної охорони;
Відносин у сфері науки, історичних досліджень та статистики;
Інших відносин, що вимагають обробки персональних даних.
Мета обробки ПД
забезпечення реалізації:
Слайд 13Кадри
1 С / бухгалтерія
Перепустки
Контрагенти
Споживачі
Клієнти
1 С / Бухгалтерія
Інше
Медпункт
працівники
контрагенти
Відеоспостереження
Слайд 14Кадри
1 С / бухгалтерія
Перепустки
Контрагенти
Споживачі
Клієнти
1 С / Бухгалтерія
Інше
Медпункт
працівники
контрагенти
Різні
цілі, склад ПД та процедури –
різні бази персональних даних
Слайд 15БАЗА ПЕРСОНАЛЬНИХ ДАНИХ
ЛІКУВАЛЬНИЙ ЗАКЛАД:
БПД пацієнтів
БПД працівників
БПД контрагентів (господарська діяльність)
Різні
цілі, склад ПД та процедури –
різні бази персональних даних
Слайд 16БАЗА ПЕРСОНАЛЬНИХ ДАНИХ
БАНКІВСКА УСТАНОВА:
БПД клієнтів банку
БПД працівників банку
БПД контрагентів (господарська діяльність)
Різні цілі, склад ПД та процедури –
різні бази персональних даних
Слайд 17БАЗА ПЕРСОНАЛЬНИХ ДАНИХ
ПРАВООХОРОННА СТРУКТУРА:
БПД про здійснені злочини
БПД про підготовку до злочинів
БПД
про власників автомобілів
Різні цілі, склад ПД та процедури –
різні бази персональних даних
Слайд 18Суб'єкти відносин,
пов'язаних із персональними даними (ст.2,4)
Слайд 19
фізична або юридична особа, якій законом або за згодою суб'єкта ПД
надано право на обробку цих даних, яка
затверджує мету обробки ПД у цій БД,
встановлює склад цих даних та
процедури їх обробки, якщо інше не визначено законом (ст.2)
Володілець бази ПД
Слайд 20фізична чи юридична особа, якій володільцем бази ПД або законом надано
право обробляти ці дані (ст.2).
можуть бути підприємства, установи і організації усіх форм власності, органи державної влади чи органи місцевого самоврядування, фізичні особи - підприємці, які обробляють ПД відповідно до закону (ст.4).
Володілець бази ПД може доручити обробку ПД розпоряднику бази ПД відповідно до договору в письмовій формі.
Розпорядник бази ПД може обробляти ПД лише з метою і в обсязі, визначених у договорі (ст.11).
Розпорядник бази ПД
Слайд 21будь-яка особа, за винятком
суб'єкта персональних даних,
володільця чи
розпорядника бази
персональних даних та
уповноваженого державного органу з питань захисту ПД,
якій володільцем чи розпорядником бази ПД здійснюється передача ПД відповідно до закону (ст.2, 14, 16).
Наприклад: органи державної податкової служби, ПФУ, банки і т.д.
