Захист конфіденційної інформації - персональних даних

Деякі питання практичного застосування
Закону України «Про захист персональних даних».


  1. Правові засади захисту персональних даних.
  1.1. В 2005 році Україна ратифікувала Конвенцію 1981 року Ради Європи № 108 «Про захист осіб у зв’язку з автоматизованою обробкою персональних даних». Серед основних зобов’язань держави за даною Конвенцією є також прийняття нормативно-правових актів, які повинні сприяти захисту персональних даних. У зв’язку з цим Верховною Радою України 01.06.2010 року був прийнятий Закон України «Про захист персональних даних», який визначив:
  поняття персональних даних – це відомості чи сукупність відомостей про фізичну особу, яка ідентифікована або може бути ідентифікована (наприклад: інформація про найманого працівника є базою персональних даних, оскільки, особові справи, трудові книжки, копії паспортів, документів про освіту зберігаються та обробляються роботодавцем);
  поняття володілець бази – фізична або юридична особа, якій законом або за згодою суб’єкта персональних даних надано право на обробку цих даних, яка затверджує мету обробки персональних даних у цій базі даних, встановлює склад цих даних та процедури їх обробки, якщо інше не визначено законом;
  поняття розпорядник бази персональних даних – фізична або юридична особа, якій володільцем бази персональних даних або законом надано право обробляти ці дані;
  необхідність реєстрації бази персональних даних у Державному реєстрі баз персональних даних;
  вимоги до обробки персональних даних володільцями та розпорядниками баз персональних даних, як загальні вимоги до організаційних та технічних заходів захисту персональних даних під час їх обробки у базах персональних даних (згода суб’єкта персональних даних, порядок використання та поширення персональних даних та порядок доступу до персональних даних третіх осіб та ін.);
  необхідність контролю за додержанням законодавства про захист персональних даних;
  відповідальність за порушення законодавства про захист персональних даних.
  1.2.З. метою забезпечення виконання громадянами, органами державної влади та місцевого самоврядування, підприємствами, установами, організаціями незалежно від форм власності вимог Закону України «Про захист персональних даних» Верховною Радою України:
  - прийнято Закон України «Про внесення змін до деяких законодавчих актів України  щодо посилення відповідальності за порушення законодавства про захист персональних даних» № 3454-VI від 2 червня 2011 року;
  - внесено зміни до Кодексу України про адміністративні правопорушення.
 
   2. Реєстрація баз персональних даних.
  2. 1. База персональних даних підлягає державній реєстрації шляхом внесення відповідного запису  уповноваженим  державним органом з питань захисту персональних даних до Державного реєстру баз персональних даних.
  2.2. Реєстрація  баз  персональних  даних здійснюється за заявочним принципом шляхом повідомлення.
  2.3. Заява про реєстрацію бази персональних даних подається володільцем бази персональних даних до уповноваженого державного органу з питань захисту персональних даних.
Заява повинна містити:
  - звернення про внесення бази персональних даних до Державного реєстру баз персональних даних;
  - інформацію про володільця бази персональних даних;
  - інформацію про  найменування  і  місцезнаходження  бази персональних даних;
  - інформацію про мету обробки персональних даних  у  базі персональних даних;
  - інформацію про інших розпорядників бази персональних даних;
 - підтвердження зобов’язання щодо виконання  вимог  захисту персональних  даних,  встановлених  законодавством про захист персональних даних.
  2.4. Уповноважений  державний  орган  з  питань  захисту персональних даних у порядку, затвердженому Кабінетом Міністрів України:
  - повідомляє заявника не пізніше наступного робочого дня з дня надходження заяви про її отримання;
  - приймає рішення  про  реєстрацію бази персональних даних протягом десяти робочих днів з дня надходження заяви.
Володільцю бази  персональних  даних  видається  документ встановленого зразка про реєстрацію бази персональних даних у Державному реєстрі баз персональних даних.
  2.5. Уповноважений  державний  орган  з  питань  захисту персональних даних відмовляє в реєстрації бази персональних даних, якщо заява про реєстрацію не відповідає встановленим вимогам.
  2.6. Володілець бази персональних  даних  зобов’язаний повідомляти уповноважений державний орган з  питань  захисту персональних даних про кожну зміну відомостей, необхідних для реєстрації відповідної бази, не пізніше як протягом десяти робочих днів з дня настання такої зміни.
  2.7. Уповноважений  орган  з  питань  захисту персональних даних протягом десяти робочих днів з дня надходження повідомлення про зміну відомостей, необхідних для реєстрації відповідної бази, повинен прийняти рішення щодо зазначеної зміни та повідомити про це володільця бази персональних даних.
 
