Публікації

Комплексні рішення щодо організації захисту персональних даних

 

     Ми пропонуємо послугу: «Комплексні рішення щодо організації захисту персональних даних на підприємстві, організації, установі», придбання якої дозволить Вам самостійно створити умови для опрацювання персональних даних.

     У 2005 році Україна ратифікувала Конвенцію 1981 року Ради Європи № 108 «Про захист осіб у зв’язку з автоматизованою обробкою персональних даних». Серед основних зобов’язань держави за даною Конвенцією є також прийняття нормативно-правових актів, які повинні сприяти захисту персональних даних. У зв’язку з цим Верховною Радою України 01.06.2010 року був прийнятий Закон України «Про захист персональних даних».

     З  1 липня 2012 року за порушення у сфері захисту персональних даних на громадян, посадових осіб, громадян – суб’єктів підприємницької діяльності покладається адміністративна відповідальність (штрафи від 1700 до 17000 грн., виправні роботи на строк до двох років, обмеження волі на строк до п’яти  років та позбавлення волі на той самий строк).

     Щоб убезпечити Вас від цього ми, маючи багаторічний досвід організації роботи з інформацією з обмеженим доступом, пропонуємо Вам послугу: «Комплексні рішення щодо організації захисту персональних даних на підприємстві, організації, установі». Вона дозволить Вам самостійно створити умови для опрацювання персональних даних, систему управління персональними даними на Вашому підприємстві.

     До комплекту поставки послуги: «Комплексні рішення  щодо організації захисту персональних даних на підприємстві, організації, установі» входить комплект організаційно-технічних та розпорядчих документів:

1.  Інструкція щодо організації захисту персональних даних на підприємстві, організації, установі (з додатками, які містять необхідні організаційні та розпорядчі документи, необхідні для створення системи управління персональними даними) на USB-Flash.

2. Засіб захисту інформації – система захисту інформації від несанкціонованого доступу ЛОЗА™‑1, версія 4, яка має Експертний висновок про відповідність вимогам нормативних документів системи технічного захисту інформації в Україні, зареєстрований в Адміністрації Держспецзв’язку 08.08.2014 р. за № 540, та комплект технічної документації на систему (постачається на компакт диску). Авторські права на систему ЛОЗА™-1, версія 4 належать ТОВ НДІ «Автопром».

3. Комплект документів, необхідних для впровадження комплексної системи захисту інформації (КСЗІ) в автоматизованій системі класу «1» (автономний комп’ютер) для обробки персональних даних та іншої конфіденційної інформації (АСПД). АСПД включає такі програмні продукти, як: MS Excel, MS Word, а також може включати прикладні програми, такі, як «Кадри», бухгалтерія 1С та ін. (постачається на USB-Flash).

     Одержані матеріали дозволять Вам без нашого втручання виконати такі дії:

  • Створити систему управління персональними даними.
  • Визначити перелік та структуру баз персональних даних, мету їх створення та обробки та направити до Державної служби України з питань захисту персональних даних заяву про реєстрацію баз персональних даних.
  • Розробити Положення про обробку та захист персональних даних у базах персональних даних.
  • Розробити Інструкцію щодо обробки персональних даних у картотеках і шаблони всіх супутніх документів, необхідних для організації роботи з персональними даними.
  • Затвердити Положення про обробку та захист персональних даних у базах персональних данихІнструкцію щодо обробки персональних даних у картотеках та надати доступ до персональних даних працівникам організації у межах їхніх функціональних повноважень.
  • Запровадити процедури доступу до персональних даних працівників відповідно до їхніх професійних або трудових обов’язків та надання ними зобов’язань (гарантій) щодо недопущення розголошення у будь-який спосіб персональних даних, які їм було довірено або які стали відомі у зв’язку з виконанням професійних або трудових обов’язків.
  • Оформити Згоду працівників на обробку та використання персональних даних.
  • Оформити повідомлення для кожного працівника, прийнятого на роботу, у десятиденний термін із дня оформлення особової картки (особової справи), або включення відомостей про працівника до електронної бази даних (бухгалтерська чи кадрова програма, зокрема 1С).
  • Оформити письмову згоду контрагентів–фізичних осіб на обробку та використання персональних даних у вигляді окремого документа або як складову частину Договору на надання послуги (поставки товару).
  • Для обробки персональних даних та іншої конфіденційної інформації створити комплексну систему захисту інформації в автоматизованій системі класу «1» (один комп’ютер), відповідно до вимог закону України «Про захист персональних даних» та Правил забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних  системах,  затверджених  Постановою КМУ від 29 березня 2006 р. № 373 та вимог інших законодавчих актів з питань технічного захисту інформації, на базі системи захисту інформації від несанкціонованого доступу ЛОЗА™‑1, версія 4 (до комплекту поставки входять власне засіб захисту інформації, а також організаційні та експлуатаційні документи КСЗІ), яка має Експертний висновок про відповідність вимогам нормативних документів системи технічного захисту інформації в Україні, зареєстрований в Адміністрації Держспецзв’язку 08.08.2014 р. за № 540.

