Рекламу показываем только НЕзарегистрированным пользователям. Войдите или зарегистрируйтесь на Бухфоруме
    .

Базы персональных данных

новости законодательства для бухгалтера и предпринимателя, события, акции

Модераторы: Чихуа, vins

Правила форума
Раздел: НОВОСТИ
1. Размещая новости, желательно (но не обязательно) снабжать их собственными комментариями.
2. Новости должны корреспондировать с тематикой форума.

UNREAD_POST Одуванчик » 27 янв 2012, 15:12

Госслужба: Письма с заявлениями по базам данных приходят мешками





Печать
12 комментариев





Лилия Олексюк: "Штрафов, о которых сегодня так часто говорят, бояться не нужно"

16.01.2012 07:20

Замглавы Госслужбы по защите персональных данных рассказала о том, как будут проводиться проверки и почему не нужно думать о штрафах

С января вступил в силу закон, вводящий наказания за нарушения в сфере персональных данных (ПД). Это вызвало ажиотаж среди предпринимателей, которые еще не успели зарегистрировать свои базы. Буквально на днях парламент отсрочил его действие до июля этого года.

О том, когда начнутся проверки, стоит ли бояться штрафов и как правильно выполнять требования Закона о защите персональных данных, редакции ЛІГАБізнесІнформ рассказала первый заместитель главы Государственной службы по вопросам защиты персональных данных Лилия Олексюк.

ШТРАФОВ БОЯТЬСЯ НЕ НУЖНО

- Парламент на днях принял закон, который отсрочит санкции за нарушение Закона о персональных данных до 1 июля. Как служба оценивает данную инициативу?

- Такой проект есть, но не могу сказать, что у него хорошие перспективы. Позиция службы по этому поводу такова: мы не "за" и не "против". Почему? Потому что, с одной стороны, мы "за" снять негатив в бизнес-среде, пускай даже и через перенос сроков. С другой стороны, мы "против", поскольку перенос даты уже ничего не изменит.

Хотела бы отметить, что уголовная ответственность за нарушения в сфере персональных данных - это не новая, а видоизмененная старая статья кодекса. И та редакция, которая была в Уголовном кодексе - жестче, чем в указанном вами законе. Соответственно, если отсрочить вступление санкций в силу, старые статьи УК, которыми занимается не Госслужба, а СБУ, прокуратура, милиция, получают механизм привлечения к ответственности. А админответственности, штрафов, о которых сегодня так часто говорят, бояться не нужно. Может пройти до года, прежде чем будет определен штраф.


Письма почта доставляет мешками. Сегодня мы еще получаем те заявления, которые были составлены в декабре

Самый удачный аргумент - наша статистика. В июле прошлого года, с начала регистрации баз ПД, было подано 18 заявлений, в августе - 144, в сентябре – 248, в октябре – 452, в ноябре – 12,272 тыс. и в декабре – более 400 тыс. Письма с заявлениями почта сейчас доставляет мешками, и на сегодня мы еще получаем те заявления, которые были составлены в декабре. То есть, вы понимаете, если отсрочить штрафы, юрлица начнут активно регистрировать базы ровно за месяц до нового срока.

Я не знаю, почему именно эти законы вызвали в нашей юридической среде такое возбуждение. Закон с января вступил в силу, штрафы уже действуют, скажите, кто-нибудь уже был оштрафован?

- Расскажите подробнее: когда и как будут проводиться проверки?

- Буквально на днях мы обсуждали этот вопрос с юристами. На сегодня порядок контроля, который уже прошел стадию общественного обсуждения, уже передан в Минюст, министерство где-то в течение месяца будет его рассматривать, потом зарегистрирует и опубликует. Кроме этого, должен быть нормативный документ, определяющий критерии, по которым организации попадают в график проверок (в первую очередь, это будут те юрлица, на которые чаще всего подают жалобы, это как правило, коллекторские компании, телеком-операторы и предприятия ЖКХ).

Мы не будем выходить на проверки, пока не будет порядка контроля, ведь каждая из таких проверок может быть обжалована в суде. Поэтому проверки планировались не ранее II квартала этого года.





- Вы ранее говорили о том, что будет составляться график проверок…

- Да. Сама процедура проверки будет определяться уже упомянутым порядком контроля. Информация обо всех проверках не позднее, чем за 30 дней будет публиковаться на нашем сайте. Анализ документов предприятия при проверке будет проводиться, начиная с устава предприятия, где должна быть обоснована законность обработки ПД, и заканчивая согласиями субъектов ПД, в которых, в том числе, должна быть обязательно отражена возможность передачи этих данных третьим лицам.
По результатам проверки мы даем предписание, в котором отображается, например: 1) необходимость оформить письменные согласия граждан в соответствии с тем, как их данные использует предприятие; 2) анализ положения об обработке ПД, которое должно быть у каждого юрлица.

Если на протяжении какого-то срока, - это не будет 5-10 дней, а скорее 1-3 месяца - организация не учла наших замечаний, мы это проверяем, составляем акт, заводим дело, передаем его в суд.