  3. Порядок обробки персональних даних у базах персональних даних.
  3.1. Порядок обробки персональних даних встановлює загальні вимоги до організаційних та технічних заходів захисту персональних даних під час їх обробки у базах персональних даних володільцями та розпорядниками баз персональних даних. Обробка персональних даних може здійснюватися повністю або частково в інформаційній (автоматизованій) системі та/або у формі картотек персональних даних.
  3.2. Захист персональних даних покладається на володільця бази персональних даних. Розпорядник бази персональних даних здійснює обробку персональних даних відповідно до закону або на підставі укладеного з володільцем бази персональних даних договору у письмовій формі з метою і в обсязі, визначеними в договорі. На дії володільця та/або розпорядника бази персональних даних поширюються усі вимоги щодо захисту персональних даних від незаконної обробки, а також від незаконного доступу до них.
  3.3. Володілець або розпорядник бази персональних даних надає суб’єкту персональних даних інформацію про мету обробки персональних даних до моменту отримання згоди від суб’єкта персональних даних.
  3.4. Володілець бази персональних даних зберігає персональні дані у строк не більше, ніж це необхідно відповідно до мети їх обробки, якщо інше не передбачено законодавством.
  3.5. Володілець бази персональних даних визначає:
  - мету обробки, склад персональних даних у базі персональних даних та її місцезнаходження;
  - порядок внесення, зміни, поновлення, використання, поширення, знеособлення, знищення персональних даних у базі персональних даних;
  - відповідальну особу або структурний підрозділ;
  - порядок захисту персональних даних, в тому числі від незаконної обробки та незаконного доступу до них.
  3.6. Відповідальна особа або структурний підрозділ відповідно до покладених завдань:
  - забезпечує ознайомлення працівників володільця та розпорядника бази персональних даних з вимогами законодавства про захист персональних даних, зокрема щодо їхнього обов’язку не допускати розголошення у будь-який спосіб персональних даних, які їм було довірено або які стали їм відомі у зв’язку з виконанням професійних, службових чи трудових обов’язків;
  - забезпечує організацію обробки персональних даних працівниками володільця та розпорядника бази персональних даних відповідно до їх професійних, службових чи трудових обов’язків в обсязі, необхідному для виконання таких обов’язків;
  - організовує роботу з обробки запитів щодо доступу до персональних даних суб’єктів відносин, пов’язаних з обробкою персональних даних;
  - забезпечує доступ суб’єктів персональних даних до власних персональних даних;
  - інформує керівника володільця та розпорядника бази персональних даних про заходи, яких необхідно вжити для приведення складу персональних даних та процедур їх обробки у відповідність до закону;
 - інформує керівника володільця та розпорядника бази персональних даних про порушення встановлених процедур з обробки персональних даних.
  3.7. Володілець бази персональних даних веде облік: фактів надання та позбавлення працівників права доступу до персональних даних та їх обробки; спроб та фактів несанкціонованих та/або незаконних дій з обробки персональних даних.
  3.8. Володілець бази персональних даних може розмежувати режими доступу працівників до обробки персональних даних у базі персональних даних відповідно до їх професійних, трудових чи службових обов’язків.
  3.9. Знищення персональних даних здійснюється у спосіб, що виключає подальшу можливість поновлення таких персональних даних.
  3.10. Володілець бази персональних даних обробляє персональні дані в складі інформаційної (автоматизованої) системи, у якій забезпечується захист персональних даних від незаконної обробки, а також від незаконного доступу до них. відповідно до вимог закону України «Про захист персональних даних» та згідно з вимогами нормативно-законодавчих актів з питань технічного захисту інформації.

