Digital Report

Обзор законодательства Украины в сфере информационной безопасности: Персональные данные

Фото: Niyazz/Shutterstock.com

Обзор законодательства Украины в сфере информационной безопасности. Часть 3: Персональные данные

В 2010 году в июне в Украине был принят Закон Украины «О защите персональных данных» № 2297-VI. Месяц спустя, в июле 2010 года, Украина ратифицирует Конвенцию о защите лиц в связи с автоматизированной обработкой персональных данных путём принятия Закона Украины «О ратификации Конвенции о защите лиц в связи с автоматизированной обработкой персональных данных и Дополнительного протокола к Конвенции о защите лиц в связи с автоматизированной обработкой персональных данных относительно органов надзора и трансграничных потоков данных» № 2438-VI.

Оглавление (показать/скрыть)
Часть 1: Общий обзор законодательства Украины в сфере информационной безопасности
Часть 2: Стратегия национальной безопасности Украины
Часть 3: Персональные данные
Часть 4: Государственная тайна
Часть 5: Коммерческая тайна
Часть 6: Иные виды тайн
Часть 7: Криптография
Часть 8: Сертификация криптографии
Часть 9: Стандарты криптографической защиты
Часть 10: Техническая защита информации
Часть 11: Прослушка
Часть 12: Борьба с киберпреступностью

Оба закона вступили в силу с 01 января 2011 года.

Принятие Закона Украины «О защите персональных данных» и ратификация Конвенции  приблизили украинское общество к европейским стандартам защиты информации, а именно персональных данных, гармонизировав украинское законодательство и приведя его в соответствие с такими нормативно-правовыми актами, как:

Закон Украины «О защите персональных данных» регулирует правовые отношения, связанные с защитой и обработкой персональных данных и направлен на защиту основных прав и свобод человека и гражданина, в частности права на невмешательство в личную жизнь, в связи с обработкой персональных данных.

Данный Закон распространяется на:

Основные понятия

персональные данные — сведения или совокупность сведений о физическом лице, которое идентифицировано или может быть конкретно идентифицировано;

распорядитель персональных данных — физическое или юридическое лицо, которому владельцем персональных данных или законом предоставлено право обрабатывать эти данные от имени владельца;

владелец персональных данных — физическое или юридическое лицо, которое определяет цель обработки персональных данных, устанавливает состав этих данных и процедуры их обработки;

субъект персональных данных — физическое лицо, персональные данные которого обрабатываются;

третье лицо — любое лицо, за исключением субъекта персональных данных, владельца или распорядителя персональных данных и Уполномоченного Верховной Рады Украины по правам человека, которому владельцем или распорядителем персональных данных осуществляется передача персональных данных.

база персональных данных — именованная совокупность упорядоченных персональных данных в электронной форме и/или в форме картотек персональных данных;

картотека — любые структурированные персональные данные, доступные по определенным критериям, независимо от того, являются ли эти данные централизованные, децентрализованные или разделены по функциональным или географическим принципам;

обработка персональных данных — любое действие или совокупность действий, таких как сбор, регистрация, накопление, хранение, адаптирование, изменение, возобновление, использование и распространение (распространение, реализация, передача), обезличивание, уничтожение персональных данных, в том числе с использованием информационных (автоматизированных) систем;

согласие субъекта персональных данных — добровольное волеизъявление физического лица (при условии ее осведомленности) о предоставлении разрешения на обработку его персональных данных в соответствии со сформулированной целью их обработки, высказанное в письменной форме или в форме, что позволяет сделать вывод о предоставлении согласия. В сфере электронной коммерции согласие субъекта персональных данных может быть предоставлена при регистрации в информационно-телекоммуникационной системе субъекта электронной коммерции путем проставления отметки о предоставлении разрешения на обработку своих персональных данных в соответствии со сформулированной целью их обработки, при условии, что такая система не создает возможностей для обработки персональных данных до момента проставления отметки.

Исходя из вышеуказанного определения, согласие на обработку персональных данных может предоставляться как в письменном, так и в электронном виде.

При составлении согласия субъект персональных данных предоставляет о себе следующую информацию — ФИО, год рождения, серию и номер паспорта, кем выдан паспорт, а также адрес регистрации.

В соответствии с Законом о защите персональных данных, субъектами отношений, связанных с персональными данными, являются:

Владельцем или распорядителем персональных данных могут быть предприятия, учреждения и организации всех форм собственности, органы государственной власти или органы местного самоуправления, физические лица — предприниматели, которые обрабатывают персональные данные в соответствии с законом.

Непосредственно объектами защиты являются персональные данные.

Персональные данные могут быть отнесены к конфиденциальной информации о лице законом или соответствующим лицом. Не является конфиденциальной информацией персональные данные, касающиеся лица, занимающего должность, связанную с выполнением функций государства или органов местного самоуправления, должностных или служебных полномочий.

Общие требования к обработке персональных данных:

  1. Обработка персональных данных осуществляется открыто и прозрачно с применением средств и способом, которые отвечают определенным целям такой обработки.

В случае изменения определенной цели обработки персональных данных на новую цель, которая несовместима с предыдущей, для дальнейшей обработки данных владелец персональных данных должен получить согласие субъекта персональных данных на обработку его данных в соответствии с измененной целью.

