Обзор законодательства Украины: Персональные данные

Обзор законодательства Украины в сфере информационной безопасности. Часть 3: Персональные данные

В 2010 году в июне в Украине был принят Закон Украины «О защите персональных данных» № 2297-VI. Месяц спустя, в июле 2010 года, Украина ратифицирует Конвенцию о защите лиц в связи с автоматизированной обработкой персональных данных путём принятия Закона Украины «О ратификации Конвенции о защите лиц в связи с автоматизированной обработкой персональных данных и Дополнительного протокола к Конвенции о защите лиц в связи с автоматизированной обработкой персональных данных относительно органов надзора и трансграничных потоков данных» № 2438-VI.

Оглавление (показать/скрыть): Часть 1: Общий обзор законодательства Украины в сфере информационной безопасности
Часть 2: Стратегия национальной безопасности Украины
Часть 3: Персональные данные
Часть 4: Государственная тайна
Часть 5: Коммерческая тайна
Часть 6: Иные виды тайн
Часть 7: Криптография
Часть 8: Сертификация криптографии
Часть 9: Стандарты криптографической защиты
Часть 10: Техническая защита информации
Часть 11: Прослушка
Часть 12: Борьба с киберпреступностью

Оба закона вступили в силу с 01 января 2011 года.

Принятие Закона Украины «О защите персональных данных» и ратификация Конвенции приблизили украинское общество к европейским стандартам защиты информации, а именно персональных данных, гармонизировав украинское законодательство и приведя его в соответствие с такими нормативно-правовыми актами, как:

Конвенция о защите лиц в связи с автоматизированной обработкой данных личного характера, подписанная 28 января 1981 в г. Страсбурге,
Директива 95/46/ЕС Европарламента и Совета от 24 октября 1995 о защите физических лиц при обработке персональных данных и о свободном перемещении таких данных.

Закон Украины «О защите персональных данных» регулирует правовые отношения, связанные с защитой и обработкой персональных данных и направлен на защиту основных прав и свобод человека и гражданина, в частности права на невмешательство в личную жизнь, в связи с обработкой персональных данных.

Данный Закон распространяется на:

деятельность по обработке персональных данных, осуществляемой полностью или частично с применением автоматизированных средств;
обработку персональных данных, содержащихся в картотеке или подлежащих внесению в картотеки, с применением неавтоматизированных средств.

Основные понятия

персональные данные — сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано;

распорядитель персональных данных — физическое или юридическое лицо, которому владельцем персональных данных или законом предоставлено право обрабатывать эти данные от имени владельца;

владелец персональных данных — физическое или юридическое лицо, которое определяет цель обработки персональных данных, устанавливает состав этих данных и процедуры их обработки;

субъект персональных данных — физическое лицо, персональные данные которого обрабатываются;

третье лицо — любое лицо, за исключением субъекта персональных данных, владельца или распорядителя персональных данных и Уполномоченного Верховной Рады Украины по правам человека, которому владельцем или распорядителем персональных данных осуществляется передача персональных данных.

база персональных данных — именованная совокупность упорядоченных персональных данных в электронной форме и/или в форме картотек персональных данных;

картотека — любые структурированные персональные данные, доступные по определенным критериям, независимо от того, являются ли эти данные централизованные, децентрализованные или разделены по функциональным или географическим принципам;

обработка персональных данных — любое действие или совокупность действий, таких как сбор, регистрация, накопление, хранение, адаптирование, изменение, возобновление, использование и распространение (распространение, реализация, передача), обезличивание, уничтожение персональных данных, в том числе с использованием информационных (автоматизированных) систем;

согласие субъекта персональных данных — добровольное волеизъявление физического лица (при условии ее осведомленности) о предоставлении разрешения на обработку его персональных данных в соответствии со сформулированной целью их обработки, высказанное в письменной форме или в форме, что позволяет сделать вывод о предоставлении согласия. В сфере электронной коммерции согласие субъекта персональных данных может быть предоставлена при регистрации в информационно-телекоммуникационной системе субъекта электронной коммерции путем проставления отметки о предоставлении разрешения на обработку своих персональных данных в соответствии со сформулированной целью их обработки, при условии, что такая система не создает возможностей для обработки персональных данных до момента проставления отметки.