Проверки планируются не ранее II квартала этого года... Никаких совместных проверок с налоговой не будет
Но очень важно подчеркнуть: задача не стоит штрафовать кого угодно и как угодно. Задача в том, чтобы реализовать нормы Закона о защите персональных данных, рассказать, показать и объяснить, как это должно работать. По моему личному мнению, до того как это полноценно заработает, пройдет не менее года, а возможно и 2-3 года. И когда все процессы будут понятны и очевидны, можно будет применять административную и уголовную ответственность.

- Будут ли проверки как-то координироваться с силовыми структурами, налоговиками?

- Нет! Я вам ответственно заявляю: никаких проверок вместе с налоговой не будет. Мы работаем отдельно, они - отдельно.

ЮРИСТЫ ДОЛЖНЫ УБЕЖДАТЬ, ЧТО ЗАЩИТА ПД – ЭТО НОРМАЛЬНО

- Касательно определений "персональных данных" и "баз персональных данных", вопросы у предпринимателей все еще возникают. Вы не могли бы окончательно прояснить этот момент?


- Дело в том, что наше юридическое сообщество очень много усилий прилагает к тому, чтобы избежать чего-либо, вместо того, чтобы попытаться выполнить нормы закона. В заявлении на регистрацию баз самое главное - кто и как собирает данные. Никто не проверяет название или количество баз данных, это определяет сама компания или организация.

То, на что действительно нужно обращать внимание в этом документе, - это пункт "подтверждаю обязательства по требованиям законодательства по защите персональных данных". То есть каждый, кто подал заявление, фактически задекларировал, что все имеющиеся у него ПД хранятся и обрабатываются в соответствии с законом, постановлением Кабмина, типовым порядком обработки. И юристы, в первую очередь, должны убеждать работодателей в том, что защита ПД - это нормально, в этом есть необходимость, определить порядок обработки данных, кто и когда имеет к ним доступ и так далее.
- А типовой порядок обработки ПД в базах - это уже готовый документ?

- Да, 3-го января он был зарегистрирован в Минюсте и скоро появится на сайте. По образцу этого документа различные отрасли могут создавать свои нормативы. Ведь в законе не дается классификация типов данных, минимально необходимых для понятия "персональные данные", потому что для каждой отрасли это будут свои данные. В медицине - результаты анализов, истории болезни пациентов. У интернет-провайдеров персональными данными может считаться даже IP, в школах - это ФИО ученика и имена родителей. В большинстве своем уже не вызывает сомнений то, что персональные данные - это любые данные о физлице. И на их обработку в коммерческих целях необходимо согласие.

- Будут ли в обозримом будущем меняться нормы закона о защите ПД и санкции за его нарушения?

- Европейская конвенция ратифицирована 6 июля 2010 года (Конвенция Совета Европы о защите лиц в связи с автоматизированной обработкой персональных данных и Дополнительный протокол к ней по органам надзора и трансграничных потоков данных - ред.), и Европа на сегодня уже пересматривает и усиливает защиту ПД. Соответственно, будет меняться и наше законодательство. На сегодня правительство поставило перед нами задачу к марту переписать закон, привести в соответствие с действующим законодательством. Но термины "персональные данные" и "базы персональных данных" меняться не будут.


Европа не передаст нам персональные данные, если мы не подтвердим свои обязательства... Например, информацию об агрессивных фанатах

Например, мы будем работать над трансграничной передачей данных, это интересный вопрос, который нашим законом пока не урегулирован. Будем определять, как наш орган будет давать согласие на трансграничную передачу, какие документы необходимо собрать, чтобы получить такое согласие и т.д.

Почему был назначен такой граничный срок - потому что мы приближаемся к Евро-2012. Это, в первую очередь, толпы фанатов, которые сюда приедут. А Европа просто не передаст нам персональных данных своих граждан, если мы не подтвердим взятые на себя обязательства.

- Речь идет о так называемых "ультрас"?

- И о них тоже. Например, чтобы предотвратить конфликты во время чемпионата, важно будет получить информацию об агрессивных болельщиках, приезжающих в Украину. Наиболее опасным фанатам смогут отказать в получении визы на этом основании.

КАК ПОЛУЧИТЬ СОГЛАСИЕ

- Множество вопросов вызывает требование письменного согласия субъекта ПД на обработку его данных владельцем базы данных. Расскажите о наиболее частых нарушениях в этой сфере и о том, как правильно организовывать этот процесс. Например, интернет-компаниям сложно будет общаться со своими клиентами через почту. И как поступать, если данные собираются опосредованно, по телефону или в интернете?


- Данные, найденные в интернете - открытые, по закону вы имеете право их собирать, если потом сможете это подтвердить и указать источник. Как подтверждать согласие пользователя по телефону - над этим должны думать отраслевые организации, например, рекламисты, маркетологи. Возможно, это удорожит бизнес, но других вариантов нет, закон нужно соблюдать.

Как подтверждать согласие пользователя по телефону - над этим должны думать отраслевые организации

Общественный совет при нашей службе недавно поделился на группы, которые для каждой отрасли подготовят документы, описывающие такие нюансы. Мы можем проверить эти документы на соответствие закону, но в любом случае, ответственность за нарушения будет нести отрасль.