     Запропоновані матеріали дозволять самостійно організувати роботу з персональними даними працівників та контрагентів на невеликих підприємствах при здійсненні ними діяльності у сфері управління кадровим потенціалом, трудових та економічних відносин, податкових відносин та відносин у сфері бухгалтерського обліку.

     ТОВ НДІ «Автопром» належить до небагатьох вітчизняних виробників засобів захисту інформації. Нами розроблені програмні засоби захисту інформації для окремого комп’ютера та локальної мережі – системи ЛОЗА™‑1 та ЛОЗА™‑2.

     Системи ЛОЗА™‑1 та ЛОЗА™‑2 використовуються в багатьох міністерствах та відомствах, зокрема, в органах внутрішніх справ, прокуратури, податкової адміністрації, Міністерства оборони, Державної прикордонної служби, в Адміністрації Президента України, Державному управлінні справами України, у Верховному та інших судах України, Міністерстві економічного розвитку і торгівлі України та інших центральних органах виконавчої влади тощо.

     Діяльність щодо розробки та впровадження комплексних систем захисту інформації здійснюється інститутом на підставі Ліцензії Адміністрації Державної Служби спеціального зв’язку та захисту інформації на надання послуг у галузі технічного захисту інформації (оцінювання захищеності інформації) за № 572268 Серія АГ від 23.09.2011 р.

     Враховуючи зазначене, сподіваємось на плідну співпрацю у галузі захисту персональних даних на Вашому підприємстві.

Розробка комплексних систем захисту інформації

Розробка, впровадження та супровід комплексних систем захисту таємної, конфіденційної та службової інформації і персональних даних в інформаційно-телекомунікаційних системах (автономний комп’ютер або локальна мережа).

 

Згідно із Законом України «Про захист інформації в інформаційно-телекомунікаційних системах» інформація, яка є власністю держави, або інформація з обмеженим доступом, вимога щодо захисту якої встановлена законом, повинна оброблятися в системі із застосуванням комплексної системи захисту інформації (КСЗІ) з підтвердженою відповідністю.

КСЗІ в ІТС – це сукупність організаційних та інженерно-технічних заходів, програмно-апаратних засобів, що забезпечують захист інформації у відповідності до нормативно-правових документів в галузі захисту інформації та дозволяють обробляти в ІТС інформацію, до якої відповідно до її призначення, правового статусу та грифу обмеження доступу висуваються вимоги щодо забезпечення її конфіденційності, цілісності та доступності в ході обробки її в ІТС.

Розробка, впровадження та супроводження комплексних систем захисту в ІТС – один із основних видів діяльності ТОВ НДІ «Автопром». Проектування КСЗІ в ІТС здійснюється як з виростанням засобів захисту інформації від несанкціонованого доступу власного виробництва Лоза™‑1 та Лоза™‑2, так і інших засобів захисту інформації, що мають відповідні експертні висновки , видані Держспецзв’язку України.