Исходя из вышеуказанного определения, согласие на обработку персональных данных может предоставляться как в письменном, так и в электронном виде.

При составлении согласия субъект персональных данных предоставляет о себе следующую информацию — ФИО, год рождения, серию и номер паспорта, кем выдан паспорт, а также адрес регистрации.

В соответствии с Законом о защите персональных данных, субъектами отношений, связанных с персональными данными, являются:

субъект персональных данных;
владелец персональных данных;
распорядитель персональных данных;
третье лицо;
Уполномоченный Верховной Рады Украины по правам человека (далее — уполномоченный).

Владельцем или распорядителем персональных данных могут быть предприятия, учреждения и организации всех форм собственности, органы государственной власти или органы местного самоуправления, физические лица — предприниматели, которые обрабатывают персональные данные в соответствии с законом.

Непосредственно объектами защиты являются персональные данные.

Персональные данные могут быть отнесены к конфиденциальной информации о лице законом или соответствующим лицом. Не является конфиденциальной информацией персональные данные, касающиеся лица, занимающего должность, связанную с выполнением функций государства или органов местного самоуправления, должностных или служебных полномочий.

Общие требования к обработке персональных данных:

Обработка персональных данных осуществляется открыто и прозрачно с применением средств и способом, которые отвечают определенным целям такой обработки.

В случае изменения определенной цели обработки персональных данных на новую цель, которая несовместима с предыдущей, для дальнейшей обработки данных владелец персональных данных должен получить согласие субъекта персональных данных на обработку его данных в соответствии с измененной целью.

Персональные данные должны быть точными, достоверными и обновляться по мере необходимости, определенной целью их обработки.
Состав и содержание персональных данных должны быть соответствующими, адекватными и не пренебрежительными относительно определенной цели их обработки.
Первичными источниками сведений о физическом лице являются: выданные на его имя документы; подписанные им документы; сведения, которые лицо предоставляет о себе.
Обработка персональных данных осуществляется для конкретных и законных целей, определенных по согласию субъекта персональных данных или в случаях, предусмотренных законами Украины, в порядке, установленном законодательством.
Не допускается обработка данных о физическом лице, которые являются конфиденциальной информацией, без его согласия, кроме случаев, определенных законом, и только в интересах национальной безопасности, экономического благосостояния и прав человека.
Если обработка персональных данных необходима для защиты жизненно важных интересов субъекта персональных данных, обрабатывать персональные данные без его согласия можно до времени, когда получение согласия станет возможным.
Персональные данные обрабатываются в форме, допускающей идентификацию физического лица, которого они касаются, не дольше, чем это необходимо для законных целей, в которых они собирались или в дальнейшем обрабатывались. Дальнейшая обработка персональных данных в исторических, статистических или научных целях может осуществляться при условии обеспечения их надлежащей защиты.
Типовой порядок обработки персональных данных утверждается Уполномоченным.

Права субъекта персональных данных

Личные неимущественные права на персональные данные, которые имеет каждое физическое лицо, являются неотъемлемыми и незыблемыми.

Согласно Закону о защите персональных данных субъект персональных данных наделён такими правами:

знать об источниках сбора, местонахождение своих персональных данных, цели их обработки, местонахождение или место жительства (пребывания) владельца или распорядителя персональных данных или дать соответствующее поручение о получении этой информации уполномоченным им лицам, кроме случаев, установленных законом;
получать информацию об условиях предоставления доступа к персональным данным, включая информацию о третьих лицах, которым передаются его персональные данные;
на доступ к своим персональным данным;
получать не позднее, чем за тридцать календарных дней со дня поступления запроса, кроме случаев, предусмотренных законом, ответ о том, что обрабатываются его персональные данные, а также получать содержание таких персональных данных;
предъявлять мотивированное требование владельцу персональных данных с возражением против обработки своих персональных данных;
предъявлять мотивированное требование об изменении или уничтожение своих персональных данных любым владельцем и распорядителем персональных данных, если эти данные обрабатываются незаконно или являются недостоверными;
на защиту своих персональных данных от незаконной обработки и случайной потери, уничтожения, повреждения в связи с умышленным сокрытием, не предоставлением или несвоевременным их предоставлением, а также на защиту от предоставления сведений, которые являются недостоверными или порочащих честь, достоинство и деловую репутацию физического лица;
обращаться с жалобами на обработку своих персональных данных к Уполномоченному или в суд;
применять средства правовой защиты в случае нарушения законодательства о защите персональных данных;
вносить оговорки об ограничении права на обработку своих персональных данных при предоставлении согласия;
отозвать согласие на обработку персональных данных;
знать механизм автоматической обработки персональных данных;
на защиту от автоматизированного решения, которое имеет для него правовые последствия.

Контроль над соблюдением законодательства о защите персональных данных в пределах полномочий, предусмотренных законом, осуществляют следующие органы:

Уполномоченный;
суды.

Полномочия Уполномоченного Верховной Рады Украины по правам человека в сфере защиты персональных данных (согласно Закону Украины «О защите персональных данных»):

получать предложения, жалобы и иные обращения физических и юридических лиц по вопросам защиты персональных данных и принимать решения по результатам их рассмотрения;
проводить на основании обращений или по собственной инициативе выездные и невыездные, плановые, внеплановые проверки владельцев или распорядителей персональных данных в порядке, определенном Уполномоченным, с обеспечением в соответствии с Законом доступа к помещениям, где осуществляется обработка персональных данных;
получать по свое требованию и иметь доступ к любой информации (документам) владельцев или распорядителей персональных данных, которые необходимы для осуществления контроля за обеспечением защиты персональных данных, в том числе доступ к персональным данным, соответствующих баз данных или картотек, информации с ограниченным доступом;
утверждать нормативно-правовые акты в области защиты персональных данных в случаях, предусмотренных Законом о защите персональных данных;
по итогам проверки, рассмотрения обращения выдавать обязательные для исполнения требования (предписания) о предотвращении или устранении нарушений законодательства о защите персональных данных, в том числе по изменению, удаление или уничтожение персональных данных, обеспечения доступа к ним, предоставления или запрета их предоставление третьему лицу, приостановлении или прекращении обработки персональных данных;
давать рекомендации по практическому применению законодательства о защите персональных данных, разъяснять права и обязанности соответствующих лиц по обращению субъектов персональных данных, владельцев или распорядителей персональных данных, структурных подразделений или ответственных лиц по организации работы по защите персональных данных, других лиц;
взаимодействовать со структурными подразделениями или ответственными лицами, которые в соответствии с Законом о защите персональных данных организуют работу, связанную с защитой персональных данных при их обработке; обнародовать информацию о таких структурных подразделениях и ответственных лиц;
обращаться с предложениями в Верховную Раду Украины, к Президенту Украины, в Кабинет Министров Украины, другим государственным органам, органам местного самоуправления, их должностным лицам по принятию или внесения изменений в нормативно-правовые акты по вопросам защиты персональных данных;
предоставлять по обращению профессиональных, самоуправляющихся и других общественных объединений или юридических лиц заключения по проектам кодексов поведения в сфере защиты персональных данных и изменений в них;
составлять протоколы о привлечении к административной ответственности и направлять их в суд в случаях, предусмотренных законодательством;
информировать о законодательстве по вопросам защиты персональных данных, проблемы его практического применения, права и обязанности субъектов отношений, связанных с персональными данными;
осуществлять мониторинг новых практик, тенденций и технологий защиты персональных данных;
организовывать и обеспечивать взаимодействие с иностранными субъектами отношений, связанных с персональными данными, в том числе в связи с выполнением Конвенции о защите лиц в связи с автоматизированной обработкой персональных данных и Дополнительного протокола к ней, других международных договоров Украины в сфере защиты персональных данных;
участвовать в работе международных организаций по вопросам защиты персональных данных.