  1. Персональные данные должны быть точными, достоверными и обновляться по мере необходимости, определенной целью их обработки.
  2. Состав и содержание персональных данных должны быть соответствующими, адекватными и не пренебрежительными относительно определенной цели их обработки.
  3. Первичными источниками сведений о физическом лице являются: выданные на его имя документы; подписанные им документы; сведения, которые лицо предоставляет о себе.
  4. Обработка персональных данных осуществляется для конкретных и законных целей, определенных по согласию субъекта персональных данных или в случаях, предусмотренных законами Украины, в порядке, установленном законодательством.
  5. Не допускается обработка данных о физическом лице, которые являются конфиденциальной информацией, без его согласия, кроме случаев, определенных законом, и только в интересах национальной безопасности, экономического благосостояния и прав человека.
  6. Если обработка персональных данных необходима для защиты жизненно важных интересов субъекта персональных данных, обрабатывать персональные данные без его согласия можно до времени, когда получение согласия станет возможным.
  7. Персональные данные обрабатываются в форме, допускающей идентификацию физического лица, которого они касаются, не дольше, чем это необходимо для законных целей, в которых они собирались или в дальнейшем обрабатывались. Дальнейшая обработка персональных данных в исторических, статистических или научных целях может осуществляться при условии обеспечения их надлежащей защиты.
  8. Типовой порядок обработки персональных данных утверждается Уполномоченным.

Права субъекта персональных данных

Личные неимущественные права на персональные данные, которые имеет каждое физическое лицо, являются неотъемлемыми и незыблемыми.

Согласно Закону о защите персональных данных субъект персональных данных наделён такими правами:

Контроль над соблюдением законодательства о защите персональных данных в пределах полномочий, предусмотренных законом, осуществляют следующие органы:

  1. Уполномоченный;
  2. суды.

Полномочия Уполномоченного Верховной Рады Украины по правам человека в сфере защиты персональных данных (согласно Закону Украины «О защите персональных данных»):

  1. получать предложения, жалобы и иные обращения физических и юридических лиц по вопросам защиты персональных данных и принимать решения по результатам их рассмотрения;
  2. проводить на основании обращений или по собственной инициативе выездные и невыездные, плановые, внеплановые проверки владельцев или распорядителей персональных данных в порядке, определенном Уполномоченным, с обеспечением в соответствии с Законом доступа к помещениям, где осуществляется обработка персональных данных;
  3. получать по свое требованию и иметь доступ к любой информации (документам) владельцев или распорядителей персональных данных, которые необходимы для осуществления контроля за обеспечением защиты персональных данных, в том числе доступ к персональным данным, соответствующих баз данных или картотек, информации с ограниченным доступом;
  4. утверждать нормативно-правовые акты в области защиты персональных данных в случаях, предусмотренных Законом о защите персональных данных;
  5. по итогам проверки, рассмотрения обращения выдавать обязательные для исполнения требования (предписания) о предотвращении или устранении нарушений законодательства о защите персональных данных, в том числе по изменению, удаление или уничтожение персональных данных, обеспечения доступа к ним, предоставления или запрета их предоставление третьему лицу, приостановлении или прекращении обработки персональных данных;
  6. давать рекомендации по практическому применению законодательства о защите персональных данных, разъяснять права и обязанности соответствующих лиц по обращению субъектов персональных данных, владельцев или распорядителей персональных данных, структурных подразделений или ответственных лиц по организации работы по защите персональных данных, других лиц;
  7. взаимодействовать со структурными подразделениями или ответственными лицами, которые в соответствии с Законом о защите персональных данных организуют работу, связанную с защитой персональных данных при их обработке; обнародовать информацию о таких структурных подразделениях и ответственных лиц;
  8. обращаться с предложениями в Верховную Раду Украины, к Президенту Украины, в Кабинет Министров Украины, другим государственным органам, органам местного самоуправления, их должностным лицам по принятию или внесения изменений в нормативно-правовые акты по вопросам защиты персональных данных;
  9. предоставлять по обращению профессиональных, самоуправляющихся и других общественных объединений или юридических лиц заключения по проектам кодексов поведения в сфере защиты персональных данных и изменений в них;
  10. составлять протоколы о привлечении к административной ответственности и направлять их в суд в случаях, предусмотренных законодательством;
  11. информировать о законодательстве по вопросам защиты персональных данных, проблемы его практического применения, права и обязанности субъектов отношений, связанных с персональными данными;
  12. осуществлять мониторинг новых практик, тенденций и технологий защиты персональных данных;
  13. организовывать и обеспечивать взаимодействие с иностранными субъектами отношений, связанных с персональными данными, в том числе в связи с выполнением Конвенции о защите лиц в связи с автоматизированной обработкой персональных данных и Дополнительного протокола к ней, других международных договоров Украины в сфере защиты персональных данных;
  14. участвовать в работе международных организаций по вопросам защиты персональных данных.

Нарушение законодательства о защите персональных данных влечет за собой административную и уголовную ответственность.

Читать далее: Часть 4: Государственная тайна

Перейти к верхней панели