Розробка та впровадження КСЗІ в ІТС включає такі основні етапи:

  • обстеження об’єкта інформаційно-телекомунікаційної системи класу «1» (окремий комп’ютер) або класу «2» (локальна мережа) та формування акту обстеження;
  • розробка технічного завдання на КСЗІ, погодження його з Держспецзв’язку України (у разі необхідності);
  • проектування КСЗІ (розробка технічного, робочого чи техноробочого проекту);
  • розробка організаційних документів та підготовка розпорядчих документів, необхідних для створення та впровадження КСЗІ (накази, акти тощо);
  • впровадження КСЗІ (придбання та встановлення засобів захисту інформації, налагодження системи захисту інформації та проведення випробовувань, підготовка експлуатаційної документації, формуляра на АС, навчання користувачів та ін.);
  • оцінка захищеності інформації від витоку каналом ПЕМВН, розробка програми і методики випробувань КТЗІ, атестація КТЗІ у разі, коли захисту підлягає інформація 2 або 3 категорії;
  • супровід КСЗІ на етапі проведення державної експертизи.

Діяльність з технічного захисту інформації здійснюється ТОВ НДІ «Автопром» на підставі Ліцензії Адміністрації державної служби спеціального зв’язку та захисту інформації на надання послуг у галузі технічного захисту інформації (оцінювання захищеності інформації) за № 572268 Серія АГ від 23.09.2011 р.

ТОВ НДІ «Автопром» виконує роботи із створення КСЗІ в ІТС, в яких функціонує інформація, що становить державну таємницю, згідно зі Спеціальним дозволом на провадження діяльності, пов’язаної з державною таємницею від 11.03.2011 № КИ2‑2011‑24, виданим Управлінням СБУ у м. Києві.

За необхідності, фахівці ТОВ НДІ «Автопром» розробляють та впроваджують спеціалізовані комплексні системи захисту інформації, які враховують особливості роботи з даними. Такі системи впроваджені в Міністерстві економічного розвитку і торгівлі України та в Науково-дослідному економічному інституті.

Наші проекти щодо розробки та впровадження КСЗІ реалізовані в Секретаріаті Президента України, Міністерстві економічного розвитку і торгівлі України, Міністерстві аграрної політики та продовольства України, компанії «Укрнафта» та на її дочірніх підприємствах, Державній податковій адміністрації, судах України, органах прокуратури України, митницях України, аеропорту «Бориспіль», НАК «Нафтогаз України» , а також в інших органах виконавчої влади і підприємствах України.

Фахівці нашого підприємства нададуть послугу із розробки, впровадження та супроводження комплексної системи захисту інформації в ІТС, побудованій на базі одного комп’ютера або локальної мережі не тільки згідно з вимогами нормативно-законодавчих документів з питань ТЗІ, а й з урахуванням технології опрацювання даних будь-якого рівня конфіденційності, побажань замовника щодо зручностей в роботі, збереженням процесів, діючих у замовника.

За довідками та роз’ясненнями звертайтесь за телефоном: (044) 502-49-44 (Ірина Анатоліївна).

Захист конфіденційної інформації - персональних даних

Деякі питання практичного застосування
Закону України «Про захист персональних даних».


  1. Правові засади захисту персональних даних.
  1.1. В 2005 році Україна ратифікувала Конвенцію 1981 року Ради Європи № 108 «Про захист осіб у зв’язку з автоматизованою обробкою персональних даних». Серед основних зобов’язань держави за даною Конвенцією є також прийняття нормативно-правових актів, які повинні сприяти захисту персональних даних. У зв’язку з цим Верховною Радою України 01.06.2010 року був прийнятий Закон України «Про захист персональних даних», який визначив:
  поняття персональних даних – це відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути ідентифікована (наприклад: інформація про найманого працівника є базою персональних даних, оскільки, особові справи, трудові книжки, копії паспортів, документів про освіту зберігаються та обробляються роботодавцем);
  поняття володілець бази – фізична або юридична особа, якій законом або за згодою суб’єкта персональних даних надано право на обробку цих даних, яка затверджує мету обробки персональних даних у цій базі даних, встановлює склад цих даних та процедури їх обробки, якщо інше не визначено законом;
  поняття розпорядник бази персональних даних – фізична або юридична особа, якій володільцем бази персональних даних або законом надано право обробляти ці дані;
  необхідність реєстрації бази персональних даних у Державному реєстрі баз персональних даних;
  вимоги до обробки персональних даних володільцями та розпорядниками баз персональних даних, як загальні вимоги до організаційних та технічних заходів захисту персональних даних під час їх обробки у базах персональних даних (згода суб’єкта персональних даних, порядок використання та поширення персональних даних та порядок доступу до персональних даних третіх осіб та ін.);
  необхідність контролю за додержанням законодавства про захист персональних даних;
  відповідальність за порушення законодавства про захист персональних даних.
  1.2.З. метою забезпечення виконання громадянами, органами державної влади та місцевого самоврядування, підприємствами, установами, організаціями незалежно від форм власності вимог Закону України «Про захист персональних даних» Верховною Радою України:
  - прийнято Закон України «Про внесення змін до деяких законодавчих актів України  щодо посилення відповідальності за порушення законодавства про захист персональних даних» № 3454-VI від 2 червня 2011 року;
  - внесено зміни до Кодексу України про адміністративні правопорушення.
 