Пример неправильного оформления согласия пользователя подают наши телеком-провайдеры. У нас собрались жалобы на Укртелеком, Волю. Это, к примеру, может быть счет, на котором написано: "Оплатой данного счета вы подтверждаете свое согласие на обработку ваших ПД". Или объявление: "Если вы не придете в офис компании и не подпишете согласие, мы разорвем с вами договор". Так не годится. В данном случае нужно перезаключить с пользователем договор, где отдельным пунктом будет расписано, кто, как и зачем обрабатывает данные пользователя, передает ли их третьим лицам и т.д.

Могу показать анкету на получение скидочной карты одной из наших розничных сетей. Это - образцово оформленное согласие. Эта сеть еще летом прошлого года объявила, что меняет бумажные карты на красивые пластиковые, и в анкете на обратной стороне указала: цель сбора и обработки данных, кому будет предоставлен доступ, информацию о контактном лице в сети по вопросам ПД, возможность отозвать свои ПД и т.д. Под анкетой стоит дата и подпись клиента. Причем согласие получено еще в августе прошлого года.
- А в случае с веб-ресурсами как получать согласие? Например, как можно оформить согласие интернет-магазину?

- Согласно нормам Типового порядка обработки, в составе информационной системы, в которой обрабатываются персональные данные, может совершаться регистрация, в частности, факта установки признака "Подтверждение предоставления согласия на обработку персональных данных в базе персональных данных" с помощью управляющих элементов веб-ресурсов, интерфейсов пользователя программного обеспечения.

Это значит, что на веб-странице должен быть вменяемый и читабельный текст, под которым пользователь может поставить галочку. Еще лучше - если будет предусмотрена возможность для пользователя распечатать этот документ и оставить себе. Пользователь должен четко понимать, на что он соглашается.

- То есть, галочки достаточно?

- С точки зрения закона – нет, но никто не будет к этому придираться. Идеальным вариантом была бы, конечно электронная цифровая подпись (ЭЦП), поскольку письменный договор в электронной форме, по нашему законодательству, должен заверяться ЭЦП. При этом, учитывая, из 1,5 млн. ЧП большинство сдают отчетность в налоговую в электронном виде, значит, подпись у них уже есть.


На веб-странице должен быть вменяемый текст, под которым пользователь может поставить галочку. Еще лучше - если можно будет распечатать этот документ

Беда нашей страны в том, что у нас к интернету имеет доступ только 30% населения. Если бы проникновение было до 70%, как в странах ЕС, тогда, думаю, ЭЦП пользовались бы намного чаще.

- Можете описать идеальный с точки зрения закона механизм получения согласия от пользователя для веб-ресурса?

- В интернет-магазине это может быть текст, оформленный подобно лицензионному соглашению, которое вы читаете при установке ПО. Пока вы ее не прочитали и не отметили свое согласие, вы установку продолжить не можете. В этом документе должны быть учтены все пункты, указанные в законе: какие конкретно данные нужны, для каких целей, будет ли передача третьим лицам и т.д. А так же должна быть возможность высказать свои замечания по поводу использования данных.

Идеальным вариантом было бы хранить такие документы в электронном виде на протяжении времени между проверками. Скорее всего, проверки будут проводиться не чаще, чем раз в три года.

- Соцсети также попадают под действие закона?

- Любой интернет-ресурс – это автоматизированная система, а значит, попадает под нормы закона. Самые популярные сети у нас все равно российские, и им нужно думать, как соблюдать российский закон. В Одноклассниках, например, есть возможность открыть свои данные только друзьям или сделать публичными, подобные опции есть и в других сетях. Это правильно с точки зрения законодательства.

ЧИСЛО БАЗ ДАННЫХ ПРЕВЫСИТ ЧЕТЫРЕ МИЛЛИОНА

- Возвратимся к основному вопросу: как определить, что данный набор сведений является базой персональных данных?

- Компания сама определяет, база это или нет. Базой может считаться и информация об одном лице, обрабатываемая с коммерческой целью. У нее должно быть три признака: 1) коммерческая цель обработки (например, база клиентов), 2) данные собраны вместе, 3) содержат персональные данные физлиц, достаточные для идентификации – например, имена, телефоны, адреса, фотографии.


Мы проводили, подсчеты, будет зарегистрировано минимум 4,5 млн. баз персональных данных

Советы юристов по поводу того, что, мол, можно разложить папки с базой клиентов по различным кабинетам - бессмысленны. Все равно это единая база, поскольку проклассифицирована по одному признаку.

- Как определить, сколько баз обрабатывает предприятие? Ведь, например, одну базу может использовать несколько отделов?

- В таком случае, это одна база. Критерии для определения - совокупность данных (данные проклассифицированы по одному признаку) и единая цель обработки.

- А если в заявлении была указана одна база, а в ходе проверки служба обнаруживает, что баз на самом деле несколько?