Третя особа
Слайд 22
ВОЛОДІЛЕЦЬ БПД
Право на обробку ПД надано законом або за згодою
затверджує
мету обробки ПД
встановлює склад ПД
встановлює процедури обробки
Різниця між володільцем БПД та розпорядником БПД
РОЗПОРЯДНИК БПД
Право на обробку ПД надано володільцем БПД або законом
обробляє ПД в інтересах володільця БПД у складі та з метою, визначеною володільцем
Слайд 23
РОЗПОРЯДНИК БПД
обробляє ПД з метою визначеною володільцем БПД
Різниця між розпорядником
БПД та третьою особою
ТРЕТЯ ОСОБА
обробляє отримані ПД у власних цілях
Слайд 24Має право знати:
ХТО і ДЕ обробляє його ПД
КОМУ передаються його
ПД
Чи зберігаються його ПД в конкретній БД
Як отримати доступ до своїх ПД
Право на доступ до своїх ПД
Суб'єкт персональних даних
Слайд 25Суб'єкт персональних даних
ПРАВА СУБ‘ЄКТА ПЕРСОНАЛЬНИХ ДАНИХ
Ст.8 Суб'єкт ПД має право:
- знати про місцезнаходження бази ПД, яка містить його ПД, її призначення та найменування, місцезнаходження та/або місце проживання (перебування) володільця чи розпорядника цієї бази або дати відповідне доручення щодо отримання цієї інформації уповноваженим ним особам, крім випадків, встановлених законом;
- отримувати інформацію про умови надання доступу до ПД, зокрема інформацію про третіх осіб, яким передаються його ПД, що містяться у відповідній базі ПД;
- на доступ до своїх ПД, що містяться у відповідній базі ПД;
- отримувати не пізніше за 30 календарних днів з дня надходження запиту, крім випадків, передбачених законом, відповідь про те, чи зберігаються його ПД у відповідній базі ПД, а також отримувати зміст його ПД, які зберігаються;
Слайд 26Суб'єкт персональних даних
ПРАВА СУБ‘ЄКТА ПЕРСОНАЛЬНИХ ДАНИХ
Ст.8 Суб'єкт ПД має право:
- пред'являти вмотивовану вимогу із запереченням проти обробки своїх ПД органами державної влади, органами місцевого самоврядування при здійсненні їхніх повноважень, передбачених законом;
- пред'являти вмотивовану вимогу щодо зміни або знищення своїх ПД будь-яким володільцем та розпорядником цієї бази, якщо ці дані обробляються незаконно чи є недостовірними;
- на захист своїх ПД від незаконної обробки та випадкової втрати, знищення, пошкодження у зв'язку з умисним приховуванням, ненаданням чи несвоєчасним їх наданням, а також на захист від надання відомостей, що є недостовірними чи ганьблять честь, гідність та ділову репутацію;
- звертатися з питань захисту своїх прав щодо ПД до органів державної влади, органів місцевого самоврядування, до повноважень яких належить здійснення захисту ПД;
- застосовувати засоби правового захисту в разі порушення законодавства про захист ПД.
Слайд 27Суб'єкт персональних даних
ПРАВА СУБ‘ЄКТА ПЕРСОНАЛЬНИХ ДАНИХ
Ст.11 Суб'єкт ПД має право:
- при наданні згоди на обробку його ПД внести застереження стосовно обмеження права на обробку своїх ПД.
Ст. 12 Суб'єкт ПД має право:
- на одержання зібраних відомостей про нього, а також інформації про їх джерела за його вимогою, крім випадків, установлених законом.
- бути повідомленим про його права, визначені Законом, мету збору даних та осіб, яким передаються його персональні дані, виключно в письмовій формі та протягом 10 робочих днів з дня включення його ПД до БПД .
Ст. 16 Суб'єкт ПД має право:
- на одержання будь-яких відомостей про себе у будь-якого суб'єкта відносин, пов'язаних з персональними даними, без зазначення мети запиту, крім випадків, установлених законом.
Ст. 18 Суб'єкт ПД має право:
- оскаржувати рішення про відстрочення або відмову в доступі до ПД до уповноваженого державного органу з питань захисту ПД, інших органів державної влади та місцевого самоврядування, до повноважень яких належить здійснення захисту ПД, або до суду.
Ст. 19 Суб'єкт ПД здійснює доступ до ПД про себе безоплатно.