   2. Реєстрація баз персональних даних.
  2. 1. База персональних даних підлягає державній реєстрації шляхом внесення відповідного запису  уповноваженим  державним органом з питань захисту персональних даних до Державного реєстру баз персональних даних.
  2.2. Реєстрація  баз  персональних  даних здійснюється за заявочним принципом шляхом повідомлення.
  2.3. Заява про реєстрацію бази персональних даних подається володільцем бази персональних даних до уповноваженого державного органу з питань захисту персональних даних.
Заява повинна містити:
  - звернення про внесення бази персональних даних до Державного реєстру баз персональних даних;
  - інформацію про володільця бази персональних даних;
  - інформацію про  найменування  і  місцезнаходження  бази персональних даних;
  - інформацію про мету обробки персональних даних  у  базі персональних даних;
  - інформацію про інших розпорядників бази персональних даних;
 - підтвердження зобов’язання щодо виконання  вимог  захисту персональних  даних,  встановлених  законодавством про захист персональних даних.
  2.4. Уповноважений  державний  орган  з  питань  захисту персональних даних у порядку, затвердженому Кабінетом Міністрів України:
  - повідомляє заявника не пізніше наступного робочого дня з дня надходження заяви про її отримання;
  - приймає рішення  про  реєстрацію бази персональних даних протягом десяти робочих днів з дня надходження заяви.
Володільцю бази  персональних  даних  видається  документ встановленого зразка про реєстрацію бази персональних даних у Державному реєстрі баз персональних даних.
  2.5. Уповноважений  державний  орган  з  питань  захисту персональних даних відмовляє в реєстрації бази персональних даних, якщо заява про реєстрацію не відповідає встановленим вимогам.
  2.6. Володілець бази персональних  даних  зобов’язаний повідомляти уповноважений державний орган з  питань  захисту персональних даних про кожну зміну відомостей, необхідних для реєстрації відповідної бази, не пізніше як протягом десяти робочих днів з дня настання такої зміни.
  2.7. Уповноважений  орган  з  питань  захисту персональних даних протягом десяти робочих днів з дня надходження повідомлення про зміну відомостей, необхідних для реєстрації відповідної бази, повинен прийняти рішення щодо зазначеної зміни та повідомити про це володільця бази персональних даних.
 