- В первую очередь, проверяется цель обработки данных в той базе, которую вы указали в заявлении. Эта цель должна содержаться в уставе компании и в порядке обработки ПД на предприятии. Если вы в цели обработки перечислили десятки вариантов использования таких данных - это одна база. Далее, будет проверяться то, как вы используете данные: с правом передачи третьим лицам или без, имеются ли согласия субъектов ПД на обработку их данных.

- А если будет очевидно по профилю деятельности компании, что кроме задекларированной базы кадров у нее должна быть как минимум база клиентов, такие случаи будете проверять?

- Да. Почему у службы есть полномочия доступа в любые помещения? Для того, чтобы мы убедились, что никаких других данных, кроме указанных, компания не собирает. Допустим, они указали, что есть база сотрудников, а мы в процессе проверки увидели, что хранятся еще чьи-то персональные данные. Законность обработки данных - это первое, над чем должен был задуматься бизнес, а не о штрафах или о заявлениях на регистрацию.

- Есть ли приблизительные оценки того количества баз, которое будет зарегистрировано?

- Мы проводили такие подсчеты - это будет минимум 4,5 млн. Хотелось бы также сразу подчеркнуть: у нас не будет никаких приоритетов между государственными и частными структурами. Единственный приоритет – количество поступающих обоснованных жалоб от населения.

- Сейчас есть очередь на регистрацию? Вы, насколько я поняла, обрабатываете сейчас еще декабрьские заявки?
- Сейчас обрабатывается ноябрь, почта привозит нам заявления мешками. У нас сейчас пятеро регистраторов в штате, количество штатных сотрудников - регистраторов и контролеров будет расширяться.
После принятия изменений в госбюджет штат вырастет втрое, то есть, будет где-то около 30 регистраторов и 25 контролеров, по количеству регионов.

- Какие самые распространенные ошибки при заполнении заявлений на регистрацию?

- Гражданам часто в заполнении "помогают" юристы, причем услуга по заполнению одного заявления может стоить около 500 грн. Такие заявки заполняются одинаковым неразборчивым почерком, и мы их, конечно, возвращаем, потому что прочесть текст невозможно.



Гражданам часто в заполнении заявления "помогают" юристы, причем услуга может стоить около 500 грн.

Паника перед Новым годом вообще не способствовала правильному заполнению заявлений. В декабре предприниматели заполняли бумаги на коленях, по периметру нашего здания. Естественно, забывали указать, например, наименование владельца, адрес, по которому находится база. Так что сначала было до 30% отказов в регистрации.

- Если берем идеальный случай: что должно сделать предприятие с двумя основными базами (сотрудников и клиентов), чтобы полностью выполнить требования закона?

- Проанализировать, обрабатываются ли персональные данные, определить базы;
- Отказаться от обработки ненужных данных;
- Взять согласие субъектов ПД, сообщить о включении в базу на протяжении 10-ти дней;
- Привести свою документацию в соответствие с законом: посмотреть, какие данные обрабатываются на основании разрешения, данного законами Украины (например Налоговым кодексом, КЗоТ и т.д.), а какие - нет, и в случае, если нет законных оснований, внести изменения в уставные документы. Также - написать порядок обработки ПД на предприятии;
- Определить ответственное лицо, проверить мероприятия по защите ПД.
- Написать заявление и подать его на регистрацию в Госслужбу.
- Периодически добирать согласия тех субъектов, ПД которых поступают в базу. Ничего страшного, если было подано заявление, а эти этапы еще не пройдены, Главное – начать работать в этом направлении и не считать, что регистрации базы хватит для выполнения закона

За это сообщение автора Одуванчик поблагодарили: 4
Demerji, ondifua, vins, Катя83
Аватар пользователя
Одуванчик
 
Сообщений: 112
Зарегистрирован: 20 янв 2011, 16:16
Откуда: Київ
Благодарил (а): 15 раз.
Поблагодарили: 101 раз.

UNREAD_POST vins » 27 янв 2012, 23:52

Интересное интервью. На мой взгляд, адекватное.
Одуванчик, спасибо!
Аватар пользователя
vins
 
Сообщений: 6654
Зарегистрирован: 27 дек 2010, 12:38
Благодарил (а): 2704 раз.
Поблагодарили: 2891 раз.

UNREAD_POST Чихуа » 28 янв 2012, 03:12

Интервью-то интересное, только немножко припоздавшее.... Например, в ноябре цены бы ему не было...
Но тогда весь наш народ так и не узнал бы, что такое персональные данные :mrgreen:

Анализ документов предприятия при проверке будет проводиться, начиная с устава предприятия, где должна быть обоснована законность обработки ПД,


То есть всем этим сотням тысяч, подавших заявления, теперь нужно перерегистрировать свои уставы? Или они это уже сделали до подачи заявления?
Утро... Теплая постелька... Сладкий сон...Вдруг.....удар по голове пультом - " Кучимутики!!!"
Аватар пользователя
Чихуа
 
Сообщений: 1754
Зарегистрирован: 08 июл 2011, 10:57
Благодарил (а): 467 раз.
Поблагодарили: 633 раз.