  4. Забезпечення захисту персональних даних в інформаційній (автоматизованій) системі.
  4.1. Володілець бази персональних даних повинен створити умови для захисту в інформаційній (автоматизованій) системі персональних даних та забезпечити захист цих персональних даних від незаконної обробки, а також від незаконного доступу до них.
  4.2. Умови для захисту персональних даних залежать від конкретних реальних загроз, природи персональних даних, які обробляються, технології обробки інформації та типу інформаційної системи, у рамках якої обробляються персональні дані.
  4.3. Забезпечення умов для захисту в інформаційній (автоматизованій) системі персональних даних не вирішується реалізацією визначеної сукупності заходів, а є постійним процесом, який включає:
  - розробку політики захисту персональних даних від незаконної обробки, а також від незаконного доступу до них, виходячи з характеристик діяльності організації, цілей, процесів та процедур, суттєвих для управління ризиком небажаних подій щодо обробки персональних даних з урахуванням серйозності наслідків таких небажаних подій. Політика захисту персональних даних від незаконної обробки, а також від незаконного доступу до них повинна бути узгоджена з загальною політикою інформаційної безпеки організації та з контекстом стратегічного управління ризиками організації;
  - впровадження політики захисту персональних даних від незаконної обробки, а також від незаконного доступу до них та забезпечення функціонування заходів, процесів та процедур захисту персональних даних;
  - оцінювання і, за можливості, вимірювання продуктивності процесів захисту персональних даних згідно з прийнятою політикою, цілями і практичним досвідом, підготовка пропозицій щодо коригувальних заходів.
  - вживання коригувальних та запобіжних дій щодо захисту персональних даних на підставі результатів внутрішніх перевірок, періодичний перегляд політики захисту персональних даних, постійне удосконалення заходів;
  4.4. У разі, коли обробка персональних даних здійснюється в інформаційній (автоматизованій) системі, то створюється комплексна система захисту інформації відповідно до Правил забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах, затверджених Постановою Кабінету Міністрів України від 29 березня 2006 р. N 373.
   4.5. Комплексна система захисту інформації забезпечує захист персональних даних від незаконної обробки, а також від незаконного доступу до них відповідно до  плану захисту інформації в системі, який містить:
  - завдання захисту персональної інформації, класифікацію персональної інформації, опис особливостей технології обробки інформації;
  - модель загроз для персональних даних у системі;
  - вимоги щодо захисту персональних даних та правила доступу до них;
  - перелік документів, згідно з якими здійснюється захист інформації в інформаційній системі.
  4.6. Для захисту персональних даних важливо, щоб організаційні заходи та використовувані засоби захисту, що визначають рівень захисту, відповідали реальним конкретним загрозам, даним, які обробляються, та процесам обробки даних, які виконуються. Повинні братися до уваги ймовірні ризики небажаних подій та серйозність наслідків таких небажаних подій. Чим вищі ризики, тим більш суворі заходи захисту повинні бути реалізовані.
  4.7. Якщо обробка персональних даних здійснюється в інформаційній (автоматизованій) системі, у якій створюється комплексна система захисту інформації, оцінка ризиків небажаних подій для персональних даних, що обробляються в автоматизованій системі, є складовою частиною оцінки ризиків відповідно до рекомендацій згідно з нормативним документом НД ТЗІ 1.1-002-99 "Загальні положення щодо захисту інформації в комп’ютерних системах від несанкціонованого доступу". Затверджено наказом ДСТСЗІ СБ України від 28.04.1999 № 22.
  4.8. До основних факторів, які впливають на рівень захисту, що вимагається, відносяться:
  - увага, яка приділяється суспільством до оброблюваних даних;
  - рівень обізнаності персоналу Володільця та/або розпорядника бази персональних даних стосовно інформаційної безпеки, захисту персональних даних, поваги до авторських прав, тощо.
  - тип інформаційно-телекомунікаційної системи, у рамках якої обробляються персональні дані.

  5. Обробка персональних даних у формі картотек.
  5.1. Володілець бази персональних даних здійснює обробку персональних даних у картотеках у порядку, описаному у розділі 4, з урахуванням таких вимог:
  - документи, що містять персональні дані, формуються у справи залежно від мети обробки персональних даних;
  - справи з документами, що містять персональні дані, повинні мати внутрішні описи документів із зазначенням мети обробки і категорії персональних даних;
  - картотеки зберігаються у приміщеннях (шафах, сейфах), захищених від несанкціонованого доступу.
  5.2. Двері у приміщеннях (шафах, сейфах) повинні бути обладнані замком або контролем доступу.