  3. Порядок обробки персональних даних у базах персональних даних.
  3.1. Порядок обробки персональних даних встановлює загальні вимоги до організаційних та технічних заходів захисту персональних даних під час їх обробки у базах персональних даних володільцями та розпорядниками баз персональних даних. Обробка персональних даних може здійснюватися повністю або частково в інформаційній (автоматизованій) системі та/або у формі картотек персональних даних.
  3.2. Захист персональних даних покладається на володільця бази персональних даних. Розпорядник бази персональних даних здійснює обробку персональних даних відповідно до закону або на підставі укладеного з володільцем бази персональних даних договору у письмовій формі з метою і в обсязі, визначеними в договорі. На дії володільця та/або розпорядника бази персональних даних поширюються усі вимоги щодо захисту персональних даних від незаконної обробки, а також від незаконного доступу до них.
  3.3. Володілець або розпорядник бази персональних даних надає суб’єкту персональних даних інформацію про мету обробки персональних даних до моменту отримання згоди від суб’єкта персональних даних.
  3.4. Володілець бази персональних даних зберігає персональні дані у строк не більше, ніж це необхідно відповідно до мети їх обробки, якщо інше не передбачено законодавством.
  3.5. Володілець бази персональних даних визначає:
  - мету обробки, склад персональних даних у базі персональних даних та її місцезнаходження;
  - порядок внесення, зміни, поновлення, використання, поширення, знеособлення, знищення персональних даних у базі персональних даних;
  - відповідальну особу або структурний підрозділ;
  - порядок захисту персональних даних, в тому числі від незаконної обробки та незаконного доступу до них.
  3.6. Відповідальна особа або структурний підрозділ відповідно до покладених завдань:
  - забезпечує ознайомлення працівників володільця та розпорядника бази персональних даних з вимогами законодавства про захист персональних даних, зокрема щодо їхнього обов’язку не допускати розголошення у будь-який спосіб персональних даних, які їм було довірено або які стали їм відомі у зв’язку з виконанням професійних, службових чи трудових обов’язків;
  - забезпечує організацію обробки персональних даних працівниками володільця та розпорядника бази персональних даних відповідно до їх професійних, службових чи трудових обов’язків в обсязі, необхідному для виконання таких обов’язків;
  - організовує роботу з обробки запитів щодо доступу до персональних даних суб’єктів відносин, пов’язаних з обробкою персональних даних;
  - забезпечує доступ суб’єктів персональних даних до власних персональних даних;
  - інформує керівника володільця та розпорядника бази персональних даних про заходи, яких необхідно вжити для приведення складу персональних даних та процедур їх обробки у відповідність до закону;
 - інформує керівника володільця та розпорядника бази персональних даних про порушення встановлених процедур з обробки персональних даних.
  3.7. Володілець бази персональних даних веде облік: фактів надання та позбавлення працівників права доступу до персональних даних та їх обробки; спроб та фактів несанкціонованих та/або незаконних дій з обробки персональних даних.
  3.8. Володілець бази персональних даних може розмежувати режими доступу працівників до обробки персональних даних у базі персональних даних відповідно до їх професійних, трудових чи службових обов’язків.
  3.9. Знищення персональних даних здійснюється у спосіб, що виключає подальшу можливість поновлення таких персональних даних.
  3.10. Володілець бази персональних даних обробляє персональні дані в складі інформаційної (автоматизованої) системи, у якій забезпечується захист персональних даних від незаконної обробки, а також від незаконного доступу до них. відповідно до вимог закону України «Про захист персональних даних» та згідно з вимогами нормативно-законодавчих актів з питань технічного захисту інформації.

