Якою датою затвердити та ввести в дію внутрішні нормативні документи товариства щодо захисту персональних даних, які регламентують порядок обробки, внесення змін до положень про відділи, посадових інструкцій, договорів, призначення відповідальних тощо, якщо заяви про реєстрацію баз персональних даних були направлені до Державної служби України з питань захисту персональних даних у грудні 2011 року, — з 1 січня 2012 року чи з 1 липня 2012 року у зв’язку з набуттям чинності Закону України «Про внесення змін до розділу II Закону України «Про внесення змін до деяких законодавчих актів України щодо посилення відповідальності за порушення законодавства про захист персональних даних» щодо перенесення терміну введення в дію» від 13 січня 2012 року № 4343-VІ? Чи може товариство у 2011 році обмежитися виданням лише наказу про реєстрацію баз персональних даних?
Відповідно до Закону України «Про захист персональних даних» від 1 червня 2010 року № 2297-IV (далі — Закон № 2297), який набув чинності 1 січня 2011 року, і Типового порядку обробки персональних даних у базах персональних даних, затвердженого наказом Міністерства юстиції України від 30 грудня 2011 року № 3659/5 (далі — Типовий порядок), захист персональних даних покладається на володільця бази персональних даних.
Відповідно до частини 1 статті 6 Закону № 2297 мета обробки персональних даних має бути сформульована в законах, інших нормативно-правових актах, положеннях, установчих чи інших документах, які регулюють діяльність володільця бази персональних даних, та відповідати законодавству про захист персональних даних.
Пунктом 1.8 Типового порядку передбачено, що володілець бази персональних даних визначає:
— мету обробки, склад персональних даних у базі персональних даних та її місцезнаходження;
— порядок внесення, зміни, поновлення, використання, поширення, знеособлення, знищення персональних даних у базі персональних даних;
— відповідальну особу або структурний підрозділ, на який покладено організацію роботи, пов’язаної із захистом персональних даних при їх обробці;
— порядок захисту персональних даних, у т. ч. від незаконної обробки та незаконного доступу до них.
З метою забезпечення виконання вимог Закону № 2297 в частині захисту персональних даних володільцям баз персональних даних потрібно:
— визначити чи створити структурний підрозділ або визначити особу для організації роботи, пов’язаної із захистом персональних даних;
— забезпечити, щоб використання персональних даних здійснювалося працівниками підприємства відповідно до їх обов’язків;
— перевірити, а за потреби — внести зміни до посадових обов’язків працівників та зобов’язати їх не допускати розголошення у будь-який спосіб персональних даних, які їм довірено або які стали відомі у зв’язку з виконанням обов’язків;
— вжити заходів щодо забезпечення захисту персональних даних від незаконної обробки або незаконного доступу до них в інформаційній системі підприємства.
Предметом контролю Державної служби України з питань захисту персональних даних є дотримання вимог законодавства про захист персональних даних суб’єктами відносин, пов’язаних із персональними даними, зокрема, щодо виконання положень Закону № 2297 та
Типового порядку, яким установлено загальні вимоги до організаційних і технічних заходів захисту персональних даних під час їх обробки у базах персональних даних володільцями та розпорядниками баз персональних даних.
З огляду на наведене вище, недоцільно пов’язувати факт реєстрації баз персональних даних з розробленням внутрішніх нормативних документів підприємства, які регламентують порядок обробки персональних даних.
«Довідник кадровика»
Олексій МЕРВІНСЬКИЙ,
голова Державної служби України з питань захисту персональних даних