  6. Відповідальність за порушення законодавства про захист персональних даних.
  6.1.  З метою забезпечення виконання громадянами, органами державної влади та місцевого самоврядування, підприємствами, установами, організаціями незалежно від форм власності вимог Закону України «Про захист персональних даних» Верховною Радою України 2 червня 2011 року прийнято Закон України «Про внесення змін до деяких законодавчих актів України  щодо посилення відповідальності за порушення законодавства про захист персональних даних» № 3454-VI, яким внесено зміни у Кодексі України про адміністративні правопорушення,
  6.2.  З  1 липня 2012 року за порушення у сфері захисту персональних даних на громадян, посадових осіб, громадян – суб’єктів підприємницької діяльності покладається адміністративна відповідальність.
  6.3. Адміністративна відповідальність громадян, посадових осіб, громадян – суб’єктів підприємницької діяльності може наставати за наступні види діянь:
  - неповідомлення або несвоєчасне повідомлення суб’єкта персональних даних про його права у зв’язку із включенням його персональних даних до бази персональних даних, мету збору цих даних та осіб, яким ці дані передаються, тягне за собою накладення штрафу від 3400 до 6800 грн.,
  - неповідомлення або несвоєчасне повідомлення спеціально уповноваженого центрального органу виконавчої влади з питань захисту персональних даних про зміну відомостей, що подаються для державної реєстрації бази персональних даних, тягне за собою накладення штрафу від 1700 до 6800 грн.,
  - ухилення від державної реєстрації бази персональних даних тягне за собою накладення штрафу від 5100 до 17 000 грн.,
  - недодержання встановленого законодавством про захист персональних даних порядку захисту персональних даних у базі персональних даних, що призвело до незаконного доступу до них, тягне за собою накладення штрафу від 5100 до 17 000 грн.
  6.4. Незаконне збирання, зберігання, використання, знищення, поширення конфіденційної інформації про особу або незаконна зміна такої інформації караються:
    - штрафом від 8500 до 17 000 грн. або
    - виправними роботами на строк до двох років, або
    - арештом на строк до шести місяців, або обмеженням волі на строк до трьох років.
 Ті самі дії, вчинені повторно, або якщо вони заподіяли істотну шкоду охоронюваним законом правам, свободам та інтересам особи, - караються:
    - арештом на строк від трьох до шести місяців або
    - обмеженням волі на строк від трьох до  п’яти  років,
    - позбавленням волі на той самий строк.

  7. Створення умов роботи з персональними даними на підприємстві.
  7.1. З моменту прийняття Закону України «Про внесення змін до деяких законодавчих актів України посилення відповідальності за порушення законодавства про захист персональних даних» № 3454-VI від 2 червня 2011 року норми Закону України «Про захист персональних даних» перестають бути суто декларативними, а перетворюються на дієвий правовий інструмент в руках держави так як порушення законодавства в сфері захисту персональних даних тягне за собою адміністративну або кримінальну відповідальність.
  7.2. На виконання вимог Закону України «Про захист персональних даних» та з метою недопущення правопорушень в сфері захисту персональних даних на підприємстві необхідно створити систему управління персональними даними, яка поєднає організаційні та технічні заходи щодо створення умов роботи з персональними даними.
  7.3. На етапі створення системи управління персональними даними на підприємстві необхідно здійснити такі організаційні заходи:
    - визначити мету обробки та склад персональних даних у базі персональних даних . Як правило, на підприємстві може бути три бази персональних даних – база працівників, база контрагентів (клієнтів),  база засновників,
    - розробити та затвердити Порядок обробки персональних даних у базах персональних даних підприємства,
    - призначи окрему особу або структурний підрозділ, відповідальний за відомості, що містять персональні дані, які забезпечать створення та функціонування на підприємстві комплексної системи захисту інформації в інформаційній (автоматизованій) системі від незаконної обробки та незаконного доступу, а також контроль за виконанням вимог законодавства щодо захисту персональних даних,
    - провести реєстрацію баз персональних даних, які функціонують на підприємстві, у Державному реєстрі баз персональних даних за процедурою,  що визначається Державною службою з питань захисту персональних даних,
    - забезпечити оформлення письмової згоди суб’єктів персональних даних на обробку їх персональних даних у базах персональних даних підприємства у разі створення умов щодо захисту інформації,
    - забезпечити оформлення письмового зобов’язання працівників підприємства не допускати розголошення персональних даних, які їм довірено або які стали їм відомі у зв’язку виконанням професійних та трудових відносин,
    - створити комплексну система захисту інформації, яка забезпечує захист персональних даних в інформаційній (автоматизованій) системі,
    - розробити та затвердити необхідні положення, інструкції та інші розпорядчі документи, відповідно до яких буде забезпечуватись захист персональних даних у базах персональних даних підприємства.
  7.4. Створення комплексної система захисту інформації, яка забезпечить захист персональних даних в інформаційній (автоматизованій) системі від незаконної обробки, а також від незаконного доступу до них здійснюється відповідно до Правил забезпечення захисту інформації в інформаційних, телекомунікаційних та інформаційно-телекомунікаційних системах, затверджених Постановою Кабінету Міністрів України від 29 березня 2006 р. N 373 та інших нормативно-законодавчих документів України в сфері технічного захисту інформації.