UNREAD_POST vins » 28 янв 2012, 10:41

Чихуа писал(а):Интервью-то интересное, только немножко припоздавшее.... Например, в ноябре цены бы ему не было...


100%.
Ну Вы ж видите - сидят они в июле - 18 заявлений. Думают - мало, погонят нас отсель. В августе - 144. Мало. В сентябре – 248. Малоооо! Начинают паниковать. В октябре – 452. Тоже мало. Это на 4 дня работы. А бюджетные средства капают. Погонют. Всех погонют. Поэтому в октябре выходит интервью в Справочнике кадровика с главой Службы, где он и говорит: бегите, срочно, регистрируйте - и работников, и клиентов, и контрагентов. Времени осталось мало. Штрафы - вплоть до судимости. И вот.. в ноябре – 12,272 тыс. Внимание прессы, толпы страждущих. Статус органа, поважнее Минюстов там всяких. Да чего там - по международным конвенциям нам и сам Кабмин не указ. В декабре – более 400 тыс. Паника. Причем не только среди заявителей, но уже и среди регистрирующих. Кто ж знал, что гонимая ими буря обернется против них самих...

Чихуа писал(а):Анализ документов предприятия при проверке будет проводиться, начиная с устава предприятия, где должна быть обоснована законность обработки ПД,


То есть всем этим сотням тысяч, подавших заявления, теперь нужно перерегистрировать свои уставы? Или они это уже сделали до подачи заявления?


Не совсем так. Я бы все таки читал в контексте.
Одуванчик писал(а):Привести свою документацию в соответствие с законом: посмотреть, какие данные обрабатываются на основании разрешения, данного законами Украины (например Налоговым кодексом, КЗоТ и т.д.), а какие - нет, и в случае, если нет законных оснований, внести изменения в уставные документы.

За это сообщение автора vins поблагодарили: 3
Ангва, OldWildMen, Чихуа
Аватар пользователя
vins
 
Сообщений: 6654
Зарегистрирован: 27 дек 2010, 12:38
Благодарил (а): 2704 раз.
Поблагодарили: 2891 раз.

UNREAD_POST OldWildMen » 28 янв 2012, 13:26

vins писал(а):В декабре – более 400 тыс. Паника.

И не только паника. Где-то на ранее страницах промелькнула цифра по оплате за услуги - 4500 грн. Если умножить 400 тыс заявлений на 4,5 тысячи = 1,8 млрд грн свободных от НДС. Во сумма-то! И вот воде бы хорошая сумма, но отберут же её верховенствующие...

За это сообщение автора OldWildMen поблагодарил:
vins
Аватар пользователя
OldWildMen
 
Сообщений: 261
Зарегистрирован: 30 янв 2011, 15:29
Благодарил (а): 125 раз.
Поблагодарили: 107 раз.

UNREAD_POST vins » 28 янв 2012, 14:18

Отберут - как пить дать.
Поэтому на помощь пришли старые добрые консультационно-информационные услуги. Ну а что - семинар на 200 человек, по 1000 грн с участника. 200 тыс. Разделить на в среднем на 3-4 (организатор, откат, ну и пара лекторов). А семинаров таких в декабре можно было проводить столько, как корпоративов у Сердючки в лучшие годы. Это хоть и не 1,8 млрд, но жить можно.
Аватар пользователя
vins
 
Сообщений: 6654
Зарегистрирован: 27 дек 2010, 12:38
Благодарил (а): 2704 раз.
Поблагодарили: 2891 раз.

UNREAD_POST Чихуа » 28 янв 2012, 15:08

OldWildMen писал(а):
vins писал(а):В декабре – более 400 тыс. Паника.

И не только паника. Где-то на ранее страницах промелькнула цифра по оплате за услуги - 4500 грн. Если умножить 400 тыс заявлений на 4,5 тысячи = 1,8 млрд грн свободных от НДС. Во сумма-то! И вот воде бы хорошая сумма, но отберут же её верховенствующие...


Это уже больные фантазии - 4500 грн.
Да и многие предпочтут "автоматический" штраф, который еще пусть попробуют наложить, чем иметь гарантированный отток денег ни за что.
Мы за программное обеспечение госструктурам платили в разы меньше.
Утро... Теплая постелька... Сладкий сон...Вдруг.....удар по голове пультом - " Кучимутики!!!"
Аватар пользователя
Чихуа
 
Сообщений: 1754
Зарегистрирован: 08 июл 2011, 10:57
Благодарил (а): 467 раз.
Поблагодарили: 633 раз.

UNREAD_POST OldWildMen » 28 янв 2012, 15:41

Чихуа писал(а): отток денег ни за что.

Нам это кажется навязанной бессмыслицей.
А интересно было бы написать историю гени.альных изобретений украинского правительства за годы независимости - сборы, поборы, штрафы, например:
- марки гербового сбора
- накладные строгой отчётности в частности и строгой отчётности "в ассортименте"
- гарантийные талоны
- голограммы и т.п.
Но нет такого гения, который перехитрил бы народных умельцев -всего не предусмотреть. Недавно разговаривал с транспортниками-трамвайщиками. У них проблема - как отловить "народных контролёров".
Наверное, насмотревшись по телевизору о том, как на дорогах стоят поддельные ГАИ-шники, - рисуют себе удостоверение транспортного контроллёра и в часы пик ходят по трамваям и штрафуют зайцев, старушкам, которые пенсионное дома забыли, идут навстречу - скидку дают, но без квитанции...