Слайд 28Володілець БПД
Зобов'язаний визначити та затвердити:
мету обробки ПД у БПД;
склад ПД
у БПД;
місцезнаходження бази (баз) ПД;
порядок внесення, зміни, поновлення, використання, поширення, знеособлення, знищення персональних даних у базі персональних даних (процедури обробки ПД);
відповідальну особу або структурний підрозділ;
порядок захисту персональних даних, в тому числі від незаконної обробки та незаконного доступу до них (статті 2, 24 ЗУ “Про захист персональних даних” та п. 1.8 Типового порядку обробки персональних даних у базах персональних даних);
повідомити суб'єкта ПД згідно вимог частини 2 статті 12 Закону України “Про захист персональних даних”
Слайд 29Структурний підрозділ або відповідальна особа
Структурний підрозділ - це структурна одиниця, що
діє у складі володільця або розпорядника БПД
та
відповідно до його прав та обов'язків на підставі положення про нього
здійснює організацію роботи, пов'язаної із
захистом персональних даних при їх обробці (п. 1.4 ТП)
Відповідальна особа - особа, на яку володільцем або розпорядником бази персональних даних відповідно до її службових, трудових, професійних обов’язків покладена організація роботи, пов’язаної із захистом персональних даних при їх обробці (п. 1.4 ТП)
Слайд 30Структурний підрозділ або відповідальна особа
Забезпечує:
ознайомлення працівників володільця та розпорядника БПД
з вимогами законодавства про захист персональних даних, зокрема щодо їхнього обов'язку не допускати розголошення у будь-який спосіб персональних даних, які їм було довірено або які стали їм відомі у зв'язку з виконанням професійних, службових чи трудових обов'язків;
організацію обробки ПД працівниками володільця та розпорядника БПД відповідно до їх професійних, службових чи трудових обов'язків в обсязі, необхідному для виконання таких обов'язків;
організовує роботу з обробки запитів щодо доступу до ПД суб'єктів відносин, пов'язаних з обробкою персональних даних;
забезпечує доступ суб'єктів ПД до власних персональних даних;
інформує керівника володільця та розпорядника БПД про заходи, яких необхідно вжити для приведення складу персональних даних та процедур їх обробки у відповідність до закону;
інформує керівника володільця та розпорядника БПД про порушення встановлених процедур з обробки персональних даних (п. 1.9 ТП).
Слайд 33Згода суб'єкта персональних даних
будь-яке документоване, зокрема письмове, добровільне волевиявлення фізичної особи
щодо надання дозволу на обробку її персональних даних відповідно до сформульованої мети їх обробки
Слайд 34Форми надання згоди
а) документ на паперовому носії з реквізитами, що
дає змогу ідентифікувати цей документ та фізичну особу. Добровільне волевиявлення суб’єкта персональних даних засвідчується його підписом;
б) електронний документ, включаючи обов’язкові реквізити документа, що дають змогу ідентифікувати цей документ та фізичну особу. Добровільне волевиявлення фізичної особи щодо надання дозволу на обробку її персональних даних засвідчується електронним підписом суб’єкта персональних даних;
в) документ з реквізитами на будь-якому іншому носії, зокрема фото -, відео-, аудіофіксація добровільного волевиявлення суб’єкта персональних даних;
Слайд 35має містити:
чітко визначену мету обробки (з посиланням на документи, якими її
затверджено);
чітко визначені склад та зміст ПД, які будуть оброблятися стосовно визначеної мети їх обробки;
інформація про третіх осіб, яким будуть передаватися персональні дані;
найменування та місцезнаходження бази персональних даних, яка містить ПД.
ЗГОДА
Слайд 36має містити, зокрема інформацію щодо: (виключно у письмовій формі)
прав суб’єкта персональних
даних відповідно до Закону України “Про захист персональних даних”;
мети збору персональних даних;
осіб, яким передаються його персональні дані.
повідомлення не здійснюється якщо дані зібрані із загальнодоступних джерел.
ПОВІДОМЛЕННЯ
Слайд 39Дозвіл володільцю бази ПД
приклади:
Збирання ПД працівника:
Паспорт – частина 2 статті 24
КЗпП, стаття 200 КпАП (Прийняття посадовими особами підприємств, установ, організацій на роботу громадян без паспортів або з недійсними
паспортами, - тягне ….)
Трудова книжка – частина 2 статті 24 КЗпП
Довідка про стан здоров'я – частина шоста статті 24 КЗпП (Забороняється укладення трудового договору з громадянином, якому за медичним висновком запропонована робота протипоказана за
станом здоров'я. )
Реєстраційний номер облікової картки платника податків (ідентифікаційний номер) - стаття 70.12.1 ПК (Фізичні особи зобов'язані подавати інформацію про реєстраційний номер облікової картки юридичним та фізичним особам, що виплачують їм доходи) тощо.