  4. Забезпечення захисту персональних даних в інформаційній (автоматизованій) системі.
  4.1. Володілець бази персональних даних повинен створити умови для захисту в інформаційній (автоматизованій) системі персональних даних та забезпечити захист цих персональних даних від незаконної обробки, а також від незаконного доступу до них.
  4.2. Умови для захисту персональних даних залежать від конкретних реальних загроз, природи персональних даних, які обробляються, технології обробки інформації та типу інформаційної системи, у рамках якої обробляються персональні дані.
  4.3. Забезпечення умов для захисту в інформаційній (автоматизованій) системі персональних даних не вирішується реалізацією визначеної сукупності заходів, а є постійним процесом, який включає:
  - розробку політики захисту персональних даних від незаконної обробки, а також від незаконного доступу до них, виходячи з характеристик діяльності організації, цілей, процесів та процедур, суттєвих для управління ризиком небажаних подій щодо обробки персональних даних з урахуванням серйозності наслідків таких небажаних подій. Політика захисту персональних даних від незаконної обробки, а також від незаконного доступу до них повинна бути узгоджена з загальною політикою інформаційної безпеки організації та з контекстом стратегічного управління ризиками організації;
  - впровадження політики захисту персональних даних від незаконної обробки, а також від незаконного доступу до них та забезпечення функціонування заходів, процесів та процедур захисту персональних даних;
  - оцінювання і, за можливості, вимірювання продуктивності процесів захисту персональних даних згідно з прийнятою політикою, цілями і практичним досвідом, підготовка пропозицій щодо коригувальних заходів.
  - вживання коригувальних та запобіжних дій щодо захисту персональних даних на підставі результатів внутрішніх перевірок, періодичний перегляд політики захисту персональних даних, постійне удосконалення заходів;
  4.4. У разі, коли обробка персональних даних здійснюється в інформаційній (автоматизованій) системі, то створюється комплексна система захисту інформації відповідно до Правил забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах, затверджених Постановою Кабінету Міністрів України від 29 березня 2006 р. N 373.
   4.5. Комплексна система захисту інформації забезпечує захист персональних даних від незаконної обробки, а також від незаконного доступу до них відповідно до  плану захисту інформації в системі, який містить:
  - завдання захисту персональної інформації, класифікацію персональної інформації, опис особливостей технології обробки інформації;
  - модель загроз для персональних даних у системі;
  - вимоги щодо захисту персональних даних та правила доступу до них;
  - перелік документів, згідно з якими здійснюється захист інформації в інформаційній системі.
  4.6. Для захисту персональних даних важливо, щоб організаційні заходи та використовувані засоби захисту, що визначають рівень захисту, відповідали реальним конкретним загрозам, даним, які обробляються, та процесам обробки даних, які виконуються. Повинні братися до уваги ймовірні ризики небажаних подій та серйозність наслідків таких небажаних подій. Чим вищі ризики, тим більш суворі заходи захисту повинні бути реалізовані.
  4.7. Якщо обробка персональних даних здійснюється в інформаційній (автоматизованій) системі, у якій створюється комплексна система захисту інформації, оцінка ризиків небажаних подій для персональних даних, що обробляються в автоматизованій системі, є складовою частиною оцінки ризиків відповідно до рекомендацій згідно з нормативним документом НД ТЗІ 1.1-002-99 "Загальні положення щодо захисту інформації в комп’ютерних системах від несанкціонованого доступу". Затверджено наказом ДСТСЗІ СБ України від 28.04.1999 № 22.
  4.8. До основних факторів, які впливають на рівень захисту, що вимагається, відносяться:
  - увага, яка приділяється суспільством до оброблюваних даних;
  - рівень обізнаності персоналу Володільця та/або розпорядника бази персональних даних стосовно інформаційної безпеки, захисту персональних даних, поваги до авторських прав, тощо.
  - тип інформаційно-телекомунікаційної системи, у рамках якої обробляються персональні дані.

  5. Обробка персональних даних у формі картотек.
  5.1. Володілець бази персональних даних здійснює обробку персональних даних у картотеках у порядку, описаному у розділі 4, з урахуванням таких вимог:
  - документи, що містять персональні дані, формуються у справи залежно від мети обробки персональних даних;
  - справи з документами, що містять персональні дані, повинні мати внутрішні описи документів із зазначенням мети обробки і категорії персональних даних;
  - картотеки зберігаються у приміщеннях (шафах, сейфах), захищених від несанкціонованого доступу.
  5.2. Двері у приміщеннях (шафах, сейфах) повинні бути обладнані замком або контролем доступу.