Чихуа писал(а):Это уже больные фантазии

Не забывайте - чем абсурднее ложь, тем проще в неё верят

За это сообщение автора OldWildMen поблагодарил:
vins
Аватар пользователя
OldWildMen
 
Сообщений: 261
Зарегистрирован: 30 янв 2011, 15:29
Благодарил (а): 125 раз.
Поблагодарили: 107 раз.

UNREAD_POST ondifua » 28 янв 2012, 15:57

ПОРЯДОК ОБРОБКИ ПЕРСОНАЛЬНИХ ДАНИХ у базах персональних даних «Працівники», «Пацієнти», «Контрагенти»
в ХХХ лікарні

I. Загальні положення

1.1. Цей Порядок розроблено на виконання вимог частини десятої статті 6 Закону України "Про захист персональних даних" (далі - Закон).
1.2. Цей Порядок встановлює вимоги до організаційних та технічних заходів захисту персональних даних під час їх обробки у базах персональних даних ххххххх лікарні (далі – ХХХХХХХХ), який є володільцем баз персональних даних «Працівники», «Пацієнти», «Контрагенти».
1.3. Обробка персональних даних може здійснюватися повністю або частково в інформаційній (автоматизованій) системі та/або у формі картотек персональних даних.
1.4. У цьому Порядку терміни вживаються у такому значенні:
автентифікація - процедура встановлення належності працівникові ХХХХХХХХ бази персональних даних пред'явленого ним ідентифікатора;
авторизація - процедура отримання дозволу на проведення дій з обробки персональних даних у базі персональних даних у складі інформаційної (автоматизованої) системи;
відповідальна особа - особа, на яку володільцем або розпорядником бази персональних даних відповідно до її службових, трудових, професійних обов'язків покладена організація роботи, пов'язаної із захистом персональних даних при їх обробці;
ідентифікація - процедура розпізнавання користувача в системі, як правило, за допомогою наперед визначеного імені (ідентифікатора) або іншої інформації про нього, яка сприймається інформаційною (автоматизованою) системою;
структурний підрозділ - структурна одиниця, що діє у складі ХХХХХХХХ персональних даних та відповідно до його прав та обов'язків на підставі положення про нього здійснює організацію роботи, пов'язаної із захистом персональних даних при їх обробці.
Інші терміни у цьому Порядку вживаються у значеннях, наведених у Законі.
1.5. Захист персональних даних покладається на ХХХХХХХХ, який є володільцем бази персональних даних.
На дії ХХХХХХХХ поширюються усі вимоги щодо захисту персональних даних від незаконної обробки, а також від незаконного доступу до них.
1.6. ХХХХХХХХ надає суб'єкту персональних даних інформацію про мету обробки персональних даних до моменту отримання згоди від суб'єкта персональних даних.
1.7. ХХХХХХХХ зберігає персональні дані у строк не більше, ніж це необхідно відповідно до мети їх обробки, якщо інше не передбачено законодавством.
1.8. ХХХХХХХХ визначає:
- мету обробки, склад персональних даних у базі персональних даних та її місцезнаходження;
- порядок внесення, зміни, поновлення, використання, поширення, знеособлення, знищення персональних даних у базі персональних даних;
- відповідальну особу або структурний підрозділ;
- порядок захисту персональних даних, в тому числі від незаконної обробки та незаконного доступу до них.
1.9. Відповідальна особа або структурний підрозділ ХХХХХХХХ відповідно до покладених завдань:
- забезпечує ознайомлення працівників ХХХХХХХХ з вимогами законодавства про захист персональних даних, зокрема щодо їхнього обов'язку не допускати розголошення у будь-який спосіб персональних даних, які їм було довірено або які стали їм відомі у зв'язку з виконанням професійних, службових чи трудових обов'язків;
- забезпечує організацію обробки персональних даних працівниками ХХХХХХХХ відповідно до їх професійних, службових чи трудових обов'язків в обсязі, необхідному для виконання таких обов'язків;
- організовує роботу з обробки запитів щодо доступу до персональних даних суб'єктів відносин, пов'язаних з обробкою персональних даних;
- забезпечує доступ суб'єктів персональних даних до власних персональних даних;
- інформує головного лікаря ХХХХХХХХ про заходи, яких необхідно вжити для приведення складу персональних даних та процедур їх обробки у відповідність до закону;
- інформує головного лікаря ХХХХХХХХ про порушення встановлених процедур з обробки персональних даних.
1.10. ХХХХХХХХ веде облік:
- фактів надання та позбавлення працівників права доступу до персональних даних та їх обробки;
- спроб та фактів несанкціонованих та/або незаконних дій з обробки персональних даних.
1.11. ХХХХХХХХ може розмежувати режими доступу працівників до обробки персональних даних у базі персональних даних відповідно до їх професійних, трудових чи службових обов'язків.
1.12. Знищення персональних даних здійснюється у спосіб, що виключає подальшу можливість поновлення таких персональних даних.