Стаття 19 Закону України «Про доступ до публічної інформації» встановлює вимоги до запиту, а саме, які відомості про запитувача повинен містити запит (ім'я (найменування) запитувача, поштову адресу або адресу електронної пошти, а також номер засобу зв'язку, якщо такий є).
Статтею 5 Закону України «Про звернення громадян» також встановлені вимоги щодо відомостей про громадянина, які повинні бути зазначені у зверненні (різвище, ім'я, по батькові, місце проживання громадянина).
Слайд 40передбачає дії щодо передачі відомостей про фізичну особу з баз персональних
даних
Передачі відомостей про фізичну особу з баз персональних даних за згодою суб'єкта персональних даних.
Без згоди суб'єкта персональних даних або уповноваженої ним особи дозволяється у випадках, визначених законом, і лише в інтересах національної безпеки, економічного добробуту та прав людини (стаття 14 Закону).
Частиною п’ятою статті 6 ЗУ «Про доступ до публічної інформації» передбачено, що не може бути обмежено доступ до інформації про розпорядження бюджетними коштами, володіння, користування чи розпорядження державним, комунальним майном, у тому числі до копій відповідних документів, умови отримання цих коштів чи майна, прізвища, імена, по батькові фізичних осіб та найменування юридичних осіб, які отримали ці кошти або майно. При дотриманні вимог, передбачених частиною другою цієї статті, зазначене положення не поширюється на випадки, коли оприлюднення або надання такої інформації може завдати шкоди інтересам національної безпеки, оборони, розслідуванню чи запобіганню злочину.
Поширення персональних даних
Слайд 41визначається умовами згоди суб'єкта персональних даних, наданої володільцю бази персональних даних
на обробку цих даних, або відповідно до вимог закону (ст. 16 Закону).
Суб'єкт відносин, пов'язаних з персональними даними, подає запит щодо доступу (далі - запит) до персональних даних володільцю бази персональних даних.
Порядок доступу до ПД третіх осіб
Слайд 42 У запиті зазначаються:
1) прізвище, ім'я та по батькові, місце проживання
(місце перебування) і реквізити документа, що посвідчує фізичну особу, яка подає запит (для фізичної особи - заявника);
2) найменування, місцезнаходження юридичної особи, яка подає запит, посада, прізвище, ім'я та по батькові особи, яка засвідчує запит; підтвердження того, що зміст запиту відповідає повноваженням юридичної особи (для юридичної особи - заявника);
3) прізвище, ім'я та по батькові, а також інші відомості, що дають змогу ідентифікувати фізичну особу, стосовно якої робиться запит;
4) відомості про базу персональних даних, стосовно якої подається запит, чи відомості про володільця чи розпорядника цієї бази;
5) перелік персональних даних, що запитуються;
6) мета запиту.
Порядок доступу до ПД третіх осіб
Слайд 43Про передачу персональних даних третій особі володілець бази персональних даних протягом
десяти робочих днів повідомляє суб'єкта персональних даних, якщо цього вимагають умови його згоди або інше не передбачено законом (ст. 21 Закону).
Повідомлення про передачу
Слайд 44Повідомлення, зазначені у частині першій статті 21 Закону, не здійснюються у
разі:
1) передачі персональних даних за запитами при виконанні завдань оперативно-розшукової чи контррозвідувальної діяльності, боротьби з тероризмом;
2) виконання органами державної влади та органами місцевого самоврядування своїх повноважень, передбачених законом;
3) здійснення обробки персональних даних в історичних, статистичних чи наукових цілях.
Повідомлення про передачу
Слайд 45Зміни до Закону «Про захист персональних даних»
розширення підстав обробки персональних даних;
розширення
прав суб’єкта персональних даних, зокрема право відкликати згоду на обробку ПД;
пропонується виключити з обов'язкової реєстрації баз персональних даних баз, ведення яких пов’язане із забезпеченням та реалізацією трудових відносин, членів громадських, релігійних організацій та політичних партій.