  6. Відповідальність за порушення законодавства про захист персональних даних.
  6.1.  З метою забезпечення виконання громадянами, органами державної влади та місцевого самоврядування, підприємствами, установами, організаціями незалежно від форм власності вимог Закону України «Про захист персональних даних» Верховною Радою України 2 червня 2011 року прийнято Закон України «Про внесення змін до деяких законодавчих актів України  щодо посилення відповідальності за порушення законодавства про захист персональних даних» № 3454-VI, яким внесено зміни у Кодексі України про адміністративні правопорушення,
  6.2.  З  1 липня 2012 року за порушення у сфері захисту персональних даних на громадян, посадових осіб, громадян – суб’єктів підприємницької діяльності покладається адміністративна відповідальність.
  6.3. Адміністративна відповідальність громадян, посадових осіб, громадян – суб’єктів підприємницької діяльності може наставати за наступні види діянь:
  - неповідомлення або несвоєчасне повідомлення суб’єкта персональних даних про його права у зв’язку із включенням його персональних даних до бази персональних даних, мету збору цих даних та осіб, яким ці дані передаються, тягне за собою накладення штрафу від 3400 до 6800 грн.,
  - неповідомлення або несвоєчасне повідомлення спеціально уповноваженого центрального органу виконавчої влади з питань захисту персональних даних про зміну відомостей, що подаються для державної реєстрації бази персональних даних, тягне за собою накладення штрафу від 1700 до 6800 грн.,
  - ухилення від державної реєстрації бази персональних даних тягне за собою накладення штрафу від 5100 до 17 000 грн.,
  - недодержання встановленого законодавством про захист персональних даних порядку захисту персональних даних у базі персональних даних, що призвело до незаконного доступу до них, тягне за собою накладення штрафу від 5100 до 17 000 грн.
  6.4. Незаконне збирання, зберігання, використання, знищення, поширення конфіденційної інформації про особу або незаконна зміна такої інформації караються:
    - штрафом від 8500 до 17 000 грн. або
    - виправними роботами на строк до двох років, або
    - арештом на строк до шести місяців, або обмеженням волі на строк до трьох років.
 Ті самі дії, вчинені повторно, або якщо вони заподіяли істотну шкоду охоронюваним законом правам, свободам та інтересам особи, - караються:
    - арештом на строк від трьох до шести місяців або
    - обмеженням волі на строк від трьох до  п’яти  років,
    - позбавленням волі на той самий строк.

  7. Створення умов роботи з персональними даними на підприємстві.
  7.1. З моменту прийняття Закону України «Про внесення змін до деяких законодавчих актів України посилення відповідальності за порушення законодавства про захист персональних даних» № 3454-VI від 2 червня 2011 року норми Закону України «Про захист персональних даних» перестають бути суто декларативними, а перетворюються на дієвий правовий інструмент в руках держави так як порушення законодавства в сфері захисту персональних даних тягне за собою адміністративну або кримінальну відповідальність.
  7.2. На виконання вимог Закону України «Про захист персональних даних» та з метою недопущення правопорушень в сфері захисту персональних даних на підприємстві необхідно створити систему управління персональними даними, яка поєднає організаційні та технічні заходи щодо створення умов роботи з персональними даними.
  7.3. На етапі створення системи управління персональними даними на підприємстві необхідно здійснити такі організаційні заходи:
    - визначити мету обробки та склад персональних даних у базі персональних даних . Як правило, на підприємстві може бути три бази персональних даних – база працівників, база контрагентів (клієнтів),  база засновників,
    - розробити та затвердити Порядок обробки персональних даних у базах персональних даних підприємства,
    - призначи окрему особу або структурний підрозділ, відповідальний за відомості, що містять персональні дані, які забезпечать створення та функціонування на підприємстві комплексної системи захисту інформації в інформаційній (автоматизованій) системі від незаконної обробки та незаконного доступу, а також контроль за виконанням вимог законодавства щодо захисту персональних даних,
    - провести реєстрацію баз персональних даних, які функціонують на підприємстві, у Державному реєстрі баз персональних даних за процедурою,  що визначається Державною службою з питань захисту персональних даних,
    - забезпечити оформлення письмової згоди суб’єктів персональних даних на обробку їх персональних даних у базах персональних даних підприємства у разі створення умов щодо захисту інформації,
    - забезпечити оформлення письмового зобов’язання працівників підприємства не допускати розголошення персональних даних, які їм довірено або які стали їм відомі у зв’язку виконанням професійних та трудових відносин,
    - створити комплексну система захисту інформації, яка забезпечує захист персональних даних в інформаційній (автоматизованій) системі,
    - розробити та затвердити необхідні положення, інструкції та інші розпорядчі документи, відповідно до яких буде забезпечуватись захист персональних даних у базах персональних даних підприємства.
  7.4. Створення комплексної система захисту інформації, яка забезпечить захист персональних даних в інформаційній (автоматизованій) системі від незаконної обробки, а також від незаконного доступу до них здійснюється відповідно до Правил забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах, затверджених Постановою Кабінету Міністрів України від 29 березня 2006 р. N 373 та інших нормативно-законодавчих документів України в сфері технічного захисту інформації.

Subscribe to Front page feed