II. Обробка персональних даних в складі
інформаційної (автоматизованої) системи

2.1. ХХХХХХХХ обробляє персональні дані в складі інформаційної (автоматизованої) системи, у якій забезпечується захист персональних даних відповідно до вимог закону.
2.2. Обробка персональних даних в інформаційній (автоматизованій) системі може здійснюватись у складі інформаційно-телекомунікаційної системи із застосуванням засобів мережевого захисту від несанкціонованого доступу під час обробки персональних даних.
2.3. Працівники ХХХХХХХХ допускаються до обробки персональних даних лише після їх авторизації.
2.4. Доступ осіб, які не пройшли процедуру ідентифікації та/або автентифікації, повинен блокуватись.
2.5. В інформаційній (автоматизованій) системі, де обробляються персональні дані, може здійснюватись реєстрація, зокрема:
- результатів ідентифікації та/або автентифікації працівників ХХХХХХХХ;
- дій з обробки персональних даних;
- факту встановлення ознаки "Підтвердження надання згоди на обробку персональних даних у базі персональних даних" за допомогою управляючих елементів веб-ресурсів ХХХХХХХХ, інтерфейсів користувача програмного забезпечення;
- результатів перевірки цілісності засобів захисту персональних даних.
Відповідальна особа та/або структурний підрозділ може проводити аналіз реєстраційних даних.
Реєстраційні дані захищаються від модифікації та знищення.
Реєстраційні дані повинні зберігатися та надаватися за вмотивованою вимогою для аналізу суб'єктам відносин, пов'язаним із персональними даними.
2.6. ХХХХХХХХ забезпечує антивірусний захист в інформаційній (автоматизованій) системі.
2.7. ХХХХХХХХ забезпечує використання технічних засобів безперебійного живлення елементів інформаційної (автоматизованої) системи.

III. Обробка персональних даних у формі картотек

3.1. ХХХХХХХХ здійснює обробку персональних даних у картотеках у порядку, визначеному Законом та розділом I цього Порядку, з урахуванням таких вимог:
- документи, що містять персональні дані, формуються у справи залежно від мети обробки персональних даних;
- справи з документами, що містять персональні дані, повинні мати внутрішні описи документів із зазначенням мети обробки і категорії персональних даних;
- картотеки зберігаються у приміщеннях (шафах, сейфах), захищених від несанкціонованого доступу.
3.2. Двері у приміщеннях (шафах, сейфах) повинні бути обладнані замком або контролем доступу.
Захист персональних даних http://zpd.at.ua/

За это сообщение автора ondifua поблагодарил:
Demerji
Аватар пользователя
ondifua
 
Сообщений: 58
Зарегистрирован: 17 дек 2011, 23:26
Благодарил (а): 9 раз.
Поблагодарили: 21 раз.

UNREAD_POST Чихуа » 28 янв 2012, 16:06

- картотеки зберігаються у приміщеннях (шафах, сейфах), захищених від несанкціонованого доступу.
3.2. Двері у приміщеннях (шафах, сейфах) повинні бути обладнані замком або контролем доступу.


А можно адрес этой больницы? Хочу посмотреть на их регистратуру :)
Утро... Теплая постелька... Сладкий сон...Вдруг.....удар по голове пультом - " Кучимутики!!!"
Аватар пользователя
Чихуа
 
Сообщений: 1754
Зарегистрирован: 08 июл 2011, 10:57
Благодарил (а): 467 раз.
Поблагодарили: 633 раз.

UNREAD_POST ondifua » 28 янв 2012, 16:36

Чихуа писал(а):
- картотеки зберігаються у приміщеннях (шафах, сейфах), захищених від несанкціонованого доступу.
3.2. Двері у приміщеннях (шафах, сейфах) повинні бути обладнані замком або контролем доступу.


А можно адрес этой больницы? Хочу посмотреть на их регистратуру :)


у нас регистратура с сигнализацией (частная охранная фирма), датчиками на открытие и на движение, двери оббиты металом и есть дополнительные двери -решетка, окна с решетками изнутри, сейф внутри сигнализацию тоже имеет, стены с датчиками на разбитие, в некоторых помещениях тревожные кнопки есть (благодаря лицензированию на деятельность с наркотиками такие навороты (на шести объектах) давно сделаны), раньше регистратура была кабинетом главной медсестры

хорошо, что сейсмодатчики не надо было ставить, подвалов нет потому что
Захист персональних даних http://zpd.at.ua/

За это сообщение автора ondifua поблагодарил:
Чихуа
Аватар пользователя
ondifua
 
Сообщений: 58
Зарегистрирован: 17 дек 2011, 23:26
Благодарил (а): 9 раз.
Поблагодарили: 21 раз.

UNREAD_POST vins » 31 янв 2012, 08:37

А мы пропустили :cry: :cry: :cry:

Україна святкує Міжнародний день захисту персональних даних


26 квітня 2006 року Комітет міністрів Ради Європи вирішив започаткувати день захисту персональних даних, який буде відзначатися щороку 28 січня.

Ця дата відповідає річниці відкриття для підписання Конвенції Ради Європи про захист осіб у зв'язку з автоматизованою обробкою персональних даних та Додаткового протоколу до неї щодо органів нагляду та транскордонних потоків даних (Конвенція 108 як її називають у Європі) - відкриття для підписання Конвенції відбулось 28 січня 1981 року.

Конвенція ратифікована 43 державами-членами Ради Європи та відкрита для підписання будь-якими країнами світу.

Ізраїль, Канада, Японія, Мексика, Сполучені штати Америки є активними учасниками цього процесу і співпрацюють Радою Європи як на рівні Комітету Міністрів, так і на рівні Парламентської Асамблеї Ради Європи.

Data Protection day тепер святкується в усьому світі і називається за межами Європи "День конфіденційності".

Захист персональних даних, включаючи їх транскордонну передачу, завжди присутній в житті громадян - на роботі, у відносинах з органами державної влади, у сфері охорони здоров'я, освіти, коли вони купують товари або послуги, коли вони подорожують або переглядають інформацію у Інтернет.

Тим не менш, добре відомий факт, що європейські громадяни, і цим вони не відрізняються від українських, як правило, не знайомі з питаннями захисту даних і не знають своїх прав в цьому відношенні.

Метою Дня захисту персональних даних є інформування та ознайомлення громадян щодо прав людини, і зокрема щодо того, які особисті дані збираються і обробляються про них і чому, якими є їх права по відношенню до цієї обробки.

Громадяни інформуються про ризики, пов'язані з незаконною і несанкціонованою обробкою їх персональних даних.

Кожна держава-член Ради Європи та інші країни і міжнародні організації беруть участь у відзначенні цього дня, в тому числі і Україна.

У День захисту персональних даних по всій Європі постійно організовуються заходи для підвищення обізнаності про захист даних та інформування громадян про їх права, що дозволить їм здійснювати захист своїх прав більш ефективно, а також передовою практикою у цій сфері.

Одним із таких заходів є Щорічна міжнародна конференція Комп'ютер, Конфіденційність і Захист Даних (International Conference on Computer, Privacy and Data Protection CDPD), яка цього року пройде у Брюсселі з 24 по 27 січня.

У цьому році День захисту персональних даних буде особливим для Ради Європи, яка в даний час опрацьовує пропозиції до Конвенції 108, маючи на меті запровадити цей документ у якості єдиного глобального стандарту конфіденційності.
Аватар пользователя
vins
 
Сообщений: 6654
Зарегистрирован: 27 дек 2010, 12:38
Благодарил (а): 2704 раз.
Поблагодарили: 2891 раз.

UNREAD_POST vasilisa » 31 янв 2012, 09:32

Предлагаю отметить этот день виртуальным митингом, демонстрацией и по окончании банкетом.

За это сообщение автора vasilisa поблагодарил:
Assedo
Аватар пользователя
vasilisa
 
Сообщений: 333
Зарегистрирован: 14 июл 2011, 13:21
Благодарил (а): 154 раз.
Поблагодарили: 237 раз.

UNREAD_POST Чихуа » 31 янв 2012, 09:50

У нас был не день, а целый месяц рамадансплошной праздник защиты персональных данных от самих себя:)

26 квітня 2006 року Комітет міністрів Ради Європи вирішив започаткувати день захисту персональних даних, який буде відзначатися щороку 28 січня

Так я не поняла, а официальный выходной сделают или нет? Мы ведь заслужили этот праздник :)

Новая волна помешательства: контрагенты-юрлица присылают мне письма с просьбой дать разрешение на использование персональных данных нашего предприятия :mrgreen: лень даже отвечать...
Утро... Теплая постелька... Сладкий сон...Вдруг.....удар по голове пультом - " Кучимутики!!!"
Аватар пользователя
Чихуа
 
Сообщений: 1754
Зарегистрирован: 08 июл 2011, 10:57
Благодарил (а): 467 раз.
Поблагодарили: 633 раз.

UNREAD_POST Одуванчик » 31 янв 2012, 12:00

я отримала чергове "письмо щастя" від рекламного агенства яке нас обслуговує (ми це юр особа)
поговорила з їх главбухом, розказала їм, що таке персональні дані, але цитую "ми це і самі знаємо але краще перестрахуватись".
я відмовилась це підписати

а цей лист їм (рекламному агенству наваяли юристи з юридичної фірми і мабуть за пристойні гроші)

мій директор сказав "хоч народ і плющит не по-дєтскі він в цьому :lol: участь не бере"
Изображение
Аватар пользователя
Одуванчик
 
Сообщений: 112
Зарегистрирован: 20 янв 2011, 16:16
Откуда: Київ
Благодарил (а): 15 раз.
Поблагодарили: 101 раз.

Пред.След.

  • Похожие темы
    Ответов
    Просмотров
    Последнее сообщение

Вернуться в НОВОСТИ

Кто сейчас на форуме

Зарегистрированные пользователи: Ads, Gb, Ya